Das Wichtigste in Kürze
- Was ändert sich? Microsoft verarbeitet Copilot-Interaktionen (Prompts und KI-Antworten) künftig ausschließlich in deutschen Rechenzentren – nicht mehr verteilt über die EU.
- Warum jetzt relevant? Der größte Datenschutz-Einwand gegen Copilot – unklare Verarbeitungsstandorte – entfällt für Organisationen, die auf nationale Datenverarbeitung angewiesen sind.
- Zeitplan: Rollout in zwei Phasen. Ende 2025 starteten Australien, Großbritannien, Indien und Japan. Deutschland folgt 2026 gemeinsam mit zehn weiteren Ländern.
- Wer profitiert besonders? Behörden, Banken, Versicherungen und das Gesundheitswesen – Branchen mit strengen Vorgaben zu Datenresidenz und EU AI Act.
- Nebeneffekt: Kürzere Wege zum Rechenzentrum bedeuten spürbar geringere Latenz und ein schnelleres Copilot-Erlebnis.
- Copilot Cowork: Die nationale Verarbeitung gilt aktuell für den klassischen Copilot-Chat. Für Cowork ist sie nach unserer Einschätzung nur eine Frage der Zeit.
- Schatten-IT bleibt Thema: Nationale Datenverarbeitung ersetzt keine sauberen Berechtigungen. Ohne Governance wird Copilot weiterhin ungewollt Inhalte sichtbar machen, die eigentlich geschützt sein sollten.
- CodeKlar als Partner: Wir prüfen für Sie, was die neue Datenverarbeitung für Ihre DSGVO- und EU-AI-Act-Dokumentation bedeutet.
Warum Datensouveränität gerade jetzt zählt
Microsoft 365 Copilot ist technisch längst ausgereift. Was viele Unternehmen in Deutschland dennoch zögern lässt, ist nicht die Funktion, sondern die Frage: Wo landen unsere Daten eigentlich, wenn Copilot einen Prompt verarbeitet? Die EU Data Boundary hat diese Frage für gespeicherte Inhalte wie E-Mails, Dateien und Chats weitgehend beantwortet. Bei der eigentlichen KI-Verarbeitung – also dem Moment, in dem ein Prompt an ein Sprachmodell geht und eine Antwort zurückkommt – blieb die Antwort bislang vage: irgendwo in der EU, je nach Auslastung.
Für Behörden, Banken, Versicherungen und das Gesundheitswesen reicht „irgendwo in der EU“ oft nicht aus. Nationale Datenschutzvorgaben, aufsichtsrechtliche Prüfungen und der ab 2. August 2026 greifende EU AI Act verlangen häufig, dass genau nachvollziehbar ist, in welchem Rechenzentrum welches Land Daten verarbeitet werden. Genau an diesem Punkt setzt Microsofts neue Funktion für die nationale Copilot-Datenverarbeitung an.
Die Änderung im Detail: Copilot-Daten bleiben in Deutschland
Microsoft hat angekündigt, dass Kundinnen und Kunden in ausgewählten Ländern künftig festlegen können, dass sämtliche Copilot-Interaktionen ausschließlich in Rechenzentren innerhalb der Landesgrenze verarbeitet werden. Das betrifft nicht nur gespeicherte Inhalte, sondern explizit auch die aktive Verarbeitung: Prompts, die zugehörigen KI-Antworten sowie die Verarbeitung durch die zugrunde liegenden Sprachmodelle laufen dann im regulären Betrieb nicht mehr über Rechenzentren in anderen Ländern.
Paul Lorimer, Corporate Vice President für Office 365 Enterprise und Cloud Engineering bei Microsoft, bringt das Prinzip auf den Punkt: Die Kontrolle über die eigenen Daten soll unabhängig vom Standort der Nutzung erhalten bleiben – von der lokalen Datenresidenz bis zur nationalen Verarbeitung von Copilot-Interaktionen.
Wichtig: Datenresidenz ist nicht gleich nationale Verarbeitung
Datenresidenz beschreibt, wo Inhalte dauerhaft gespeichert werden (SharePoint, OneDrive, Mailbox). Das regelt in der EU seit Jahren die EU Data Boundary.
Nationale Verarbeitung geht weiter: Sie legt fest, in welchem Land der eigentliche Rechenschritt der KI-Anfrage stattfindet – also der Moment der Verarbeitung selbst, nicht nur die spätere Speicherung.
Für Deutschland heißt das konkret: Sobald aktiviert, verlässt eine Copilot-Anfrage im Regelbetrieb Deutschland nicht mehr, weder zur Verarbeitung noch für die Antwortgenerierung.
Möglich wird das durch den Ausbau regionaler Rechenzentrumskapazitäten. Bislang war die volle Datenresidenz für Copilot technisch eingeschränkt, weil die notwendige GPU-Kapazität für KI-Berechnungen nicht überall lokal verfügbar war. Mit dem Aufbau von 15 regionalen Rechenzentrumsstandorten hat Microsoft diese Hürde nun beseitigt.
Der Zeitplan für Deutschland
Im November 2025 kündigte Microsoft an, Copilot-Interaktionen künftig zusätzlich rein national verarbeiten zu können – also innerhalb der jeweiligen Landesgrenze statt EU-weit. Im April 2026 hat Microsoft diesen Zeitplan konkretisiert und dabei auch präzisiert, welche Länder zuerst an der Reihe sind:
- Bis Ende 2026 erhalten Australien, Indien, Großbritannien, die USA und die Vereinigten Arabischen Emirate die Möglichkeit einer rein nationalen Verarbeitung von Copilot-Interaktionen.
- Für Kanada ist die Einführung für 2027 vorgesehen, für Japan für 2028.
- Für Länder innerhalb der EU und der EFTA – und damit auch Deutschland und die Schweiz – liefert Microsoft die Verarbeitung weiterhin auf regionaler Ebene im Rahmen der bestehenden EU Data Boundary, statt einer eigenständigen nationalen Instanz je Land.
Das bedeutet für deutsche Unternehmen konkret: Ein isoliertes deutsches Copilot-Rechenzentrum außerhalb des EU-Verbunds ist derzeit nicht terminiert. Microsoft begründet den regionalen Ansatz für Europa mit den eigenen Sovereignty-Zusagen im Rahmen der EU Data Boundary, die ohnehin bereits ein hohes Schutzniveau bieten und für ganz Europa einheitlich funktionieren.
Praxis-Tipp Verlassen Sie sich bei der Planung auf die offiziellen Angaben im Microsoft 365 Roadmap-Tracker und im Microsoft-365-Blog, nicht auf ältere Presseartikel. Microsoft hat den ursprünglichen Zeitplan vom November 2025 im April 2026 selbst aktualisiert – ein gutes Beispiel dafür, wie dynamisch sich die Sovereignty-Angebote gerade weiterentwickeln
Was das für Ihre DSGVO- und EU-AI-Act-Compliance bedeutet
Die nationale Verarbeitung ersetzt keine Datenschutz-Folgenabschätzung und keine Auftragsverarbeitungsvereinbarung. Sie verändert aber die Ausgangslage für drei Punkte, die in DSGVO- und EU-AI-Act-Prüfungen regelmäßig zur Sprache kommen:
- Nachweisbarkeit des Verarbeitungsorts: Statt „innerhalb der EU“ lässt sich künftig „innerhalb Deutschlands“ dokumentieren – ein handfestes Argument in Verarbeitungsverzeichnis und Datenschutz-Folgenabschätzung.
- Reduzierte Angriffsfläche für Drittlandübermittlungen: Je enger der Verarbeitungsraum gefasst ist, desto einfacher lässt sich die Frage nach Zugriffen aus Nicht-EU-Rechtsräumen beantworten.
- Bessere Ausgangslage für regulierte Branchen: Für Institute mit Vorgaben aus NIS2, DORA oder branchenspezifischen Aufsichtsregeln entfällt ein Standardeinwand, der bislang viele Pilotprojekte gebremst hat.
Ein angenehmer Nebeneffekt: Weil Anfragen nicht mehr quer durch Europa geroutet werden müssen, sinkt die Antwortzeit spürbar – ein Vorteil vor allem bei zeitkritischen Aufgaben wie Meeting-Zusammenfassungen oder der Arbeit mit großen Dokumenten.
Praxis-Tipp
Prüfen Sie schon jetzt, ob Ihr Tenant für die EU Data Boundary korrekt konfiguriert ist und ob das sogenannte Flex Routing aktiv ist. Flex Routing kann KI-Anfragen bei hoher Auslastung kurzfristig auch außerhalb der EU verarbeiten lassen. Sobald die nationale Verarbeitung für Deutschland verfügbar ist, lohnt sich ein Abgleich beider Einstellungen im Microsoft 365 Admin Center.
Warum Microsoft hier die Nase vorn hat
Die Detailkorrektur beim Zeitplan ändert nichts an der grundsätzlichen Richtung: Kaum ein Anbieter investiert derzeit so konsequent in überprüfbare Datensouveränität wie Microsoft. Neben der EU Data Boundary hat das Unternehmen zuletzt mehrere zusätzliche Bausteine eingeführt, die europäischen Kunden zugutekommen:
- Ein europäischer Verwaltungsrat, besetzt ausschließlich mit europäischen Staatsbürgern, überwacht die Einhaltung europäischer Gesetze im Rechenzentrumsbetrieb.
- Data Guardian leitet jeden Fernzugriff von Microsoft-Mitarbeitenden auf europäische Kundendaten über EU-basierte Prüfstellen und protokolliert ihn manipulationssicher.
- Microsoft 365 Local ermöglicht Organisationen mit besonders hohen Anforderungen, Kernanwendungen auf eigener Infrastruktur zu betreiben, inklusive einer für 2026 angekündigten vollständig getrennten Betriebsart.
- Das AI-Cloud-Partnerprogramm erhält eine eigene „Digital Sovereignty Specialization“, mit der zertifizierte Partner wie CodeKlar souveräne Cloud-Lösungen auf Azure- und Microsoft-365-Basis nachweislich umsetzen können.
Diese Kombination aus vertraglichen Zusagen, technischer Infrastruktur und organisatorischer Kontrolle ist einer der Gründe, warum sich immer mehr Unternehmen in Deutschland bei ihrer KI-Strategie klar für Microsoft entscheiden: Wer ohnehin auf Microsoft 365 arbeitet, bekommt mit Copilot keinen zusätzlichen fremden KI-Dienst, sondern eine Erweiterung derselben vertrauten, vertraglich abgesicherten Umgebung.
Copilot Chat wird zum Standard in Microsoft 365
Während die Sovereignty-Roadmap weiter reift, entwickelt sich Copilot selbst rasant weiter. Seit dem 1. Juli 2026 ist Copilot fester Bestandteil von Microsoft 365 und kein befristetes Zusatzpaket mehr. Die agentischen Funktionen in Word, Excel und PowerPoint – also die Fähigkeit, mehrstufige Aufgaben eigenständig zu planen und auszuführen, statt nur einzelne Fragen zu beantworten – sind jetzt allgemein verfügbar.
Auch bei der Modellauswahl zeigt Microsoft Offenheit: In Copilot Chat lässt sich inzwischen wählen, welches Sprachmodell eine Anfrage bearbeitet, unter anderem Modelle von Anthropic für komplexe Analysen und strukturierte Inhalte. Für Unternehmen bedeutet das mehr Flexibilität, ohne die gewohnte Microsoft-365-Oberfläche zu verlassen.
Diese Entwicklung erklärt auch, warum das Interesse an Copilot gerade jetzt so groß ist: Unternehmen, die noch vor einem Jahr abgewartet haben, sehen jetzt ein Produkt, das tief integriert, vertraglich abgesichert und funktional ausgereift ist. Copilot ist damit für viele der naheliegende erste Schritt in die produktive KI-Nutzung, weil er in einer Umgebung startet, die im Unternehmen ohnehin schon läuft.
Was noch offen ist
Bei aller positiven Entwicklung lohnt sich ein ehrlicher Blick auf die Punkte, die für deutsche Unternehmen noch nicht final geklärt sind:
- Kein festes Datum für rein nationale Verarbeitung in Deutschland: Microsoft hat die EU bewusst dem regionalen Modell zugeordnet. Ob und wann eine eigenständige nationale Option für Deutschland folgt, ist aktuell nicht terminiert.
- Flex Routing: Bei hoher Auslastung kann Microsoft KI-Anfragen kurzfristig auch außerhalb der EU verarbeiten lassen, um Antwortzeiten zu sichern. Diese Einstellung lässt sich im Microsoft 365 Admin Center deaktivieren, sollte aber bewusst geprüft und dokumentiert werden.
- Copilot Cowork: Der autonome Agent, der mehrstufige Aufgaben eigenständig über mehrere Apps hinweg ausführt, nutzt unter anderem Modelle von Anthropic als Unterauftragsverarbeiter. Diese Verarbeitung findet nicht automatisch innerhalb der EU Data Boundary statt und sollte vor dem produktiven Einsatz gesondert bewertet werden.
- Laufende Weiterentwicklung: Wie die Aktualisierung vom April 2026 zeigt, passt Microsoft Zeitpläne und Details bei Bedarf an. Wer heute plant, sollte die Roadmap regelmäßig neu prüfen, statt sich auf einen einmal gelesenen Stand zu verlassen.
Keiner dieser Punkte ist ein Grund, auf Copilot zu verzichten. Es sind vielmehr die typischen Fragen, die bei der Einführung jeder leistungsfähigen Cloud-Plattform sauber dokumentiert gehören, gerade weil Microsoft die Funktionen so schnell weiterentwickelt.
Schatten-IT: warum Governance trotzdem Pflicht bleibt
Ein Punkt wird bei aller Diskussion über Verarbeitungsstandorte gerne übersehen: Copilot löst kein einziges Berechtigungsproblem, das in einem Tenant bereits vorher bestand. Copilot respektiert konsequent die vorhandenen Zugriffsrechte in Microsoft 365, nicht mehr und nicht weniger. Wenn über Jahre gewachsene SharePoint-Freigaben zu großzügig vergeben wurden, macht Copilot genau das sichtbar, was vorher schlicht niemand gefunden hat.
Genau deshalb ist die konsequente Nutzung von Microsoft Purview mit Sensitivity Labels und Data-Loss-Prevention-Richtlinien so wichtig. Sie ist keine Bremse für Copilot, sondern die Voraussetzung dafür, dass eine leistungsstarke KI innerhalb klarer, dokumentierter Grenzen arbeitet:
- Berechtigungen konsolidieren: „Jeder im Unternehmen“-Freigaben kritisch prüfen und durch klar definierte Gruppen ersetzen.
- Sensitivity Labels konsequent nutzen: Vertrauliche und streng vertrauliche Inhalte so kennzeichnen, dass Copilot sie zuverlässig ausblendet.
- Schatten-IT eindämmen: Wildwuchs bei privat genutzten KI-Tools außerhalb des Microsoft-Tenants ist genau das Risiko, das eine saubere, zentral verwaltete Copilot-Einführung eigentlich überflüssig machen soll.
Kurz gesagt: Microsofts Fortschritte bei der Datensouveränität nehmen Unternehmen die Sorge um den geografischen Standort zunehmend ab. Wer aber vorher schon ein Berechtigungsproblem hatte, hat es danach immer noch – nur eben innerhalb eines immer klareren rechtlichen Rahmens.
Unser Ansatz bei CodeKlar
Wir begleiten Unternehmen dabei, Microsoft 365 Copilot von Anfang an sauber, dokumentiert und im Einklang mit DSGVO und EU AI Act einzuführen:
- Bestandsaufnahme: Wir prüfen, wie Ihr Tenant aktuell für EU Data Boundary und Flex Routing konfiguriert ist.
- Berechtigungs-Audit: Wir identifizieren zu breit vergebene Freigaben, bevor Copilot sie sichtbar macht.
- Dokumentation: Wir unterstützen bei Verarbeitungsverzeichnis und Datenschutz-Folgenabschätzung und halten sie aktuell, wenn sich Microsofts Sovereignty-Angebot weiterentwickelt.
- Laufende Begleitung: Wir behalten die Microsoft-Roadmap für Sie im Blick, inklusive der Frage, wann weitere Länder und Copilot Cowork bei der nationalen Verarbeitung nachziehen.
Einen ausführlichen Überblick über Berechtigungen, EU Data Boundary und die vertraglichen Grundlagen finden Sie außerdem in unserem Leitfaden Microsoft Copilot DSGVO-konform: Leitfaden für Unternehmen 2026.
Mehr zu unserer Copilot-Beratung inklusive Sicherheits- und Compliance-Check lesen Sie auf unserer Leistungsseite Microsoft 365 Security & Compliance.
Fazit
Microsoft treibt die Datensouveränität für Copilot spürbar voran: europäischer Verwaltungsrat, Data Guardian, wachsende Rechenzentrumskapazitäten und ein klarer Fahrplan für nationale Verarbeitung in ersten Märkten. Für Deutschland bleibt es aktuell beim regionalen EU-Data-Boundary-Modell – und das ist, richtig konfiguriert, bereits ein sehr solides Fundament für DSGVO- und EU-AI-Act-Compliance. Wer die offenen Punkte kennt, sauber dokumentiert und Berechtigungen im Griff hat, kann Copilot schon heute mit gutem Gewissen einführen und ist bestens vorbereitet, sobald Microsoft den nächsten Schritt bei der nationalen Verarbeitung für Europa ankündigt.
Jetzt Copilot-Compliance für Ihr Unternehmen prüfen lassen
Möchten Sie wissen, was die aktuelle Sovereignty-Roadmap von Microsoft konkret für Ihre DSGVO- und EU-AI-Act-Dokumentation bedeutet? Wir prüfen Ihren Microsoft 365 Tenant, klären offene Berechtigungsfragen und begleiten Sie von der ersten Bestandsaufnahme bis zur laufenden Betreuung.
Beratung anfragen!Sprechen Sie mit uns über einen Compliance-Check für Microsoft Copilot in Ihrem Unternehmen.

