Mo.-Fr.: 09.00 - 17.00 Uhr
0202 24798825
Newsletter
  • Start
  • zBlog
  • Drei Klicks für DSGVO-konforme Daten mit Microsoft Copilot Flex Routing

Drei Klicks für DSGVO-konforme Daten mit Microsoft Copilot Flex Routing

Seit Mitte April 2026 verarbeitet Microsoft Copilot Daten auch außerhalb Europas – standardmäßig und ohne explizite Zustimmung. Was nach einem technischen Detail klingt, wird für Betriebe zur Compliance-Frage. Drei Klicks können das Problem lösen. Doch die eigentliche Entscheidung liegt tiefer: Wem vertrauen Unternehmen ihre sensibelsten Daten an – und können sie das noch kontrollieren?
Anton Ryazanov, Unsplash
Lesedauer 4 Minuten

Inhaltsverzeichnis

Microsoft hat zum 17. April 2026 eine Standardeinstellung in Microsoft 365 Copilot geändert und damit eine Frage neu aufgeworfen, die viele Betriebe längst beantwortet glaubten: Wo werden eigentlich die Daten verarbeitet, die ein Unternehmen täglich an die KI füttert?

Die Antwort lautet seit dem Stichtag: möglicherweise nicht mehr in Europa. Mit dem neuen Feature Flex Routing darf Microsoft Copilot-Anfragen automatisch in Rechenzentren in den USA, Kanada oder Australien auslagern, sobald die europäischen Kapazitäten knapp werden. Die Funktion ist standardmäßig aktiv: bei Neukundenkonten ohnehin, bei Bestandskonten wird sie automatisch eingeschaltet, sofern der Administrator nicht ausdrücklich widerspricht.

Was Flex Routing technisch bedeutet

Bisher galt für viele europäische Microsoft-Kunden eine einfache Faustregel: EU-Tenant, EU-Speicherort, EU-Verarbeitung. Diese Faustregel ist nicht mehr verlässlich. Zwar bleiben die Daten weiterhin in europäischen Rechenzentren gespeichert, der Moment der Verarbeitung, also die sogenannte Inferenz, kann jedoch außerhalb der EU stattfinden.

Genau in diesem Moment werden die Daten für das Sprachmodell zugänglich gemacht: Prompts, E-Mail-Inhalte, Dokumente, Metadaten. Verschlüsselung im Transport und im Ruhezustand schützen davor nicht, der Verarbeitungsschritt selbst erfordert lesbare Daten.

Warum das viele Unternehmen und Organisationen betrifft

Auf den ersten Blick wirkt das Thema technisch. In der Praxis betrifft es jedoch nahezu jede Organisation, die Microsoft 365 im Arbeitsalltag einsetzt. E-Mails laufen über Outlook und Exchange, Dokumente werden in SharePoint oder OneDrive gespeichert, Teams protokolliert Meetings, und Copilot greift auf genau diese Inhalte zu, um Zusammenfassungen zu erstellen, Antworten zu formulieren oder Informationen aus Dokumenten und Postfächern zusammenzuführen.

Dabei verarbeitet die KI potenziell sensible Daten: Kunden- und Mitarbeiterinformationen, Verträge, Finanzdaten, Bewerbungen, interne Strategiepapiere oder vertrauliche Kommunikation. Sobald Copilot aktiv genutzt wird, entstehen daraus automatisiert KI-Anfragen, deren Verarbeitung mit Flex Routing unter Umständen außerhalb der EU stattfinden kann.

Genau hier beginnt die regulatorische Herausforderung. Die DSGVO stellt klare Anforderungen an die Übermittlung personenbezogener Daten in Drittländer. Gleichzeitig unterliegen viele Unternehmen zusätzlichen Compliance- und Sicherheitsvorgaben – etwa durch NIS2, DORA oder branchenspezifische Standards. Wer KI-gestützte Funktionen nutzt, ohne nachvollziehen zu können, wo die eigentliche Verarbeitung stattfindet, bewegt sich schnell in einem rechtlichen und organisatorischen Graubereich.

Denn auch wenn die Daten weiterhin in europäischen Rechenzentren gespeichert werden, ist entscheidend, wo sie im Moment der Verarbeitung für das Sprachmodell lesbar werden. Die Verantwortung dafür liegt letztlich nicht beim Anbieter allein, sondern bei der Organisation, die die Systeme einsetzt.

Wie sich Flex Routing deaktivieren lässt

Die Abschaltung dauert wenige Minuten und erfordert die Rolle „KI-Administrator“ im Microsoft 365 Admin Center. Der Pfad führt über Copilot → Einstellungen → Flexible Inferenz in Zeiten hoher Auslastung. Dort lässt sich die Option „Flex Routing nicht zulassen“ auswählen. Größere Häuser sollten die Einstellung in ihre IT-Richtlinien aufnehmen und im Auftragsverarbeitungsvertrag dokumentieren.

Wichtig zu wissen: Wer Flex Routing deaktiviert, akzeptiert im Gegenzug eine geringere Verfügbarkeit zu Spitzenzeiten. Microsoft kann Anfragen dann nicht mehr ausweichen, wenn die EU-Kapazitäten ausgelastet sind. Ein Trade-off, den jeder Betrieb für sich bewerten muss – der aber bewusst getroffen werden sollte, nicht versehentlich.

Eine europäische Alternative: Nextcloud

Wer die Abhängigkeit von US-Anbietern grundsätzlicher überdenken will, findet in Europa etablierte Gegenentwürfe. Die bekannteste Open-Source-Plattform ist Nextcloud, entwickelt in Stuttgart. Sie vereint Dateiablage, Kalender, Kontakte, E-Mail und Videokonferenzen unter einem Dach und ergänzt in Verbindung mit OnlyOffice oder Collabora eine vollwertige Office-Suite zum gemeinsamen Bearbeiten von Dokumenten und Tabellen direkt im Browser. Betreiben lässt sich das System entweder auf eigener Hardware oder bei europäischen Hostern wie Hetzner oder IONOS. Der Verarbeitungsort ist damit vertraglich und technisch eindeutig festgelegt und keine stille Standardänderung kann das im Nachhinein verschieben.

Eine Lösung von der Stange ist Nextcloud nicht. Der Umstieg verlangt IT-Ressourcen oder einen erfahrenen Dienstleister, der die Migration begleitet, und Mitarbeitende müssen sich an eine andere Bedienlogik gewöhnen. Für inhabergeführte Häuser kann das ein Hindernis sein. Für Hotelketten und größere Cateringgruppen mit eigener IT-Abteilung sieht die Rechnung dagegen oft anders aus, zumal Nextcloud inzwischen auch einen eigenen KI-Assistenten anbietet, der mit europäischen oder sogar selbst gehosteten Sprachmodellen arbeitet. Der Inferenz-Ort ist dann keine Frage des Anbieter-Defaults mehr, sondern eine Entscheidung des Betreibers.

Handlungsempfehlungen

Bis sich die strategische Frage nach dem richtigen Anbieter klärt, hilft eine geordnete Bestandsaufnahme. Sechs Punkte, die jeder Betrieb mit Microsoft 365 in den kommenden Wochen abarbeiten sollte:

  1. Aktiven Nutzerkreis ermitteln. Welche Mitarbeitenden haben Copilot-Lizenzen, in welchen Abteilungen wird die KI tatsächlich eingesetzt? Reservierung, Front Office, Personalbüro und Buchhaltung haben sehr unterschiedliche Risikoprofile, die Inventur ist die Voraussetzung für jede weitere Entscheidung.
  2. Flex Routing prüfen und dokumentiert entscheiden. Aktuellen Status im Admin Center kontrollieren, gemeinsam mit Datenschutzbeauftragtem oder externem Berater entscheiden, ob die Funktion deaktiviert wird und die Entscheidung schriftlich festhalten. Im Audit zählt nicht das Ergebnis, sondern der nachweisbare Abwägungsprozess.
  3. Verzeichnis der Verarbeitungstätigkeiten aktualisieren. Wenn Copilot personenbezogene Daten verarbeitet – also Profile, Mitarbeiterunterlagen, Bewerbungen – muss das im VVT erfasst sein. Mögliche Drittlandtransfers gehören explizit dokumentiert, ebenso die Rechtsgrundlage.
  4. Mitarbeitende sensibilisieren. Vielen ist nicht bewusst, dass Copilot Inhalte aus Postfächern und Dokumenten verarbeitet. Eine kurze interne Richtlinie, welche Inhalte nicht in Copilot-Prompts gehören, wie z.B. Kreditkartendaten, Krankmeldungen, Personalstammdaten, Gästepräferenzen mit gesundheitlichem Bezug, verhindert einen Großteil der typischen Datenschutzpannen.
  5. Sektorspezifische Pflichten klären. Unternehmen ab einer gewissen Größe können unter NIS2, DORA oder andere branchenspezifische Vorgaben fallen, die ein systematisches Drittanbieter-Risikomanagement verlangen. Wer im Bereich Lebensmittelproduktion oder -distribution tätig ist, sollte den eigenen NIS2-Status ohnehin geprüft haben.
  6. Mittelfristige Anbieterstrategie entwickeln. Nicht jeder Dienst muss über Nacht abgelöst werden. Sinnvoll ist ein Pfad: Welche Funktionen (Mail, Dateiablage, Office, KI-Assistenz) sollen perspektivisch auf europäische Lösungen umgestellt werden, welche bleiben? Wer einen solchen Plan hat, kann auf das nächste überraschende Anbieter-Update gelassener reagieren.

Unternehmen ohne eigenen Datenschutzbeauftragten sollten spätestens jetzt einen externen DSB konsultieren. Die Investition liegt im niedrigen vierstelligen Bereich pro Jahr und damit deutlich unter dem, was ein DSGVO-Bußgeld kosten kann.

Die größere Frage hinter dem Stichtag

Flex Routing ist im Kern eine technische Lastenoptimierung. Politisch ist es etwas anderes: ein Lehrstück darüber, wie ein US-Anbieter seine eigenen Datenschutzversprechen per Standardeinstellung verschieben kann und wie schnell Datensouveränität von einer beworbenen Eigenschaft zu einer Konfigurationsfrage wird, die jeder Kunde selbst überwachen muss.

Für viele kleine und mittelständische Unternehmen, die ohnehin mit knappen IT-Ressourcen arbeiten, ist das eine unangenehme Botschaft. Die Verantwortung, regulatorische Veränderungen beim Anbieter zu erkennen und zu bewerten, liegt am Ende beim Betrieb selbst. Ein Update-Hinweis im Admin Center reicht aus, die Konsequenzen für die Gästedatenverarbeitung trägt der Betreiber.

Unser Experte

Picture of Miriam Grothe
Miriam Grothe
Miriam Grothe ist als Chefredakteurin für den PRO-DSGVO Blog verantwortlich und kann dabei u.a. auf ihre langjährige Erfahrung als Chefredakteuring für das Gastgewerbe-Magazins zurückgreifen. In den letzten zehn Jahren konnte sie umfangreiche Einblicke in die Bedürfnisse zahlreicher Betriebe bekommen.