Wenn Ihre KI das Land verlässt, ohne es Ihnen zu sagen

‍Microsofts Copilot "Flex-Routing" kann EU-Prompts bei Auslastung ins Ausland senden. Hier erfahren Sie, was das für die FINMA-, DORA- und revDSG-Compliance bedeutet und wie Sie es deaktivieren können.

Die meisten europäischen und Schweizer Kunden von Microsoft 365 Copilot haben davon noch nichts gehört, und diejenigen, die es erfahren haben, finden es meistens so heraus, wie solche Dinge eben herausgefunden werden: Ein Compliance-Beauftragter liest an einem Sonntagnachmittag die Release Notes und schickt eine Slack-Nachricht, die jemandem den Montag ruiniert.

Was tatsächlich passiert: Seit dem 17. April 2026 hat Microsoft eine Funktion namens "Flex-Routing" für Copilot aktiviert. Sie finden sie im Admin Center unter der leicht euphemistischen Bezeichnung "Flexible inferencing during peak load periods". Wenn Microsofts europäische Rechenzentren stark ausgelastet sind, können Copilot-Prompts zur Verarbeitung in die USA, nach Kanada oder Australien gesendet werden. Verschlüsselt während der Übertragung, verschlüsselt im Ruhezustand, aber dennoch im Ausland verarbeitet. Wer sich nach dem 25. März angemeldet hat, hatte es von Anfang an aktiviert. Bestehende Kunden erhalten es standardmäßig aktiviert, es sei denn, ein Administrator deaktiviert es.

Ein Teil der Berichterstattung hat dies als Verrat an europäischen Kunden dargestellt. Das ist nicht ganz richtig. Microsoft ist ein US-amerikanisches Unternehmen, das einen globalen Dienst betreibt, und Flex-Routing ist aus ihrer Sicht eine technische Entscheidung bezüglich der Kapazität. Die nützlichere Frage ist, was diese Episode über die Lücke zwischen "EU-gehostet" oder "Schweizer-gehostet" als Marketingaussage und der tatsächlichen Kontrolle darüber aussagt, wo Ihre Daten verarbeitet werden.

Speicherung ist einfach. Verarbeitung ist der Ort, an dem das Risiko liegt.

Jahrelang konzentrierte sich die Diskussion um Datenhoheit auf die Speicherung. Wo liegen die Dateien im Ruhezustand? Im Rechenzentrum welcher Gerichtsbarkeit? Welches Kabel führt wohin? Diese Diskussion ist weitgehend gelöst. Fast jeder große Anbieter wird Ihnen eine EU-Region oder eine Schweizer Region für die Speicherung anbieten.

KI verändert die Art des Problems. Eine Inferenz ist keine Datei, die auf einer Festplatte liegt. Es ist ein Moment der Berechnung: Ihr Prompt, Ihre angehängten Dokumente, Ihr Mail-Kontext, alles, was das Modell zur Beantwortung benötigt, alles zusammengeführt und in eine GPU irgendwo geladen. Dieses "irgendwo" ist der Ort, an dem die Daten, wenn auch nur kurz, im Klartext vorliegen. Verschlüsselung während der Übertragung hilft Ihnen beim Inferenzschritt nicht, da das Modell per Definition die Eingabe lesen muss.

Wenn Microsoft also sagt: "Daten im Ruhezustand bleiben in der EU Data Boundary", sagen sie die Wahrheit und beantworten gleichzeitig nicht die Frage, die die meisten regulierten Unternehmen tatsächlich interessiert. Für eine Bank, die unter FINMA-Erwartungen agiert, einen Gesundheitsdienstleister unter dem revidierten FADP oder jedes Unternehmen mit DORA-Verpflichtungen lautet die Frage: Wer, in welcher Gerichtsbarkeit, unter welchem rechtlichen Verfahren, könnte diesen Inhalt theoretisch sehen, während er verarbeitet wird? Mit Flex-Routing verschiebt sich die Antwort von "Europa" zu "hängt von der Auslastung am Dienstag ab".

Der CLOUD Act ist immer noch aktuell

Dies ist der Teil, der das Flex-Routing-Update zu mehr als einer Randnotiz macht. Der US CLOUD Act, seit 2018 in Kraft, erlaubt es US-Behörden, amerikanische Unternehmen zu zwingen, Daten unter ihrer Kontrolle herauszugeben, unabhängig davon, wo sich diese Daten physisch befinden. Das Eidgenössische Justizamt hat wiederholt darüber geschrieben. Das Schweizer Bankengesetz und das revDSG setzen Grenzen dafür, was das Land verlassen oder einer ausländischen Behörde offengelegt werden darf, ohne die entsprechenden Kanäle zu durchlaufen. Ein US-Anbieter, der die Verarbeitung, selbst kurzzeitig, auf US-Boden leitet, befindet sich genau in diesem Spannungsfeld.

Nichts davon ist theoretisch für Finanzinstitute. Jeder, der in den letzten Jahren eine FINMA-Prüfung zum Thema Outsourcing miterlebt hat, weiss, dass „der Anbieter sagt, es sei verschlüsselt“ die Frage nicht beantwortet. Prüfer wollen den Datenfluss sehen. Sie wollen wissen, wer welchen Schlüssel besitzt, welcher Unterauftragsverarbeiter welchen Schritt ausführt und was im unglücklichen Fall passiert, dass eine ausländische Behörde anklopft. Flex-Routing, mit seinem kapazitätsbasierten Rückgriff auf ausländische Gerichtsbarkeiten, ist genau die Art von Sache, die ein sauberes Diagramm in ein unübersichtliches verwandelt.

Eine Kleinigkeit, die Sie diese Woche tun können

Wenn Sie Microsoft 365 Copilot nutzen und bis hierher zustimmend genickt haben, ist die sofortige Lösung schnell umgesetzt. Melden Sie sich mit der Rolle des KI-Administrators im Admin Center an, öffnen Sie Copilot, gehen Sie zu den Einstellungen und wählen Sie unter „Flexible Inferencing während Spitzenlastzeiten“ die Option „Flex-Routing nicht zulassen“. Das war’s. Sie tauschen ein wenig Verfügbarkeit zu Spitzenzeiten gegen die Beibehaltung der Inferenz innerhalb der EU-Datengrenze ein. Für die meisten regulierten Workloads ist das der Kompromiss, den Sie wünschen.

Das schwierigere, langwierigere Thema ist die interne Diskussion, die dies auslösen sollte. Wenn Ihr Anbieter den Verarbeitungsort Ihrer Daten über eine Standardeinstellung ändern kann, die in einem Admin Center landet, während alle im Urlaub sind, was gibt es sonst noch Ähnliches? Welche anderen Dienste haben eine „Spitzenlast“-Klausel in der Dokumentation versteckt? Welche Ihrer KI-Workflows haben Sie tatsächlich End-to-End abgebildet, von der Prompt-Erstellung bis zur Antwortlieferung?

Das grössere Muster

Flex-Routing ist nicht der Skandal, zu dem es in einigen Beiträgen gemacht wird. Es ist eine Designentscheidung, und Microsoft war bei der Veröffentlichung der Details angemessen transparent. Die eigentliche Geschichte ist, dass es ein weiterer Datenpunkt in einem Muster ist: Wenn Ihre Infrastruktur, Ihr Anbieter und Ihr rechtlicher Rahmen alle in verschiedenen Gerichtsbarkeiten angesiedelt sind, kann die technische Bequemlichkeit eines anderen stillschweigend Ihre Compliance-Haltung ausser Kraft setzen. Sie erhalten eine Benachrichtigung, Sie erhalten eine Einstellung, und die Last des Lesens der Versionshinweise landet bei Ihrem Team.

Die unkomplizierte Alternative: Wählen Sie Anbieter, deren Standardeinstellungen bereits dem Regime entsprechen, unter dem Sie operieren, die Ihre Daten nicht woandershin leiten können, weil sie die Infrastruktur dafür nie aufgebaut haben, und deren rechtliche Verpflichtungen denselben Gerichten unterliegen wie Ihre. Das sorgt nicht für dramatische Blogbeiträge. Es sorgt aber für kürzere Audits.

Wie Schweizer Souveränität konkret aussieht

Bei SecureSafe betrachten wir dies aus einem spezifischen Blickwinkel, und es lohnt sich, ehrlich zu sein. Unsere Produkte basieren auf einigen Prinzipien, die das Flex-Routing-Problem für uns strukturell unmöglich machen, nicht nur eine Einstellung, die wir versprechen, deaktiviert zu lassen.

Die Daten befinden sich auf Servern in der Schweiz, in Tier-III-Rechenzentren, mit dreifacher Redundanz. Das Betreiberunternehmen, die DSwiss AG (die Schweizer Einheit hinter SecureSafe), unterliegt Schweizer Recht, das das revDSG, gegebenenfalls das Schweizer Bankgeheimnis und keine Abkürzungen für die Rechtshilfe für US-Behörden unter dem CLOUD Act umfasst. Die Verschlüsselung ist AES-256 und die Architektur ist Zero-Knowledge: Benutzerinhalte werden verschlüsselt, bevor sie im Speicher landen, und die Plattform ist so aufgebaut, dass lesbare Kundendaten nicht für den Betreiber zugänglich sind. Kombinieren Sie dies mit einer Gerichtsbarkeit, die Daten nicht über informelle Kanäle an ausländische Behörden weitergibt, und Sie erhalten eine Haltung, die vom Zeitpunkt der Datenankunft bis zur Löschung innerhalb eines einzigen Rechtsregimes bleibt.

Dieses Design geht der aktuellen Souveränitätsdebatte um einiges voraus. Es wurde für Schweizer Banken entwickelt, die sich seit Jahrzehnten mit solchen Fragen auseinandersetzen. Was sich geändert hat, ist, dass der Rest des Marktes zu denselben Fragen aufschliesst, angetrieben durch die Durchsetzung der DSGVO, DORA, NIS-2 und nun die Erkenntnis, dass KI-Funktionen eine völlig neue Verarbeitungsschicht auf Systemen aufsetzen, die früher hauptsächlich der Speicherung dienten.

Wenn Sie besprechen möchten, was all dies für Ihre eigenen KI- oder Dokumenten-Workflows bedeutet, sind wir für Sie da. Kein aggressiver Verkauf, nur die Details, wie die Daten tatsächlich bewegt werden.