Microsoft hat zum 17. April 2026 eine Standardeinstellung in Microsoft 365 Copilot geändert und damit eine Frage neu aufgeworfen, die viele Betriebe längst beantwortet glaubten: Wo werden eigentlich die Daten verarbeitet, die ein Hotel, ein Restaurant oder ein Caterer täglich an die KI füttert?
Die Antwort lautet seit dem Stichtag: möglicherweise nicht mehr in Europa. Mit dem neuen Feature Flex Routing darf Microsoft Copilot-Anfragen automatisch in Rechenzentren in den USA, Kanada oder Australien auslagern, sobald die europäischen Kapazitäten knapp werden. Die Funktion ist standardmäßig aktiv: bei Neukundenkonten ohnehin, bei Bestandskonten wird sie automatisch eingeschaltet, sofern der Administrator nicht ausdrücklich widerspricht.
Was Flex Routing technisch bedeutet
Bisher galt für viele europäische Microsoft-Kunden eine einfache Faustregel: EU-Tenant, EU-Speicherort, EU-Verarbeitung. Diese Faustregel ist nicht mehr verlässlich. Zwar bleiben die Daten weiterhin in europäischen Rechenzentren gespeichert, der Moment der Verarbeitung, also die sogenannte Inferenz, kann jedoch außerhalb der EU stattfinden.
Genau in diesem Moment werden die Daten für das Sprachmodell zugänglich gemacht: Prompts, E-Mail-Inhalte, Dokumente, Metadaten. Verschlüsselung im Transport und im Ruhezustand schützen davor nicht, der Verarbeitungsschritt selbst erfordert lesbare Daten.
Warum das die Gastronomie- und Hotelbranche betrifft
Auf den ersten Blick wirkt das Thema technisch. In der Praxis hat es konkrete Berührungspunkte mit dem Tagesgeschäft eines HoReCa-Betriebs:
Reservierungssysteme und Gästekommunikation laufen in vielen Häusern über Outlook und Exchange. Personalakten, Dienstpläne und Lohnabrechnungen werden in SharePoint oder OneDrive abgelegt. Lieferantenverträge, Einkaufslisten, F&B-Kalkulationen sind alles Microsoft-365-Materialien. Und sobald Copilot eingeschaltet ist, fasst die KI auf Knopfdruck Meetings zusammen, durchsucht Postfächer oder formuliert Antworten an Gäste.
Verlässt die Verarbeitung dieser Inhalte die EU, geraten Betreiber in einen regulatorischen Graubereich. Die DSGVO verlangt für Drittlandtransfers personenbezogener Daten klare Rechtsgrundlagen. Größere Hotelgruppen und Cateringunternehmen, die unter NIS2 oder DORA fallen, haben zusätzliche Dokumentations- und Auditpflichten. Wer Gästedaten per Copilot zusammenfassen lässt, ohne zu wissen, ob diese Verarbeitung in Frankfurt oder Phoenix stattfindet, hat ein Compliance-Problem, auch dann, wenn die Daten am Ende wieder im europäischen Speicher landen.
Wie sich Flex Routing deaktivieren lässt
Die Abschaltung dauert wenige Minuten und erfordert die Rolle „KI-Administrator" im Microsoft 365 Admin Center. Der Pfad führt über Copilot → Einstellungen → Flexible Inferenz in Zeiten hoher Auslastung. Dort lässt sich die Option „Flex Routing nicht zulassen" auswählen. Größere Häuser sollten die Einstellung in ihre IT-Richtlinien aufnehmen und im Auftragsverarbeitungsvertrag dokumentieren.
Wichtig zu wissen: Wer Flex Routing deaktiviert, akzeptiert im Gegenzug eine geringere Verfügbarkeit zu Spitzenzeiten. Microsoft kann Anfragen dann nicht mehr ausweichen, wenn die EU-Kapazitäten ausgelastet sind. Ein Trade-off, den jeder Betrieb für sich bewerten muss – der aber bewusst getroffen werden sollte, nicht versehentlich.
Eine europäische Alternative: Nextcloud
Wer die Abhängigkeit von US-Anbietern grundsätzlicher überdenken will, findet in Europa etablierte Gegenentwürfe. Die bekannteste Open-Source-Plattform ist Nextcloud, entwickelt in Stuttgart. Sie vereint Dateiablage, Kalender, Kontakte, E-Mail und Videokonferenzen unter einem Dach und ergänzt in Verbindung mit OnlyOffice oder Collabora eine vollwertige Office-Suite zum gemeinsamen Bearbeiten von Dokumenten und Tabellen direkt im Browser. Betreiben lässt sich das System entweder auf eigener Hardware oder bei europäischen Hostern wie Hetzner oder IONOS. Der Verarbeitungsort ist damit vertraglich und technisch eindeutig festgelegt und keine stille Standardänderung kann das im Nachhinein verschieben.
Eine Lösung von der Stange ist Nextcloud nicht. Der Umstieg verlangt IT-Ressourcen oder einen erfahrenen Dienstleister, der die Migration begleitet, und Mitarbeitende müssen sich an eine andere Bedienlogik gewöhnen. Für inhabergeführte Häuser kann das ein Hindernis sein. Für Hotelketten und größere Cateringgruppen mit eigener IT-Abteilung sieht die Rechnung dagegen oft anders aus, zumal Nextcloud inzwischen auch einen eigenen KI-Assistenten anbietet, der mit europäischen oder sogar selbst gehosteten Sprachmodellen arbeitet. Der Inferenz-Ort ist dann keine Frage des Anbieter-Defaults mehr, sondern eine Entscheidung des Betreibers.
Handlungsempfehlungen für Hoteliers und Gastronomen
Bis sich die strategische Frage nach dem richtigen Anbieter klärt, hilft eine geordnete Bestandsaufnahme. Sechs Punkte, die jeder HoReCa-Betrieb mit Microsoft 365 in den kommenden Wochen abarbeiten sollte:
- Aktiven Nutzerkreis ermitteln. Welche Mitarbeitenden haben Copilot-Lizenzen, in welchen Abteilungen wird die KI tatsächlich eingesetzt? Reservierung, Front Office, Personalbüro und Buchhaltung haben sehr unterschiedliche Risikoprofile, die Inventur ist die Voraussetzung für jede weitere Entscheidung.
- Flex Routing prüfen und dokumentiert entscheiden. Aktuellen Status im Admin Center kontrollieren, gemeinsam mit Datenschutzbeauftragtem oder externem Berater entscheiden, ob die Funktion deaktiviert wird und die Entscheidung schriftlich festhalten. Im Audit zählt nicht das Ergebnis, sondern der nachweisbare Abwägungsprozess.
- Verzeichnis der Verarbeitungstätigkeiten aktualisieren. Wenn Copilot personenbezogene Daten verarbeitet – also Gästeprofile, Mitarbeiterunterlagen, Bewerbungen – muss das im VVT erfasst sein. Mögliche Drittlandtransfers gehören explizit dokumentiert, ebenso die Rechtsgrundlage.
- Mitarbeitende sensibilisieren. Vielen ist nicht bewusst, dass Copilot Inhalte aus Postfächern und Dokumenten verarbeitet. Eine kurze interne Richtlinie, welche Inhalte nicht in Copilot-Prompts gehören, wie z.B. Kreditkartendaten, Krankmeldungen, Personalstammdaten, Gästepräferenzen mit gesundheitlichem Bezug, verhindert einen Großteil der typischen Datenschutzpannen.
- Sektorspezifische Pflichten klären. Hotelgruppen und Cateringunternehmen ab einer gewissen Größe können unter NIS2, DORA oder andere branchenspezifische Vorgaben fallen, die ein systematisches Drittanbieter-Risikomanagement verlangen. Wer im Bereich Lebensmittelproduktion oder -distribution tätig ist, sollte den eigenen NIS2-Status ohnehin geprüft haben.
- Mittelfristige Anbieterstrategie entwickeln. Nicht jeder Dienst muss über Nacht abgelöst werden. Sinnvoll ist ein Pfad: Welche Funktionen (Mail, Dateiablage, Office, KI-Assistenz) sollen perspektivisch auf europäische Lösungen umgestellt werden, welche bleiben? Wer einen solchen Plan hat, kann auf das nächste überraschende Anbieter-Update gelassener reagieren.
Inhabergeführte Häuser ohne eigenen Datenschutzbeauftragten sollten spätestens jetzt einen externen DSB konsultieren. Die Investition liegt im niedrigen vierstelligen Bereich pro Jahr und damit deutlich unter dem, was ein DSGVO-Bußgeld kosten kann.
In eigener Sache: Die Inproma GmbH betreibt mit PRO-DSGVO ein eigenes Datenschutzangebot, das nicht nur externe Datenschutzbeauftragte für Hotellerie und Gastronomie stellt, sondern auch eine dazu passende Compliance-Software anbietet. Mehr Informationen finden Sie auf der Webseite oder Sie vereinbaren hier direkt einen Informationstermin.
Die größere Frage hinter dem Stichtag
Flex Routing ist im Kern eine technische Lastenoptimierung. Politisch ist es etwas anderes: ein Lehrstück darüber, wie ein US-Anbieter seine eigenen Datenschutzversprechen per Standardeinstellung verschieben kann und wie schnell Datensouveränität von einer beworbenen Eigenschaft zu einer Konfigurationsfrage wird, die jeder Kunde selbst überwachen muss.
Für Hoteliers und Gastronomen, die ohnehin mit knappen IT-Ressourcen arbeiten, ist das eine unangenehme Botschaft. Die Verantwortung, regulatorische Veränderungen beim Anbieter zu erkennen und zu bewerten, liegt am Ende beim Betrieb selbst. Ein Update-Hinweis im Admin Center reicht aus, die Konsequenzen für die Gästedatenverarbeitung trägt der Betreiber.
Wer ohnehin gerade über die digitale Infrastruktur seines Hauses nachdenkt, sollte die Frage nach der Datensouveränität deshalb nicht den Compliance-Beauftragten überlassen. Sie gehört neben Energiekosten, Fachkräftemangel und EU-Berichtspflichten auf den Tisch der Geschäftsführung. Der Unterschied ist nur: Flex Routing lässt sich mit drei Klicks abstellen.
