Wer Microsoft 365 Copilot nutzt, arbeitet bisher ausschließlich mit KI-Modellen von OpenAI (GPT-4-Serie). Das ändert sich jetzt grundlegend: Seit März 2026 integriert Microsoft auch Claude AI von Anthropic als alternatives KI-Modell direkt in Copilot. Für Unternehmen eröffnet das neue Möglichkeiten – wirft aber auch Fragen auf, die gerade in Europa genau beantwortet werden müssen.
Was hat sich geändert?
Microsoft verfolgt eine neue Multi-Modell-Strategie. Statt nur auf OpenAI zu setzen, können Administratoren in Zukunft zwischen verschiedenen KI-Modellen wählen – darunter die Claude-Modelle von Anthropic. Konkret bedeutet das:
- Claude AI Opus 4.6 ist jetzt in Copilot Basic, Copilot Premium und Copilot Studio verfügbar
- Außerhalb der EU ist die Nutzung standardmäßig aktiviert (Opt-out)
- Für EU/EFTA- und UK-Kunden ist Claude AI standardmäßig deaktiviert – Admins müssen es bewusst einschalten (Opt-in)
- Ab Ende April 2026 können Admins die Modellauswahl für einzelne Benutzer oder Gruppen steuern (bis zu 999 Kombinationen)
Die gute Nachricht: Eure Verträge gelten weiterhin
Die wichtigste Erkenntnis für Unternehmen: Anthropic ist ein Unterauftragnehmer von Microsoft. Das bedeutet:
- Ihr schließt keinen separaten Vertrag mit Anthropic ab
- Der Microsoft DPA (Data Processing Addendum – die zentrale Datenschutzvereinbarung) gilt vollständig
- Die Microsoft Product Terms gelten – inklusive der Zusage, dass Kundendaten nicht zum Training von KI-Modellen verwendet werden
- Das SLA (Service Level Agreement) gilt weiterhin
- Microsoft Defender und Purview greifen auch für Claude-AI-Interaktionen vollständig
Die Einschränkung: EU Data Boundary umfasst Claude (noch) nicht
Da Anthropic-/Claude-Modelle in Microsoft-Angeboten aktuell nicht unter Microsofts EU Data Boundary fallen, können bei ihrer Nutzung personenbezogene Daten außerhalb der EU/EWR verarbeitet werden. Für eine DSGVO-konforme Nutzung sind daher eine gesonderte Prüfung, geeignete Transfermechanismen und passende Admin-/Tenant-Einstellungen erforderlich.
Microsoft schreibt dazu offiziell: Anthropic-Modelle sind in Microsoft 365 Copilot, Copilot Studio, Power Platform und in den Office-Agenten aus der EU Data Boundary ausgeschlossen – für EU-Data-Boundary- und UK-Kunden sind sie deshalb standardmäßig deaktiviert.[1] Anthropic selbst stützt grenzüberschreitende Verarbeitung bei kommerziellen Produkten über ein DPA mit Standard Contractual Clauses ab – ein gültiger DSGVO-Transfermechanismus, der die eigene Risiko- und Datenkategorienprüfung aber nicht ersetzt.[2]
Was das in der Praxis bedeutet:
| Kriterium | Copilot mit OpenAI | Copilot mit Claude AI |
|---|---|---|
| Verträge | Microsoft DPA, PT, SLA, EDP | Microsoft DPA, PT, SLA, EDP |
| Kein Training mit Kundendaten | ✔ Garantiert | ✔ Garantiert |
| Defender & Purview | ✔ Vollständig | ✔ Vollständig |
| Datenverarbeitung in der EU | ✔ EU Data Boundary | ⚠ Nein – Daten können in die USA gehen (Anthropic nutzt AWS) |
| Sensible Daten (Art. 9–10 DSGVO) | ⚠ Mit Vorsicht | ✘ Nicht empfohlen |
Anthropic hostet seine Modelle auf AWS-Servern, primär in den USA. Wenn Copilot also ein Claude-Modell für eine Anfrage nutzt, können die Daten außerhalb der EU/EWR verarbeitet werden – anders als bei den OpenAI-Modellen, die innerhalb der Microsoft-EU-Infrastruktur laufen. Eine Verarbeitung in den USA ist nicht in jedem Szenario garantiert, aber möglich und muss in der DPIA entsprechend berücksichtigt werden.
Ist der Datentransfer in die USA überhaupt legal?
Ja – aktuell gibt es dafür eine gültige Rechtsgrundlage. Sogar zwei:
1. Das EU-US Data Privacy Framework (DPF)
Seit Juli 2023 gibt es den sogenannten Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO). Er erlaubt den Datentransfer an DPF-zertifizierte US-Unternehmen – und sowohl Microsoft als auch Anthropic sind zertifiziert. Im September 2025 hat das EU-Gericht die Gültigkeit des DPF bestätigt.
Allerdings: Das DPF steht politisch auf wackligen Füßen. Eine Berufung vor dem EuGH ist anhängig. Solange der EuGH nicht entscheidet, ist das DPF aber eine gültige Rechtsgrundlage.
2. Standardvertragsklauseln (SCC) als Plan B
Selbst wenn das DPF kippen sollte, greifen die Standard Contractual Clauses (SCC) – von der EU-Kommission vorgefertigte Musterverträge für den Datentransfer in Drittländer. Microsoft setzt diese parallel ein. Damit gibt es ein doppeltes Sicherheitsnetz.
Was sollten Unternehmen jetzt tun?
Basierend auf der aktuellen Rechtslage und den Empfehlungen von Datenschutz-Experten wie RA Köllner ergeben sich folgende Handlungsempfehlungen:
5 konkrete Schritte für Unternehmen
- Nicht in Panik geraten: Für EU-Kunden ist Claude AI standardmäßig deaktiviert. Es wird nichts ohne eure Zustimmung aktiviert.
- DPIA aktualisieren: Wenn ihr Claude AI aktivieren wollt, muss eure Datenschutz-Folgenabschätzung (DSFA) aktualisiert werden – sie sollte den US-Datentransfer und Anthropic als Unterauftragnehmer berücksichtigen.
- Gezielt testen: Ab Ende April 2026 könnt ihr Claude AI für einzelne Benutzergruppen im POC-Modus (Proof of Concept) freischalten, bevor ihr es breit ausrollt.
- Datenklassifizierung nutzen: Sensitivity Labels und DLP-Richtlinien konsequent einsetzen. Klasse-3/4-Daten (personenbezogene und hochsensible Daten) nicht über Claude-Modelle verarbeiten.
- Mitarbeitende schulen: Eure Teams sollten verstehen, dass Copilot jetzt mit verschiedenen Modellen arbeiten kann – und was das für den Umgang mit Daten bedeutet. (Der EU AI Act Art. 4 verpflichtet euch ohnehin dazu.)
Glossar: Die wichtigsten Abkürzungen
Damit ihr bei all den Kürzeln nicht den Überblick verliert:
- DPA
- Data Processing Addendum – zentrale Datenschutzvereinbarung zwischen Microsoft und eurem Unternehmen
- PT
- Product Terms – Produktbedingungen, die regeln, was Microsoft mit euren Daten darf (und was nicht)
- EDP
- Enterprise Data Protection – Microsofts Datenschutzrahmen für Geschäftskunden
- SLA
- Service Level Agreement – Verfügbarkeitsgarantie
- DPF
- EU-US Data Privacy Framework – Angemessenheitsbeschluss für Datentransfer in die USA
- SCC
- Standard Contractual Clauses – EU-Standardvertragsklauseln als „Plan B“ für Datentransfer
- EU DB
- EU Data Boundary – Microsofts Zusage, dass Daten in der EU bleiben
- DSFA
- Datenschutz-Folgenabschätzung – Pflicht-Risikoanalyse vor KI-Einsatz
- SL
- Sensitivity Labels – Vertraulichkeitskennzeichnungen für Dokumente
- DLP
- Data Loss Prevention – Schutzrichtlinien gegen versehentlichen Datenverlust
Fazit
Die Integration von Claude AI in Microsoft 365 Copilot ist grundsätzlich eine positive Entwicklung: Mehr Modellauswahl bedeutet mehr Flexibilität und potenziell bessere Ergebnisse für unterschiedliche Aufgaben. Die vertraglichen Rahmenbedingungen – DPA, Product Terms und Enterprise Data Protection – gelten vollständig, und Kundendaten werden nicht zum Training genutzt.
Der entscheidende Punkt für europäische Unternehmen bleibt aber: Die EU Data Boundary umfasst Anthropic-Modelle derzeit nicht. Solange das so ist, sollte man bei der Verarbeitung sensibler Daten auf die bewährten OpenAI-Modelle innerhalb der EU-Infrastruktur setzen und Claude AI nur nach dokumentierter Prüfung (DPIA, Datenkategorien, Tenant-Einstellungen) für unkritische Anwendungsfälle einführen.
Die gute Nachricht zum Schluss: AWS hat bereits europäische Hosting-Optionen für Anthropic-Modelle angekündigt. Es ist also nur eine Frage der Zeit, bis auch Claude AI unter die EU Data Boundary fällt. Bis dahin heißt die Devise: Informiert einsetzen, nicht pauschal ablehnen.
Quellen & Belege
- [1] Microsoft Learn: Connect to an AI subprocessor – Anthropic-Modelle außerhalb der EU Data Boundary; für EU/UK-Kunden standardmäßig deaktiviert.
- [2] Anthropic Privacy Center: Data Processing Addendum (DPA) – Standard Contractual Clauses als Transfermechanismus für kommerzielle Produkte.