Wer in europäischen Unternehmen oder Behörden sensible Daten verarbeitet, blickt beim Einkauf von Software zuerst auf eine Zeile im Datenblatt: Serverstandort Europa. Jahrelang galt das als das goldene Ticket für die DSGVO-Compliance.
Doch seit Frühjahr 2026 ist dieses Ticket für viele Nutzer von Microsoft-basierten Diensten wertlos geworden. Stillheimlich hat Microsoft eine Funktion namens „Flex Routing“ standardmäßig aktiviert. Die Konsequenz: Ihre Daten wandern trotz europäischem Serverstandort mit hoher Wahrscheinlichkeit zur Verarbeitung in die USA.
Für KRITIS Unternehmen, Behörden und Unternehmen, die auf maximale Datensouveränität angewiesen sind, verändert das die Spielregeln grundlegend – und betrifft weitaus mehr Tools, als man auf den ersten Blick vermutet
Table of Contents
ToggleWas ist Flex Routing und wie funktioniert es?
Unter dem Begriff Flex Routing (gelegentlich auch Flexible Inferencing genannt) versteht Microsoft ein dynamisches Lastenmanagement für KI-Modelle. Wenn die europäischen Rechenzentren zu Stoßzeiten unter hoher Auslastung leiden, werden KI-Anfragen automatisch in Regionen umgeleitet, in denen gerade Kapazitäten frei sind – primär in die USA, nach Kanada oder Australien.
Das Problem dabei liegt im Detail der technischen Verarbeitung:
-
Inferenz-Phase betroffen: Die Ausleitung in die USA passiert nicht mit anonymisierten Datenschnipseln. Sie erfolgt während der sogenannten Inferenz-Phase. Zu diesem Zeitpunkt hat die Anfrage bereits die interne Anreicherung (Retrieval-Augmented Generation / RAG) durchlaufen.
-
Das Datenpaket: Es wird nicht nur ein isolierter Prompt verschoben. Es wandert das gesamte Paket über den Atlantik – inklusive der verknüpften internen E-Mails, Dokumente, Metadaten und Systemprompts.
-
Aggressives Opt-out: Flex Routing wurde für neue Mandanten standardmäßig aktiviert. Wer seine Daten zwingend in Europa halten will, muss als Administrator aktiv widersprechen und tiefe Einstellungen im Microsoft 365 Admin Center sowie dem Power Platform Admin Center anpassen.
Zusätzlich verschärft wird die Lage dadurch, dass Microsoft Drittanbieter wie Anthropic (Claude) als Subprozessoren integriert hat, die laut offizieller Dokumentation ohnehin komplett außerhalb der EU Data Boundary operieren.
Der Domino-Effekt: Warum auch Ihre AI-Meeting-Assistenten betroffen sind
Wer nun denkt: „Kein Problem, wir nutzen Microsoft Copilot einfach nicht“, greift zu kurz. Die IT-Welt ist durch APIs tief vernetzt. Viele spezialisierte Tools auf dem Markt bauen ihre Kerntechnologie nicht selbst, sondern setzen im Hintergrund auf die Infrastruktur der großen US-Hyperscaler.
Das gilt besonders für das Segment der AI-Meeting-Assistenten und Transkriptions-Tools. Viele bekannte Marktteilnehmer – wie beispielsweise SpeechMind oder Sally – nutzen für ihre Kernfunktionen wie die automatisierte Spracherkennung (Speech-to-Text) die Cloud-Infrastruktur von Microsoft Azure.
Das regulatorische Risiko: Wenn ein Tool die Spracherkennung über Microsoft Azure abwickelt und Microsoft im Hintergrund die Rechenlasten per Flex Routing dynamisch verteilt, geraten auch die Protokolle Ihrer vertraulichen Meetings, Aufsichtsratssitzungen oder Kundengespräche in den Sog des US-Datentransfers. Aus Sicht von Regularien wie NIS2 oder DORA entsteht hier ein unkalkulierbares Third-Party-Risiko in der Lieferkette.
Die Lösung: Echte digitale Souveränität mit Tucan.ai
Diese Entwicklung hat sich leider mittlerweile seit Jahren abgezeichnet. Für uns war immer klar: Wer die Daten seiner Kunden wirklich schützen will, darf sich nicht von den Schiebereglern und Kapazitätsengpässen amerikanischer Tech-Konzerne abhängig machen.
Deshalb unterscheidet sich die Architektur von Tucan.ai grundlegend vom Rest des Marktes:
1. Eigene, proprietäre Spracherkennung
Tucan.ai verlässt sich für die Umwandlung von Sprache in Text nicht auf Microsoft Azure, Google oder AWS. Wir setzen auf eine eigene, proprietäre Spracherkennungs-Engine, die von unserem Team in Deutschland entwickelt wurde. Ihre Audiodaten werden direkt in unserer geschützten Umgebung verarbeitet – ohne Umweg über Drittanbieter-APIs.
2. 100 % deutsches Hosting – immun gegen den US CLOUD Act
Die gesamte Plattform von Tucan.ai wird auf den Servern der Hetzner Online GmbH in Nürnberg betrieben. Als rein deutsches Unternehmen unterliegt Tucan.ai im Gegensatz zu US-amerikanischen Cloud-Anbietern nicht dem US CLOUD Act. Behörden, Kanzleien und KRITIS-Unternehmen genießen damit absolute Rechtssicherheit und echte Immunität gegen unbefugte Datenzugriffe aus Drittstaaten.
3. Volle Flexibilität durch On-Premise-Betrieb
Während die meisten Tools auf dem Markt reine SaaS-Lösungen (Software-as-a-Service) in der Cloud sind, gehen wir bei Tucan.ai einen Schritt weiter. Für Organisationen mit den höchsten Sicherheitsanforderungen bieten wir eine vollwertige On-Premise-Installation an. Die gesamte KI-Struktur läuft dann autark in Ihrem eigenen Rechenzentrum. Sicherer geht es nicht.
Fazit: Zeit zum Umdenken beim KI-Einkauf
Die Einführung von Flex Routing zeigt schmerzhaft, dass das Versprechen eines „europäischen Serverstandorts“ bei US-Diensten oft nur eine Momentaufnahme ist. Ändert sich die politische Lage in den USA, greifen US Behörden durch – bis nach Europa. Ein einziger Eintrag im Message Center des Cloud-Anbieters reicht aus, um etablierte Compliance-Zusagen über Nacht auszuhebeln.
Wenn Sie sicherstellen wollen, dass die gesprochenen und geschriebenen Inhalte Ihrer Organisation garantiert in Deutschland bleiben, müssen Sie auf technologische Unabhängigkeit setzen.
Möchten Sie Ihre Meeting-Protokollierung auf ein rechtssicheres Fundament stellen?
Haben Sie Interesse an einem Beratungsgespräch? Buchen Sie hier Ihren kostenlosen Termin.