Microsoft erweitert die Möglichkeiten von Microsoft 365 Copilot kontinuierlich. Gleichzeitig entstehen dadurch neue Fragen rund um Datenschutz, Compliance und die technische Verarbeitung von Unternehmensdaten.
Ein Thema, das aktuell viele IT-Abteilungen und Datenschutzverantwortliche beschäftigt, ist das sogenannte Microsoft 365 Copilot Flex Routing. Dabei geht es um die Frage, ob bestimmte KI-Verarbeitungsschritte ausschließlich innerhalb der EU stattfinden – oder unter bestimmten Bedingungen auch außerhalb der europäischen Datenregionen erfolgen dürfen.
Besonders relevant: Die entsprechende Einstellung ist inzwischen im Microsoft 365 Admin Center sichtbar und kann aktiv verwaltet werden.
Dieser Artikel beleuchtet, was Microsoft offiziell dazu schreibt, was die Funktion technisch bedeutet und warum Unternehmen die Konfiguration ihres Tenants bewusst prüfen sollten.
Inhalt des Artikels
Was ist „Flex Routing“ bei Microsoft 365 Copilot?
Microsoft beschreibt Flex Routing als eine Funktion für berechtigte EU- und EFTA-Mandanten, mit der die Verarbeitung von KI-Anfragen bei hoher Auslastung flexibler verteilt werden kann.
Konkret betrifft dies die sogenannte LLM-Inferenz – also den Verarbeitungsschritt, bei dem das KI-Modell aus einer Eingabe eine Antwort generiert.
Laut Microsoft kann diese Inferenz bei aktivierter Funktion während Spitzenlastzeiten außerhalb der EU Data Boundary erfolgen, um Leistung und Verfügbarkeit von Copilot stabil zu halten.
Welche Regionen können betroffen sein?
Nach Angaben von Microsoft kann die Verarbeitung bei aktiviertem Flex Routing temporär in Rechenzentren außerhalb der EU erfolgen.
Als mögliche Regionen nennt Microsoft unter anderem:
- USA
- Kanada
- Australien
Wichtig ist dabei die sachliche Einordnung: Microsoft beschreibt dies nicht als dauerhafte Auslagerung sämtlicher Kundendaten, sondern als Verarbeitungsschritt innerhalb der KI-Antwortgenerierung während Lastspitzen.
Trotzdem ist das Thema für Unternehmen relevant – insbesondere dann, wenn sensible Informationen verarbeitet werden oder interne Compliance-Vorgaben eine ausschließliche Verarbeitung innerhalb definierter Regionen verlangen.
Welche Daten können dabei verarbeitet werden?
Microsoft 365 Copilot arbeitet nicht isoliert mit einzelnen Texteingaben.
Je nach Anfrage kann Copilot zusätzlich Informationen aus dem Microsoft-365-Umfeld einbeziehen, beispielsweise aus:
- E-Mails
- Kalenderdaten
- Dokumenten
- Chats
- Dateien und Metadaten
Welche Inhalte konkret verarbeitet werden, hängt stark davon ab, wie Copilot genutzt wird und welche Berechtigungen innerhalb des jeweiligen Microsoft-365-Umfelds bestehen.
Gerade deshalb sollte die technische und datenschutzrechtliche Bewertung nicht pauschal erfolgen, sondern auf Basis der tatsächlichen Nutzung im Unternehmen.
Nutzen Sie Microsoft 365 Copilot bereits in Ihrem Unternehmen?
Wir unterstützen Sie gern bei der technischen und organisatorischen Bewertung Ihrer Microsoft-365-Konfiguration. Jetzt Kontakt aufnehmen
Was Microsoft zur Speicherung und Sicherheit sagt
Microsoft weist darauf hin, dass Daten während Übertragung und Speicherung verschlüsselt bleiben.
Außerdem erklärt Microsoft, dass ruhende Daten grundsätzlich weiterhin innerhalb der EU Data Boundary gespeichert werden. Ausgenommen seien eingeschränkte pseudonymisierte Daten, die für Sicherheits- und Betriebszwecke verarbeitet werden.
Für Unternehmen bedeutet das: Das Thema betrifft nicht ausschließlich den Speicherort von Daten, sondern insbesondere die Frage, wo bestimmte KI-Verarbeitungsschritte stattfinden dürfen.
Die Einstellung ist im Microsoft 365 Admin Center sichtbar
In einem überprüften Bestandskundensystem war die entsprechende Funktion im Microsoft 365 Admin Center sichtbar.
Die Einstellung befindet sich unter:
Copilot → Settings → Flex routing during peak load periods
Dort stehen zwei Optionen zur Verfügung:
- Flex Routing während Spitzenlast zulassen
- Flex Routing nicht zulassen
Damit wird deutlich: Die Funktion ist keine theoretische Ankündigung, sondern bereits technisch im Administrationsbereich vorhanden und konfigurierbar.
Ist Microsoft 365 Copilot Flex Routing standardmäßig aktiviert?
Genau an diesem Punkt kursieren derzeit viele verkürzte oder missverständliche Aussagen.
Microsoft unterscheidet laut eigener Dokumentation zwischen verschiedenen Tenant-Szenarien:
- Für bestimmte berechtigte Mandanten, die nach einem definierten Stichtag erstellt wurden, kann Microsoft 365 Copilot Flex Routing standardmäßig aktiviert sein.
- Für bestehende Mandanten verweist Microsoft auf Informationen im jeweiligen Message Center und auf die individuelle Tenant-Konfiguration.
Deshalb sollten Unternehmen keine pauschalen Annahmen treffen, sondern die Einstellung direkt im eigenen Microsoft-365-Umfeld prüfen.
Warum Unternehmen das Thema ernst nehmen sollten
Microsoft 365 Copilot Flex Routing ist nicht nur eine technische Detailfunktion innerhalb von Microsoft 365 Copilot. Für Unternehmen stellt sich dabei vielmehr die Frage, wie KI-Verarbeitung innerhalb der eigenen Microsoft-365-Umgebung technisch und organisatorisch eingeordnet werden soll.
Dabei stehen unter anderem folgende Punkte im Fokus:
- Wo werden KI-Verarbeitungsschritte tatsächlich ausgeführt?
- Welche Daten können im Rahmen einer Copilot-Anfrage technisch verarbeitet werden?
- Entspricht die aktuelle Konfiguration den eigenen Datenschutz-, Compliance- und Sicherheitsanforderungen?
- Wurde die Einstellung bewusst bewertet und dokumentiert – oder schlicht übernommen?
Gerade in regulierten Branchen oder bei sensiblen Kunden-, Vertrags-, Personal- oder Projektdaten sollte diese Bewertung nicht dem Zufall überlassen werden. Entscheidend ist weniger eine pauschale „richtig oder falsch“-Bewertung, sondern vielmehr eine bewusste und nachvollziehbare Entscheidung im Kontext der eigenen Anforderungen und Richtlinien.
Welche Schritte Unternehmen jetzt prüfen sollten
Unternehmen sollten ihre Microsoft-365-Umgebung gezielt überprüfen:
- Wird Microsoft 365 Copilot aktiv genutzt?
- Ist die Microsoft 365 Copilot Flex Routing-Einstellung im Tenant vorhanden?
- Welche Option ist aktuell gesetzt?
- Welche internen Datenschutz- oder Compliance-Vorgaben gelten?
- Wurde die Konfiguration dokumentiert?
- Sind Datenschutzbeauftragte oder IT-Sicherheitsverantwortliche eingebunden?
Fazit
Flex Routing ist kein Randthema für Administratoren, sondern ein relevanter Bestandteil der technischen und datenschutzrechtlichen Bewertung von Microsoft 365 Copilot.
Die Funktion bedeutet nicht automatisch, dass „alle Daten unkontrolliert ins Ausland übertragen werden“. Gleichzeitig sollte die Einstellung aber auch nicht ungeprüft bleiben.
Unternehmen sollten nachvollziehen können, wie ihre KI-Umgebung konfiguriert ist – und bewusst entscheiden, welche Verarbeitung außerhalb der EU Data Boundary akzeptiert werden soll.
Wenn Sie Unterstützung bei der Bewertung oder Konfiguration Ihrer Microsoft-365-Umgebung benötigen, stehen wir Unternehmen gern bei technischen, organisatorischen und datenschutzrelevanten Fragestellungen rund um moderne Microsoft- und KI-Dienste zur Seite. Über unser Kontaktformular erreichen Sie unser Team schnell und unkompliziert.