Compliance ist eine Systemeigenschaft, kein einfaches Ankreuzfeld

Drei Meldungen innerhalb von drei Wochen erzählen eine Geschichte, die keine von ihnen für sich allein erzählt. GitHub kündigt an, dass Copilot auf eine nutzungsbasierte Abrechnung umstellt, da agentische Workloads die bestehenden Preise in die Höhe treiben. Microsoft aktiviert standardmäßig das „Flex Routing“ für Microsoft 365 Copilot, wodurch die Inferenzanfragen europäischer Kunden bei Kapazitätsengpässen in der EU an Rechenzentren in den USA, Kanada oder Australien weitergeleitet werden. Und Microsofts eigene Nutzungsbedingungen, die im Oktober letzten Jahres stillschweigend aktualisiert wurden, weisen Nutzer an, sich bei wichtigen Entscheidungen nicht auf Copilot zu verlassen – das Produkt sei „nur zu Unterhaltungszwecken“ gedacht. Zusammengenommen sind dies keine drei voneinander unabhängigen Geschichten. Sie offenbaren etwas Strukturelles darüber, was Unternehmen tatsächlich kaufen, wenn sie einen von einem Hyperscaler gebündelten KI-Assistenten erwerben. Und sie schärfen die Frage, die sich europäische Unternehmen gerade jetzt stellen sollten: Wie sieht durchsetzbare KI-Compliance tatsächlich aus, wenn das Modell nur eine Ebene des Systems ist?

Dies ist der vierte Beitrag einer Reihe, die ich in den letzten Monaten für neuland.ai verfasst habe. In jedem einzelnen habe ich versucht, dasselbe Grundargument voranzutreiben: dass der Wert, das Risiko und der Wettbewerbsvorteil bei Unternehmens-KI nicht dort liegen, wo sie in der öffentlichen Diskussion meist verortet werden. Sie liegen nicht im Modell. Sie liegen in der Ebene darüber und drum herum. [¹]

Im Februar schrieb ich über die Kluft zwischen „Prompt-First“-Automatisierung und systemtechnischer KI – die fehlende Steuerungsebene, die LLMs von Chatbots in kontrollierte Unternehmensfunktionen verwandelt. [²] Im April schrieb ich darüber, was die stillen Standardänderungen in Claude Code über Modelldrift und die Notwendigkeit der Beobachtbarkeit mehrerer LLMs verrieten. [³] Letzte Woche schrieb ich darüber, warum die Modelltopologie – wo das Modell läuft, wer es steuert, wie es orchestriert wird – mittlerweile folgenreicher ist als die Frage, welches Modell den nächsten Benchmark gewinnt. [⁴]

Dieser Beitrag führt diesen Gedankengang noch einen Schritt weiter. Compliance ist eine Systemeigenschaft, keine Modelleigenschaft. Und die drei Copilot-Geschichten vom April sind der deutlichste Beweis dafür, warum diese Unterscheidung wichtig ist.

Geschichte 1: Die Kostenstruktur ist nicht stabil

Am 27. April gab GitHub bekannt, dass Copilot ab dem 1. Juni 2026 auf eine nutzungsbasierte Abrechnung umgestellt wird. [⁵] Premium-Anfrageeinheiten werden durch GitHub-AI-Credits ersetzt, die gemäß den veröffentlichten API-Tarifen pro Token für Eingabe, Ausgabe und zwischengespeicherten Kontext verbraucht werden. Die Preise für die Basispläne bleiben unverändert – doch die Fallback-Funktionen, die bisher die Produktivität von Vielnutzern sicherstellten, werden entfernt, und Administratoren müssen nun die Credit-Budgets auf Unternehmens-, Kostenstellen- und Benutzerebene aktiv verwalten.

Die Begründung von GitHub ist ehrlich und verdient es, sorgfältig zitiert zu werden: Die agentische Nutzung von Copilot ist zum Standard geworden, autonome Codierungssitzungen können um ein Vielfaches mehr Inferenzleistung verbrauchen als Chat-Anfragen, und „das aktuelle Premium-Anfragemodell ist nicht mehr tragbar.“ [⁵] Mit anderen Worten: GitHub hat Kostenabweichungen aufgefangen, die es nicht mehr auffangen kann.

Hier geht es nicht um eine Preiserhöhung. Es geht um Preistransparenz und Budgetvorhersehbarkeit für eine Arbeitslast, die es vor achtzehn Monaten noch gar nicht gab. Finanzvorstände und Beschaffungsteams, die Copilot-Verträge auf Basis von „pro Arbeitsplatz“ abgeschlossen haben, werden bald feststellen, dass „pro Arbeitsplatz“ ein Überbleibsel eines Marktes war, der sich inzwischen weiterentwickelt hat.

Zweite Geschichte: Der Datenfluss ist nicht stabil

Am 17. April dokumentierte Proton, dass Microsoft das „Flex Routing“ in Microsoft 365 Copilot für neue Kundenkonten aktiviert hat, die nach dem 25. März 2026 erstellt wurden – und es für bestehende Kunden standardmäßig aktiviert, sofern diese sich nicht dagegen entscheiden. [⁶] Im Rahmen des „Flex Routing“ kann die LLM-Inferenz für EU-Kunden in den USA, Kanada oder Australien verarbeitet werden, wenn die Kapazitäten in europäischen Rechenzentren knapp werden.

Microsoft vertritt den Standpunkt, dass die Daten während der Übertragung und im Ruhezustand verschlüsselt bleiben, was zutrifft. Die Inferenz ist jedoch der Moment, in dem die Daten tatsächlich entschlüsselt und in den Modellkontext übertragen werden, um verarbeitet zu werden. Wo diese Verarbeitung stattfindet, entsteht ein regulatorisches Risiko – gemäß DSGVO, NIS2, DORA und dem EU-KI-Gesetz. [⁷] Der Proton-Artikel enthält auch eine praktische Schritt-für-Schritt-Anleitung zum Deaktivieren der Einstellung, die ich jedem Microsoft 365-Administrator, der dies liest, als grundlegende Maßnahme zur Einhaltung der Compliance ans Herz legen möchte.

Was diese Geschichte strukturell bedeutsam macht, ist nicht die Existenz von Flex-Routing – Kapazitätsrouting ist in der Cloud-Technik gang und gäbe. Es ist vielmehr die Tatsache, dass die Standardeinstellung auf „Ein“ gesetzt war und die Last, diese Funktion zu deaktivieren, dem Kunden auferlegt wurde. Die Compliance-Abteilung jedes europäischen Microsoft 365-Mandanten ist nun offiziell dafür verantwortlich, die Konfigurationsabweichungen der Standardeinstellungen eines Anbieters bei einem Produkt zu überwachen, das dieser Anbieter kontrolliert. Das ist eine grundlegend andere Beschaffungshaltung, als die meisten Organisationen glauben, dass sie sie derzeit praktizieren.

Geschichte Nummer drei: Die Geschäftsbedingungen des Verkäufers sind der umfassendste Haftungsausschluss überhaupt

Die dritte Geschichte ist jene, die interne Debatten entschiedener beenden sollte, als dies bisher der Fall war. In den eigenen Nutzungsbedingungen von Microsoft für Copilot, die im Oktober 2025 aktualisiert wurden, heißt es unmissverständlich: „Copilot dient ausschließlich Unterhaltungszwecken. Es kann Fehler machen und funktioniert möglicherweise nicht wie beabsichtigt. Verlassen Sie sich bei wichtigen Entscheidungen nicht auf Copilot. Die Nutzung von Copilot erfolgt auf eigene Gefahr.“ [⁸]

Es stimmt, dass Haftungsausschlüsse wie dieser teilweise Standardformulierungen sind, die zur Haftungsbeschränkung verfasst wurden. Es stimmt aber auch, dass sie aus gutem Grund existieren. Wenn ein Anbieter Nutzer schriftlich anweist, sich bei wichtigen Ratschlägen nicht auf ein Tool zu verlassen, es aber gleichzeitig in Word, Excel, Teams, Outlook und Windows 11 integriert, handelt es sich dabei nicht um einen Widerspruch. Es ist eine Klarstellung darüber, wo die Haftung tatsächlich liegt. Der Anbieter teilt Ihnen genau mit, wofür er eine Gewähr übernimmt – nämlich für nichts – und wofür er keine Gewähr übernimmt – nämlich für alles andere. Das Produkt wird als Produktivitäts-Tool für den ernsthaften Geschäftsbetrieb verkauft und im selben Jahr, vom selben Unternehmen, für dieselbe Software als Unterhaltungsangebot abgetan.

Was verbindet die drei Geschichten miteinander?

Man könnte versucht sein, dies als drei separate Geschichten rund um Microsoft Copilot zu betrachten. Das sind sie jedoch nicht. Es handelt sich um drei Blickwinkel auf dieselbe zugrunde liegende Architektur.

Microsoft betreibt ein Produkt, dessen wirtschaftliche Rahmenbedingungen nicht stabil genug sind, um das ursprüngliche Preismodell aufrechtzuerhalten, dessen Datenflüsse nicht stabil genug sind, um Verpflichtungen zur Datenlokalisierung unter Last einzuhalten, ohne anderweitig in Verzug zu geraten, und dessen rechtliche Lage nicht stabil genug ist, um die in den Marketingunterlagen empfohlenen Anwendungsfälle zu rechtfertigen. Jede dieser Eigenschaften ist eine Eigenschaft des von Microsoft aufgebauten Systems – keine Eigenschaft des zugrunde liegenden Sprachmodells. Keine davon wird durch einen Wechsel von GPT-4.x zu Claude oder zurück behoben. Keine davon wird allein durch die EU-Datengrenze behoben. Sie sind systemisch.

Und entscheidend: Dieses Muster ist nicht spezifisch für Microsoft. Es ist die natürliche Folge des Kaufs von agentischer KI von einem in den USA eingetragenen Hyperscaler, der unter dem CLOUD Act operiert, dem US-Vertragsrecht unterliegt, global für die Kapazitätszuweisung optimiert und finanzielle Schwankungen absorbiert, die sich in großem Maßstab als unaufnehmbar erweisen. Schrems II bleibt hierfür die verbindliche Rechtsprechung für europäische Unternehmen, und der Europäische Datenschutzbeauftragte hat die Europäische Kommission selbst bereits formell wegen nicht konformer Nutzung von Microsoft 365 gerügt. [⁹] Wenn die EU-Kommission Microsoft 365 nicht in Übereinstimmung mit ihren eigenen Vorschriften betreiben kann, wird der Weg für alle anderen nicht auf magische Weise einfacher.

Was wichtiger ist als Copilot

Hier ist der Punkt, der meiner Meinung nach in der öffentlichen Diskussion noch nicht klar genug herausgearbeitet wurde und sich direkt aus den architektonischen Argumenten meiner früheren Beiträge ergibt.

Wenn über die Compliance von KI diskutiert wird, dreht sich die Debatte fast immer um die Modellebene. Wo wird das Modell gehostet? Auf wessen Servern läuft die Inferenz? Wurde das Basismodell mit europäischen Daten trainiert? Das sind berechtigte Fragen, und sie sind wichtig. Aber sie sind nicht mehr die entscheidende Einschränkung. Moderne KI-Workloads sind agentisch, was bedeutet, dass das Modell nicht nur Text generiert – es ruft Tools auf. Tools fragen SAP ab, greifen auf SharePoint zu, versenden E-Mails, rufen Webseiten ab, schreiben in Datenbanken, lösen Workflows aus. Jeder Tool-Aufruf ist ein zusätzlicher Datenfluss. Jeder externe API-Aufruf fällt unter eine zusätzliche Rechtsordnung.

Ein in Frankfurt gehostetes Modell, das ein Tool aufruft, welches Kontextdaten an einen in den USA gehosteten SaaS-Dienst weiterleitet, ist nicht DSGVO-konform. Es handelt sich um ein Modell in Frankfurt, das ein Tool aufruft, welches Kontextdaten an einen in den USA gehosteten SaaS-Dienst weiterleitet. Der rechtliche Status der Modellebene hat keine rückwirkende Auswirkung auf den rechtlichen Status der Tool-Ebene. Und Microsoft selbst macht dies in seiner eigenen veröffentlichten Dokumentation deutlich: Bing-Suchanfragen von Copilot fallen nicht unter die EU-Datengrenze, und Anthropic-Modelle, auf die über Copilot zugegriffen wird, sind von den Verpflichtungen der EU-Datengrenze und von den Verpflichtungen zur Verarbeitung im Inland ausgenommen. [¹⁰] Der Anbieter verschweigt dies nicht. Der Anbieter dokumentiert es. Der Kunde liest es nur nicht immer.

Genau das meine ich, wenn ich sage, dass Compliance eine Systemeigenschaft ist. Der gesamte Ablauf – Benutzeridentität, Eingabedaten, Abruf, Modellinferenz, Tool-Aufrufe, Aufrufe externer APIs, Audit-Protokollierung, Speicherung der Ausgabe – muss als geschlossene Kette durchgesetzt werden können. Und das ist nichts, was man nachträglich an ein von Hyperscalern kontrolliertes KI-Produkt anfügt. Entweder wird dies von der Orchestrierungsebene von Grund auf gewährleistet, oder es geschieht überhaupt nicht. Die drei Copilot-Sicherheitsvorfälle in zwölf Monaten – EchoLeak (CVE-2025-32711, Juni 2025), der Reprompt-Angriff (Januar 2026) und die im Februar 2026 bekannt gewordene Umgehung der Sensitivitätskennzeichnung – sind keine drei Zufälle. Es handelt sich um drei unabhängige Belege dafür, dass selbst innerhalb der Grenzen des Microsoft-eigenen Dienstes die Vertrauensgrenze zwischen Copilot und den Daten, auf die es zugreifen kann, in der Praxis nicht immer durchsetzbar ist. [¹¹]

Wie neuland.ai dazu steht

Der neuland.ai HUB ist als souveräne Plattform für das Management und die Orchestrierung von KI konzipiert. Wir sind bewusst unabhängig von Hyperscalern: Kunden betreiben den HUB auf der Infrastruktur, die ihre Compliance-Anforderungen erfordern – vor Ort, in einer in der EU angesiedelten Private Cloud oder in einer Hyperscaler-Region, sofern die Workloads dies tatsächlich zulassen. Die darunterliegende Modellschicht ist von Grund auf Multi-LLM ausgelegt: offene Modelle, die wir hosten (GLM-5.1, Mistral Large 3, DeepSeek, Qwen und andere) für Workloads, bei denen die Leistungsfähigkeit mittlerweile wettbewerbsfähig ist, proprietäre Endpunkte (Claude, GPT), bei denen die Leistungslücke die Abhängigkeit noch rechtfertigt, sowie die Möglichkeit, jedes dieser Modelle auszutauschen, ohne die Integrationsoberfläche des Unternehmens neu schreiben zu müssen. [¹²]

Entscheidend ist, dass die Compliance auf der Orchestrierungsebene durchgesetzt wird – nicht auf der Modellebene. RBAC, Audit, Aufbewahrung, Ausgaberichtlinien, Governance bei Tool-Aufrufen, Leistungsabstraktion, Kontextdisziplin: Dies sind Eigenschaften des HUB, die einheitlich auf jedes Modell, an das Daten weitergeleitet werden, und jedes Tool, das aufgerufen wird, angewendet werden. Genau das ermöglicht es neuland.ai, eine Garantie zu geben, die ein von Hyperscalern gebündelter KI-Assistent nicht geben kann: dass der gesamte Datenfluss – Modell + Tools + Abruf + Audit – innerhalb eines Perimeters liegt, den der Kunde kontrolliert.

Das ist auch die Antwort auf eine Frage, die mir Kunden manchmal stellen: Wird neuland.ai immer an der absoluten Modellfront stehen? Ehrlich gesagt: nein. Wenn am Dienstag ein neues Modell auf den Markt kommt, ist es nicht unbedingt schon am Mittwoch in unserem HUB verfügbar. Wir brauchen Zeit, um es anhand der Workloads zu evaluieren, die für unsere Kunden tatsächlich von Bedeutung sind, um sein Verhalten anhand unserer Governance-Vorgaben zu validieren und um es in die Routing-Ebene zu integrieren. Zwei Wochen Due Diligence sind keine Verzögerung, für die wir uns entschuldigen müssen. Es ist diese Sorgfalt, die das Produkt vertrauenswürdig macht. Geschwindigkeit ohne Souveränität ist keine Geschwindigkeit; es ist Risiko in einem schnelleren Zeitrahmen.

Meine persönliche Meinung

Ich möchte hier mit der Formulierung vorsichtig sein. Dieser Beitrag richtet sich nicht gegen Microsoft. Er richtet sich gegen blindes Vertrauen. Copilot ist ein echtes Produktivitätswerkzeug, M365 bildet die Grundlage der europäischen Unternehmens-IT, und die meisten Kunden, mit denen wir zusammenarbeiten, verfügen über eine Microsoft-Infrastruktur, die nicht verschwinden wird. [¹³] Der HUB ergänzt diese Infrastruktur, er steht nicht im Widerspruch dazu.

Wogegen ich mich wehre, ist ein bestimmtes Muster, das sich auf dem europäischen Markt weit verbreitet hat: Anbieter, die die Architektur eines US-Hyperscaler-Produkts kopieren, einen schlanken, in der EU gehosteten Inferenz-Endpunkt betreiben und das Ergebnis als „DSGVO-konform“ bezeichnen. Compliance ist kein Aufkleber. Sie ist eine Eigenschaft des gesamten Datenflusses, von Anfang bis Ende, einschließlich der Tool-Ebene, deren Existenz Unternehmen oft vergessen, bis etwas durchgesickert ist. An dem Tag, an dem ein Tool-Aufruf innerhalb eines dieser Produkte regulierte Daten an eine in den USA gehostete Abhängigkeit weiterleitet, bricht das Compliance-Argument zusammen – und zwar rückwirkend, für jede Interaktion, die das System jemals verarbeitet hat.

Die Frist für die Umsetzung des EU-KI-Gesetzes im August 2026 ist nun nur noch etwas mehr als drei Monate entfernt. [¹⁴] Die Frage, die sich jeder europäische CIO und CISO stellen sollte, lautet nicht: „Wird unser Modell in der EU gehostet?“, sondern: „Ist unser gesamtes KI-System – Modell, Tools, Datenabruf, Audit – als souveräne Kette umsetzbar, und kontrollieren wir die Topologie durchgängig?“ Wenn die ehrliche Antwort „Nein“ lautet, sind die Architekturentscheidungen im zweiten Quartal 2026 die folgenreichsten, die ihre Organisation in diesem Jahr treffen wird.

Wir bei neuland.ai gehen lieber auf Nummer sicher. Wenn das bedeutet, dass ein Modell zwei Wochen später in unserem HUB landet als anderswo, ist das in Ordnung. Wir haben unsere Sorgfaltspflicht erfüllt. Der Kunde kann nachts ruhig schlafen.

¹ Artikelserie verfügbar unter neuland.ai/insights.

² „Control Panels, Execution Surfaces und das Ende der Prompt-First-Automatisierung“, neuland.ai, 19. Februar 2026.

³ „Wenn KI-Systeme plötzlich schlechter werden: Was Unternehmen wirklich aus der Debatte um den Claude-Code lernen sollten“, neuland.ai, 17. April 2026.

⁴ „Open Weights belegte den ersten Platz. Meta schied aus. Die eigentliche Frage ist, wo diese Modelle tatsächlich laufen“, neuland.ai, April 2026.

⁵ Mario Rodriguez (Chief Product Officer, GitHub), „GitHub Copilot stellt auf nutzungsbasierte Abrechnung um“, GitHub-Blog, 27. April 2026. Gültig ab 1. Juni 2026; Premium-Anfrageeinheiten werden durch GitHub-KI-Credits ersetzt; Fallback-Funktionen werden entfernt; Budgetkontrollen für Administratoren werden eingeführt.

⁶ Alanna Alexander, „Was Microsoft 365 Copilot Flex Routing für EU-Unternehmen bedeutet – eine Erklärung“, Proton Business Blog, 17. April 2026. Flex Routing ist standardmäßig für neue Konten aktiviert, die nach dem 25. März 2026 erstellt wurden; Deaktivierung über das Microsoft 365 Admin Center → Copilot → Einstellungen → „Flexible Inferenz während Spitzenlastzeiten“.

⁷ Verordnung (EU) 2024/1689 (KI-Gesetz), Verordnung (EU) 2016/679 (DSGVO), Richtlinie (EU) 2022/2555 (NIS2), Verordnung (EU) 2022/2554 (DORA).

⁸ Nutzungsbedingungen für Microsoft Copilot, aktualisiert im Oktober 2025, wie von Jowi Morales berichtet: „Microsoft sagt, Copilot sei nur für Unterhaltungszwecke gedacht, nicht für den ernsthaften Einsatz“, Tom’s Hardware, 3. April 2026.

⁹ Entscheidung des Europäischen Datenschutzbeauftragten, März 2024: Die Europäische Kommission wurde angewiesen, nicht konforme Microsoft 365-Datenflüsse auszusetzen und bis zum 9. Dezember 2024 die Einhaltung der Vorschriften nachzuweisen. Schrems II (EuGH C-311/18, 16. Juli 2020) bleibt die bindende Rechtsprechung zu Datenübermittlungen von der EU in die USA; Der CLOUD Act (USA, 2018) schafft extraterritoriale Zugriffsverpflichtungen für in den USA eingetragene Anbieter, unabhängig vom physischen Speicherort der Daten.

¹⁰ Microsoft Learn: „Unternehmensdatenschutz in Microsoft 365 Copilot und Microsoft 365 Copilot Chat“ – ausdrücklicher Fußverweis: „Die EU-Datengrenze gilt nicht für Web-Suchanfragen. Darüber hinaus sind Anthropic-Modelle derzeit von der EU-Datengrenze und, sofern zutreffend, von Verpflichtungen zur Verarbeitung im Inland ausgenommen.“ Microsoft Learn: „Datenschutz und Schutzmaßnahmen in Microsoft 365 Copilot Chat“ – „Anrufe an das LLM werden an die nächstgelegenen Rechenzentren in der Region weitergeleitet, können aber auch in andere Regionen geleitet werden, in denen bei besonders hoher Auslastung größere Kapazitäten verfügbar sind.“

¹¹ Aim Security, „EchoLeak“ (CVE-2025-32711, CVSS 9.3), Zero-Click-Schwachstelle durch Eingabeaufforderungs-Injektion in Microsoft 365 Copilot, bekannt gegeben im Juni 2025, behoben. Varonis Threat Labs, „Reprompt“-Angriff auf Microsoft Copilot, Januar 2026 – heimliche Datenexfiltration nach Beendigung der Chat-Sitzung. Umgehung der Vertraulichkeitskennzeichnung (CW1226324), Februar 2026 – Copilot fasste E-Mails mit Vertraulichkeitskennzeichnung trotz Microsoft Purview-Kontrollen zusammen; gemeldet von VentureBeat.

¹² Optionen für selbst gehostete Open-Weight-Modelle (Stand: April 2026): GLM-5.1 (Z.ai, MIT), DeepSeek-V3.2 (MIT), Qwen 3.6 (Apache 2.0), Mistral Large 3 (Apache 2.0). Proprietäre Endpunkte wurden integriert, wo eine Lücke in den Fähigkeiten die Abhängigkeit rechtfertigt.

¹³ Microsoft 365 wurde Anfang 2026 weltweit auf etwa 400 Millionen kostenpflichtigen kommerziellen Lizenzen eingesetzt.

¹⁴ Siehe Fußnote 7. Die Durchsetzungsbefugnisse und Verpflichtungen für Hochrisikobereiche des EU-KI-Gesetzes treten am 2. August 2026 in Kraft.