Das sogenannte Flex Routing ermöglicht es Microsoft, das sogenannte LLM-Inferencing bei Spitzenlasten außerhalb der EU Datengrenze durchführen zu lassen. Ziel ist, die Benutzererfahrung (Verfügbarkeit, Latenz, Stabilität) von Microsoft 365 Copilot und Copilot Chat während Lastspitzen zu erhalten. Daten werden dann nicht in europäischen, sondern unter anderem in US-amerikanischen Rechenzentren verarbeitet. Flex Routing wurde ab April 2026 für Microsoft 365 Copilot eingeführt und ist für berechtigte Tenants standardmäßig aktiviert, je nach Erstellungsdatum des Tenants.
Microsoft führt hierzu aus, dass die Nutzerdaten bei der Übertragung und im Ruhezustand verschlüsselt seien und Daten im Ruhezustand weiterhin innerhalb der EU Datengrenze gespeichert würden. Ausgenommen hiervon sind nach Microsoft begrenzte pseudonymisierte Daten, die zu Sicherheits- und Betriebszwecken außerhalb der EU Datengrenze gespeichert werden können. Gleichwohl findet bei aktiviertem Flex Routing eine Verarbeitung außerhalb der EU statt, da es nicht allein auf die dauerhafte Speicherung ankommt.
Da wir dann hier eine Drittlandübermittlung haben, bedarf es eines zulässigen Transfers. Rechtlich zulässig ist dieser dann, wenn entweder ein Angemessenheitsbeschluss nach Art. 45 DSGVO oder geeignete Garantien, insbesondere Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO vorliegen.
Und Achtung nach Microsoft ist Flex Routing für berechtigte Tenants, die nach dem 25. März 2026 erstellt wurden, standardmäßig aktiviert, die Administration muss also aktiv werden. In Microsoft 365 erfolgt dies über das Admin Center unter Copilot, Settings und der Einstellung zu Flex Routing während Spitzenlastzeiten. Soll eine Verarbeitung außerhalb der EU ausgeschlossen werden, ist „Do not allow flex routing“ auszuwählen.
Unternehmen, die Microsoft Copilot einsetzten, sollte also dringend prüfen, ob Flex Routing aktiviert ist und ob dies auch die gewünschte Option ist. Falls dies der Fall ist, müssen die erfüllten Voraussetzungen für einen Drittstaatentransfer in der Dokumentation mit aufgenommen werden. Internationale Unternehmen werden naturgemäß eher weniger Problem damit haben, da deren Account-Daten ohnehin auch ausserhalb der EU verarbeitet werden müssen.
