Microsofts Versprechen von „Datensouveränität“ für Europa hat einen Haken. Ab dem 17. April 2026 wird das Unternehmen beginnen, Copilot-Daten zur Verarbeitung an ausländische Server zu senden.

Mit der Einführung von Flex Routing für Microsoft 365 Copilot kann die Inferenz mit einem großen Sprachmodell (LLM) — also der Schritt, bei dem deine Daten tatsächlich verarbeitet werden — in den USA, Kanada oder Australien stattfinden, wenn die Kapazitäten europäischer Rechenzentren knapp werden.

Diese Änderungen werden standardmäßig angewendet. Für neue Kundenkonten, die nach dem 25. März 2026 erstellt wurden, ist Flex Routing bereits aktiviert. Für alle anderen wird es automatisch aktiviert, sofern du es nicht deaktivierst. (Eine Anleitung dazu findest du unten.)

Wenn dein Unternehmen in der Europäischen Union oder der Europäischen Freihandelsassoziation (EFTA) ansässig ist, ist das kein kleines technisches Update. Flex Routing verändert, ob deine KI-Workflows innerhalb der EU bleiben oder sie ohne dein Wissen verlassen. Und es zeigt, was Big Techs Version digitaler Souveränität für Europa wirklich bedeutet: Sie haben immer noch die Kontrolle.

Was ist Flex Routing?

Inferenz ist der Moment, in dem ein KI-Modell deinen Prompt verarbeitet, um eine Antwort zu generieren — etwa ein Dokument zusammenzufassen, eine Frage zu beantworten oder Inhalte zu entwerfen. Zu diesem Zeitpunkt wurden deine Daten bereits zusammengestellt. Selbst wenn deine Daten in Europa gespeichert sind, können sie nun anderswo verarbeitet werden — automatisch und unter einer Rechtsordnung außerhalb der EU.

In der EU gehostet bedeutet nicht, in der EU verarbeitet

Microsoft macht deutlich, dass Daten bei der Übertragung und im Ruhezustand verschlüsselt(neues Fenster) bleiben. Das mag manche Kunden beruhigen. Wenn du aber unter Regelwerken wie der Datenschutz-Grundverordnung(neues Fenster) (GDPR), der Richtlinie über Netz- und Informationssicherheit (NIS2) oder dem Digital Operational Resilience Act (DORA) arbeitest, reicht es nicht aus, Daten im Speicher und bei der Übertragung zu schützen.

Bei der Verarbeitung (oder Inferenz) kann es zu einer Offenlegung kommen. Und bei Flex Routing kann sich dieser Punkt nun verlagern.

Damit ein KI-Modell eine Inferenz durchführen kann, müssen Daten für die Berechnung zugänglich gemacht werden. Deine Prompts, E-Mails, Dateien und Metadaten werden gesammelt und an das Modell gesendet. Mit Flex Routing kann dieses Paket außerhalb der EU verarbeitet werden.

Es ist wichtig, wo deine Daten verarbeitet werden — selbst wenn sie auf dem Hin- und Rückweg verschlüsselt sind.

Die Verantwortung für Compliance liegt bei dir

Microsofts Entscheidung, Flex Routing zur Standardfunktion zu machen, ist ein Warnsignal. Untersuchungen zeigen, dass die meisten Menschen sich nicht die Mühe machen, ihre Standardeinstellungen zu überprüfen oder zu aktualisieren. Wenn dem Unternehmen die Datensouveränität seiner europäischen Kunden wirklich wichtig wäre, hätte es Flex Routing nicht automatisch implementiert.

Außerdem macht es deiner Compliance-Abteilung klar, dass Anbieter plötzlich beschließen können, eine wichtige Richtlinie zu ändern. Du bist jetzt dafür verantwortlich, Aktualisierungen von Anbietern zu überwachen, ihre Auswirkungen zu bewerten und Einstellungen anzupassen, damit du konform bleibst. Das mag unfair erscheinen, wenn du einen US-amerikanischen Anbieter in der Annahme ausgewählt hast, dass deine Datensouveränität für ihn wichtig ist.

Was EU-Unternehmen jetzt tun können

  1. Deaktiviere Flex Routing. Wenn deine Richtlinien eine Verarbeitung nur in der EU verlangen, verlass dich nicht auf Standardeinstellungen.
    • Melde dich im Microsoft 365 Admin Center als Administrator an, dem die Rolle „KI-Administrator“(neues Fenster) zugewiesen ist.
    • Gehe zu Copilot -> Einstellungen -> Flexible Inferenz in Zeiten hoher Auslastung.
    • Wähle Flex Routing nicht zulassen aus
  2. Verstehe die grenzüberschreitenden Auswirkungen. Deine aktuelle Einrichtung erfüllt möglicherweise nicht deine geschäftlichen Anforderungen. Berücksichtige dabei Folgendes:
    • Verpflichtungen zur Datenübermittlung gemäß GDPR und branchenspezifischen Vorschriften
    • Interne Richtlinien zur Datenresidenz und vertragliche Verpflichtungen
    • Rechtlicher Zugriff und Aufsicht in Rechtsordnungen außerhalb der EU
  3. Prüfe KI-spezifische Datenflüsse genau. Die meisten Unternehmen wissen, wo Daten gespeichert sind. Weniger wissen, wo sie verarbeitet werden. Stell dir zunächst folgende Fragen:
    • Wo deine Daten verarbeitet werden
    • Ob es Gesetze gibt, die Drittanbieter zur Offenlegung von Daten zwingen können
    • Wer während der Verarbeitung auf Daten zugreifen kann und ob sich das ändern kann
  4. Wähle Anbieter, die transparent damit umgehen, wie sie deine Daten verarbeiten. Protons KI-Assistent(neues Fenster) verarbeitet Daten ausschließlich auf europäischen Servern und veröffentlicht eine detaillierte Beschreibung seines Sicherheitsmodells.

Flex Routing offenbart etwas Grundsätzlicheres über Data Governance

Wenn deine Anbieter in den USA ansässig sind, verlässt du dich auf Systeme, die für eine andere regulatorische Realität gebaut wurden — eine, die du nicht kontrollierst, für die du aber trotzdem geradestehen musst.

Software-Updates, Support, rechtliche Richtlinien und Preisentscheidungen werden im Silicon Valley oder in Seattle getroffen. Die Regeln, denen dein Anbieter folgt, werden in Washington festgelegt. Dein Unternehmen muss aber europäische Standards erfüllen.

Deshalb schauen sich immer mehr Unternehmen europäische Alternativen zu Big Tech(neues Fenster) an. Wenn deine Infrastruktur, Richtlinien und dein Rechtsrahmen auf die Region abgestimmt sind, in der du tätig bist, wird Datensouveränität durchsetzbar statt nur bedingt gegeben.