Bitdefender

Bitdefender ist ein rumänischer Cybersecurity-Anbieter. Die operative Gesellschaft S.C. Bitdefender S.R.L. ist in der Soseaua Orhideelor 15A (Orhideea Towers), 6. Bezirk, Bukarest, Rumänien eingetragen (ONRC J40/20427/2005, CUI 18189442, USt-IdNr. RO18189442). Der Konzern ist unter der Bitdefender Holding B.V. (niederländische B.V., eingetragen am 21.07.2016 in Den Haag unter Maanweg 174, 2516 AB) gegliedert, oberste Muttergesellschaft ist BILTECH INVESTMENT LTD (Zypern). Daneben betreibt Bitdefender die Bitdefender, Inc. (Santa Clara CA + Fort Lauderdale FL + San Antonio TX SOC) für US-Kunden sowie regionale operative Tochtergesellschaften in Deutschland, Frankreich, Großbritannien, Australien, Singapur, Indonesien und weiteren Ländern (rund 25 Konzerngesellschaften). Gründer Florin Talpes ist CEO; Mitgründerin Mariuca Talpes ist COO.

Gründerkontrolliert mit PE-Minderheit. Florin Talpes und die Familie Talpes halten Mehrheit und Führung; Vitruvian Partners (Londoner PE) hält eine Minderheitsbeteiligung von 30 %, übernommen im Dezember 2017 für rund 180 Mio. USD bei einer Bewertung von rund 600 Mio. USD. Ein für 2021 geplanter US-Börsengang wurde verschoben; ION Analytics berichtet von einem möglichen IPO-Zeitfenster 2024-2026. Laut Berichten vom Mai 2025 zum Geschäftsjahr 2024 ist die 30-%-Beteiligung von Vitruvian weiterhin in Kraft, ohne dokumentierten Ausstieg. Bitdefender ist daher privat gehalten, aber nicht gebootstrapped: Die Gründer geben die strategische Richtung vor, während ein einzelnes PE-Haus mit Board-Vertretung eine bedeutende wirtschaftliche Minderheitsbeteiligung hält.

Ja, mittelbar. Die primäre EU-operative Gesellschaft (Bitdefender S.R.L., Rumänien) und die niederländische Holding (Bitdefender Holding B.V.) liegen außerhalb der CLOUD-Act-Reichweite, doch die Bitdefender, Inc. (USA -- in Kalifornien eingetragen mit Büros in Santa Clara CA, Fort Lauderdale FL und dem San Antonio TX SOC seit 2019) unterliegt dem US-Recht und kann zur Herausgabe der von ihr verarbeiteten Daten verpflichtet werden. EU-Kunden der standardmäßigen GravityZone-Cloud-Konsole werden gemäß der Business-Datenschutzerklärung in „Romania, Ireland, or other state members of the European Union“ verarbeitet. Kunden der souveränen EU-SKUs -- GravityZone auf OVHcloud SecNumCloud (FR) oder SysEleven (DE) -- erhalten ausdrückliche Bitdefender-Zusagen, dass Daten „never accessible, transferred, or processed outside the European Union“ sind und „full immunity from extraterritorial laws“ gewährt wird. Bitdefenders Standardmechanismus für Transfers zu Nicht-EU-Verarbeitern sind die Standardvertragsklauseln gemäß Artikel 46 Absatz 2 DSGVO.

Die standardmäßige GravityZone-Cloud-Konsole läuft auf AWS in mehreren Regionen, wobei Sicherheitsserver automatisch in der nächstgelegenen AWS-Region platziert werden; Endpoint-Agenten verbinden sich mit dem nächstgelegenen Regionsserver, sodass die Standardresidenz regions- und nicht kundengebunden ist. Für souveräne EU-Bereitstellungen hat Bitdefender im Oktober 2025 zwei SKUs gestartet: GravityZone auf OVHcloud SecNumCloud (angekündigt am 2. Oktober 2025, gehostet in Roubaix / Gravelines / Strasbourg) und GravityZone auf SysEleven OpenStack Cloud (angekündigt am 8. Oktober 2025, in Partnerschaft mit dem deutschen Cybersecurity-Anbieter secunet, gehostet in Deutschland). Zitat aus der secunet-Meldung: „With GravityZone on the SysEleven OpenStack Cloud, customers know that their data stays within the EU“ (Andrei Florescu, GM Business Solutions). Beide souveränen SKUs umfassen EPP, EDR, XDR und Cloud-native Security. MDR läuft 24/7 über drei SOCs in Bukarest, San Antonio und Singapur im Follow-the-Sun-Modell.

Bitdefender veröffentlicht bewusst keine konsolidierte Liste der Unterauftragsverarbeiter. Die Business-Datenschutzerklärung ist eindeutig: „due to confidentiality obligations the specific information regarding the processors used will be provided to competent authorities“ und „specific information regarding the name and details for each processor used will be provided only to competent authorities“. Offengelegt werden nur generische Kategorien -- Hosting + WAF in EU und USA; Live-Support-Kanäle in EU, USA, Singapur und Großbritannien; Offline-Support in EU und USA. Das öffentlich verfügbare DPA unter bitdefender.com/en-us/site/view/data-processing-agreement-for-bitdefender-solutions benennt „Bitdefender SRL“ als Auftragsverarbeiter und ist in den License and Services Agreement integriert; Transfers zu Nicht-EU-Verarbeitern erfolgen über SCC gemäß Artikel 46 Absatz 2 DSGVO. Kunden mit Bedarf an konkreten Verarbeiternennungen müssen diese im Rahmen ihrer Auftragsverarbeitungsvereinbarung anfordern. Aus Architekturdokumenten ableitbar: AWS ist der primäre Infrastruktur-Unterauftragsverarbeiter der standardmäßigen GravityZone-Cloud-Konsole; OVHcloud und SysEleven sind für die souveränen Cloud-SKUs ausdrücklich genannt.

ISO/IEC 27001 (für GravityZone deklariert) und SOC 2 Type II (jährliches AICPA-SSAE-16-Audit, deklariert für GravityZone Business Security Enterprise). Der GravityZone Compliance Manager erstellt kundenbezogene Compliance-Berichte für DSGVO, NIS 2, DORA, PCI DSS, CISv8, SOC 2, CMMC 2.0, HIPAA, ISO 27001 und UK Cyber Essentials -- über diese Rahmenwerke wird berichtet, nicht alle sind für Bitdefender selbst zertifiziert. Unabhängige Branchenauszeichnungen: AV-TEST Top Product 2023-2025, AV-Comparatives Outstanding Security Award, Gartner Magic Quadrant Visionary und Forrester Wave Leader in Endpoint Security. Bitdefender ist ein CNA-äquivalenter Beitragender über die Bitdefender Labs (CVE-Veröffentlichungen und APT-Zuordnung). Strategische Partnerschaften umfassen Europol EC3, FBI, DEA und die rumänische Cybersicherheitsbehörde DNSC, einschließlich des dezidierten Cybersicherheitsprogramms zur Unterstützung der Ukraine.