Microsoft 365 8 Min. Lesezeit

Copilot Flex Routing

Copilot EU DATA BOUNDARY GDPR-NIS2-DORA MC1269223
⚠️ Deadline: 17. April 2026 — Änderungen brauchen ~1 Woche, um wirksam zu werden. Jetzt handeln, nicht morgen.

Warum dieser Artikel, warum jetzt

Es war eine dieser Montagnachmittag-Situationen. Ich öffnete das Message Center, um Material für die nächste M365-News-Episode zu sammeln — und stolperte über MC1269223. Klingt harmlos im Betreff. Aber für jeden EU-Admin mit laufendem Copilot hat diese Meldung echte Auswirkungen.

Ab dem 17. April 2026 aktiviert Microsoft Flex Routing für alle EU- und EFTA-Tenants standardmäßig. Der Name klingt nach einem kleinen technischen Detail. Ist er nicht. Es ist eine grundlegende Entscheidung zur Datensouveränität — und die meisten Admins haben noch gar nicht hingeschaut.

Das Tückische: Microsoft erwartet, dass ihr die Einstellung selbst prüft und entscheidet, ob sie für eure Organisation passt. Wer nicht schaut, hat es an. Und dann verarbeitet Copilot eure Prompts eventuell in den USA, Kanada oder Australien — ohne dass jemand dem aktiv zugestimmt hat.

Was ist Flex Routing überhaupt?

Flex Routing erlaubt es EU- und EFTA-Kunden, LLM-Inferencing außerhalb der EU Data Boundary durchführen zu lassen, wenn die Nachfrage zu Stoßzeiten zu hoch ist — damit Copilot weiter reibungslos funktioniert.

🔍
Was ist Inferencing?

Inferencing ist der Schritt, in dem das Large Language Model euren Prompt tatsächlich verarbeitet und eine Antwort generiert. Vorher hat der Prompt bereits Preprocessing, Safety Checks und RAG durchlaufen — also sind Unternehmensdaten, E-Mails, Dateien, Metadaten und System-Prompts bereits gebündelt. Wenn Flex Routing greift, wird dieses komplette Paket außerhalb der EU verarbeitet.

Genau das ist der compliance-relevante Punkt. Nicht der Datentransport selbst — sondern dass im Moment der KI-Verarbeitung das vollständige Kontextpaket die EU verlassen kann. Bei aktiviertem Flex Routing kann das in den USA, Kanada oder Australien passieren.

Microsofts Versprechen — was gilt, was nicht

Um fair zu sein: Microsoft ist hier transparent. Es gibt echte Schutzmaßnahmen. Daten sind in Transit und at rest verschlüsselt, unabhängig davon, wo LLM-Inferencing stattfindet. Ruhende Daten verbleiben innerhalb der EU Data Boundary — außer begrenzten pseudonymisierten Daten für Sicherheits- und Betriebszwecke.

Also: Eure Daten wandern nicht dauerhaft ab. Sie werden außerhalb verarbeitet, das Ergebnis kommt zurück, die Speicherung bleibt in der EU.

⚠️
Was Microsoft NICHT garantiert

Dass in diesem Moment keine personenbezogenen Daten außerhalb der EU verarbeitet werden. Die regulatorische Frage lautet nicht „Sind die Daten verschlüsselt?“ Die Frage lautet: „Können Sie nachweisen, dass in einem bestimmten Zeitraum keine Verarbeitung außerhalb der EU stattgefunden hat?“ Wenn Flex Routing aktiv ist und ihr es nicht geprüft habt, lautet die ehrliche Antwort: nicht ohne Weiteres.

Die EU Data Boundary — die Grundlage

Die EU Data Boundary stellt sicher, dass Kundendaten innerhalb von EU/EFTA-Regionen gespeichert und verarbeitet werden. Flex Routing ist eine bewusste Ausnahme davon — gebaut für Kapazitätsengpässe, standardmäßig aktiviert. Für Deutschland ist In-Country-Processing für Copilot für 2026 angekündigt. Bis dahin ist Flex Routing die Realität.

Die Hoffnung: Bergheim, Bedburg, Elsdorf

Am 12. März 2026 fand der Spatenstich für das Microsoft-Rechenzentrum-Cluster im rheinischen Revier statt — unter dem Motto „KI für Deutschland“. Wo Jahrzehnte lang Braunkohle-Bagger die Region prägten, entsteht jetzt digitale Infrastruktur.

Rheinisches Revier · NRW, Deutschland · Spatenstich 12. März 2026
Standorte
Bergheim · Bedburg · Elsdorf
Investition
3,2 Milliarden Euro
Typ
Hyperscale-Rechenzentren
Ziel
Cloud- & KI-Kapazität für Deutschland

Der Zusammenhang mit Flex Routing ist direkt: Flex Routing ist ein Druckventil für Kapazitätsengpässe. Mehr EU-Kapazität bedeutet weniger Situationen, in denen Microsoft überhaupt darauf zurückgreifen muss.

⚠️
Annahme — kein offizieller Zeitplan

Microsoft hat kein offizielles Fertigstellungsdatum kommuniziert. Hyperscale-Projekte dieser Größenordnung dauern typischerweise 2–4 Jahre vom Spatenstich bis zum Vollbetrieb — realistisch also frühestens 2028. Bis dahin bleibt Flex Routing im Werkzeugkasten, und der Admin-Toggle ist die einzige Steuerungsmöglichkeit, die ihr heute habt.

Was passiert eigentlich im Hintergrund?

Der Datenfluss eines Copilot-Prompts

Schritt 1
Prompt kommt an
Nutzer schreibt eine Frage in Teams, Word, Outlook usw.
Schritt 2
Graph-Abfrage
Copilot holt relevante Daten via Microsoft Graph: E-Mails, Dokumente, Kalender, Chats.
Schritt 3
Kontext-Zusammenstellung
Prompt und Unternehmensdaten werden zu einem Kontext-Paket gebündelt.
Schritt 4 — kritisch
Inferencing · hier greift Flex Routing
Das vollständige Kontext-Paket kann jetzt in die USA gehen. E-Mails, Dateien, Metadaten, System-Prompts — alles gebündelt, außerhalb der EU verarbeitet. Auch wenn es nur Sekunden dauert.
Schritt 5
Antwort geliefert
Ergebnis geht zurück zum Nutzer. Interaktionsdaten werden at rest innerhalb der EU gespeichert.

Der Anthropic-Faktor

Zeitgleich gibt es MC1269241: Microsoft aktiviert Anthropic-Modelle (Claude) für Copilot in Word, Excel und PowerPoint. EU-, EFTA- und UK-Tenants haben das standardmäßig deaktiviert — weil Anthropic-Verarbeitung außerhalb der EU Data Boundary stattfindet.

⚠️
Doppelter Compliance-Treffer

Zwei standardmäßig aktive Änderungen, beide compliance-relevant, beide in derselben Woche. MC1269223 (Flex Routing) und MC1269241 (Anthropic-Modelle) müssen separat bewertet werden — behandelt sie nicht als eine Sache.

Wie ihr als Admin eingreift

Die zwei Optionen im Vergleich

Einstellung Was passiert Für wen
AN · Standard
Flex Routing erlauben		 Inferencing kann bei Spitzenlast in USA, Kanada oder Australien stattfinden. Bessere Verfügbarkeit, aber Verarbeitung kann die EU verlassen. Nur wenn DSGVO/NIS2/DORA keine Rolle spielen — und ihr diese Entscheidung bewusst dokumentiert habt.
AUS · Empfohlen
Flex Routing nicht erlauben		 LLM-Inferencing bleibt immer innerhalb der EU Data Boundary. Möglicher Trade-off: etwas höhere Latenz bei echten Spitzensituationen. Empfohlen für alle regulierten Branchen und überall, wo DSGVO-Compliance sauber sein muss.

Schritt für Schritt: Flex Routing deaktivieren

1
M365 Admin Center öffnen
Aufrufen: admin.cloud.microsoft — ihr braucht die Rolle AI-Administrator oder Globaler Administrator.
2
Copilot → Einstellungen
Copilot im linken Menü anklicken, dann Einstellungen wählen.
3
Alle anzeigen → Flexibles Inferencing in Spitzenlastzeiten
„Alle anzeigen“ klicken, bis die Einstellung sichtbar wird.
4
Select „Flex Routing nicht erlauben“ and save
Optionsfeld auswählen → Speichern klicken. „Änderungen gespeichert“ bestätigt es.
5
Power Platform Admin Center prüfen
admin.powerplatform.microsoft.com — die M365-Einstellung wird geerbt, es sei denn, dort ist bereits eine restriktivere gesetzt. Zur Sicherheit: beides prüfen.
6
Anthropic-Modelle separat prüfen (MC1269241)
Copilot → Einstellungen → View All → „AI providers operating as Microsoft subprocessors“ — make a decision and document it.
⚠️
Wichtig: ~1 Woche Verzögerung

Microsoft gibt explizit an, dass Änderungen bis zu einer Woche brauchen, um vollständig wirksam zu werden. Nicht bis zum 16. April warten — jetzt setzen.

Achtung bei…

📋
Regulierte Branchen

Für Finanzdienstleistungen (DORA), kritische Infrastruktur (NIS2), Gesundheitswesen und öffentliche Verwaltung ist Flex Routing in den meisten Szenarien nicht akzeptabel. Nicht weil Verschlüsselung fehlt — sondern weil ihr nicht nachweisen könnt, dass keine Verarbeitung außerhalb der EU stattgefunden hat.

📋
Multi-Geo-Ausnahme

Die Flex-Routing-Einstellung ist für Kunden mit Multi-Geo-Funktionen nicht verfügbar — auch wenn der Tenant in einem EU/EFTA-Land ist. Multi-Geo-Kunden haben andere Mechanismen zur Standortsteuerung.

📋
Entscheidung dokumentieren

Egal wie ihr euch entscheidet — schreibt es auf. Datum, wer entschieden hat, Rechtsgrundlage. Das ist DSFA-relevant und genau das, was Prüfer fragen werden.

Praxischeck

Woran ihr erkennt, dass es funktioniert

  • Setting shows „Flex Routing nicht erlauben“ with saved status
  • Power Platform Admin Center ist konsistent konfiguriert
  • Anthropic-Unterauftragsverarbeiter-Einstellung wurde bewusst geprüft
  • Entscheidung ist intern mit Datum und Begründung dokumentiert

Wenn es nicht funktioniert — diese 3 Dinge prüfen

1
Falsche Rolle
Nur AI-Administrator oder Globaler Administrator können die Einstellung speichern. Mit anderen Admin-Rollen kann man sie sehen, aber nicht ändern.
2
Eine Woche Verzögerung
Änderungen brauchen bis zu 7 Tage, um zu greifen. Das ist kein Bug — einfach abwarten.
3
Power Platform vergessen
Dynamics 365 und Copilot Studio haben eine separate Einstellung im Power Platform Admin Center. Beides prüfen.
☕ Fazit · Ferdi-Style

Was bleibt

Flex Routing ist kein verdeckter DSGVO-Angriff. Es ist eine pragmatische Kapazitätslösung von Microsoft — transparent kommuniziert, mit echter Verschlüsselung, mit einem klaren Admin-Toggle. Aber: der Toggle ist standardmäßig an.

Für viele Unternehmen außerhalb regulierter Branchen mag das in Ordnung sein. Für Finanzwesen, Gesundheitswesen, öffentlichen Sektor und kritische Infrastruktur — das ist nichts, was man einfach laufen lässt, ohne eine Entscheidung zu treffen.

Das eigentliche Problem ist nicht das Feature selbst. Es ist die Geschwindigkeit, mit der Microsoft diese Defaults ausrollt — kombiniert mit dem Message-Center-Rauschen, das die meisten Admins schlicht nicht täglich durcharbeiten können. Die NRW-Rechenzentren sind die strukturelle Antwort auf dieses Problem. Aber die kommen frühestens 2028.

Espresso-Moment

Microsoft gibt euch den Schalter — aber ihr müsst ihn selbst umlegen. Wer das nicht tut, hat keine bewusste Entscheidung getroffen. Man hat einfach durch Nichtstun Ja gesagt.

Checkliste: Flex Routing & EU-Compliance

  • MC1269223 im Message Center gelesen und verstanden
  • Flex-Routing-Einstellung im M365 Admin Center geprüft
  • Entscheidung (an/aus) intern mit Begründung dokumentiert
  • Power Platform Admin Center auf konsistente Einstellung geprüft
  • Anthropic-Unterauftragsverarbeiter-Einstellung (MC1269241) separat bewertet
  • Rechts- und Compliance-Team informiert (DSGVO, DORA, NIS2)
  • Änderung mindestens 7 Tage vor der Deadline gesetzt — also jetzt

Habt ihr die Einstellung schon geprüft? Schreibt mir auf LinkedIn — ich bin gespannt, bei wie vielen EU-Tenants das noch offen ist.

Ferdi Lethen-Oellers
Geschrieben von Ferdi Lethen-Oellers Microsoft MVP

Senior Modern Workplace Consultant bei amexus · Speaker · Autor von „Microsoft 365 Administration für Dummies“. Ich mache M365 verständlich — keine Buzzwords, kein Füllmaterial.