Claude AI kommt in Microsoft 365 Copilot

Wer Microsoft 365 Copilot nutzt, arbeitet bisher ausschließlich mit KI-Modellen von OpenAI (GPT-4-Serie). Das ändert sich jetzt grundlegend: Seit März 2026 integriert Microsoft auch Claude AI von Anthropic als alternatives KI-Modell direkt in Copilot. Für Unternehmen eröffnet das neue Möglichkeiten – wirft aber auch Fragen auf, die gerade in Europa genau beantwortet werden müssen.

Was hat sich geändert?

Microsoft verfolgt eine neue Multi-Modell-Strategie. Statt nur auf OpenAI zu setzen, können Administratoren in Zukunft zwischen verschiedenen KI-Modellen wählen – darunter die Claude-Modelle von Anthropic. Konkret bedeutet das:

Claude AI Opus 4.6 ist jetzt in Copilot Basic, Copilot Premium und Copilot Studio verfügbar
Außerhalb der EU ist die Nutzung standardmäßig aktiviert (Opt-out)
Für EU/EFTA- und UK-Kunden ist Claude AI standardmäßig deaktiviert – Admins müssen es bewusst einschalten (Opt-in)
Ab Ende April 2026 können Admins die Modellauswahl für einzelne Benutzer oder Gruppen steuern (bis zu 999 Kombinationen)

Warum macht Microsoft das? Verschiedene KI-Modelle haben unterschiedliche Stärken. Claude AI gilt beispielsweise als besonders stark bei längeren Texten, Analysen und komplexem Reasoning. Durch die Modellvielfalt können Unternehmen das jeweils beste Modell für ihre Aufgaben nutzen – ohne die Plattform wechseln zu müssen.

Die gute Nachricht: Eure Verträge gelten weiterhin

Die wichtigste Erkenntnis für Unternehmen: Anthropic ist ein Unterauftragnehmer von Microsoft. Das bedeutet:

Ihr schließt keinen separaten Vertrag mit Anthropic ab
Der Microsoft DPA (Data Processing Addendum – die zentrale Datenschutzvereinbarung) gilt vollständig
Die Microsoft Product Terms gelten – inklusive der Zusage, dass Kundendaten nicht zum Training von KI-Modellen verwendet werden
Das SLA (Service Level Agreement) gilt weiterhin
Microsoft Defender und Purview greifen auch für Claude-AI-Interaktionen vollständig

Kurz gesagt: Ob euer Copilot mit OpenAI oder Claude AI arbeitet – die vertraglichen Garantien bleiben die gleichen. Eure Daten werden nicht zum Training genutzt, und die Sicherheitsmechanismen greifen wie gewohnt.

Die Einschränkung: EU Data Boundary gilt (noch) nicht für Claude

Und hier wird es für europäische Unternehmen wichtig: Anthropic-Modelle sind aktuell von der EU Data Boundary ausgenommen. Was das bedeutet:

Kriterium	Copilot mit OpenAI	Copilot mit Claude AI
Verträge	Microsoft DPA, PT, SLA, EDP	Microsoft DPA, PT, SLA, EDP
Kein Training mit Kundendaten	✔ Garantiert	✔ Garantiert
Defender & Purview	✔ Vollständig	✔ Vollständig
Datenverarbeitung in der EU	✔ EU Data Boundary	⚠ Nein – Daten können in die USA gehen (Anthropic nutzt AWS)
Sensible Daten (Art. 9–10 DSGVO)	⚠ Mit Vorsicht	✘ Nicht empfohlen

Anthropic hostet seine Modelle auf AWS-Servern, primär in den USA. Wenn Copilot also ein Claude-Modell für eine Anfrage nutzt, verlassen die Daten potenziell die EU – anders als bei den OpenAI-Modellen, die innerhalb der Microsoft-EU-Infrastruktur laufen.

Ist der Datentransfer in die USA überhaupt legal?

Ja – aktuell gibt es dafür eine gültige Rechtsgrundlage. Sogar zwei:

1. Das EU-US Data Privacy Framework (DPF)

Seit Juli 2023 gibt es den sogenannten Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO). Er erlaubt den Datentransfer an DPF-zertifizierte US-Unternehmen – und sowohl Microsoft als auch Anthropic sind zertifiziert. Im September 2025 hat das EU-Gericht die Gültigkeit des DPF bestätigt.

Allerdings: Das DPF steht politisch auf wackligen Füßen. Eine Berufung vor dem EuGH ist anhängig. Solange der EuGH nicht entscheidet, ist das DPF aber eine gültige Rechtsgrundlage.

2. Standardvertragsklauseln (SCC) als Plan B

Selbst wenn das DPF kippen sollte, greifen die Standard Contractual Clauses (SCC) – von der EU-Kommission vorgefertigte Musterverträge für den Datentransfer in Drittländer. Microsoft setzt diese parallel ein. Damit gibt es ein doppeltes Sicherheitsnetz.

Wichtig: Trotz der rechtlichen Absicherung empfiehlt es sich, keine besonders sensiblen Daten (Art. 9–10 DSGVO: Gesundheitsdaten, Gewerkschaftszugehörigkeit, ethnische Herkunft) über Claude-Modelle zu verarbeiten, solange die EU Data Boundary für Anthropic noch nicht greift.

Was sollten Unternehmen jetzt tun?

Basierend auf der aktuellen Rechtslage und den Empfehlungen von Datenschutz-Experten wie RA Köllner ergeben sich folgende Handlungsempfehlungen:

5 konkrete Schritte für Unternehmen

Nicht in Panik geraten: Für EU-Kunden ist Claude AI standardmäßig deaktiviert. Es wird nichts ohne eure Zustimmung aktiviert.
DPIA aktualisieren: Wenn ihr Claude AI aktivieren wollt, muss eure Datenschutz-Folgenabschätzung (DSFA) aktualisiert werden – sie sollte den US-Datentransfer und Anthropic als Unterauftragnehmer berücksichtigen.
Gezielt testen: Ab Ende April 2026 könnt ihr Claude AI für einzelne Benutzergruppen im POC-Modus (Proof of Concept) freischalten, bevor ihr es breit ausrollt.
Datenklassifizierung nutzen: Sensitivity Labels und DLP-Richtlinien konsequent einsetzen. Klasse-3/4-Daten (personenbezogene und hochsensible Daten) nicht über Claude-Modelle verarbeiten.
Mitarbeitende schulen: Eure Teams sollten verstehen, dass Copilot jetzt mit verschiedenen Modellen arbeiten kann – und was das für den Umgang mit Daten bedeutet. (Der EU AI Act Art. 4 verpflichtet euch ohnehin dazu.)

Glossar: Die wichtigsten Abkürzungen

Damit ihr bei all den Kürzeln nicht den Überblick verliert:

DPA: Data Processing Addendum – zentrale Datenschutzvereinbarung zwischen Microsoft und eurem Unternehmen
PT: Product Terms – Produktbedingungen, die regeln, was Microsoft mit euren Daten darf (und was nicht)
EDP: Enterprise Data Protection – Microsofts Datenschutzrahmen für Geschäftskunden
SLA: Service Level Agreement – Verfügbarkeitsgarantie
DPF: EU-US Data Privacy Framework – Angemessenheitsbeschluss für Datentransfer in die USA
SCC: Standard Contractual Clauses – EU-Standardvertragsklauseln als „Plan B“ für Datentransfer
EU DB: EU Data Boundary – Microsofts Zusage, dass Daten in der EU bleiben
DSFA: Datenschutz-Folgenabschätzung – Pflicht-Risikoanalyse vor KI-Einsatz
SL: Sensitivity Labels – Vertraulichkeitskennzeichnungen für Dokumente
DLP: Data Loss Prevention – Schutzrichtlinien gegen versehentlichen Datenverlust

Fazit

Die Integration von Claude AI in Microsoft 365 Copilot ist grundsätzlich eine positive Entwicklung: Mehr Modellauswahl bedeutet mehr Flexibilität und potenziell bessere Ergebnisse für unterschiedliche Aufgaben. Die vertraglichen Rahmenbedingungen – DPA, Product Terms und Enterprise Data Protection – gelten vollständig, und Kundendaten werden nicht zum Training genutzt.

Der entscheidende Punkt für europäische Unternehmen bleibt aber: Die EU Data Boundary greift für Anthropic-Modelle noch nicht. Solange das so ist, sollte man bei der Verarbeitung sensibler Daten auf die bewährten OpenAI-Modelle innerhalb der EU-Infrastruktur setzen – und Claude AI gezielt für unkritische Anwendungsfälle einführen.

Die gute Nachricht zum Schluss: AWS hat bereits europäische Hosting-Optionen für Anthropic-Modelle angekündigt. Es ist also nur eine Frage der Zeit, bis auch Claude AI unter die EU Data Boundary fällt. Bis dahin heißt die Devise: Informiert einsetzen, nicht pauschal ablehnen.

Michael Hanßen

Gründer der Hirschberg Academy und Experte für KI-Sichtbarkeit und KI-Transformation in Unternehmen. Die Hirschberg Group unterstützt Unternehmen mit KI-Workshops, Schulungen und Strategieberatung.

hirschberg.group

Claude AI kommt in Microsoft 365 Copilot – Was das für Unternehmen in der EU bedeutet