Claude AI in Microsoft 365 Copilot: Was EU-Unternehmen jetzt wissen müssen

01Was hat sich geändert?

Microsoft verfolgt eine neue Multi-Modell-Strategie. Statt nur auf OpenAI zu setzen, können Administratoren in Zukunft zwischen verschiedenen KI-Modellen wählen – darunter die Claude-Modelle von Anthropic. Konkret bedeutet das:

• Claude AI Opus 4.6 ist jetzt in Copilot Basic, Copilot Premium und Copilot Studio verfügbar
• Außerhalb der EU ist die Nutzung standardmäßig aktiviert (Opt-out)
• Für EU/EFTA- und UK-Kunden ist Claude AI standardmäßig deaktiviert – Admins müssen es bewusst einschalten (Opt-in)
• Ab Ende April 2026 können Admins die Modellauswahl für einzelne Benutzer oder Gruppen steuern

Warum macht Microsoft das?

Verschiedene KI-Modelle haben unterschiedliche Stärken. Claude AI gilt als besonders stark bei längeren Texten, Analysen und komplexem Reasoning. Durch die Modellvielfalt können Unternehmen das jeweils beste Modell für ihre Aufgaben nutzen – ohne die Plattform wechseln zu müssen.

02Die gute Nachricht: Eure Verträge gelten weiterhin

Die wichtigste Erkenntnis für Unternehmen: Anthropic ist ein Unterauftragnehmer von Microsoft. Das bedeutet:

• Ihr schließt keinen separaten Vertrag mit Anthropic ab
• Der Microsoft DPA (Data Processing Addendum) gilt vollständig
• Die Microsoft Product Terms gelten – inklusive der No-Training-Garantie
• Microsoft Defender und Purview greifen auch für Claude-AI-Interaktionen

Kurz gesagt:

Ob euer Copilot mit OpenAI oder Claude AI arbeitet – die vertraglichen Garantien bleiben die gleichen. Eure Daten werden nicht zum Training genutzt, und die Sicherheitsmechanismen greifen wie gewohnt.

03Die Einschränkung: EU Data Boundary umfasst Claude (noch) nicht

Da Anthropic-/Claude-Modelle derzeit nicht von Microsofts EU Data Boundary umfasst sind, kann ihre Nutzung zu einer Verarbeitung personenbezogener Daten außerhalb der EU/EWR führen. Für den DSGVO-konformen Einsatz sollten Unternehmen daher vor der Aktivierung insbesondere Datenkategorien, Transfermechanismen, DPA/SCCs, DPIA-Erfordernis sowie die verfügbaren Admin- und Tenant-Einstellungen prüfen.

Microsoft schreibt offiziell, dass Anthropic-Modelle in Microsoft 365 Copilot, Copilot Studio, Power Platform sowie in den Word-/Excel-/PowerPoint-Agenten aus der EU Data Boundary ausgeschlossen sind – für EU-Data-Boundary- und UK-Kunden sind diese Modelle deshalb standardmäßig deaktiviert.^[1]

Anthropic selbst stützt grenzüberschreitende Verarbeitung bei kommerziellen Produkten über ein DPA mit Standard Contractual Clauses (SCC) ab – das ist ein möglicher DSGVO-Transfermechanismus, ersetzt aber nicht die konkrete Risiko-, Zweck- und Datenkategorienprüfung durch das verantwortliche Unternehmen.^[2]

04Ist der Datentransfer in die USA legal?

Ja – aktuell gibt es dafür eine gültige Rechtsgrundlage. Sogar zwei:

1. Das EU-US Data Privacy Framework (DPF)

Seit Juli 2023 gibt es den Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO). Er erlaubt den Datentransfer an DPF-zertifizierte US-Unternehmen – Microsoft und Anthropic sind beide zertifiziert. Im September 2025 hat das EU-Gericht die Gültigkeit bestätigt.

2. Standardvertragsklauseln (SCC) als Plan B

Selbst wenn das DPF kippen sollte, greifen die Standard Contractual Clauses (SCC) – von der EU-Kommission vorgefertigte Musterverträge. Microsoft setzt diese parallel ein – ein doppeltes Sicherheitsnetz.

Wichtig:

DPF und SCCs ersetzen keine eigene Prüfung. Bei besonders sensiblen Daten (Art. 9–10 DSGVO: Gesundheitsdaten, Gewerkschaftszugehörigkeit, ethnische Herkunft) sollte zusätzlich eine DPIA durchgeführt und die Verarbeitung über Claude-Modelle nur nach dokumentierter Risikoabwägung freigegeben werden, solange die EU Data Boundary für Anthropic noch nicht greift.

05Was sollten Unternehmen jetzt tun?

5 konkrete Schritte für Unternehmen

1. Nicht in Panik geraten: Für EU-Kunden ist Claude AI standardmäßig deaktiviert. Nichts wird ohne eure Zustimmung aktiviert.
2. DPIA aktualisieren: Eure Datenschutz-Folgenabschätzung muss den US-Datentransfer und Anthropic als Unterauftragnehmer berücksichtigen.
3. Gezielt testen: Ab Ende April 2026 könnt ihr Claude AI für einzelne Benutzergruppen im POC-Modus freischalten.
4. Datenklassifizierung nutzen: Sensitivity Labels und DLP-Richtlinien einsetzen. Klasse-3/4-Daten nicht über Claude verarbeiten.
5. Mitarbeitende schulen: Teams müssen verstehen, dass Copilot mit verschiedenen Modellen arbeiten kann. (EU AI Act Art. 4 verpflichtet euch ohnehin.)

06Glossar: Die wichtigsten Abkürzungen

07Fazit

Die Integration von Claude AI in Microsoft 365 Copilot ist grundsätzlich eine positive Entwicklung: Mehr Modellauswahl bedeutet mehr Flexibilität. Die vertraglichen Rahmenbedingungen gelten vollständig, und Kundendaten werden nicht zum Training genutzt.

Der entscheidende Punkt: Die EU Data Boundary umfasst Anthropic-Modelle derzeit nicht. Solange das so ist, sollte man bei sensiblen Daten auf die OpenAI-Modelle innerhalb der EU-Infrastruktur setzen, eine DPIA dokumentieren und Claude AI gezielt für unkritische Anwendungsfälle einführen – nachdem die Admin- und Tenant-Einstellungen freigegeben wurden.

Die gute Nachricht: AWS hat bereits europäische Hosting-Optionen für Anthropic-Modelle angekündigt. Es ist nur eine Frage der Zeit, bis auch Claude AI unter die EU Data Boundary fällt. Bis dahin heißt die Devise: Informiert einsetzen, nicht pauschal ablehnen.

Quellen & weiterführende Links

1. [1] Microsoft Learn: Connect to an AI subprocessor – Anthropic-Modelle außerhalb der EU Data Boundary, für EU/UK-Kunden standardmäßig deaktiviert
2. [2] Anthropic Privacy Center: Data Processing Addendum (DPA) mit Standard Contractual Clauses für kommerzielle Produkte
3. RA Köllner: Update März 2026 – Claude AI Opus 4.6 und Anthropic
4. Microsoft Learn (Deutsch): Anthropic als Unterauftragsverarbeiter
5. Microsoft Data Processing Addendum (DPA)

Michael Hanßen

Gründer der Hirschberg Academy und Experte für KI-Sichtbarkeit und KI-Transformation in Unternehmen. Die Hirschberg Group unterstützt mit Workshops, Schulungen und Strategieberatung.