![Copilot](https://borncity.com/blog/wp-content/uploads/2026/03/Copilot.jpg" "Edge")
Eigentlich verspricht Microsoft Kunden in Europa, die die Produkte und die Cloud des Unternehmens nutzen, dass Daten innerhalb der EU-Grenzen gespeichert und ausgewertet werden und dort bleiben. Speziell bei Microsoft 365 Copilot hat Microsoft sich aber mit dem "opt-out" Flex Routing eine "Ausnahme" genehmigt. Ab dem 17. April 2026 sollten Daten, die Microsoft 365 Copilot erfasst, unter Umständen in andere Regionen (auch außerhalb der EU) transferiert werden dürfen.
Das Thema ist mir die Woche sowohl bei Dr. Windows im Artikel Microsoft schlägt für den Copilot ein Loch in die EU-Datengrenze als auch in nachfolgendem Tweet und dem Beitrag Microsoft Copilot just quietly allowed sending data outside of the EU untergekommen.
Der Sachverhalt wurde von Microsoft im Supportartikel Flex routing (EU and EFTA) aufgegriffen. Mit Flex Routing können Kunden in der Europäischen Union (EU) und der Europäischen Freihandelsassoziation (EFTA) "zulassen", dass die Inferenz von großen Sprachmodellen (LLM) in Zeiten hoher Nachfrage außerhalb der EU-Datengrenze stattfindet. Das soll ein konsistentes Copilot-Erlebnis gewährleisten.
Martin Geuß schreibt auf Dr. Windows, dass die nette Umschreibung "zulassen" aus obigem Supportartikel weiße Salbe ist. Den die Option "zulassen" sei standardmäßig aktiviert. Wer die Daten innerhalb der EU halten will, muss die Option also ausschalten.
Unabhängig davon, wo die LLM-Inferenz stattfindet, werden die Daten laut Microsoft sowohl während der Übertragung als auch im Ruhezustand verschlüsselt. Daten im Ruhezustand werden weiterhin innerhalb der EU-Datengrenze gespeichert. Ausnahme soll eine begrenzte Menge pseudonymisierter Daten sein, die aus Sicherheits- und betrieblichen Gründen außerhalb der EU-Datengrenze gespeichert werden können. Weitere Informationen finden sich hier.
Tenant-Administratoren können die Flex-Routing-Einstellung jederzeit im Microsoft 365-Admincenter oder im Power Platform-Admincenter ändern. Die Einstellung im Microsoft 365-Admincenter gilt für Microsoft 365 Copilot und Copilot Chat. Die Einstellung im Power Platform-Admincenter gilt für Copilot-Erlebnisse in Dynamics 365, Power Platform und Copilot Studio. Die Umsetzung erfolgt ab dem 17. April 2026, Martin Geuß hat in diesem Beitrag skizziert, wie sich die Flex-Routing-Einstellung deaktivieren lässt.
MVP: 2013 – 2016
Wird nur noch zu klären sein ob diese Einstellung auch irgendeine Wirkung hat.
Innerhalb wie außerhalb der EU.
Wäre nicht die erste weiße Salbe die sich als Plazebo entpuppt, weil die vollständige Implementierung nur auf irgendeiner Todo-Liste für eine andere Abteilung von Microsoft steht.
MS hat ja bis heute nicht offengelegt was über die verschlüsselte Telemetrie alles so "Abfließt". Also was wundert einem das noch? Ansonsten die Firewall regelt!
Die Firewall regelt da gar nichts. Es geht um Daten, die in der Cloud liegen. Entweder man nutzt Copilot, oder eben nicht. Aber Datenhoheit hat man mit Diensten von US-Unternehmen nie, unabhängig vom Cloud Speicherort.
Cloud klaut auch bei europäischen Diensten! Ist nicht nur unabhängig vom Standort der Cloud, sondern auch unabhängig vom Anbieter!
Nicht dein Blech, nicht mehr deins!
Wer Cloud (keine selbstgehostete) & CoPilot & Co nutzt, braucht sich doch nicht beschweren, der machst sich selbst freiwillig zum Opfer. Datenhoheit existiert da nicht, die gibst du aus der Hand bei vollem Bewustsein, beim vollen Verstand ist fragwürdig ;-P
Firewall bezog sich auch eher auf allgemein & Telemetrie. Zero Thrust, da geht nur raus was freigegeben ist und sonst nix.
Die ganze Geschichte mit "EU-Datengrenze" in der MS-Cloud ist doch sowieso nur ein Feigenblatt. Es spielt absolut keine Rolle, wo auf der Welt MS die Daten speichert, auf Anweisung müssen die die Daten eh rausgeben laut CLOUD-Act.
Na was glaubst du wie das bei uns ist? Wenn da die Polizei mit dem Durchsuchungsbeschluß der Staatsanwaltschaft wedelt?
Wenn da bei Born was reinflattert wird der auch schön brav die Daten die er hat weitergeben… cool halt wenn du erst gar keine Daten hast ;-P Dann kann aber immer noch eine Überwachung mit Datensammlung angeordnet werden… oder gleich die Server beschlagnammt. Das ist in jedem Rechtsstaat so, den anders als in der "Schlagzeilen Presse" immer propagiert, ist auch das Internet kein rechtsfreier Raum.
In den USA sind da die Hürden eben nur etwas niedriger.
Kannst ja mal einschlägig öffentlich posten… wirst dann sehen was passiert!
Das meine ich aber nicht. MS behauptet mit dem "EU-Datenraum" wären die Daten DSGVO-konform abgelegt, weil die ja auf Servern innerhalb der EU liegen. Und das ist eben absolut nicht der Fall (also mit dem DSGVO konform), da sich bekanntermaßen der CLOUD-Act nicht dafür interessiert, wo die Daten physisch liegen. Die sagen einfach: Unsere Regeln gelten weltweit, egal wie die lokalen Gesetze aussehen. Und ihr sagt das den betroffenen auch nicht. Und die können auch nicht gerichtlich dagegen vorgehen, wenn sie keine US Bürger sind.
Und daher ist das ein Feigenblatt.
Da hat sich bisher immer bewährt, dass ich a) so gut wie keine Daten vorhalte, b) inkriminierendes lösche, wenn ich es sehe, und c) auch darauf achte, dass solche Anfragen rechtlich zulässig sind (aber die Zahl der Anfragen hält sich arg in Grenzen, gab bisher eine, die ich erinnere, und wo ich sofort sagen konnte "sorry, halte diese Daten nicht vor").
copilot? schon lange aus dem deployment raus … spätestens seit dem "copilot is for entertainment purposes only"
scheenes weekend,
AB++
Hat jemand die Einstellung dafür im Power Platform-Admincenter gefunden?
Ist das dann in dem speziellen Fall Copilot nicht fast egal? Die Daten werden sowieso zu neuem Training verwendet, da kommen die dann sowieso in die leistungsstarken Rechenzentren. Diese liegen dort wo der Strom am günstigsten ist.
Ich frage mich, wie man bei vollem Verstand sein und gleichzeitig einer KI (vor allem einer aus Trumpistan) Zugriff auf seine Daten geben kann.
Aber wahrscheinlich reicht meine HI nicht, um das zu verstehen.
Etwas anderes ist es, auf https://copilot.microsoft.com/ mal eine Frage ohne Preisgabe persönlicher Daten zu stellen.
Ist doch vollkommen. Die Daten können doch jederzeit in die USA fließen, wenn gewünscht.
Diese ganzen Maßnahmen sind genau so nutzlos wie diese Beschränkung bei Preisgestaltung an der Tankstelle.