Microsoft 365 Copilot hat die Arbeitswelt im Sturm erobert. Ob Zusammenfassungen von Meetings, das Entwerfen von E-Mails oder komplexe Datenanalysen – die KI-Integration ist für viele Unternehmen zum unverzichtbaren Produktivitätsfaktor geworden. Doch während die Effizienz steigt, zeichnet sich am Horizont eine regulatorische Hürde ab, die besonders Datenschutzverantwortliche hellhörig machen sollte.

Der Hintergrund: Was ist „Flex Routing“?

Bisher konnten sich Unternehmenskunden von Micorosoft innerhalb der EU darauf verlassen, dass ihre Daten im Rahmen der EU Data Boundary auch innerhalb der europäischen Grenzen verarbeitet werden. Das gilt sowohl für die Speicherung („at rest“) als auch für die eigentliche Berechnung durch die Sprachmodelle („in transit“/„processing“).

Doch aufgrund der enormen Nachfrage nach Rechenkapazitäten führt Micorosoft seit dem 17. April 2026 schrittweise das sogenannte „Flex Routing“ ein. D.h. bei hoher Auslastung der europäischen Rechenzentren behält sich Microsoft vor, KI-Anfragen dynamisch in Regionen außerhalb der EU zu routen, etwa in die USA, nach Kanada oder Australien.

Die Krux für den Datenschutz

Zwar versichert Microsoft, dass die Daten während der Übertragung verschlüsselt sind und die dauerhafte Speicherung weiterhin in der EU erfolgt. Dennoch verlassen der Prompt (Ihre Eingabe) und die durch den Microsoft Graph angereicherten Unternehmensdaten (z. B. Informationen aus Ihren E-Mails oder Dokumenten) für den Moment der Verarbeitung den Rechtsraum der EU.

Für Datenschutzbeauftragte und Auditoren ist dies eine kritische Änderung:

  1. Nachweispflicht: In einem Audit müssen Sie nachweisen können, wo Ihre Daten verarbeitet werden. Wenn Flex Routing aktiv ist, können Sie eine Verarbeitung in Drittstaaten nicht mehr ausschließen.
  2. Transparenz: Ohne entsprechende Dokumentation und Anpassung Ihrer Datenschutzfolgenabschätzung (DSFA) riskieren Sie Compliance-Verstöße gegen die DSGVO, aber auch gegen branchenspezifische Vorgaben wie NIS-2 oder DORA.

Unsere Empfehlung: Prüfen statt Hoffen

Flex Routing wird von Microsoft als „Opt-out“-Verfahren ausgerollt. Das bedeutet: Wenn Sie nicht aktiv werden, wird die Funktion automatisch aktiviert. Wir raten Verantwortlichen zu folgendem Vorgehen:

  1. Status-Check: Prüfen Sie im Microsoft 365 Admin Center unter den Copilot-Einstellungen den Punkt „Flexible inferencing during peak load periods“.
  2. Risikoabwägung Entscheiden Sie, was für Ihr Unternehmen Vorrang hat. Höchstmögliche Performance (Flex Routing an) oder garantierte Datenresidenz innerhalb der EU (Flex Routing aus).
  3. Dokumentation Unabhängig von Ihrer Entscheidung muss diese schriftlich fixiert und in die DSFA aufgenommen werden. Halten Sie fest, wer die Entscheidung auf welcher Rechtsgrundlage getroffen hat.

Wir unterstützen Sie bei der sicheren KI-Transformation

Die Einführung von KI-Tools wie Copilot bietet enorme Chancen, darf aber nicht zulasten der rechtlichen Sicherheit gehen. Als Expertenhaus für Datenschutz und Informationssicherheit begleiten wir Unternehmen dabei, moderne Technologien konform mit europäischen Standards einzusetzen.

Haben Sie Fragen zur Konfiguration Ihres Tenants oder benötigen Sie Unterstützung bei der Anpassung Ihrer DSFA? Nutzen Sie unsere kostenlose Erstberatung. Gemeinsam werfen wir einen Blick auf Ihre aktuelle Architektur und stellen sicher, dass Ihre KI-Strategie auf einem rechtlich sicheren Fundament steht.

Philipp Herold

Über Philipp Herold

Experte für Informationssicherheit, Compliance und Datenschutz. Berät Unternehmen mit präzisen Lösungsansätzen und umfassendem Wissen zum Schutz sensibler Daten und gesetzlicher Anforderungen.

Über uns

Die Herold Unternehmensberatung ist Ihr Partner für Risk Management, Informationssicherheit, Compliance und Datenschutz. Wir unterstützen Sie dabei, die geltenden Anforderungen in den Bereichen Risk Management, Informationssicherheit, Compliance und Datenschutz zu erfüllen.

Mehr über uns erfahren

Teambild Herold Unternehmensberatung

Beitrag teilen