Microsoft Copilot Flexrouting: Was Unternehmen jetzt aus Datenschutzsicht wissen müssen

Microsoft hat eine technische Änderung an Microsoft Copilot vorgenommen, die aus datenschutzrechtlicher Sicht für alle Unternehmen relevant ist, die Copilot im Rahmen ihrer Microsoft-365-Umgebung einsetzen. Die Funktion „Copilot Flexrouting" wird von Microsoft automatisch für alle bestehenden Kundenumgebungen aktiviert. Ob die Funktion in Ihrem Mandanten bereits aktiv ist, können Sie im Microsoft 365 Nachrichtencenter überprüfen.

In diesem Beitrag erklären wir, worum es bei Flexrouting geht, warum die Funktion datenschutzrechtlich problematisch ist und welche Schritte wir als Datenschutzbeauftragte empfehlen.

Was ist Copilot Flexrouting?

Microsoft verarbeitet Copilot-Anfragen grundsätzlich innerhalb der sogenannten EU Data Boundary, also innerhalb der europäischen Datengrenze. Bei hoher Auslastung der europäischen KI-Infrastruktur kann es jedoch vorkommen, dass die eigentliche KI-Verarbeitung – das sogenannte LLM-Inferencing, also die Berechnung der Antwort durch das Sprachmodell – auf Rechenzentren außerhalb der EU ausweicht.

Dieser Vorgang läuft vollständig automatisiert im Hintergrund ab. Kunden haben keine Möglichkeit, im Einzelfall zu steuern oder einzusehen, wo eine konkrete Anfrage verarbeitet wird.

Weiterführende Informationen stellt Microsoft in der offiziellen Dokumentation bereit: Copilot Flex Routing – Microsoft Learn

Warum ist das datenschutzrechtlich relevant?

Eingaben in Microsoft Copilot enthalten in der Praxis regelmäßig personenbezogene Daten, zum Beispiel:

Namen von Mitarbeitenden, Kundinnen und Kunden oder Geschäftspartnern

interne Sachverhalte und vertrauliche Informationen

Inhalte aus E-Mails, Dokumenten oder Chats

Nach aktuellem Stand gibt es von Microsoft keine nachprüfbare Zusicherung, dass bei aktiviertem Flexrouting in jedem Fall keine personenbezogenen Daten außerhalb der EU verarbeitet werden. Für Unternehmen ist damit nicht belegbar, dass jede Copilot-Verarbeitung ausschließlich innerhalb der EU stattfindet.

Aus datenschutzrechtlicher Perspektive entsteht dadurch vor allem ein Nachweis- und Transparenzproblem. Verantwortliche im Sinne der DSGVO müssen dokumentieren können, wohin personenbezogene Daten übermittelt werden und auf welcher Rechtsgrundlage dies geschieht. Genau diese Nachweisbarkeit ist bei aktiviertem Flexrouting derzeit nicht gegeben.

Unsere Empfehlung

Wir empfehlen, Copilot Flexrouting vorsorglich zu deaktivieren und diese Entscheidung schriftlich zu dokumentieren. So lässt sich eine Verarbeitung außerhalb der EU ausschließen und die Einhaltung der Vorgaben zur EU Data Boundary nachweisen.

So deaktivieren Sie Flexrouting

Die entsprechende Einstellung finden Sie in folgendem Pfad:

Microsoft 365 admin center → Copilot → Einstellungen → Alle anzeigen → „Flexibles Rückschließen während Spitzenlastzeiten"

Dort können Sie die Funktion deaktivieren. Wir empfehlen, die Deaktivierung sowie den Zeitpunkt der Umsetzung in Ihrem Verzeichnis von Verarbeitungstätigkeiten bzw. in Ihrer internen Datenschutzdokumentation festzuhalten.

Sie haben Fragen?

Wenn Sie Unterstützung bei der Umsetzung benötigen oder weitergehende Fragen zum datenschutzkonformen Einsatz von Microsoft Copilot in Ihrem Unternehmen haben, sprechen Sie uns gerne an. Wir begleiten Sie bei der Bewertung, der Konfiguration und der Dokumentation.