Mehr Performance, mehr Governance-Fragen

Flex Routing in Microsoft 365 Copilot

Microsoft entwickelt Microsoft 365 Copilot kontinuierlich weiter und hat mit Flex Routing ein neues Feature eingeführt, das vor allem eines verspricht: eine stabile Copilot‑Experience auch bei hoher Auslastung. Was auf den ersten Blick nach einer rein technischen Optimierung klingt, hat jedoch spürbare Auswirkungen auf Datenschutz, Compliance und Governance, vor allem für Organisationen oder Unternehmen mit hohen regulatorischen oder internen Anforderungen.

👉 Gerade deshalb lohnt sich ein bewusster, strategischer Blick auf dieses Feature.

Im folgenden Artikel ordnen wir Flex Routing fachlich ein, beleuchten die Auswirkungen auf Datenschutz, Compliance und Governance und zeigen auf, worauf Unternehmen bei der Konfiguration und Bewertung gezielt achten sollten.

Was ist Flex Routing?

Flex Routing erlaubt es Microsoft 365 Copilot, in Spitzenlastzeiten KI‑Rückschlüsse (Inference) temporär außerhalb der EU‑Datengrenze durchzuführen. Diese Verarbeitung kann dann unter anderem in Rechenzentren in den USA, Kanada oder Australien stattfinden.

Wichtige Einordnung!
Dabei handelt es sich nicht um eine dauerhafte Datenverlagerung, sondern um eine situative Lastverteilung, wenn die verfügbaren Kapazitäten innerhalb der EU nicht ausreichen. Microsoft reagiert damit auf die stark zunehmende Nutzung generativer KI bei gleichzeitig hohem Anspruch an Performance und Verfügbarkeit.

Wie wirkt sich Flex Routing auf die Datenverarbeitung aus?

Microsoft betont, dass auch bei aktiviertem Flex Routing alle Daten während der Übertragung und im Ruhezustand verschlüsselt bleiben. Kundendaten werden grundsätzlich weiterhin innerhalb der EU gespeichert. Gleichzeitig ermöglicht das Feature jedoch, dass eingeschränkt pseudonymisierte Daten im Rahmen der KI‑Verarbeitung außerhalb der EU verarbeitet und kurzzeitig vorgehalten werden. An dieser Stelle entsteht ein relevanter Graubereich, der in vielen Organisationen erklärungs‑ und dokumentationspflichtig ist.

Gerade gegenüber Datenschutzbeauftragten, Betriebsräten, Kunden oder Auditoren muss klar nachvollziehbar sein:

• welche Daten betroffen sind,
• wann eine Verarbeitung außerhalb der EU erfolgt
• und auf welcher Entscheidungsgrundlage dies zugelassen wurde.

Denn pseudonymisiert bedeutet nicht automatisch risikofrei, insbesondere aus Sicht interner Governance‑Modelle oder branchenspezifischer Regularien.

Performance versus Datenresidenz: ein strategischer Zielkonflikt

Flex Routing macht einen zentralen Zielkonflikt moderner KI‑Nutzung sichtbar:
bessere Performance und Verfügbarkeit auf der einen Seite – strikte Datenresidenz auf der anderen.

Technisch kann die Nutzererfahrung klar profitieren, organisatorisch und rechtlich steigt jedoch die Komplexität der Entscheidungsfindung. Unternehmen müssen sich bewusst fragen, welchen Stellenwert Datenverarbeitung innerhalb klar definierter geografischer Grenzen im Vergleich zu einer optimalen User Experience hat.

Besonders kritisch ist dabei, dass Flex Routing für neue, berechtigte Mandanten teilweise standardmäßig aktiviert sein kann. Wer diese Einstellung nicht aktiv prüft, akzeptiert implizit eine – wenn auch zeitlich begrenzte – grenzüberschreitende Verarbeitung von Daten.

Genau deshalb sollte Flex Routing nicht als rein technische Konfiguration betrachtet werden, sondern als Bestandteil der eigenen KI‑, Datenschutz‑ und Compliance‑Strategie.

Unsere Empfehlung

Flex Routing ist weder grundsätzlich „gut“ noch „schlecht“. Es ist eine strategische Abwägungsentscheidung, die Auswirkungen auf Technologie, Organisation und Recht hat.

Unternehmen sollten:

👉 die Einstellung aktiv prüfen

👉 die Entscheidung dokumentieren

👉 Flex Routing in bestehende Datenschutz‑, Compliance‑ u. Kommunikationskonzepte integrieren