Wenn ich Copilot gar nicht aktiv nutze, muss ich den Toggle trotzdem prüfen?

Ja. Die Einstellung ist tenant-weit und betrifft alle Microsoft-365-Lizenzen mit Copilot-Berechtigung — auch ungenutzte. Solange Lizenzen zugewiesen sind, kann ein Mitarbeiter ad hoc Copilot triggern. Toggle prüfen ist kein Aufwand und entzieht der Aufsicht das Argument „untätig zugelassen".

Was, wenn die Tenant-Verwaltung über einen externen IT-Dienstleister läuft?

Du bleibst Verantwortlicher im Sinne der DSGVO. Schick dem Dienstleister einen schriftlichen Auftrag, den Toggle abzuschalten plus Bestätigung mit Screenshot. Diesen Schriftwechsel in die Datenschutz-Dokumentation. Wenn der Dienstleister hinhält, ist das ein DPA-Verstoß auf deren Seite — eine harte Eskalations-Karte für dich.

Kann ich Flex Routing pro Abteilung steuern?

Aktuell nein. Der Toggle ist tenant-global. Microsoft hat granulare Steuerung in der Roadmap angekündigt, doch bis dahin gilt: alles oder nichts. Für ein DSGVO-konformes Setup heißt das in der Praxis: für alle ausschalten und ggf. zentral entscheiden, welche Workloads über andere Tools laufen.

Wie informiere ich konkret meine Mitarbeiter — Datenschutzerklärung-Update oder separate Mitteilung?

Beides. Die interne Datenschutzerklärung gehört aktualisiert um den Abschnitt „Copilot — verarbeitete Daten, mögliche Drittland-Transfers, Toggle-Status". Zusätzlich eine kurze Info-Mail (oder Teams-Post) an alle Betroffenen mit Link zur aktualisierten Datenschutzerklärung. Empfehlung: Lesebestätigung einfordern, damit du Art. 13 DSGVO sauber nachweisen kannst.

Was ist der Unterschied zwischen Standardvertragsklauseln (SCC) und dem EU-US Data Privacy Framework?

SCC sind ein vertragliches Konstrukt zwischen exportierendem und importierendem Unternehmen — sie gelten für jedes Drittland. Das DPF ist eine spezifische Angemessenheitsentscheidung der EU-Kommission, die nur für US-Unternehmen mit Selbstzertifizierung gilt. Microsoft nutzt beides parallel: DPF als primäre Rechtsgrundlage für USA, SCC als Backup und für andere Drittländer wie Indien oder Israel. Für Flex Routing problematisch: SCC verlangt ein klar definiertes Ziel-Land, das beim Routing-Algorithmus fehlt.

Microsoft Copilot Flex Routing: Twoje dane z UE bez gwarancji

Praktycznie oznacza to: kto korzysta z Copilota, rozmawia z botem o umowach, danych klientów, aktach pracowniczych — a prompt już nie jest gwarantowany w przejściu przez europejskie centrum danych. Lecz tam, dokąd algorytm routingu Microsoftu akurat chce. Też USA. Indie. Izrael. Możesz pomyśleć: „Przecież jest na to EU-US-DPF!" — lecz ta sprawa ma haczyk.

Co technicznie robi Flex Routing

Do kwietnia 2026 ruch Copilota dla klientów z UE przebiegał z dużym prawdopodobieństwem przez europejskie centrum danych Microsoft. Microsoft nazwał to EU Data Boundary i publicznie zobowiązał się do przechowywania danych klientów z UE w UE. Flex Routing osłabił tę gwarancję — Microsoft uzasadnia to wydajnością. Ale krytyczne jest to: domyślnie jest teraz opt-out zamiast opt-in.

Microsoft tu odwrócił zwyczajowy porządek: najpierw aktywuje, potem informuje klienta i później wyjaśnia mu, jak to wyłączyć.

Co konkretnie się zmieniło? Prompty. Odpowiedzi. Okno kontekstu — czyli również dokumenty, które Copilot czyta w odpowiedzi (aplikacje, umowy, dokumentacja pacjenta) wraz z ich metadanymi. Wszystko to może teraz przejść przez centrum danych Microsoft poza UE w dowolnym momencie.

Gdzie Flex Routing koliduje z DSGVO

Art. 44 DSGVO jest jednoznaczny: każdy transfer danych do kraju trzeciego wymaga konkretnej podstawy prawnej. Dla Microsoft-USA istnieje EU-US Data Privacy Framework, który od 2023 przetrwał dwie sprawy ETS. Ale DPF obejmuje tylko USA — nie Indie, nie Izrael, nie Brazylię. I Flex Routing nie definiuje, dokąd trasują się dane, ale że gdziekolwiek trasowanie się odbywać może.

Jeśli ścieżka transferu nie jest ustalona z góry, nie możesz przypisać odpowiednich standardowych klauzul umownych (SCC). To jest prawna pułapka.

Konkretna konsekwencja: twoja umowa o przetwarzaniu zleconego (DPA) z Microsoft musi obejmować nowe ścieżki do krajów trzecich. Aktualnie tego nie robi — Microsoft powołuje się tylko ogólnie na SCC i DPF. Konferencja Ochrony Danych (DSK) będzie to badać wkrótce, ale do tego czasu siedziasz w zagrożeniu.

Co grozi karami pieniężnymi: Art. 83 ust. 5 DSGVO pozwala na karę do 20 mln € lub 4% rocznego przychodu. Dla małych i średnich sklepów internetowych mówimy praktycznie o 50 000–500 000 €.

Jak niemieckie organy nadzoru mogą zareagować

Reakcja organów ochrony danych na nowe usługi chmury US podąża od lat wyraźnym schematem: najpierw komunikat prasowy z „badamy to", kilka miesięcy później krótkie stanowisko DSK, wreszcie twarde decyzje o karach od miesiąca 12. W przypadku Flex Routing spodziewam się dokładnie tej pętli.

Dwa punkty danych z ostatniej historii:

BayLDA (Bawarskie Biuro Nadzoru Ochrony Danych) wyjaśniło w 2022 roku w swoim raporcie z działalności, że również przy używaniu Microsoft 365 wymagana jest Transfer Impact Assessment (TIA) musi być udokumentowana — nawet jeśli umowa standardowa ogólnie odwołuje się do SCC. Po wejściu w życie EU-US-DPF w 2023 roku organ po cichu wycofał się, ale sam obowiązek TIA pozostał.

LfDI Baden-Württemberg był szczególnie aktywny w tym samym roku i sformułował: administratorzy muszą sprawdzić, gdzie ich dane są faktycznie przetwarzane, a nie tylko to, co umowa formalnie zezwala. Flex Routing uderza w dokładnie tę oś — umowa zezwala na routing, ale administrator w konkretnym przypadku nie zna rzeczywistego celu.

Organy nadzoru nie karają samej obróbki danych, ale braku dokumentacji i możliwości wykazania. Kto wyłączył przełącznik offline i to udokumentował, bierze organom wiatr z żagla.

Dla ciebie to oznacza: na razie jest spokojnie — ale pierwsze decyzje o karach przychodzą, przewidywanie w drugiej połowie 2026. I wtedy nie chcesz być tym, kto musi organowi wyjaśniać, dlaczego Flex Routing u ciebie pozostał włączony.

Poradnik wyłączenia w 5 kliknięciach 😊

Potrzebujesz uprawnień Global Admin. Zaplanuj tutaj około 3 minuty:

Otwórz Admin-Center

admin.microsoft.com odwiedź, u góry po prawej wyświetl opcję "Pokaż wszystko".

Przejdź do Ustawień organizacji

Lewe menu → Ustawienia → Ustawienia organizacji.

Wybierz kartę Usługi

W polu wyszukiwania wpisz "Copilot" i wybierz kartę.

Otwórz kartę Routing

Na karcie Microsoft 365 Copilot kliknij na kartę Data residency & routing .

Wyłącz przełącznik

Ustaw przełącznik "Allow Microsoft to route Copilot traffic globally for performance optimization" na OFF i zapisz.

Następnie Copilot trasuje tylko przez regiony EU-Data-Boundary. Może to Ci kosztować 50–100 ms opóźnienia — mała cena za czystą zgodność z DSGVO.

Przełącznik istnieje, ale ścieżka do niego jest celowo zagmatwana. Microsoft nie chce Cię aktywnie blokować — ale też nie czyni tego łatwym.

Co jeden klick nie obejmuje

Przełącznik obejmuje tylko przyszłe obciążenia. Co dodatkowo potrzebujesz:

Aktualizacja DPA. Jeśli Twoja umowa DPA Microsoft została podpisana przed kwietnia 2026, stary dokument Online Services Terms nie jest już aktualny. Aktualną wersję znajdziesz pod adresem aka.ms/dpa pobierz, sprawdź sekcję "Podwykonawcy", udokumentuj wewnętrznie.

DSFA (Art. 35 DSGVO). Jeśli Copilot przetwarza u Ciebie akta personelu, aplikacje lub dane dotyczące zdrowia, formalnie potrzebujesz oceny wpływu na ochronę danych. Microsoft ci jej nie dostarcza — to Twoja praca domowa jako podmiot odpowiedzialny.

Informacja dla pracowników (Art. 13 DSGVO). Jeśli Copilot działa w oparciu o Twoich pracowników (analizy Outlook, transkrypcje Teams), muszą być wcześniej poinformowani w wewnętrznej polityce prywatności — również o możliwych transferach do krajów trzecich.

Zgodność to więcej niż jeden klick. Do wyłączonego przełącznika należy dokumentacja, informacja dla Twoich pracowników i — gdzie potrzebne — ocena wpływu. Kto zatrzyma się na kliknie, ponosi większość ryzyka dalej.