Microsoft Flex Routing: Ihre Daten verlassen Europa — ohne Ihre Zustimmung
Was Microsoft seit dem 17. April stillschweigend geändert hat – und was Schweizer Unternehmen jetzt wissen müssen.
Microsoft hat letzte Woche eine Änderung eingeführt, über die die meisten Unternehmenskunden nicht aktiv informiert wurden. Seit dem 17. April 2026 dürfen Ihre Unternehmensdaten aus Microsoft 365 Copilot in Rechenzentren ausserhalb Europas verarbeitet werden — in den USA, Kanada oder Australien. Die Funktion heisst Flex Routing und ist standardmässig aktiviert.
Was auf den ersten Blick wie eine technische Detailfrage klingt, ist in der Realität ein strukturelles Datenschutzproblem — besonders für Schweizer Unternehmen, die dem revidierten Datenschutzgesetz (nDSG) unterliegen.
Was ist Flex Routing — und warum ist es relevant?
Flex Routing ist eine Funktion innerhalb von Microsoft 365 Copilot. Sie greift dann, wenn Microsofts europäische Rechenzentren ausgelastet sind: In diesem Fall leitet Microsoft Ihre Anfragen — inklusive der zugehörigen Datenpakete — an Rechenzentren in anderen Regionen weiter.
Was dabei konkret übertragen werden kann, ist nicht trivial. Copilot greift auf Microsoft Graph zu, um seine Antworten zu generieren. Microsoft Graph wiederum bündelt Ihre gesamte Microsoft-365-Umgebung: E-Mails, Dokumente, Kalendereinträge, Teams-Konversationen, Metadaten. All das kann bei aktiviertem Flex Routing die europäische Datenzone verlassen.
Die Chronologie: Zwei Entscheidungen in einer Woche
Flex Routing ist nicht die einzige Änderung, die Microsoft in diesen Tagen einseitig eingeführt hat:
Microsoft Flex Routing wird in Microsoft 365 Copilot standardmässig aktiviert. Bei Rechenzentrumsauslastung in Europa werden Anfragen inklusive Datenpaketen in die USA, Kanada oder Australien weitergeleitet. Keine aktive Kundenbenachrichtigung.
GitHub Copilot beginnt, die Eingaben und Code-Snippets von Free-, Pro- und Pro+-Nutzern zum Training seiner KI-Modelle zu verwenden — auch aus privaten Repositories. Standardmässig aktiviert. Ausgenommen: nur Enterprise-Kunden.
Zwei Entscheidungen, eine Woche, dasselbe Muster: Änderungen, die Kunden direkt betreffen, werden ohne aktive Information eingeführt. Wer widersprechen will, muss es selbst herausfinden — und dann noch warten, bis die Abmeldung greift.
Was bedeutet das konkret für Schweizer Unternehmen?
Für Schweizer Unternehmen ist die Ausgangslage besonders klar geregelt: Das revidierte Datenschutzgesetz (nDSG) verlangt, dass eine Übermittlung von Personendaten ins Ausland nur dann zulässig ist, wenn das Empfängerland ein angemessenes Datenschutzniveau bietet oder geeignete Garantien vorhanden sind.
Die USA gelten datenschutzrechtlich als problematisches Drittland — insbesondere wegen des US CLOUD Act, der US-Behörden unter bestimmten Voraussetzungen Zugriff auf Daten amerikanischer Unternehmen ermöglicht, unabhängig vom physischen Speicherort. Microsoft ist ein US-Unternehmen und unterliegt dem CLOUD Act.
Das Muster dahinter
Was hier passiert, ist kein Einzelfall und kein Versehen. Es ist ein bewusstes Vorgehen, das sich in Microsofts Produktstrategie seit Jahren beobachten lässt: Datenschutzrelevante Funktionen werden standardmässig aktiviert. Wer widersprechen möchte, trägt die Bringschuld. Wer Enterprise-Kunde ist, wird oft bessergestellt — die grosse Mehrheit der kleinen und mittleren Unternehmen hingegen nicht.
Microsoft bewirbt gleichzeitig seine „Sovereign Cloud“ als Lösung für Datensouveränität. Flex Routing zeigt, wie weit diese Souveränität in der Praxis reicht: bis zur nächsten Auslastungsspitze im Rechenzentrum.
Was Sie jetzt tun können
Kurzfristig gibt es zwei Sofortmassnahmen:
- Flex Routing deaktivieren: Microsoft 365 Admin Center → Einstellungen → Copilot → Datenverarbeitung. Beachten Sie: Die Deaktivierung braucht mehrere Tage, bis sie greift.
- GitHub Copilot-Training abmelden: In den GitHub-Einstellungen unter „Copilot“ → „Policies“ → Training-Option deaktivieren (für Free/Pro/Pro+-Nutzer).
Mittelfristig stellt sich jedoch eine strategischere Frage: Wie viel strukturelle Abhängigkeit von einem US-Hyperscaler ist für Ihr Unternehmen vertretbar — nicht nur heute, sondern in drei oder fünf Jahren?
Häufige Fragen
Was ist Microsoft Flex Routing?
Flex Routing ist eine Funktion in Microsoft 365 Copilot, die seit 17. April 2026 standardmässig aktiviert ist. Sie erlaubt Microsoft, bei hoher Auslastung europäischer Rechenzentren Ihre Unternehmensdaten — inklusive E-Mails, Dateien und Kalender — in Rechenzentren in den USA, Kanada oder Australien zu verarbeiten. Die Aktivierung erfolgte ohne aktive Benachrichtigung der Kunden.
Bin ich als Schweizer Unternehmen von Flex Routing betroffen?
Ja, wenn Sie Microsoft 365 Copilot nutzen und die Funktion nicht aktiv deaktiviert haben. Flex Routing ist standardmässig aktiv (Opt-out-Prinzip). Für Schweizer Unternehmen ist zusätzlich zu prüfen, ob die Datenübermittlung in die USA mit dem nDSG vereinbar ist — was angesichts des US CLOUD Act rechtlich fraglich ist.
Wie kann ich Flex Routing deaktivieren?
Die Deaktivierung erfolgt im Microsoft 365 Admin Center unter Einstellungen → Copilot → Datenverarbeitung. Beachten Sie: Die Änderung tritt nicht sofort in Kraft — Microsoft gibt an, dass es mehrere Tage dauern kann. In dieser Übergangszeit können Daten weiterhin ausserhalb Europas verarbeitet werden.
Was hat GitHub Copilot mit Flex Routing zu tun?
GitHub Copilot ist ein separates Produkt, folgt aber demselben Muster: Ab 24. April 2026 verwendet GitHub Copilot die Eingaben und Code-Snippets von Free-, Pro- und Pro+-Nutzern zum Training seiner KI-Modelle — auch aus privaten Repositories. Standardmässig aktiviert, nur Enterprise-Kunden sind ausgenommen.
Welche datensouveräne Alternative gibt es zu Microsoft 365?
Infomaniak kSuite ist die führende Schweizer Cloud-Alternative: Datenhaltung ausschliesslich in der Schweiz (Genf und Lausanne), kein US CLOUD Act, keine KI-Nutzung Ihrer Daten ohne Zustimmung, transparent und DSGVO/nDSG-konform. Office2SwissCloud begleitet Schweizer Unternehmen bei der vollständigen Migration von Microsoft 365 zu Infomaniak.
Wie sicher sind Ihre Daten wirklich?
In einem kostenlosen 20-Minuten-Gespräch analysieren wir Ihre aktuelle Microsoft-Umgebung und zeigen Ihnen, welche Handlungsoptionen Sie haben — ohne Verpflichtung, ohne Verkaufsgespräch.
Unverbindliches Erstgespräch buchen → Oder rufen Sie direkt an: +41 55 462 38 29
