Microsoft stellt KI-Integration auf neue rechtliche Grundlage

Microsoft aktiviert KI-Modelle von Anthropic standardmäßig weltweit, muss sie für EU-Kunden jedoch aufgrund der DSGVO deaktiviert lassen. IT-Administratoren müssen ihre Einstellungen prüfen.

Microsoft hat die Verwaltung von Dritt-KI-Modellen grundlegend vereinfacht – und für europäische Unternehmen damit neue Fallstricke geschaffen. Seit heute, dem 7. Januar 2026, ist der alte Schalter für die Anthropic-Integration in Microsoft 365 verschwunden.

Vom Zusatzmodul zum festen Bestandteil

Die Abschaltung des veralteten „Opt-in“-Schalters im Admin-Center markiert einen strategischen Wendepunkt. Das KI-Unternehmen Anthropic, bekannt für seine Claude-Modelle, ist nun offiziell ein Microsoft-Subprocessor. Für die meisten kommerziellen Kunden außerhalb Europas bedeutet das: Die leistungsstarken Modelle Claude Sonnet 4 und Opus 4.1 sind jetzt standardmäßig aktiviert.

Der Wechsel vereinfacht die Nutzung erheblich. Anwender können in Apps wie Copilot Studio oder dem Researcher-Agenten nahtlos zwischen OpenAIs GPT-4o und den Claude-Modellen wechseln. Der größte Vorteil für IT-Abteilungen liegt jedoch im Rechtsbereich. Statt separater Nutzungsbedingungen von Anthropic gilt nun der etablierte Microsoft Data Protection Addendum (DPA). Die Datenflüsse unterliegen damit den gleichen strengen Compliance-Grenzen wie alle anderen Microsoft-365-Dienste.

Passend zum Thema Auftragsverarbeitung: Wenn Sie Dritt‑KI wie Anthropic als Subprocessor einsetzen, drohen sofortige Dokumentations‑ und Vertragspflichten – und im Ernstfall Haftungsrisiken für Ihr Unternehmen. Dieses kostenlose E‑Book zur Auftragsdatenverarbeitung erklärt Schritt für Schritt, wie Sie AV‑Verträge prüfen, Prüfprotokolle anlegen und Ihre Subprocessor‑Liste DSGVO‑konform führen. Inklusive fertiger Vorlagen und Checklisten, die IT‑Administratoren sofort einsetzen können. Gratis E-Book: Auftragsdatenverarbeitung jetzt herunterladen

Die europäische Ausnahme: Deaktiviert per Default

Doch was für den Rest der Welt gilt, hat für Europa keine Gültigkeit. Aufgrund der strengen EU-Datenschutzgrundverordnung (DSGVO) und der Data-Boundary-Regelungen bleiben die Anthropic-Modelle für Mandanten in der EU, dem EFTA-Raum und Großbritannien standardmäßig deaktiviert.

Der Grund: Die Verarbeitungsinfrastruktur von Anthropic befindet sich primär in den USA. Für europäische Administratoren, die Claude trotzdem nutzen wollen, heißt das: Sie müssen den neuen Schalter manuell umlegen. Laut Berichten aus der IT-Community findet sich die Steuerung nicht mehr unter „Datenzugriff“, sondern in einer neuen Sektion für „Benutzerzugriff“ innerhalb der Copilot-Einstellungen. Ein falscher Klick könnte hier Zugriffe auf US-Server bedeuten – ein klarer Verstoß gegen die DSGVO.

Dringende Handlungsempfehlungen für IT-Administratoren

Die Änderung erfordert sofortiges Handeln, um Dienstunterbrechungen oder Compliance-Verstöße zu vermeiden.

• Für Nordamerika und Asien-Pazifik: Prüfen Sie, ob die Standardaktivierung mit Ihrer internen KI-Policy übereinstimmt. Sollen ausschließlich OpenAI-Modelle genutzt werden, müssen Sie Anthropic explizit in Einstellungen > Copilot > KI-Anbieter blockieren.
• Für EU und Großbritannien: Wenn Claude genutzt werden soll, ist eine manuelle Freigabe zwingend erforderlich. Andernfalls verlieren Nutzer möglicherweise den Zugang zu bestehenden Workflows.
• Für alle Mandanten: Eine Überprüfung der aktualisierten Subprocessor-Listen und Compliance-Dokumente ist unerlässlich.

Strategischer Schachzug gegen die OpenAI-Abhängigkeit

Hinter der technischen Änderung verbirgt sich eine klare Strategie. Seit der ersten Ankündigung im September 2025 baut Microsoft seine KI-Lieferkette gezielt aus. Die Integration von Anthropic reduziert die Abhängigkeit von OpenAI, über das sich zuletzt Berichte über Reibungen bei Serverkapazitäten und geistigem Eigentum häuften.

Besonders Nutzer in Forschung und Datenanalyse begrüßen den Schritt. Claude-Modelle gelten bei der Verarbeitung großer Kontextfenster und komplexer Logikaufgaben als besonders leistungsfähig. Microsoft normalisiert mit dem Subprocessor-Modell das Konzept „Bring Your Own Model“ (BYOM) – die Nutzung einer Dritt-KI wird so einfach wie das Aktivieren eines Standard-Office-Features.

Doch die unterschiedlichen Default-Einstellungen für die USA und Europa zeigen auch die Grenzen globaler KI-Strategien auf. Sie spiegeln den wachsenden Konflikt zwischen weltweiter Technologieverbreitung und lokalen Datenschutzgesetzen wider. Globale Plattformen müssen ihr Standardverhalten zunehmend aufspalten, um regulatorischen Spagaten wie der DSGVO gerecht zu werden.

Was kommt als Nächstes?

Branchenbeobachter rechnen damit, dass Microsoft das Subprocessor-Modell auf weitere KI-Anbieter ausweiten wird. Spezialmodelle für Gesundheitswesen oder Finanzbranche, etwa von Cohere oder als Open-Source-Modelle auf Azure, gelten als wahrscheinliche Kandidaten.

Für Administratoren steht bereits die nächste wichtige Aktualisierung an: Die „Copilot Security Controls“ Mitte Januar 2026 versprechen detailliertere Einblicke. IT-Teams sollen dann genau sehen können, welche Modelle angefragt werden und wie Daten zwischen Microsoft Graph und externen Subprocessoren fließen. Die Zeit des einfachen Ein-/Ausschalters für KI ist endgültig vorbei. Sie wird ersetzt durch ein komplexes Dashboard mit modellspezifischen Berechtigungen und regionalen Policies.

PS: Vermeiden Sie Compliance‑Lücken bei der Integration fremder KI‑Modelle. Änderungen wie die Anthropic‑Subprocessor‑Integration machen transparente AV‑Verträge und ein gepflegtes Verarbeitungsverzeichnis zwingend. Das kostenlose E‑Book zur Auftragsdatenverarbeitung liefert praxisnahe Vorlagen, Checklisten und Formulierungen, mit denen Sie Ihre Copilot‑ und Subprocessor‑Einstellungen rechtssicher dokumentieren. Jetzt Vorlagen & Checklisten gratis anfordern