Microsoft hat mit „Flex Routing“ eine neue Funktion für Microsoft 365 Copilot eingeführt. Was zunächst nach einer technischen Optimierung klingt, wirft datenschutzrechtlich Bedenken auf. Denn Microsoft 365 Copilot kann dadurch KI-Anfragen bei Lastspitzen außerhalb der EU verarbeiten.
Was Flex Routing technisch bedeutet, welche DSGVO- und Compliance-Risiken entstehen und wie Administratoren reagieren sollten.
Bei hoher Auslastung europäischer KI-Ressourcen können Copilot-Anfragen außerhalb der EU verarbeitet werden.
Das Flex Routing betrifft den Datenverarbeitungsschritt beim sogenannten Inferencing. Das ist der Verarbeitungsschritt, bei dem das KI-Modell aus Prompt und Kontext eine Antwort erzeugt.
Ist Flex Routing aktiv, kann Microsoft diesen Verarbeitungsschritt bei Lastspitzen außerhalb der EU Data Boundary durchführen – etwa in Rechenzentren in den USA, Kanada oder Australien. Die dauerhafte Speicherung soll laut Microsoft weiterhin innerhalb der EU erfolgen. Datenschutzrechtlich ist jedoch nicht nur die Speicherung relevant, sondern auch die Verarbeitung.
Eine typische Copilot-Anfrage läuft vereinfacht in mehreren Schritten ab:
Flex Routing betrifft Schritt 4: das Inferencing. Microsoft definiert Inferencing als den Schritt, in dem das KI-Modell den Prompt ausführt, um eine Ausgabe oder Antwort zu erzeugen.
Hier kommt Flex Routing ins Spiel: Bei Kapazitätsengpässen kann dieser Schritt außerhalb der EU stattfinden.
Zum Zeitpunkt von Schritt 4 – dem Inferencing – ist die KI-Anfrage bereits vollständig zusammengestellt. Demnach kann alles, was in Copilot zusammengeführt wurde (Infos aus der Eingabe, relevante E-Mails, Dokumente, Kalendereinträge, etc.) bereits in diesem Moment die EU verlassen.
Zwar gibt Microsoft an, dass die Daten verschlüsselt übertragen und gespeichert werden, ruhende Daten innerhalb der EU Data Boundary (EU-Datengrenze zur Speicherung und Verarbeitung von Daten innerhalb der EU) verbleiben und die Verarbeitung außerhalb der EU nur temporär erfolgt.
Was Microsoft in dem Fall jedoch nicht zusichert ist, dass während dieser Verarbeitung keine personenbezogenen Daten die EU verlassen. Das ist aber die entscheidende Frage hinsichtlich strenger Datenschutzrichtlinien: Denn insofern Flex Routing aktiv war und diese Entscheidung nicht dokumentiert wurde, kann nicht belegt werden dass keine Verarbeitung außerhalb der EU stattgefunden hat.
Wer Flex Routing aktiviert lässt, akzeptiert, dass das Inferencing bei hoher Auslastung außerhalb der EU erfolgen kann.
Doch sobald, wie oben erörtert, personenbezogene oder vertrauliche Daten außerhalb der EU verarbeitet werden, entstehen datenschutzrechtliche Fragen zu DSGVO, Drittlandübermittlung, Vertragslage und Nachweispflichten. Besonders kritisch ist das für Unternehmen mit hohen Anforderungen an Datenschutz und Informationssicherheit, Geheimhaltung oder branchenspezifische Compliance.
Demnach ist die aktive Nutzung von Microsoft Copilot Flex Routing nur vertretbar, wenn daraus keine bindenden Anforderungen aus DSGVO, NIS2, DORA oder internen Compliance-Vorgaben verletzt werden – und diese Bewertung nachvollziehbar dokumentiert ist.
Flex Routing kann je nach Tenant-Konstellation standardmäßig aktiv sein oder durch Microsoft ausgerollt worden sein. Deshalb reicht es nicht, auf bestehende Microsoft-365-Einstellungen zu vertrauen. Unternehmen und deren IT-Admins müssen den Status aktiv prüfen.
Was es beim Einsatz von Microsoft Copilot Flex Routing zu beachten und zu prüfen gilt:
Die wichtigste Maßnahme ist die Tenant-Prüfung im Microsoft 365 Admin Center:
Copilot → Settings → View all → Flex routing during peak load periods
Dort sollte geprüft werden, ob Flex Routing erlaubt ist. Wenn eine Verarbeitung außerhalb der EU ausgeschlossen werden soll, muss die Option entsprechend deaktiviert werden.
Zusätzlich sollten Unternehmen auch das Power Platform Admin Center kontrollieren, da Copilot-Funktionen in Dynamics 365, Power Platform und Copilot Studio separat betroffen sein können.
Bitte beachten Sie:
Änderungen können bis zu sieben Tage benötigen.
Man sollte generell den Einsatz für das Unternehmen kritisch hinterfragen:
Denn Flex Routing von Microsoft Copilot ist eine strategische Entscheidung mit technischen, organisatorischen und rechtlichen Auswirkungen. Es zeigt einen zentralen Zielkonflikt beim Einsatz moderner KI-Systeme: höhere Performance und bessere Verfügbarkeit stehen einer konsequenten Datenresidenz – nach entsprechender Prüfung der Vorgaben – innerhalb der EU gegenüber.
Alle wichtigen Fakten zu Microsoft Copilot Flex Routing im Überblick:
Microsoft Copilot Flex Routing ist eine Funktion, mit der das Inferencing von Microsoft 365 Copilot bei hoher Auslastung außerhalb der EU Data Boundary ausgeführt werden kann. Microsoft nennt dafür die USA, Kanada und Australien als mögliche Regionen.
Ja, bei aktiviertem Flex Routing kann die KI-Verarbeitung außerhalb der EU Data Boundary stattfinden. Microsoft gibt an, dass Daten verschlüsselt übertragen werden und ruhende Daten grundsätzlich innerhalb der EU Data Boundary verbleiben. Die Verarbeitung selbst kann aber außerhalb der EU erfolgen, was datenschutzrechtliche Fragen aufwirft.
Laut Microsoft ist Flex Routing standardmäßig aktiviert, wenn Tenants nach dem 25. März 2026 erstellt wurden. Für bestehende Tenants wurde Flex Routing am 17. April 2026 freigeschaltet - hier gibt es widersprüchliche Angaben, ob es als Opt-In oder Opt-Out implementiert wurde. Daher wird in jedem Fall eine aktive Prüfung empfohlen.
Die Einstellung befindet sich im Microsoft 365 Admin Center unter Copilot → Settings → View all → Flex routing during peak load periods. Dort kann „Do not allow flex routing“ gewählt werden, wenn Inferencing innerhalb der EU Data Boundary bleiben soll.
Weil personenbezogene Daten bei aktiviertem Flex Routing außerhalb der EU verarbeitet werden können, sollten Sie sich datenschutzrechtlich absichern und den Einsatz von Copilot Flex Routing prüfen und ggf. dokumentieren.
Ja, Microsoft unterscheidet zwischen dem Microsoft 365 Admin Center für Microsoft 365 Copilot und Copilot Chat sowie dem Power Platform Admin Center für Copilot-Erlebnisse in Dynamics 365, Power Platform und Copilot Studio.
Die EU Data Boundary ist die "EU-Datengrenze", die die Speicherung und Verarbeitung von Daten in der EU stärken soll. Diese ist hinsichtlich Datenschutz für viele Unternehmen die zentrale Grundlage, um den Einsatz von beispielsweise Microsoft 365 Copilot gegenüber Datenschutzbeauftragten, Betriebsrat und Auditoren zu begründen. Flex Routing durchbricht diese Grundlage bewusst, da bei Kapazitätsengpässen das LLM-Inferencing außerhalb der EU erfolgen kann, was dieser Datengrenze widerspricht.
Für Unternehmen, die Microsoft 365 Copilot einsetzen, ist das Flex Routing ein relevantes Risiko.
Copilot Flex Routing ist keine harmlose Performance-Funktion. Die Option kann dazu führen, dass Copilot-Anfragen außerhalb der EU verarbeitet werden. Für Unternehmen ist das ein sensibles Compliance- und Datenschutzthema, das aktiv bewertet werden muss.
Wer Microsoft 365 Copilot einsetzt, sollte Flex Routing demnach nicht ungeprüft aktiviert lassen. Bei Fragen dazu können Sie uns jederzeit kontaktieren.
Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig aktuelle Updates aus der IT-Welt.
