Was genau ist Microsoft 365 Copilot Flex Routing?

Flex Routing ist eine Funktion, die Microsoft am 17. April 2026 für EU/EFTA-Tenants aktiviert hat. Sobald Microsofts EU-Rechenzentren bei der LLM-Inferenz unter Last geraten, werden Copilot-Anfragen automatisch in die USA, nach Kanada oder Australien geroutet – inklusive Speicherung pseudonymisierter Telemetrie außerhalb der EU. Für Tenants, die nach dem 25. März 2026 angelegt wurden, ist die Funktion standardmäßig eingeschaltet.

Bricht Flex Routing die EU Data Boundary?

Aus Marketing-Sicht nicht – Microsoft argumentiert, dass nur Inferenz (also flüchtige Verarbeitung) und „limited pseudonymized data" außerhalb der EU laufen. Aus DSGVO-Sicht reicht das nicht. Sobald personenbezogene Daten in einem Prompt enthalten sind, findet eine Übermittlung in ein Drittland statt – und der CLOUD Act greift unabhängig vom Speicherort.

Was hat Anthropic damit zu tun?

Microsoft hat Anthropic am 7. Januar 2026 als Sub-Processor für Copilot in Word, Excel, PowerPoint und Researcher hinzugefügt. Anthropic-Modelle sind explizit aus der EU Data Boundary ausgenommen. Für EU/EFTA-Tenants ist der Schalter zwar standardmäßig aus – aber jeder Admin, der ihn anschaltet, exportiert ab diesem Moment Inhalte in die USA.

Welche Daten werden konkret außerhalb der EU verarbeitet?

Die rohen Prompt-Inhalte für die LLM-Inferenz (also alles, was Mitarbeiter in Copilot tippen oder als Datei-Kontext mitschicken), plus pseudonymisierte operative Telemetrie. „Pseudonymisiert" heißt im DSGVO-Sinn nicht „anonymisiert" – Re-Identifizierung ist möglich, also bleibt es personenbezogen.

KI & Compliance·May 20, 2026

Microsoft 365 Copilot Flex Routing – Wie die EU Data Boundary 2026 stillschweigend aufgeweicht wird

Seit April 2026 verlässt Copilot-AI-Inferenz die EU bei Lastspitzen – per Default. Plus Anthropic als Sub-Processor außerhalb der EU Data Boundary. Was deutsche KMU jetzt prüfen und abschalten müssen.

europioneer Team

Microsoft 365 Copilot Flex Routing – Wie die EU Data Boundary 2026 stillschweigend aufgeweicht wird

Am 17. April 2026 hat Microsoft eine Funktion namens Flex Routing für alle EU- und EFTA-Tenants aktiviert. Für neue Tenants, die nach dem 25. März 2026 angelegt wurden, ist sie standardmäßig eingeschaltet. Das Ergebnis – ohne Information an Endnutzer, ohne explizite Zustimmung der Auftragsverarbeiter: Copilot-Anfragen verlassen unter Last die EU.

Parallel dazu hat Microsoft bereits am 7. Januar 2026 den US-KI-Anbieter Anthropic als Sub-Processor für Copilot in Word, Excel, PowerPoint und im neuen Researcher aufgenommen – explizit außerhalb der „EU Data Boundary".

Für IT-Verantwortliche in deutschen KMU, Schulen und Behörden ist das kein Detail-Update, sondern eine strukturelle Verschiebung der vertraglichen Geschäftsgrundlage. Wir zeigen, was Flex Routing technisch wirklich tut, warum es DSGVO-, NIS2- und BSI-IT-Grundschutz-relevant ist, und welche Schritte heute zu erledigen sind.

Was Flex Routing technisch macht

Flex Routing ist Microsofts eigener Begriff für ein dynamisches Lastverteilungs-Verfahren: Sobald die EU-Inferenz-Kapazität in Microsofts Rechenzentren bei Copilot überlastet ist – Microsoft definiert „Last" nicht öffentlich –, werden Anfragen an LLM-Endpunkte in USA, Kanada oder Australien weitergeleitet.

Konkret betroffen:

Der rohe Prompt-Inhalt (alles, was ein Mitarbeiter in Copilot tippt, plus der Kontext aus geöffneten Dokumenten in Word, Excel, Outlook, Teams).
Pseudonymisierte Telemetrie (Modell-IDs, Tenant-IDs, Token-Metriken), die auch dauerhaft außerhalb der EU gespeichert werden darf.

Microsoft verspricht „Encryption in transit and at rest" – aber die Schlüsselhoheit liegt bei Microsoft. Diese Lücke haben wir im BSI-Grundschutz-Artikel bereits ausführlich für CON.1.A8 (Sichere Aufbewahrung der Krypto-Schlüssel) analysiert: BYOK ändert daran fundamental nichts.

Die rechtliche Bewertung – kurz und schmerzhaft

EU Data Boundary ist ein Marketing-Konstrukt von Microsoft, kein rechtlicher Status. Das war schon vor Flex Routing der Fall – wir hatten es im Kontext von Schrems III und dem CLOUD Act detailliert hergeleitet. Mit Flex Routing ist Microsofts eigene Definition jetzt allerdings selbst dokumentiert durchlöchert:

DSGVO Art. 44 ff. – Übermittlung in ein Drittland. Jede Prompt-Verarbeitung in den USA ist ein Transfer. Standardvertragsklauseln plus TIA (Transfer Impact Assessment) müssten greifen – und scheitern an Schrems II.
DSGVO Art. 28 Abs. 2 + Art. 30 – Sub-Processor-Wechsel. Microsoft hat Anthropic in die Verarbeitungskette aufgenommen, ohne einzelvertragliche Zustimmung. Die DPA-Klausel „general written authorization" deckt das nach Auffassung der meisten europäischen Aufsichtsbehörden nicht.
CLOUD Act §103(b) – US-Behördenzugriff. Alles, was in den USA verarbeitet wird, kann per Subpoena angefordert werden, unabhängig davon, ob die Daten ruhend in der EU liegen.
NIS2 Art. 21 Abs. 2 d) – Sicherheit der Lieferkette. Ein Anbieter, der einseitig Default-Settings ändert und Sub-Processor ergänzt, ist im NIS2-Sinn ein erhöhtes Risiko in der Lieferkette – siehe NIS2-DSGVO-Paradox.

Wer trägt die Verantwortung? (Hinweis: Sie.)

In Microsofts eigener Dokumentation zu Flex Routing steht: „Customers are responsible for ensuring compliance with applicable data protection laws." Übersetzt: Wenn Sie Flex Routing nicht abschalten und es kommt zu einer Beschwerde, ist der Verantwortliche im DSGVO-Sinn der Kunde, nicht Microsoft.

Das ist juristisch sauber für Microsoft – und ein Sprengsatz für jedes KMU mit Mitarbeiter- oder Kundendaten in Copilot-Reichweite.

Sofort-Maßnahmen für deutsche KMU, Schulen und Behörden

Pflichtprogramm in dieser Woche (Details als nummerierter HowTo in den Schritten 1–4 oben in diesem Beitrag):

Schritt 1: Flex Routing prüfen {#step-1}

Im Microsoft 365 Admin Center unter Settings → Org settings → Copilot den Eintrag „Flex routing for the EU Data Boundary" öffnen. Status notieren (On/Off) und Datum festhalten.

Schritt 2: Flex Routing deaktivieren {#step-2}

Schalter auf „Off" stellen und speichern. Die Änderung im Microsoft Purview Audit-Log dokumentieren.

Schritt 3: Anthropic-Sub-Processor-Schalter prüfen {#step-3}

Unter Copilot → AI models den Toggle „Allow Anthropic models" prüfen. Für EU/EFTA-Tenants steht er Default auf „Off" – schriftlich dokumentieren.

Schritt 4: DSGVO- und NIS2-Dokumentation aktualisieren {#step-4}

Verarbeitungsverzeichnis (Art. 30 DSGVO), Risikoregister (NIS2 Art. 21), TIA (Transfer Impact Assessment) und Datenschutzfolgenabschätzung mit dem Status „Flex Routing deaktiviert / Anthropic deaktiviert / Stand TT.MM.2026" ergänzen.

Wichtige Begriffe – kurz definiert

Flex Routing: Microsofts Lastausgleich, der Copilot-LLM-Inferenz aus der EU heraus in die USA, Kanada oder Australien verlagern darf.
EU Data Boundary: Selbstverpflichtung von Microsoft, bestimmte Daten in der EU zu halten. Kein rechtlicher Status, keine externe Zertifizierung, jederzeit durch Microsoft änderbar.
Sub-Processor: Auftragsverarbeiter, den der Hauptauftragsverarbeiter (Microsoft) einsetzt. Erfordert nach Art. 28 DSGVO Zustimmung des Verantwortlichen.
LLM-Inferenz: Der Berechnungsschritt, in dem ein Sprachmodell aus dem Prompt eine Antwort erzeugt. Dafür muss das gesamte Prompt-Material im RAM des Inferenz-Servers verfügbar sein.
Pseudonymisierung (Art. 4 Nr. 5 DSGVO): Verarbeitung personenbezogener Daten so, dass eine Zuordnung ohne Zusatzinformationen nicht mehr möglich ist. Nicht identisch mit Anonymisierung – die Daten bleiben personenbezogen.

Die strukturelle Alternative: KI-Souveränität ohne Routing-Roulette

Flex Routing ist kein Bug. Es ist eine vorhersehbare Konsequenz des Geschäftsmodells „Hyperscaler hält Schlüssel, Routing-Logik und Sub-Processor-Hoheit in einer Hand". Wer das nicht mehr akzeptieren will, hat 2026 eine reife Alternative:

Eigenes LLM-Hosting auf EU-Hardware (vLLM, Ollama, Llama-cpp auf Hetzner / IONOS / OVH-Servern), Modelle aus dem Hugging-Face-Hub, kontrollierte Sub-Processor-Liste (= keine).
Open-Source-Alternativen zum Microsoft-Stack drumherum: Element/Matrix statt Teams, Nextcloud statt OneDrive/SharePoint, Keycloak statt Entra ID, Mailcow/Stalwart statt Exchange Online.
Datenschutz-by-Design: Der Prompt verlässt die eigene Infrastruktur nicht. Kein Routing in die USA möglich – physikalisch nicht, nicht „vertraglich versprochen".
Auditierbar: Eigene Logs, eigene Schlüssel, eigene Sub-Processor-Entscheidung.

Eine Übersicht über souveräne KI- und Office-Tools finden Sie unter /alternativen. Den passenden Service-Stack inklusive Implementierung beschreibt unsere Preisseite.

Fazit

Microsoft hat innerhalb von vier Monaten zwei strukturelle Änderungen an der Copilot-Verarbeitung durchgeführt – beide schwächen die EU Data Boundary, beide wurden einseitig und standardmäßig aktiv geschaltet. Das Argument „aber wir haben doch ein C5-Testat / die EU Data Boundary / einen DPA-Anhang" trägt 2026 nicht mehr.

Wer NIS2-pflichtig ist, wer DSGVO-konform arbeiten will oder wer einfach nicht jeden Quartalswechsel eine neue Admin-Center-Sicherheitsprüfung fahren will, sollte Flex Routing heute abschalten – und parallel den Exit-Pfad aus Copilot konkret planen. Wir helfen dabei.

Copilot-Risikobewertung anfragen →

Verwandte Beiträge:

BSI IT-Grundschutz und Microsoft 365 – Warum die Kombination unmöglich konform sein kann

Das BSI verlangt im IT-Grundschutz-Kompendium nachweisbare Kontrolle über Schlüssel, Standort und Audit. Microsoft 365 erfüllt keinen einzigen kritischen Baustein vollständig. Die Bausteine OPS.2.2, APP.5.2 und CON.3 zeigen warum – inklusive Migrationspfad.

Nextcloud für KMU – Die sichere Alternative zu OneDrive und SharePoint

Nextcloud bietet alles, was KMU für Dateiverwaltung, Teamkollaboration und Kommunikation brauchen – auf eigenen Servern, DSGVO-konform.