Sign in Subscribe
GRC

Wie Microsoft die EU-Datengrenze für Copilot stillschweigend aufweicht

Wie Microsoft die EU-Datengrenze für Copilot stillschweigend aufweicht
Photo by Jakub Żerdzicki / Unsplash

Die EU-Datengrenze (EU Data Boundary) war bisher eines der stärksten Verkaufsargumente von Microsoft gegenüber europäischen Kunden mit hohen Compliance-Anforderungen. Das Versprechen: Daten kommerzieller Kunden aus EU und EFTA werden innerhalb dieser Grenze gespeichert und verarbeitet. Mit einer neuen Funktion namens Flex Routing weicht Microsoft dieses Versprechen für Microsoft 365 Copilot auf. Brisant ist weniger die Funktion selbst als die Art ihrer Einführung: Sie ist standardmäßig aktiv, und zwar ohne aktive Zustimmung der betroffenen Organisationen.

Was Flex Routing tatsächlich tut

Flex Routing erlaubt Microsoft, die Inferenz großer Sprachmodelle für Copilot während Lastspitzen außerhalb der EU-Datengrenze durchzuführen. Als Zieldatenzentren sind laut Microsoft-Dokumentation die USA, Kanada und Australien vorgesehen. Offiziell begann die Ausleitung am 17. April 2026; für neue Tenants, die nach dem 25. März 2026 angelegt wurden, ist Flex Routing bereits jetzt voreingestellt.

Der technische Knackpunkt liegt im Zeitpunkt der Verlagerung. Inferenz ist jene Phase, in der das Modell die Eingabe tatsächlich verarbeitet und eine Antwort generiert. Zu diesem Zeitpunkt hat die Anfrage bereits Preprocessing, Sicherheitsprüfungen und Retrieval-Augmented Generation durchlaufen. Das heißt: Der Prompt wird nicht isoliert verschoben, sondern gemeinsam mit den angereicherten Inhalten aus dem Tenant, also E-Mails, Dateien, Metadaten und dem Systemprompt. Genau dieses Paket kann bei aktivem Flex Routing in einem Rechenzentrum außerhalb der EU verarbeitet werden.

Für ruhende Daten hält Microsoft am EU-Verbleib fest. Eine Ausnahme bilden „begrenzte pseudonymisierte Daten", die aus betrieblichen und sicherheitstechnischen Gründen außerhalb der EU-Datengrenze gespeichert werden dürfen. Was genau darunter fällt, bleibt in der offiziellen Dokumentation bewusst vage. Branchenkommentatoren gehen von Session-IDs und Nutzungs-Zeitstempeln aus, eine verbindliche Aufzählung fehlt jedoch.

Opt-out statt Opt-in

Die problematischste Entscheidung ist nicht die Einführung von Flex Routing, sondern das Verteilungsmodell.

Flex Routing ist für alle berechtigten EU- und EFTA-Tenants standardmäßig aktiviert. Wer die Datenverarbeitung innerhalb der EU halten möchte, muss aktiv widersprechen.

Die Umstellung erfordert Administratorrechte und den Weg über das Microsoft 365 Admin Center: Copilot, Einstellungen, „Flexible inferencing during peak load periods". Parallel existiert eine eigene Einstellung im Power Platform Admin Center für Copilot in Dynamics 365, Power Platform und Copilot Studio.

Dieser Opt-out-Ansatz bricht mit einer Praxis, die Microsoft bei vergleichbaren Eingriffen bisher eingehalten hatte. Als Anthropic als Subprozessor für Copilot hinzugefügt wurde, war die entsprechende Einstellung in EU- und EFTA-Regionen zunächst deaktiviert. Bei Flex Routing kippt dieser Ansatz. Dass Microsoft parallel auch die Anthropic-Modelle in Word, Excel und PowerPoint (MC1269241) standardmäßig aktiviert hat, lässt eine strategische Verschiebung erkennen, keinen Einzelfall.

Die Konsequenz: Organisationen, die den Message-Center-Hinweis MC1269223 nicht gelesen oder die Tragweite nicht erkannt haben, verarbeiten seit 17. April 2026 möglicherweise personenbezogene Daten ihrer Beschäftigten und Kunden außerhalb der EU, ohne dass eine bewusste Entscheidung vorliegt. Das ist aus regulatorischer Sicht problematisch.

Regulatorische Einordnung

DSGVO

Die Verlagerung der Inferenz in Drittländer löst die bekannten Anforderungen der Kapitel V DSGVO aus. Für die USA greift der EU-US Data Privacy Framework-Angemessenheitsbeschluss der Kommission aus 2023, solange dieser noch Bestand hat. Australien verfügt über keinen Angemessenheitsbeschluss, Kanada nur über einen partiellen für Organisationen, die dem PIPEDA unterliegen. Für alle Drittlandstransfers bleibt unabhängig davon die Pflicht zur Risikoabwägung nach Art. 46 DSGVO bestehen, einschließlich eines Transfer Impact Assessments in der Linie der Schrems-II-Rechtsprechung.

Art. 13 Abs. 1 lit. f DSGVO verlangt zudem, betroffene Personen über Drittlandstransfers zu informieren. Wer bisher in seinen Datenschutzinformationen auf die EU-Datengrenze verwiesen hat, muss diese Angaben überarbeiten, sobald Flex Routing aktiv bleibt. Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist entsprechend anzupassen, ebenso gegebenenfalls durchgeführte DSFAs nach Art. 35.

NIS2

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) verpflichtet wesentliche und wichtige Einrichtungen in Art. 21 zu geeigneten technischen, operativen und organisatorischen Risikomanagementmaßnahmen, einschließlich Sicherheit der Lieferkette und Umgang mit der Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen.

Eine stillschweigende Änderung des Verarbeitungsorts durch einen zentralen Cloud-Anbieter ist ein klassisches Third-Party-Risiko, das im Lieferantenmanagement zu adressieren ist.

DORA

Für Finanzunternehmen schlägt Art. 28 ff. der Verordnung (EU) 2022/2554 (DORA) zu. Die Verlagerung der Inferenz ist eine wesentliche Änderung im Subcontractor-Verhältnis, die im Informationsregister (Art. 28 Abs. 3) abzubilden ist. Bei kritischen oder wichtigen Funktionen, die Copilot unterstützt, greifen zudem die Vorgaben zur Drittlandnutzung (Art. 31) und zur Ausstiegs­fähigkeit. Finanzinstitute, die Copilot produktiv einsetzen, sollten Flex Routing aus meiner Sicht bis zur abschließenden Klärung deaktivieren.

Sektorale Anforderungen

Für regulierte Branchen mit zusätzlichen Residency-Anforderungen (Gesundheitswesen, öffentliche Verwaltung, Rechts- und Steuerberatung, Glücksspielaufsicht) ist der Handlungsbedarf am dringlichsten. Viele interne Richtlinien und Kundenverträge enthalten ausdrückliche Zusagen zur EU-Verarbeitung, die mit dem Default-Zustand unvereinbar sind.

Was zu tun ist

Für jeden EU/EFTA-Tenant mit aktiver Copilot-Lizenz sollten folgende Schritte ergriffen werden:

  • Erstens die Einstellung im Microsoft 365 Admin Center überprüfen (Copilot, Einstellungen, „Flex routing during peak load periods") und bewusst entscheiden. Parallel die Einstellung im Power Platform Admin Center prüfen, da sie eigenständig konfiguriert wird, solange sie restriktiver als die M365-Einstellung ist.
  • Zweitens die Auswirkungen dokumentieren: Anpassung des Verarbeitungsverzeichnisses, Aktualisierung der Datenschutzinformationen, Revision bestehender DSFAs und Transfer Impact Assessments. Bei aktiven TOMs nach Art. 32 DSGVO ist zu bewerten, ob die bisherigen Annahmen zur Lokalisierung weiter tragen.
  • Drittens das Lieferantenmanagement nachziehen: Der Vorfall ist ein Paradebeispiel dafür, warum vertragliche Zusagen zur Datenlokalisierung über Message-Center-Announcements hinweg überwacht werden müssen. Wer ISO 27001 implementiert hat, sollte Control A.5.19 (Information security in supplier relationships) und A.5.23 (Information security for use of cloud services) anlassbezogen prüfen.
  • Viertens die Frage stellen, ob Copilot im aktuellen Reifegrad überhaupt die richtigen Anwendungsfälle adressiert. Die realen Nutzungszahlen für Microsoft 365 Copilot sind auch zwei Jahre nach dem Start überschaubar. Wer vor allem aus strategischen Gründen lizenziert hat, ohne dass produktiver Einsatz stattfindet, kann Flex Routing pragmatisch deaktivieren, ohne operative Einbußen zu befürchten.

Fazit

Flex Routing ist nicht das eigentliche Thema. Die eigentliche Nachricht ist, dass Microsoft eine Aushöhlung der EU-Datengrenze durch eine Default-Einstellung durchsetzt, die ohne aktives Handeln wirksam wird. Für europäische Compliance- und Datenschutzverantwortliche ist das ein Lehrstück in Sachen digitale Abhängigkeit: Ein zentrales Sicherheits- und Residency-Versprechen wird nicht durch Vertragsverhandlung geändert, sondern durch einen Message-Center-Eintrag und einen Schieberegler im Admin Center.

Wer digitale Souveränität ernst nimmt, sollte Flex Routing zum Anlass nehmen, die eigene Abhängigkeit von hyperskaligen US-Anbietern kritisch zu prüfen und zumindest für sensible Workloads europäische Alternativen mitzudenken.

Quellen: Microsoft Learn, „Flex routing (EU and EFTA)"; Microsoft Message Center MC1269223; DrWindows, Beitrag vom 5. April 2026; Office 365 for IT Pros; Proton Business Blog; Copilot at Work Substack.

Transparenzhinweis: Dieser Beitrag wurde mit Unterstützung generativer KI (Claude Opus 4.7, Anthropic) erstellt und vor Veröffentlichung redaktionell geprüft.

Read next

Klarheit für Datenverarbeitung zu wissenschaftlichen Forschungszwecken

Klarheit für Datenverarbeitung zu wissenschaftlichen Forschungszwecken

Am 15. April 2026 hat der Europäische Datenschutzausschuss (EDPB) die lange erwarteten Leitlinien 1/2026 zur Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken zur öffentlichen Konsultation freigegeben. Das 66-seitige Dokument adressiert eine Reihe strittiger Auslegungsfragen, die in der Praxis seit Inkrafttreten der DSGVO für Unsicherheit gesorgt haben, und bringt in einigen
Michael Mrak
Wie die USA europäische Grundrechte zur Verhandlungsmasse machen

Wie die USA europäische Grundrechte zur Verhandlungsmasse machen

Die geplante Verschärfung der ESTA-Einreiseregeln und das neue EU-US-Rahmenabkommen zum Datenaustausch markieren einen Paradigmenwechsel im transatlantischen Verhältnis – mit weitreichenden Folgen für den europäischen Datenschutz. Wer aus Europa in die USA reisen will, steht künftig vor einer grundlegenden Entscheidung: umfassende Einblicke in das eigene Privatleben gewähren oder zu Hause bleiben. Was
Michael Mrak