Microsoft Flex Routing: Was EU-Unternehmen wissen müssen
Microsoft leitet die Copilot-KI-Verarbeitung bei hoher Nachfrage nun außerhalb der EU — standardmäßig aktiviert, ohne erforderliche Zustimmung. Hier erfahren Sie, was sich geändert hat und was Sie tun können.
Zuletzt aktualisiert: April 2026
Die Kurzfassung
- → Seit dem 17. April 2026 leitet Microsoft die Copilot-KI-Verarbeitung an Rechenzentren in den USA, Kanada oder Australien weiter, wenn die EU-Kapazitäten erschöpft sind. Dies wird als Flex Routing bezeichnet und ist standardmäßig für alle EU/EFTA-Tenants aktiviert.
- → Ihre Dateien und E-Mails bleiben in der EU gespeichert. Aber wenn Copilot sie verarbeitet, kann der gesamte Kontext — Ihre Dokumente, E-Mails und Metadaten — zur KI-Inferenz außerhalb der EU gesendet werden.
- Fazit: „In der EU gespeichert“ bedeutet nicht mehr automatisch „in der EU verarbeitet“. Wenn Ihr Unternehmen der DSGVO, NIS2 oder DORA unterliegt, prüfen Sie noch heute Ihre Copilot-Einstellungen.
Was ist Microsoft Flex Routing?
Flex Routing ist eine Funktion von Microsoft 365 Copilot, die es ermöglicht, dass die KI-Inferenz — die eigentliche Berechnung, bei der ein Large Language Model Ihren Prompt verarbeitet und eine Antwort generiert — in Zeiten hoher Nachfrage außerhalb der EU-Datengrenze erfolgt. Microsoft hat die offizielle Dokumentation dazu am 3. April 2026 veröffentlicht (Message Center Post MC1269223).
Wenn ein Benutzer einen Copilot-Prompt sendet, bündelt die Microsoft-Pipeline den Prompt mit relevantem Kontext: E-Mails, SharePoint-Dateien, Kalenderdaten und Systemanweisungen. Dieses Bündel wird zur Inferenz an einen GPU-Cluster gesendet. Normalerweise werden EU-Tenants auf in der EU ansässigen GPUs verarbeitet. Bei aktiviertem Flex Routing kann dieses Bündel — einschließlich der Daten Ihres Unternehmens — an Rechenzentren in den USA, Kanada oder Australien weitergeleitet werden, wenn die EU-GPU-Kapazität gesättigt ist.
Daten im Ruhezustand (Data at Rest) — also Ihre Dateien, E-Mails und SharePoint-Inhalte — bleiben innerhalb der EU-Datengrenze gespeichert. Was die EU verlässt, ist die Inferenzberechnung selbst sowie das, was Microsoft als „begrenzte pseudonymisierte Daten“ für Sicherheits- und Betriebszwecke beschreibt.
| Datum | Ereignis |
|---|---|
| 25. März 2026 | Flex Routing standardmäßig für alle neuen EU/EFTA-Tenants aktiviert |
| 3. April 2026 | Microsoft veröffentlicht offizielle Dokumentation und Message Center Post MC1269223 |
| 7. April 2026 | Sicherheitsforscher und IT-Experten schlagen Alarm |
| 17. April 2026 | Flex Routing geht live und ist standardmäßig für alle bestehenden EU/EFTA-Tenants AKTIVIERT |
Warum dies für EU-Organisationen wichtig ist
Jahrelang konnten EU-Organisationen davon ausgehen, dass Microsofts Standardeinstellungen konservativ waren — dass Funktionen mit Auswirkungen auf die Datenresidenz als Opt-in eingeführt würden. Flex Routing bricht mit dieser Annahme. Es ist Opt-out, nicht Opt-in, und es wurde ohne explizite Zustimmung der Tenant-Administratoren aktiviert.
Die Unterscheidung zwischen „in der EU gespeichert“ und „in der EU verarbeitet“ ist das Kernproblem. Artikel 44 DSGVO beschränkt die Übermittlung personenbezogener Daten in Drittländer. Wenn Copilot die E-Mails, Dokumente und Metadaten Ihres Unternehmens in einen RAG-Kontext bündelt und zur Inferenz an ein US-Rechenzentrum sendet, handelt es sich um eine Datenübermittlung — unabhängig davon, wo die Dateien gespeichert sind. Organisationen, die NIS2 (kritische Infrastruktur) oder DORA (Finanzsektor) unterliegen, sind zusätzlichen regulatorischen Risiken ausgesetzt.
Auch der Opt-out-Mechanismus selbst wirft Fragen auf. Administratoren hatten bis zum 17. April Zeit, Flex Routing zu deaktivieren — ein Zeitfenster von nur drei Wochen nach Veröffentlichung der offiziellen Dokumentation. Die Änderung der Einstellung benötigt etwa eine Woche, um im gesamten Tenant wirksam zu werden. Organisationen, die die Ankündigung verpasst haben, lassen ihre Copilot-Daten bereits außerhalb der EU verarbeiten.
Was Ihr Admin jetzt tun muss
Öffnen Sie das Microsoft 365 Admin Center. Navigieren Sie zu Copilot und dann zu Einstellungen. Suchen Sie nach „Flexible Inferenz während Spitzenlastzeiten“. Wenn dort steht „Flex Routing während Spitzenlastzeiten zulassen“, können die Copilot-Daten Ihres Unternehmens außerhalb der EU verarbeitet werden. Wählen Sie „Flex Routing nicht zulassen“, um es zu deaktivieren.
Die Änderung der Einstellung dauert etwa eine Woche, bis sie in Ihrem Tenant wirksam wird. Flex Routing betrifft Microsoft 365 Copilot, Copilot Chat, Dynamics 365 Copilot, Power Platform Copilot und Copilot Studio. Alle diese Produkte leiten die KI-Inferenz außerhalb der EU, wenn der Schalter aktiviert ist.
Eine Ausnahme: Multi-Geo-Kunden haben separate Kontrollen für die Datenresidenz und sind von der Standardeinstellung für Flex Routing nicht betroffen. Wenn Ihr Unternehmen Multi-Geo nutzt, hat Ihre bestehende Konfiguration Vorrang.
Microsoft 365 vs. Veluvanto: Datensouveränität im Vergleich
Flex Routing wirft eine grundlegende Frage auf: Wo werden Ihre Dokumente tatsächlich verarbeitet und wer entscheidet darüber? Hier ist ein direkter Vergleich, wie Microsoft 365 und Veluvanto mit Datensouveränität umgehen.
| Aspekt | Microsoft 365 | Veluvanto |
|---|---|---|
| Speicherort der Daten | EU-Datengrenze (mit Ausnahmen) | Nur EU — Amsterdam (NL) und Frankfurt (DE) |
| KI-Verarbeitungsort | Standardmäßig EU, bei Spitzenlast US/CA/AU | Nur EU — Google Vertex AI (europe-west) |
| Standard-Datenrouting | Flex Routing standardmäßig AN seit April 2026 | Kein grenzüberschreitendes Routing, keine Überraschungen |
| Verschlüsselungsmodell | Von Microsoft verwaltete Schlüssel | SSE-C (AES-256) Verschlüsselung im Ruhezustand |
| KI-Training mit Ihren Daten | Microsoft gibt an, kein Training durchzuführen, aber Daten verlassen die EU | Niemals. Kein KI-Training mit Kundendaten. |
| Admin-Kontrolle | Schalter auf Tenant-Ebene, ~1 Woche Verzögerung | Kontrolle pro Workspace, sofortige Wirkung |
| Datenportabilität | Export über Admin-Tools, komplexer Prozess | Vollständiger Export jederzeit — Ihre Dokumente, Ihre Daten |
| Preistransparenz | Microsoft 365 + Copilot Add-on (30 $/Nutzer/Monat) | Ab 9 €/Monat zzgl. MwSt., alle Funktionen inklusive |
Wie Veluvanto die Dokumentenverarbeitung handhabt
Veluvanto ist ein KI-gestütztes Dokumentenmanagementsystem, das nach einer einfachen Regel entwickelt wurde: Ihre Daten bleiben in der EU. Es gibt keine versteckten Routing-Standards, keine Ausnahmen bei Spitzenlast und kein Kleingedrucktes darüber, wo die KI-Verarbeitung stattfindet.
Alle Daten werden in EU-Rechenzentren gespeichert: Backblaze B2 in Amsterdam und Wasabi in Frankfurt. Die KI-Verarbeitung erfolgt über Google Vertex AI in der Region europe-west — innerhalb der EU, ohne grenzüberschreitendes Routing.
Jede Einstellung ist explizit. Es gibt keinen in einer Admin-Konsole vergrabenen Schalter, der Ihre Daten heimlich nach Übersee sendet. Was Sie konfigurieren, passiert auch — ohne Überraschungen, ohne Ausnahmen bei hoher Nachfrage. Jede Datei ist im Ruhezustand mit SSE-C (AES-256) verschlüsselt.
- ✓Alle Daten in der EU gespeichert — Rechenzentren in Amsterdam und Frankfurt
- ✓Gesamte KI-Verarbeitung in der EU — niemals grenzüberschreitendes Routing
- ✓SSE-C (AES-256) Verschlüsselung im Ruhezustand
- ✓Kein KI-Training mit Ihren Dokumenten
- ✓Vollständiger Datenexport — Ihre Dokumente sind immer portabel
- ✓Keine überraschenden Standardeinstellungen — what you see is what you get
Ähnliche Leitfäden
Cloud-Dokumentenmanagement
In der EU gehostete Alternativen, die Ihre Daten nicht durch die USA leiten
GDPR-Dokumentenmanagement
Was die GDPR tatsächlich für die Speicherung und Verarbeitung von Dokumenten vorschreibt
EU AI Act & Dokumentenmanagement
Was der EU AI Act für Ihr DMS mit AI bedeutet \u2014 Compliance-Leitfaden Funktion für Funktion