Microsofts KI-Features umgehen Europas Datengrenzen

Microsofts neue KI-Funktionen fallen nicht mehr unter den Datenschutz für EU-Nutzer – ein Problem für Schulen und Behörden.

KI-Funktionen durchbrechen die EU-Datengrenze

Am 3. April 2026 aktualisierte Microsoft seine Dokumentation: Die „Copilot“-Erlebnisse in Microsoft 365, Dynamics und der Power Platform übertragen künftig regelmäßig Kundendaten und pseudonymisierte personenbezogene Daten außerhalb der EU-Datengrenze. Datenschützer schlagen Alarm – sie hatten gehofft, das im Februar 2025 abgeschlossene „EU Data Boundary“-Projekt werde die illegalen Datenflüsse endgültig stoppen.

Während neue Technologien die Grenzen der Datenverarbeitung verschieben, bleibt die Einhaltung der DSGVO für Unternehmen eine kritische Pflicht. Dieser kostenlose Leitfaden zeigt Ihnen in 5 klaren Schritten, wie Sie Ihre rechtssichere Umsetzung im Betrieb sicherstellen. Schritt-für-Schritt-Anleitung zur DSGVO-Umsetzung sichern

Die EU-Datengrenze war eine mehrjährige Ingenieursinitiative. Sie sollte sicherstellen, dass Kundendaten, pseudonymisierte Daten und professionelle Servicedaten für Kern-Cloud-Dienste innerhalb der EU und des Europäischen Wirtschaftsraums (EWR) bleiben. Doch die Integration generativer KI-Modelle – auch in Partnerschaft mit Drittanbietern wie Anthropic – erfordert Datenverarbeitungen, die diese regionalen Beschränkungen umgehen.

Für Schulen bedeutet das ein erhebliches Compliance-Risiko. Bildungseinrichtungen verarbeiten sensible Daten Minderjähriger. Jede Übertragung von Telemetrie- oder Diagnosedaten auf Server in den USA oder andere Drittstaaten benötigt eine Rechtsgrundlage, die viele Aufsichtsbehörden derzeit als nicht gegeben ansehen.

Deutsche Datenschützer uneins – Hessens Freigabe spaltet die Fronten

In Deutschland herrscht ein Flickenteppich widersprüchlicher Rechtsauffassungen. Ende 2025 gab der Hessische Datenschutzbeauftragte (HBDI) grünes Licht: Microsoft 365 könne in Hessen mit „grundsätzlicher Rechtssicherheit“ genutzt werden. Die Entscheidung folgte auf fast ein Jahr intensiver Verhandlungen, in denen Microsoft detaillierte Datenschutzkonzepte und technische Sicherungen vorlegte.

Die hessische Behörde verwies auf veränderte Bedingungen – insbesondere das EU-US-Datenschutzabkommen als tragfähige Rechtsgrundlage für Datentransfers. Das steht im krassen Gegensatz zur Position der Datenschutzkonferenz (DSK), dem Gremium aller 16 Landes- und Bundesdatenschutzbeauftragten. Die DSK hatte Ende 2022 einen 58-seitigen Bericht veröffentlicht, der Microsoft 365 wegen fehlender Transparenz bei den „eigenen Zwecken“ der Datenverarbeitung als DSGVO-widrig einstufte.

Andere Bundesländer bleiben strikter. In Baden-Württemberg scheiterte ein Pilotprojekt zwischen 2020 und 2021 an einer datenschutzkonformen Konfiguration – trotz zusätzlicher Sicherheitsmaßnahmen und deaktivierter Telemetriefunktionen. Das Kultusministerium setzt daher weiterhin auf Open-Source-Alternativen wie Moodle und BigBlueButton.

Europäische Erfolge und Rückschläge für Cloud-Dienste in der Bildung

Die Debatte ist nicht auf Deutschland beschränkt. Im Juli 2025 gab der Europäische Datenschutzbeauftragte (EDPS) grünes Licht für die Nutzung von Microsoft 365 durch die EU-Kommission. Zuvor hatte eine Entscheidung vom März 2024 mehrere Verstöße festgestellt – darunter unerlaubte Offenlegungen und unzureichende Sicherungen bei internationalen Transfers. Die Kommission habe die Mängel bis Dezember 2024 durch vertragliche und technische Maßnahmen behoben, so der EDPS.

Doch dieser Erfolg wurde durch ein Urteil in Österreich konterkariert. Im Oktober 2025 stellte die österreichische Datenschutzbehörde (DSB) fest, dass „Microsoft 365 Education“ Schüler illegal verfolgte. Die von der Bürgerrechtsorganisation noyb eingebrachte Klage zeigte: Die Software setzte Tracking-Cookies ohne Einwilligung, und Microsoft versuchte, die gesamte rechtliche Verantwortung auf die Schulen abzuwälzen – die technisch gar nicht in der Lage waren, die Datenverarbeitung des Anbieters zu prüfen.

Die rechtssichere Dokumentation von Datenflüssen ist für Verantwortliche unerlässlich, um hohe Bußgelder bei Prüfungen zu vermeiden. Mit dieser kostenlosen Excel-Vorlage und der passenden Anleitung erstellen Sie Ihr erforderliches Verarbeitungsverzeichnis zeitsparend und DSGVO-konform. Kostenlose Muster-Vorlage für Verarbeitungsverzeichnis herunterladen

Die österreichische Behörde betonte: Schulen könnten Eltern und Schüler gar nicht umfassend informieren, weil Microsoft keine ausreichende Transparenz über seine Geschäftsprozesse biete. Das Urteil bestätigte die früheren Bedenken der DSK: Wenn eine öffentliche Stelle wie eine Schule einen Auftragsverarbeiter nutzt, darf dieser die personenbezogenen Daten der Schüler nicht für eigene kommerzielle Zwecke verwenden.

Die technische Datengrenze – ein durchlässiger Schutzwall

Microsofts „EU Data Boundary“ wurde ab Januar 2023 in drei Phasen umgesetzt. Phase 1 betraf die Speicherung und Verarbeitung von Kernkundendaten. Phase 2 (Anfang 2024) erweiterte den Schutz auf pseudonymisierte Daten aus dem Servicebetrieb. Die finale Phase (Februar 2025) schloss professionelle Servicedaten ein – Support-Interaktionen und Diagnoseprotokolle sollten ebenfalls in Europa bleiben.

Doch die Dokumentationsänderungen vom April 2026 zeigen: Die „Grenze“ ist nicht absolut. Bestimmte „Copilot“-Erlebnisse und generative KI-Funktionen übertragen nun „einen Teil der Kundendaten“ außerhalb des Schutzbereichs. Für Schulen, die KI im Unterricht einsetzen wollen, entsteht eine neue rechtliche Hürde: Überwiegt der pädagogische Nutzen das Risiko nicht konformer Datentransfers?

Ausblick: Der Weg zur digitalen Souveränität

Der Konflikt zwischen technologischer Innovation und Datenschutz wird die kommende Learntec 2026 in Karlsruhe (Anfang Mai) dominieren. Schulen wollen KI-gestütztes Lernen – doch das Fehlen eines einheitlichen europäischen Standards für Cloud-Software bleibt das größte Hindernis.

Branchenanalysten gehen davon aus, dass die Uneinigkeit der Aufsichtsbehörden – das „Hessische Modell“ der Kooperation versus das „Österreichische Modell“ der strikten Durchsetzung – letztlich den Europäischen Gerichtshof beschäftigen wird. Bis dahin forcieren viele Bildungsministerien „souveräne Cloud“-Lösungen: Sie kombinieren die Funktionalität moderner Kollaborationsplattformen mit strenger lokaler Hosting-Infrastruktur. Ziel ist es, die Abhängigkeit von einzelnen Anbietern zu reduzieren, deren internationale Datenflüsse rechtlich immer wieder auf der Kippe stehen.

de | boerse | 69249593 |