Microsoft hat still und leise eine Änderung eingeführt, die für europäische Unternehmen weitreichende Konsequenzen haben kann: Seit März 2026 ist die neue Funktion „Flex Routing" für alle neuen Microsoft 365 Mandanten standardmäßig aktiviert. Das bedeutet, dass KI-Anfragen über Microsoft 365 Copilot nicht mehr zwingend in europäischen Rechenzentren verarbeitet werden, sondern auch in die USA, Kanada oder Australien weitergeleitet werden können.
Was ist Flex Routing?
Flex Routing ist Microsofts Antwort auf Kapazitätsengpässe bei der KI-Verarbeitung. Wenn die europäischen Rechenzentren unter hoher Last stehen, werden Copilot-Anfragen automatisch an Rechenzentren in anderen Regionen weitergeleitet. Microsoft argumentiert, dass dies die Performance und Verfügbarkeit verbessert.
Das Problem: Für neue Mandanten seit März 2026 ist diese Funktion standardmäßig aktiviert – ohne aktive Zustimmung des Administrators. Wer nichts unternimmt, sendet möglicherweise sensible Unternehmensdaten über den Atlantik.
Warum ist das ein Problem für die DSGVO-Compliance?
Die Datenschutz-Grundverordnung (DSGVO) stellt strenge Anforderungen an die Übermittlung personenbezogener Daten in Drittländer. Auch wenn Microsoft betont, dass die EU Data Boundary grundsätzlich eingehalten wird, gibt es kritische Punkte:
1. Anthropic-Modelle außerhalb der EU Data Boundary
Besonders brisant: Microsoft nutzt seit Januar 2026 Anthropic als Subprozessor für Microsoft 365 Copilot. In der offiziellen Microsoft-Dokumentation heißt es wörtlich:
„Anthropic models are out of scope for the EU Data Boundary and when available, in-country LLM processing commitments."
Das bedeutet: Wenn Copilot Anthropic-Modelle (Claude) für die Verarbeitung nutzt, verlassen Ihre Daten in jedem Fall die EU – unabhängig von Ihren Flex-Routing-Einstellungen.
2. Keine echte Datensouveränität
Microsofts eigene Dokumentation gibt zu: „Microsoft 365 Copilot calls to the LLM are routed to the closest data centers in the region, but also can call into other regions where capacity is available during high utilization periods." Das ist eine Opt-out-Lösung, keine Opt-in-Lösung – und damit genau das Gegenteil von dem, was die DSGVO fordert.
3. Drittland-Transfers ohne ausreichende Rechtsgrundlage?
Nach dem Schrems-II-Urteil des EuGH ist die Übermittlung personenbezogener Daten in die USA nur unter strengen Auflagen möglich. Das EU-US Data Privacy Framework bietet zwar eine Grundlage, aber die Kombination aus automatischem Routing und fehlender Kontrolle über den genauen Verarbeitungsort macht es für Unternehmen schwer, ihre Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen.
Was Sie sofort tun sollten: Flex Routing deaktivieren
Wenn Sie Microsoft 365 Copilot nutzen, sollten Sie umgehend prüfen, ob Flex Routing in Ihrem Mandanten aktiviert ist, und es gegebenenfalls deaktivieren:
- Melden Sie sich im Microsoft 365 Admin Center an (admin.microsoft.com)
- Navigieren Sie zu Einstellungen → Organisationsprofil → Datenspeicherort
- Prüfen Sie die Einstellung für Copilot-Datenverarbeitung
- Stellen Sie sicher, dass die Verarbeitung auf EU-Region beschränkt ist
- Dokumentieren Sie diese Einstellung für Ihre DSGVO-Compliance-Unterlagen
Für bestehende Mandanten, die vor März 2026 erstellt wurden, ist Flex Routing laut Microsoft nicht automatisch aktiviert. Dennoch empfehlen wir, die Einstellungen proaktiv zu überprüfen.
Das eigentliche Problem: Vendor Lock-in und fehlende Kontrolle
Flex Routing ist nur das jüngste Beispiel für ein grundsätzliches Problem: Wenn Sie auf SaaS-basierte KI-Lösungen wie Microsoft Copilot setzen, geben Sie die Kontrolle über die Datenverarbeitung weitgehend ab. Microsoft entscheidet:
- Welche KI-Modelle verwendet werden (inkl. Anthropic als Subprozessor)
- Wo die Verarbeitung stattfindet (mit Flex Routing potenziell weltweit)
- Wann sich die Bedingungen ändern (wie bei der stillschweigenden Aktivierung von Flex Routing)
Dazu kommen erhebliche Lizenzkosten: Microsoft 365 Copilot kostet 30 USD pro Nutzer und Monat – zusätzlich zur bestehenden Microsoft 365 Lizenz. Bei 100 Mitarbeitern sind das 36.000 USD pro Jahr, bei 500 Mitarbeitern bereits 180.000 USD.
Die Alternative: CompanyGPT – Volle Kontrolle in Ihrer eigenen Azure-Umgebung
Wenn Sie KI-Funktionalität wie Copilot nutzen möchten, aber die volle Kontrolle über Ihre Daten behalten wollen, ist CompanyGPT die konsequente Alternative.
Was ist CompanyGPT?
CompanyGPT ist eine Open-Source-basierte Enterprise-KI-Plattform, die Sie in Ihrer eigenen Azure- oder STACKIT-Cloud betreiben. Sie erhalten damit eine leistungsfähige KI-Chat-Lösung, die:
- Ausschließlich in der EU läuft – in Ihrem eigenen Azure-Tenant
- Keine Daten an Dritte weitergibt – kein Subprozessor-Risiko
- Alle gängigen KI-Modelle unterstützt (GPT-4o, Claude, Gemini, Llama, Mistral)
- Keine Pro-User-Lizenzkosten verursacht – Sie zahlen nur Infrastruktur und Token-Verbrauch
- Eigene KI-Agenten und Promptkataloge ermöglicht
- Confluence-, SharePoint- und weitere Integrationen bietet
Kostenvergleich: Copilot vs. CompanyGPT
| Microsoft 365 Copilot | CompanyGPT | |
|---|---|---|
| Kosten/Nutzer/Monat | ~30 USD + M365 Lizenz | Nur Infrastruktur + Tokens |
| 100 Nutzer/Jahr | ~36.000 USD | ~6.000–12.000 USD |
| 500 Nutzer/Jahr | ~180.000 USD | ~12.000–24.000 USD |
| Datenverarbeitung | EU + Flex Routing | Garantiert nur EU |
| Subprozessoren | Microsoft, Anthropic, etc. | Keine externen |
| Modellauswahl | Microsoft-gesteuert | Frei wählbar |
| Eigene Agenten | Eingeschränkt | Vollständig |
Warum sich der Wechsel lohnt
Mit CompanyGPT sparen Unternehmen nicht nur erhebliche Lizenzkosten, sondern gewinnen vor allem eines zurück: die vollständige Kontrolle über ihre Daten. Kein Flex Routing, keine externen Subprozessoren, keine überraschenden Änderungen der Nutzungsbedingungen.
Fazit: Handeln Sie jetzt
Die Aktivierung von Flex Routing durch Microsoft zeigt einmal mehr, dass Cloud-Anbieter ihre eigenen Interessen (Kapazitätsmanagement, Kostenoptimierung) über die Datenschutzinteressen ihrer Kunden stellen. Für europäische Unternehmen gibt es zwei unmittelbare Handlungsempfehlungen:
Kurzfristig: Prüfen und deaktivieren Sie Flex Routing in Ihrem Microsoft 365 Admin Center. Dokumentieren Sie die Einstellung und informieren Sie Ihren Datenschutzbeauftragten.
Mittelfristig: Evaluieren Sie datensouveräne Alternativen wie CompanyGPT, die Ihnen volle Kontrolle über die Datenverarbeitung geben und dabei deutlich kostengünstiger sind.
Die DSGVO-Compliance Ihrer KI-Nutzung sollte nicht von den Kapazitätsplanungen eines US-amerikanischen Technologiekonzerns abhängen.
Sie möchten mehr über CompanyGPT erfahren oder Ihre aktuelle Copilot-Konfiguration prüfen lassen? Kontaktieren Sie uns für eine unverbindliche Beratung. Als KI-Compliance-Experten unterstützen wir Sie bei der Bewertung Ihrer aktuellen Situation und zeigen Ihnen den Weg zu einer datensouveränen KI-Strategie.
Quellen und weiterführende Links
- Microsoft Learn: Data, Privacy, and Security for Microsoft 365 Copilot
- Microsoft Learn: Data Residency for Microsoft 365 Copilot
- The Decoder / KI PRO: Microsoft aktiviert Copilot-Datenverarbeitung außerhalb der EU standardmäßig
- EU Data Boundary for the Microsoft Cloud
- CompanyGPT – DSGVO-konforme KI-Plattform