Microsoft hat im April 2026 eine neue Funktion für Microsoft 365 Copilot eingeführt: „Flex Routing“. Der Name klingt harmlos. Die datenschutzrechtlichen Folgen sind es nicht.
Was ist Flex Routing?
Flex Routing ermöglicht es Microsoft, KI-Anfragen über Copilot bei Kapazitätsengpässen in europäischen Rechenzentren an Rechenzentren in den USA, Kanada oder Australien weiterzuleiten. Betroffen ist das sogenannte LLM-Inferencing – also der Schritt, in dem das Sprachmodell Ihre Eingaben tatsächlich verarbeitet. Zu diesem Zeitpunkt sind Ihre Daten – E-Mails, Dateien, Metadaten, Prompts – bereits zusammengestellt und werden als Paket an das Modell übergeben. Flex Routing bedeutet: Dieses Paket kann die EU verlassen.
Microsoft stellt heraus, dass die Daten bei der Übertragung verschlüsselt seien und weiterhin innerhalb der EU gespeichert würden (s. Microsoft Message-Center-Beitrag MC1269223). Das ändert aber nichts daran, dass die Verarbeitung außerhalb der EU stattfindet. Und genau darauf kommt es an.
Das datenschutzrechtliche Problem
Die Verarbeitung personenbezogener Daten in einem Drittland ist eine Datenübermittlung im Sinne der Art. 44 ff. DSGVO. Dafür bedarf es einer Rechtsgrundlage – etwa eines Angemessenheitsbeschlusses (Art. 45 DSGVO), geeigneter Garantien wie Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) oder eines Transfer Impact Assessments. Das gilt auch dann, wenn die Daten nur zur Verarbeitung übermittelt und anschließend wieder in der EU gespeichert werden.
Wird das schon gemacht? Ich weiß von nichts?
Ja, jedenfalls, wenn Ihr Tenant nach dem 25. März 2026 erstellt wurde, ist Flex Routing standardmäßig aktiviert (s. Microsoft Message-Center-Beitrag MC1269223).
Für bestehende Tenants wurde die Funktion am 17. April 2026 freigeschaltet. Es ist unklar, ob die Option als Opt-in oder als Opt-out ausgestaltet ist. Die Informationen in den Microsoft Message Center-Beiträgen (MC1269219 und MC1269223) sind insoweit widersprüchlich.
Unsere Empfehlung ist daher, aktiv zu prüfen, ob die Funktion in Ihrem Tenant aktiviert ist, um keine unbemerkte Drittlandübermittlung zu riskieren.
NIS2
Wer von NIS2 betroffen ist, muss Risiken in der Lieferkette beherrschen – einschließlich der Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen.
Eine stillschweigende Änderung des Verarbeitungsortes (soweit die Änderung als Opt-Out ausgestaltet ist) durch einen wesentlichen IT-Dienstleister ist ein Drittparteirisiko, das im Lieferantenmanagement dokumentiert werden muss.
Was ist zu tun?
- Prüfen Sie, ob Flex Routing in Ihrem Tenant aktiviert ist. Öffnen Sie dazu das Microsoft 365 Admin Center und navigieren Sie zu Copilot > Settings > Flexible inferencing during peak load periods. Wählen Sie „Do not allow flex routing", wenn Sie eine Verarbeitung außerhalb der EU ausschließen wollen.
- Sollten Sie Flex Routing bewusst aktiviert lassen wollen, stellen Sie sicher, dass für die betroffenen Drittländer (USA, Kanada, Australien) geeignete Transfermechanismen bestehen. Für die USA kommt derzeit das EU-U.S. Data Privacy Framework in Betracht (Art. 45 DSGVO) – sofern Microsoft auf der Data Privacy Framework-Liste steht und die Übermittlung in dessen Anwendungsbereich fällt. Für Kanada und Australien wären Standardvertragsklauseln oder andere geeignete Garantien erforderlich.
- Dokumentieren Sie Ihre Entscheidung. Die Konfiguration von Flex Routing gehört in Ihr Verzeichnis der Verarbeitungstätigkeiten und ggf. in Ihre Datenschutz-Folgenabschätzung für den Einsatz von Microsoft 365 Copilot.
Wichtig
: Behalten Sie Produktänderungen von Cloud-Diensten im Auge und prüfen Sie sie auf datenschutzrechtliche Auswirkungen. Das Microsoft Message Center ist kein reiner IT-Betriebskanal – sondern ein Compliance-Kanal.
Melden Sie sich bei Fragen gerne bei uns. Wir helfen Ihnen, Ihren Microsoft Tenant datenschutzkonform zu betreiben und zu bewerten, auch was Löschfristen, Zugriffsrechte, Audits, Datenschutzverträge usw. betrifft. Innerhalb und außerhalb der EU.
Keine Kommentare