Source: Deutsche Nachrichten
Was ist Flex Routing und was passiert mit Ihren Daten?
Microsoft 365 Copilot verarbeitet Ihre Anfragen normalerweise ausschließlich in europäischen Rechenzentren. Mit Flex Routing darf Microsoft diese Verarbeitung bei Kapazitätsengpässen an Rechenzentren in den USA, Kanada oder Australien auslagern.
Betroffen ist das sogenannte LLM-Inferencing, also genau der Moment, in dem das KI-Modell Ihre Eingabe tatsächlich liest und beantwortet. Zu diesem Zeitpunkt sind Ihre Daten bereits zusammengestellt: E-Mails, Dateien, Metadaten, Prompts. Dieses Paket kann die EU verlassen.
Microsoft betont, dass die Daten dabei verschlüsselt übertragen werden und weiterhin in der EU gespeichert bleiben. Das ändert aber nichts am entscheidenden Punkt: Die Verarbeitung findet außerhalb der EU statt und genau darauf kommt es datenschutzrechtlich an.
Seit wann ist das aktiv und bei wem?
Für neue Mandanten (Tenants) ist Flex Routing seit dem 25. März 2026 standardmäßig aktiv. Für bestehende Tenants hat Microsoft die Funktion am 17. April 2026 freigeschaltet. Ob die Funktion bei Ihnen als Opt-in oder Opt-out ausgestaltet ist, ist nach den Microsoft-eigenen Informationen (Message-Center-Beiträge MC1269219 und MC1269223) leider nicht eindeutig. Unsere Empfehlung: Gehen Sie nicht davon aus, dass Flex Routing bei Ihnen deaktiviert ist, prüfen Sie es aktiv.
Gleichzeitig hat Microsoft Anthropic Claude als zusätzliches KI-Modell in Word, Excel und PowerPoint integriert, ebenfalls standardmäßig aktiv, ebenfalls mit möglicher Verarbeitung außerhalb der EU. Beide Funktionen laufen über separate Schalter im Admin Center.
Was bedeutet das für Ihr Unternehmen?
Wer Microsoft 365 Copilot nutzt und Flex Routing nicht bewusst deaktiviert hat, übermittelt möglicherweise personenbezogene Daten in Drittländer, ohne dass eine bewusste Entscheidung dafür getroffen wurde.
Die drei möglichen Zielregionen sind dabei unterschiedlich zu bewerten:
• USA: Microsoft ist im EU-U.S. Data Privacy Framework zertifiziert. US-Transfers sind damit grundsätzlich abgesichert.
• Kanada: Da Flex-Routing-Transfers aus der EU grenzüberschreitend sind, gilt hier das PIPEDA — das kanadische Bundesdatenschutzgesetz, für das ein EU-Angemessenheitsbeschluss besteht. Auch Kanada ist datenschutzrechtlich abgesichert.
• Australien: Hier besteht kein Angemessenheitsbeschluss. Transfers nach Australien sind nur über zusätzliche Schutzmaßnahmen zulässig und müssen dokumentiert werden.
Unabhängig davon gilt: Eine stillschweigende Änderung des Verarbeitungsorts durch einen zentralen IT-Dienstleister ist eine Compliance-Frage nicht nur eine technische. Wer von NIS2 betroffen ist, muss solche Änderungen in der Lieferkette dokumentieren und bewerten. Zudem gehört die Konfiguration in das Verzeichnis der Verarbeitungstätigkeiten.
Was ist jetzt konkret zu tun?
Flex Routing prüfen und ggf. deaktivieren
Microsoft 365 Admin Center → Copilot → Settings → Flexible inferencing during peak load periods. Wählen Sie „Do not allow flex routing“, wenn Sie eine Verarbeitung außerhalb der EU ausschließen möchten.
Anthropic-Modell prüfen
Kontrollieren Sie separat, ob und in welchen Anwendungen Anthropic Claude als KI-Modell aktiv ist, und passen Sie die Einstellungen an.
Verarbeitungsverzeichnis und Datenschutzerklärung aktualisieren
Tragen Sie die möglichen Drittlandübermittlungen ein. Für Australien sind die genutzten Schutzmaßnahmen zu dokumentieren.
Mitarbeitende sensibilisieren
Kommunizieren Sie, was mit Copilot-Prompts passiert. Besonders sensible Daten, etwa Gesundheitsdaten, Bewerbungsunterlagen oder vertrauliche Geschäftsinformationen, sollten nicht in Copilot eingegeben werden.
Microsoft Message Center im Blick behalten
Das Message Center ist kein reiner IT-Betriebskanal. Es ist ein Compliance-Kanal. Änderungen wie Flex Routing köndigen sich dort an, bevor sie wirksam werden.