{"id":2776,"date":"2026-04-29T18:14:00","date_gmt":"2026-04-29T16:14:00","guid":{"rendered":"https:\/\/evana.ai\/?p=2776"},"modified":"2026-04-29T18:54:02","modified_gmt":"2026-04-29T16:54:02","slug":"copilot-flex-routing-dsgvo","status":"publish","type":"post","link":"https:\/\/evana.ai\/eng\/copilot-flex-routing-dsgvo\/","title":{"rendered":"Copilot Flex Routing: Das DSGVO-Problem &#8211; Marc Arndt im Interview"},"content":{"rendered":"<h2 class=\"wp-block-heading\"><strong>Flex Routing, DSGVO und die Frage, wem Ihre Daten wirklich geh\u00f6ren.<\/strong><\/h2>\n\n\n\n<p><\/p>\n\n\n\n<p>Microsoft hat mit Copilot Flex Routing (live seit 17. April 2026) still und leise eine Funktion eingef\u00fchrt, die Unternehmensdaten bei Kapazit\u00e4tsengp\u00e4ssen automatisch in die USA, nach Kanada oder Australien umleitet. Kein Opt-in, kein Hinweis, keine Wahl.<\/p>\n\n\n\n<p>Wir haben <a href=\"https:\/\/www.linkedin.com\/in\/marc-arndt\/\">Marc Arndt<\/a>, unseren VP Software Engineering und Architecture, gefragt: Was bedeutet das konkret f\u00fcr Unternehmen in Europa? Was m\u00fcssen regulierte Organisationen heute von einer KI-L\u00f6sung verlangen? Und wie stellt EVANA sicher, dass Ihre Daten die EU nie verlassen?<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-align-left\" style=\"padding-right:0;padding-left:0\">Viele Unternehmen setzen derzeit auf KI-Assistenten wie Microsoft Copilot. Warum wird die Frage der Datenverarbeitung und des Datenspeicherorts gerade jetzt so kritisch diskutiert?<\/h3>\n\n\n\n<p><\/p>\n\n\n\n<p>Sehr gute Frage. Das ist derzeit aus mehreren miteinander verbundenen Gr\u00fcnden ein hochaktuelles Thema:<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>1. DSGVO und Datentransfers<\/strong><\/h4>\n\n\n\n<p>Wenn Mitarbeiter KI-Assistenten wie Copilot nutzen, werden Anfragen h\u00e4ufig auf Servern verarbeitet, die sich in den USA befinden. F\u00fcr Unternehmen mit Sitz in der EU l\u00f6st das DSGVO-Bedenken aus: Personenbezogene Daten, die ohne angemessene Schutzma\u00dfnahmen au\u00dferhalb der EU verarbeitet werden, versto\u00dfen gegen das Datenschutzrecht. Die EU hat hier zuletzt erheblichen Druck gemacht, insbesondere nach dem Schrems-II-Urteil, das den Privacy-Shield-Rahmen gekippt hat.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>2. Datenhoheit<\/strong><\/h4>\n\n\n\n<p>Unternehmen wollen wissen, wo ihre Daten physisch gespeichert werden und welcher Rechtsordnung sie damit unterliegen. US-amerikanische Cloud-Anbieter sind dem CLOUD Act unterworfen, d.h. US-Beh\u00f6rden k\u00f6nnen unter Umst\u00e4nden auf Daten zugreifen, die auf US-Servern liegen. Das ist f\u00fcr europ\u00e4ische Unternehmen mit sensiblen Daten ein erhebliches Risiko.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>3. Vertrauliche Datenlecks<\/strong><\/h4>\n\n\n\n<p>Mitarbeite f\u00fcgen in KI-Assistenten ganz nat\u00fcrlich sensible Informationen ein: Vertr\u00e4ge, Quellcode, personenbezogene Daten, Unternehmensstrategien. Viele KI-Anbieter:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Speichern Eingaben f\u00fcr das Modelltraining (sofern kein Opt-out explizit konfiguriert wurde)<\/li>\n\n\n\n<li>Halten Daten vor\u00fcbergehend zur Verarbeitung vor<\/li>\n\n\n\n<li>Geben Daten unter Umst\u00e4nden an Dritte weiter<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>4. Regulatorischer Druck<\/strong><\/h4>\n\n\n\n<p>Europ\u00e4ische Datenschutzbeh\u00f6rden wie der BfDI in Deutschland oder die CNIL in Frankreich haben begonnen, Leitlinien zu erlassen und Untersuchungen zum Einsatz von KI-Assistenten in Unternehmen einzuleiten. Italien hat ChatGPT 2023 vor\u00fcbergehend verboten, weil datenschutzrechtliche Bedenken bestanden.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>5. Das \u201eMicrosoft-Copilot-Problem\u201c<\/strong><\/h4>\n\n\n\n<p>Copilot ist tief in Microsoft 365 integriert und kann auf E-Mails, Dokumente und Teams-Chats zugreifen. Das ist einerseits extrem leistungsf\u00e4hig, bedeutet aber gleichzeitig, dass noch mehr sensible Daten durch Microsofts Infrastruktur flie\u00dfen. IT-Sicherheitsverantwortliche (CISOs) in Unternehmen fragen sich zunehmend: \u201eWas macht Microsoft eigentlich mit diesen Daten?\u201c<\/p>\n\n\n\n<p>Es ist die Kombination aus tiefer Integration (KI sieht mehr von Ihren Daten als je zuvor), grenz\u00fcberschreitender Verarbeitung (h\u00e4ufig in die USA) und der Ungewissheit dar\u00fcber, wie Anbieter mit diesen Daten umgehen und sie absichern. Und das alles, w\u00e4hrend Regulierungsbeh\u00f6rden aktiv beobachten und Bu\u00dfgelder verh\u00e4ngen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Was bedeutet Microsoft Flex Routing konkret f\u00fcr Unternehmen in Europa und warum ist es aus der Perspektive von Datenschutz, Compliance und Risikomanagement mehr als nur ein technisches Detail?<\/h3>\n\n\n\n<p><\/p>\n\n\n\n<p>Microsoft Flex Routing wurde am 17. April 2026 live geschaltet, aber was genau bedeutet das?<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Wenn die Copilot-Kapazit\u00e4t in der EU knapp ist, k\u00f6nnen Ihre Daten (Prompts, E-Mails, Dateien) automatisch und standardm\u00e4\u00dfig zur KI-Inferenz in die USA, nach Kanada oder Australien \u00fcbertragen werden.<\/li>\n\n\n\n<li>Ruhende Daten verbleiben in der EU, die Inferenz und Verarbeitung kann die EU jedoch verlassen.<\/li>\n<\/ul>\n\n\n\n<h5 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Warum das ein echtes Compliance-Problem ist:<\/strong><\/h5>\n\n\n\n<ul class=\"wp-block-list\">\n<li>DSGVO: Inferenz ist Verarbeitung. Eine grenz\u00fcberschreitende \u00dcbertragung erfordert eine Rechtsgrundlage.<\/li>\n\n\n\n<li>NIS2 \/ DORA: Stille Routing-\u00c4nderungen sind ein Anbieterrisiko, das unter Umst\u00e4nden offengelegt werden muss.<\/li>\n\n\n\n<li>Microsoft hat Flex Routing als Opt-out und nicht als Opt-in eingef\u00fchrt. Die meisten Administratoren werden die Standardeinstellung nicht \u00e4ndern.<\/li>\n\n\n\n<li>Die Verantwortung, das zu erkennen, zu bewerten und zu handeln, liegt bei Ihnen, nicht bei Microsoft.<\/li>\n<\/ul>\n\n\n\n<p>Anders als bei herk\u00f6mmlichen Softwarebereitstellungen, bei denen IT-Administratoren neue Funktionen explizit pr\u00fcfen und freigeben, scheint Copilot Flex als automatische Standardfunktion eingef\u00fchrt worden zu sein. Viele Organisationen sind damit unwissentlich einer ausgeweiteten Datenverarbeitung ausgesetzt, der sie niemals bewusst zugestimmt haben.<\/p>\n\n\n\n<p>Gem\u00e4\u00df DSGVO Art. 6 ist eine g\u00fcltige Rechtsgrundlage erforderlich, in der Regel Einwilligung oder berechtigtes Interesse, bevor personenbezogene Daten verarbeitet werden d\u00fcrfen. Eine Einwilligung muss freiwillig, spezifisch, informiert und eindeutig sein. Indem Kunden standardm\u00e4\u00dfig eingeschrieben werden, hat Microsoft diese Anforderung nach Ansicht von Kritikern umgangen. Insbesondere f\u00fcr Organisationen in der EU, deren Mitarbeiter-E-Mails, Dokumente und Konversationen nun durch KI-Verarbeitungspipelines flie\u00dfen. Das Argument \u201e<em>es stand in den Nutzungsbedingungen<\/em>\u201c gilt nicht als informierte, bewusste Einwilligung, zumal der Opt-out tief in Admin-Panels vergraben ist und die \u00c4nderungen nicht proaktiv kommuniziert wurden.<\/p>\n\n\n\n<p>Mehrere europ\u00e4ische Datenschutzbeh\u00f6rden pr\u00fcfen, ob das Einf\u00fchrungsmodell von Copilot Flex gegen die Einwilligungs- und Transparenzpflichten der DSGVO verst\u00f6\u00dft. In Deutschland und Frankreich wurden Sammelklagen eingereicht, die Schadensersatz wegen unbefugter Datenverarbeitung fordern. Microsofts Position, dass Copilot Flex eine legitime Erweiterung bestehender Vertragsbeziehungen sei, d\u00fcrfte regulatorisch schwer zu halten sein, da Beh\u00f6rden zunehmend klarstellen, dass vertragliche Praktikabilit\u00e4t nicht die datenschutzrechtlichen Grundrechte \u00fcberwiegt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Welche Anforderungen stellen regulierte oder datensensible Unternehmen heute an eine KI-L\u00f6sung, wenn sie DSGVO-konform operieren und die Kontrolle \u00fcber ihre Daten behalten wollen?<\/h3>\n\n\n\n<p><\/p>\n\n\n\n<p>Das ist eine komplexe Frage, die sich angesichts des Wettlaufs zwischen Gesetzgebung und Technologie rasant weiterentwickelt. Eine kurze \u00dcbersicht \u00fcber die aktuelle Lage und warum es bei Ihren Daten entscheidend ist, den richtigen Partner zu w\u00e4hlen.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Rechtsgrundlage und vertragliche Basis<\/strong><\/h4>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Anforderung<\/strong><\/td><td><strong>Bedeutung<\/strong><\/td><\/tr><tr><td>Art. 28 DSGVO (AV-Vertrag)<\/td><td>Ein unterzeichneter Auftragsverarbeitungsvertrag mit dem KI-Anbieter, der Zweck, Umfang und Grenzen der Verarbeitung explizit festlegt<\/td><\/tr><tr><td>Kein automatisches Onboarding<\/td><td>Explizites Opt-in, kein Opt-out. Stille oder automatische Aktivierung von KI-Funktionen ist f\u00fcr viele EU-Organisationen ein sofortiges Ausschlusskriterium<\/td><\/tr><tr><td>Klare Zweckbestimmung<\/td><td>Die KI darf Daten nur f\u00fcr den spezifisch angegebenen Zweck verwenden, nicht f\u00fcr Modelltraining, Verbesserung oder \u201eService-Optimierung\u201c, sofern nicht gesondert eingewilligt<\/td><\/tr><tr><td>Datensparsamkeit<\/td><td>Die KI verarbeitet nur das, was f\u00fcr den jeweiligen Zweck unbedingt erforderlich ist. Standardm\u00e4\u00dfig keine kompletten E-Mail-Archive, alle Dokumente oder vollst\u00e4ndige Chat-Historien<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Datenspeicherort und Datenhoheit<\/strong><\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>EU-Datenspeicherort: Alle Daten m\u00fcssen ausschlie\u00dflich innerhalb der EU\/EWR verarbeitet und gespeichert werden. Keine Weiterleitung in Drittl\u00e4nder ohne explizite Genehmigung.<\/li>\n\n\n\n<li>Keine Abh\u00e4ngigkeit von US-Hyperscalern als Standard: Anbieter m\u00fcssen EU-native Bereitstellungsoptionen (z.B. deutsche oder franz\u00f6sische Rechenzentren) oder On-Premises-Betrieb anbieten.<\/li>\n\n\n\n<li>Mechanismen f\u00fcr grenz\u00fcberschreitende \u00dcbertragungen: Standardvertragsklauseln (SCC), Angemessenheitsbeschl\u00fcsse oder gleichwertige Rechtsinstrumente f\u00fcr jede notwendige Daten\u00fcbertragung ins Ausland.<\/li>\n\n\n\n<li>CLOUD-Act-Bewusstsein: US-Anbieter sind gesetzlich verpflichtet, Daten an US-Beh\u00f6rden herauszugeben, unabh\u00e4ngig vom Speicherort. F\u00fcr sensible EU-Daten ist das ein erhebliches Warnsignal.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Datenaufbewahrung, L\u00f6schung und Portabilit\u00e4t<\/strong><\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Definierte Aufbewahrungsfristen: Klare, vertraglich festgelegte Fristen, nach denen Daten gel\u00f6scht werden. Keine vagen Formulierungen.<\/li>\n\n\n\n<li>Recht auf L\u00f6schung : Der Anbieter muss L\u00f6schanfragen ohne ungebotene Verz\u00f6gerung nachkommen und den Nachweis erbringen.<\/li>\n\n\n\n<li>Datenportabilit\u00e4t: Der Kunde kann jederzeit alle seine Daten in einem nutzbaren, portablen Format abrufen (DSGVO Art. 20).<\/li>\n\n\n\n<li>Kein Training mit Kundendaten: Explizites vertragliches Verbot der Nutzung von Kundendaten f\u00fcr das Training von KI-Modellen. F\u00fcr die meisten regulierten Unternehmen ist das nicht verhandelbar.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Sicherheit und technische Ma\u00dfnahmen (Art. 32 DSGVO)<\/strong><\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Verschl\u00fcsselung im Ruhezustand und bei der \u00dcbertragung: Mindeststandard AES-256, TLS 1.2+<\/li>\n\n\n\n<li>Zugangskontrollen: Rollenbasierte Zugriffskontrolle (RBAC), Audit-Logging mit Nachweis, wer wann worauf zugegriffen hat<\/li>\n\n\n\n<li>Pseudonymisierung und Anonymisierung: Sensible Daten sollten, soweit m\u00f6glich, vor der Verarbeitung de-identifiziert werden<\/li>\n\n\n\n<li>Meldung von Zwischenf\u00e4llen: Der Anbieter muss den Kunden innerhalb von 72 Stunden nach Bekanntwerden \u00fcber Datenpannen informieren (DSGVO Art. 33)<\/li>\n\n\n\n<li>Penetrationstests und Zertifizierungen: SOC 2 Typ II, ISO 27001 und\/oder unabh\u00e4ngige Sicherheitsaudits werden zunehmend vorausgesetzt<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Transparenz, Erkl\u00e4rbarkeit und menschliche Kontrolle<\/strong><\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Erkl\u00e4rbarkeit: Unternehmen m\u00fcssen nachvollziehen k\u00f6nnen, warum eine KI eine bestimmte Ausgabe erzeugt hat.<\/li>\n\n\n\n<li>Keine Black-Box-Verarbeitung: Bei folgenreichen Entscheidungen (Einstellung, Kreditvergabe, medizinische Triage) erfordert die automatisierte Entscheidungsfindung gem\u00e4\u00df DSGVO Art. 22 menschliche Pr\u00fcfung und die M\u00f6glichkeit, die Entscheidung anzufechten.<\/li>\n\n\n\n<li>Audit-Trails: Vollst\u00e4ndige Protokollierung aller KI-Prompts, Eingaben und Ausgaben zur Gew\u00e4hrleistung der Nachvollziehbarkeit.<\/li>\n\n\n\n<li>Bias- und Genauigkeits\u00fcberwachung: Laufende Pr\u00fcfung, ob KI-Ausgaben diskriminieren oder bei gesch\u00fctzten Gruppen wesentlich fehlerhafte Ergebnisse liefern.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Branchenspezifische Anforderungen<\/strong><\/h4>\n\n\n\n<p>F\u00fcr Gesundheitswesen und Medizintechnik gelten zus\u00e4tzliche Anforderungen:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Thema<\/strong><\/td><td><strong>Anforderung<\/strong><\/td><\/tr><tr><td>Art. 9 DSGVO<\/td><td>Gesundheitsdaten sind \u201ebeson\u00adders sch\u00fctzenswerte\u201c Daten. Die H\u00fcrde f\u00fcr eine rechtm\u00e4\u00dfige Verarbeitung ist sehr hoch, in der Regel explizite Einwilligung und spezifischer Zweck.<\/td><\/tr><tr><td>HIPAA (bei US-Bezug)<\/td><td>Wenn US-Stellen die Daten ber\u00fchren, k\u00f6nnen HIPAA Business Associate Agreements erforderlich sein.<\/td><\/tr><tr><td>Medizinprodukteverordnung<\/td><td>Tr\u00e4gt die KI zu klinischen Entscheidungen bei, kann sie als reguliertes Medizinprodukt unter die MDR (EU) oder FDA (USA) fallen.<\/td><\/tr><tr><td>Audit-Bereitschaft<\/td><td>Regulierungsbeh\u00f6rden (BfArM, FDA, Krankenkassen) k\u00f6nnen jederzeit Nachweise zur Daten-Governance verlangen.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>F\u00fcr den Finanzsektor ebenfalls:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>BaFin- und EBA-Leitlinien zur KI-Governance<\/li>\n\n\n\n<li>Aufzeichnungsaufbewahrung f\u00fcr Aufsichtspr\u00fcfungen<\/li>\n\n\n\n<li>Keine KI-generierte Beratung ohne menschliche Pr\u00fcfebene<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Anbieter-Governance und Sorgfaltspflichten<\/strong><\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>DSFA (Datenschutz-Folgenabsch\u00e4tzung): Regulierte Unternehmen f\u00fchren vor dem Einsatz einer KI-L\u00f6sung eine DSFA durch. Anbieter m\u00fcssen die daf\u00fcr notwendigen technischen Informationen bereitstellen.<\/li>\n\n\n\n<li>Anbieter-Risikobewertung: Sicherheitsfrageb\u00f6gen (SIG, VSA), Penetrationstestergebnisse, SOC-2-Berichte<\/li>\n\n\n\n<li>Unterauftragsverarbeiter: Alle Unterauftragsverarbeiter m\u00fcssen offengelegt werden. Kunden haben das Recht, neuen Unterauftragsverarbeitern zu widersprechen.<\/li>\n\n\n\n<li>Austrittsregelungen: Klare Bedingungen f\u00fcr Datenmigration und L\u00f6schung bei Vertragsende<\/li>\n\n\n\n<li>Versicherungsschutz: Anforderungen an Cyber-Haftpflicht und Berufshaftpflicht werden zunehmend h\u00e4ufiger gestellt<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Die Checkliste, die ein CISO oder DSB vor der Unterschrift durchl\u00e4uft<\/strong><\/h4>\n\n\n\n<p>\u2610 AV-Vertrag unterzeichnet (gem\u00e4\u00df Art. 28 DSGVO)<br>\u2610 Datenspeicherort best\u00e4tigt (ausschlie\u00dflich EU-Verarbeitung)<br>\u2610 Kein Training mit unseren Daten (vertragliche und technische Garantie)<br>\u2610 Aufbewahrungs- und L\u00f6schrichtlinie definiert und pr\u00fcfbar<br>\u2610 SCC oder Angemessenheitsbeschluss f\u00fcr gr\u00e4nz\u00fcberschreitende \u00dcbertragungen vorhanden<br>\u2610 Meldefrist bei Datenpannen: max. 72 Stunden<br>\u2610 SOC 2 \/ ISO 27001 oder unabh\u00e4ngiges Audit verf\u00fcgbar<br>\u2610 DSFA mit Unterst\u00fctzung des Anbieters durchf\u00fchrbar<br>\u2610 Menschliche Pr\u00fcfebene f\u00fcr folgenreiche Entscheidungen vorhanden<br>\u2610 Kein automatisches Onboarding, keine stille KI-Aktivierung<br>\u2610 Vollst\u00e4ndiger Audit-Trail der KI-Verarbeitung verf\u00fcgbar<br>\u2610 Datenportabilit\u00e4t gew\u00e4hrleistet (Art. 20 DSGVO)<br>\u2610 Liste der Unterauftragsverarbeiter offengelegt, Widerspruchsrecht gew\u00e4hrt<br>\u2610 Austritts- und K\u00fcndigungsklauseln sch\u00fctzen unsere Daten<\/p>\n\n\n\n<p><strong>Das Kernprinzip lautet: Kontrolle und Verantwortlichkeit. Regulierte Unternehmen m\u00fcssen drei Fragen gegen\u00fcber ihrer Datenschutzbeh\u00f6rde mit \u201eJa\u201c beantworten k\u00f6nnen:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Wo genau gehen unsere Daten hin?<\/li>\n\n\n\n<li>Wer verarbeitet sie und zu welchem Zweck?<\/li>\n\n\n\n<li>Wie k\u00f6nnen wir das \u00fcberpr\u00fcfen und notfalls den Stecker ziehen?<\/li>\n<\/ul>\n\n\n\n<p>Kann ein KI-Anbieter alle drei Fragen nicht klar und vertraglich beantworten, mit technischem Nachweis statt Marketing-Sprech, werden seri\u00f6se, regulierte Organisationen das Gesch\u00e4ft nicht eingehen. Das Reputations- und finanzielle Risiko eines DSGVO-Versto\u00dfes (bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes, je nachdem was h\u00f6her ist) \u00fcberwiegt schlicht den Produktivit\u00e4tsgewinn eines KI-Assistenten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Wie stellt EVANA technisch sicher, dass Unternehmensdaten gem\u00e4\u00df den europ\u00e4ischen Datenschutzvorschriften verarbeitet werden und Kunden maximale Transparenz \u00fcber ihre Datenfl\u00fcsse erhalten?<\/h3>\n\n\n\n<p><\/p>\n\n\n\n<p><a href=\"https:\/\/evana.ai\/eng\/\">EVANA<\/a> ist ein European-First-Unternehmen, vollst\u00e4ndig im Eigentum und Betrieb innerhalb der EU.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Datenspeicherort: Alles bleibt in der EU<\/strong><\/h4>\n\n\n\n<p><strong>Speicherung<\/strong>: Alle Kundendokumente und Metadaten werden im Ruhezustand ausschlie\u00dflich in Frankfurt am Main gespeichert. Zu keinem Zeitpunkt der Speicherung verlassen die Daten die deutsche Rechtsordnung.<\/p>\n\n\n\n<p><strong>KI-Verarbeitung<\/strong>: Wir arbeiten aktuell mit Mistral in Frankreich zusammen. Entscheidend dabei:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Mistral erh\u00e4lt Daten ausschlie\u00dflich vor\u00fcbergehend: Die Daten werden \u00fcbertragen, im Arbeitsspeicher verarbeitet und das Ergebnis zur\u00fcckgegeben. Mistral speichert kein einziges Byte.<\/li>\n\n\n\n<li>Mistral agiert als reiner Rechendienstleister unter einem unterzeichneten AV-Vertrag (Art. 28 DSGVO), der jede Form der Datenspeicherung, des Loggings oder der Nutzung f\u00fcr das Modelltraining explizit untersagt.<\/li>\n\n\n\n<li>Die Daten verlassen zu keinem Zeitpunkt die EU\/EWR und erf\u00fcllen damit den r\u00e4umlichen Anwendungsbereich der DSGVO (Art. 3) sowie die Anforderungen an ein angemessenes Schutzniveau innerhalb der Union.<\/li>\n<\/ul>\n\n\n\n<p>F\u00fcr den Kunden bedeutet das: Selbst wenn Mistral in den Verarbeitungsprozess eingebunden ist, \u00fcberschreitet ihr Daten keine Grenze au\u00dferhalb der EU, wird nie au\u00dferhalb Deutschlands gespeichert und ist nach Abschluss der Inferenz f\u00fcr Mistral nicht mehr zug\u00e4nglich.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Technische Architektur: Defense in Depth<\/strong><\/h4>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Schicht<\/strong><\/td><td><strong>Ma\u00dfnahme<\/strong><\/td><\/tr><tr><td>Verschl\u00fcsselung im Ruhezustand<\/td><td>AES-256-Verschl\u00fcsselung aller gespeicherten Dokumente und Metadaten<\/td><\/tr><tr><td>Verschl\u00fcsselung bei der \u00dcbertragung<\/td><td>TLS 1.2+ f\u00fcr alle internen und externen Datenfl\u00fcsse<\/td><\/tr><tr><td>Zugangskontrollen<\/td><td>Rollenbasierte Zugriffskontrolle (RBAC) mit Granularit\u00e4t auf Nutzer- und Dokumentenebene<\/td><\/tr><tr><td>Audit-Logging<\/td><td>Unver\u00e4nderliches Protokoll jedes Zugriffs, jeder Anfrage und jedes Verarbeitungsvorgangs mit Zeitstempel und Zurechenbarkeit<\/td><\/tr><tr><td>Netzwerkisolierung<\/td><td>Private-VPC-Topologie; keine \u00f6ffentliche Internetexposition der Verarbeitungspipelines<\/td><\/tr><tr><td>Kein Training mit Kundendaten<\/td><td>Vertragliches und technisches Verbot: Weder EVANA noch Mistral nutzen Kundendaten f\u00fcr das Training oder die Verbesserung von Modellen<\/td><\/tr><tr><td>Datensparsamkeit<\/td><td>Die KI-Verarbeitung operiert auf dem f\u00fcr den jeweiligen Vorgang minimal erforderlichen Datensatz. Standardm\u00e4\u00dfig keine kompletten Dokumentenarchive<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>DSGVO-Rechtsrahmen<\/strong><\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Art.-28-AV-Vertrag mit Mistral, unterzeichnet und auf Anfrage verf\u00fcgbar. Er definiert Zweckbindung, Nicht-Speicherungsklausel und Beschr\u00e4nkungen f\u00fcr Unterauftragsverarbeiter.<\/li>\n\n\n\n<li>Standardvertragsklauseln sind nicht erforderlich, da die Daten die EU nicht verlassen. Das ist ein erheblicher Compliance-Vorteil gegen\u00fcber US-amerikanischen KI-Anbietern.<\/li>\n\n\n\n<li>Verarbeitungsverzeichnis (Art. 30 DSGVO): EVANA f\u00fchrt ein vollst\u00e4ndiges Verzeichnis von Verarbeitungst\u00e4tigkeiten, das alle KI-Verarbeitungspfade, Datenkategorien und Rechtsgrundlagen umfasst.<\/li>\n\n\n\n<li>DSFA-ready: Wir stellen die technischen und organisatorischen Informationen bereit, die Kunden f\u00fcr die Durchf\u00fchrung einer eigenen Datenschutz-Folgenabsch\u00e4tzung vor dem Einsatz ben\u00f6tigen.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Kundentransparenz und Kontrolle<\/strong><\/h4>\n\n\n\n<p>Kunden k\u00f6nnen ihre Daten in jeder Phase \u00fcberpr\u00fcfen und steuern:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Echtzeit-Sichtbarkeit der Datenfl\u00fcsse: Kunden haben Zugriff auf ein Verarbeitungs-Dashboard, das zeigt, welche Dokumente konkret verarbeitet wurden.<\/li>\n\n\n\n<li>Aufbewahrungssteuerung: Kunden definieren Aufbewahrungsrichtlinien. EVANA setzt die automatische L\u00f6schung planm\u00e4\u00dfig um und stellt einen kryptografischen L\u00f6schnachweis bereit.<\/li>\n\n\n\n<li>Recht auf Vergessenwerden: L\u00f6schanfragen werden innerhalb von 72 Stunden mit Best\u00e4tigungszertifikat erf\u00fcllt.<\/li>\n\n\n\n<li>Datenportabilit\u00e4t: Alle Kundendaten sind jederzeit in offenen, strukturierten Formaten exportierbar (DSGVO Art. 20).<\/li>\n\n\n\n<li>Keine stille Verarbeitung: KI-Verarbeitung findet ausschlie\u00dflich bei explizit ausgew\u00e4hlten Dokumenten statt. Keine automatische Durchsuchung oder Hintergrundverarbeitung ohne Nutzerabsicht.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Zertifizierungen und Compliance-Status<\/strong><\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>ISO 27001 zertifiziert: Das Informationssicherheits-Managementsystem wurde unabh\u00e4ngig auditiert.<\/li>\n\n\n\n<li>T\u00dcV-auditiert: Technische Sicherheitsma\u00dfnahmen wurden unabh\u00e4ngig verifiziert.<\/li>\n\n\n\n<li>100 % DSGVO-konform: Keine Ausnahmen, keine Opt-outs, keine Graubereiche.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Was ist aus Deiner Sicht der entscheidende Unterschied zwischen einer allgemein eingesetzten KI-L\u00f6sung und einer spezialisierten, sicherheitsorientierten Plattform wie EVANA, insbesondere f\u00fcr Unternehmen, die sensible Dokumente und Prozesse digitalisieren wollen?<\/h3>\n\n\n\n<p><\/p>\n\n\n\n<p>Der grundlegende Unterschied: Wessen Interessen stimmen mit deinen \u00fcberein?<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td>&nbsp;<\/td><td><strong>Allgemeine KI-L\u00f6sung<\/strong><\/td><td><strong>Sicherheitsorientierte Plattform (EVANA)<\/strong><\/td><\/tr><tr><td>Kernanreiz des Anbieters<\/td><td>Modell verbessern, daf\u00fcr braucht er Ihre Daten<\/td><td>Kunden sch\u00fctzen, Daten m\u00fcssen sicher und privat bleiben<\/td><\/tr><tr><td>Datenbehandlung<\/td><td>Gespeichert, h\u00e4ufig f\u00fcr Training genutzt (sofern kein Opt-out)<\/td><td>Ephemar oder nie gespeichert. Kein Training.<\/td><\/tr><tr><td>Datenspeicherort<\/td><td>US-Verarbeitung g\u00e4ngig, gr\u00e4nz\u00fcberschreitend als Standard<\/td><td>Ausschlie\u00dflich EU. Daten verlassen die Rechtsordnung nicht.<\/td><\/tr><tr><td>Risiko automatischen Onboardings<\/td><td>Hoch: Funktionen aktivieren sich still (Copilot Flex)<\/td><td>Keines: Verarbeitung nur bei expliziter Nutzeraktion<\/td><\/tr><tr><td>Compliance-Last<\/td><td>Kunde erbt die Compliance-L\u00fccken des Anbieters<\/td><td>Anbieter liefert Compliance-Nachweise proaktiv<\/td><\/tr><tr><td>Audit-Trail<\/td><td>Begrenzt, anbieterseitig kontrolliert<\/td><td>Vollst\u00e4ndig, unver\u00e4nderlich, kundenseitig abrufbar<\/td><\/tr><tr><td>DSGVO-Rechtsgrundlage<\/td><td>\u201eVertragliches berechtigtes Interesse\u201c, rechtlich umstritten<\/td><td>Saubere EU-interne Verarbeitung. Keine \u00dcbertragungsmechanismen erforderlich.<\/td><\/tr><tr><td>Regulierte Branchen<\/td><td>Erfordert aufwendige AV-Vertragsverhandlungen<\/td><td>Integriert: BaFin, DORA, ISO 27001, sofort auditierbar<\/td><\/tr><tr><td>Transparenz<\/td><td>Black Box: Kunde kann nicht nachpr\u00fcfen, was mit seinen Daten passiert<\/td><td>Offene Architektur: Kunde sieht genau, wohin die Daten flie\u00dfen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h4 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Das eigentliche Risiko, \u00fcber das niemand spricht<\/strong><\/h4>\n\n\n\n<p>Bei einer allgemeinen KI-L\u00f6sung ist das Problem nicht, dass der Anbieter b\u00f6swillig handelt. Das Problem ist, dass Ihre Daten und die Modellverbesserung des Anbieters strukturell in seinem Gesch\u00e4ftsmodell miteinander verbunden sind. Er muss Ihre Eingaben vorhalten und verarbeiten, um wettbewerbsf\u00e4hig zu bleiben. Das schafft eine dauerhafte Spannung zwischen dem, was er im AV-Vertrag verspricht, und dem, was seine technischen Anreize ihn tun lassen.<\/p>\n\n\n\n<p>Bei einer Plattform wie EVANA ist die Anreizstruktur umgekehrt: Ihre Daten sind eine Verbindlichkeit, kein Verm\u00f6genswert. EVANA kann nur gewinnen, indem es Daten privat, sicher und compliant h\u00e4lt. Denn wenn das scheitert, verliert das Unternehmen regulierte Kunden und damit die Existenzgrundlage.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" style=\"margin-bottom:var(--wp--preset--spacing--30)\"><strong>Die drei Fragen, die jeder CISO stellen sollte<\/strong><\/h3>\n\n\n\n<p>Bei der Bewertung eines KI-Anbieters:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Wo gehen meine Daten physisch hin? Lautet die Antwort \u201ewir k\u00f6nnen EU-only nicht garantieren\u201c, haben Sie f\u00fcr jeden sensiblen Anwendungsfall bereits die DSGVO verletzt.<\/li>\n\n\n\n<li>K\u00f6nnen Sie beweisen, dass unsere Daten nicht zum Training genutzt werden? Nicht nur vertraglich, sondern mit technischem Nachweis: ephemere Verarbeitung, keine Persistenz, kein Logging von Eingaben.<\/li>\n\n\n\n<li>Was passiert, wenn wir den Vertrag k\u00fcndigen? K\u00f6nnen sie die L\u00f6schung nachweisen, ein L\u00f6schzertifikat ausstellen und vollst\u00e4ndige Datenportabilit\u00e4t erm\u00f6glichen? Oder sitzen Sie auf einem verschl\u00fcsselten Datenhaufen, den Sie nicht pr\u00fcfen k\u00f6nnen?<\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Flex Routing, DSGVO und die Frage, wem Ihre Daten wirklich geh\u00f6ren. Microsoft hat mit Copilot Flex Routing (live seit 17. April 2026) still und leise eine Funktion eingef\u00fchrt, die Unternehmensdaten bei Kapazit\u00e4tsengp\u00e4ssen automatisch in die USA, nach Kanada oder Australien umleitet. Kein Opt-in, kein Hinweis, keine Wahl. Wir haben Marc Arndt, unseren VP Software Engineering &hellip;<\/p>\n<p class=\"read-more\"> <a class=\"\" href=\"https:\/\/evana.ai\/eng\/copilot-flex-routing-dsgvo\/\"> <span class=\"screen-reader-text\">Copilot Flex Routing: Das DSGVO-Problem &#8211; Marc Arndt im Interview<\/span> Read More &raquo;<\/a><\/p>","protected":false},"author":8,"featured_media":2793,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-gradient":""}},"footnotes":""},"categories":[1],"tags":[],"class_list":["post-2776","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v23.1 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Copilot Flex Routing: Das DSGVO-Problem - EVANA Interview<\/title>\n<meta name=\"description\" content=\"Was ist Copilot Flex Routing? EVANA erkl\u00e4rt das DSGVO-Risiko und was (regulierte) Unternehmen jetzt wissen m\u00fcssen.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/evana.ai\/eng\/copilot-flex-routing-dsgvo\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Copilot Flex Routing: Das DSGVO-Problem - EVANA Interview\" \/>\n<meta property=\"og:description\" content=\"Was ist Copilot Flex Routing? EVANA erkl\u00e4rt das DSGVO-Risiko und was (regulierte) Unternehmen jetzt wissen m\u00fcssen.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/evana.ai\/eng\/copilot-flex-routing-dsgvo\/\" \/>\n<meta property=\"og:site_name\" content=\"EVANA AG\" \/>\n<meta property=\"article:published_time\" content=\"2026-04-29T16:14:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-04-29T16:54:02+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/evana.ai\/wp-content\/uploads\/2026\/04\/Marc-Arndt-Interview-1.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1371\" \/>\n\t<meta property=\"og:image:height\" content=\"1234\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Ben Wagner\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Ben Wagner\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"14 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/\"},\"author\":{\"name\":\"Ben Wagner\",\"@id\":\"https:\/\/evana.ai\/#\/schema\/person\/3e5799729049b505bcbc11d8dc07f38d\"},\"headline\":\"Copilot Flex Routing: Das DSGVO-Problem &#8211; Marc Arndt im Interview\",\"datePublished\":\"2026-04-29T16:14:00+00:00\",\"dateModified\":\"2026-04-29T16:54:02+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/\"},\"wordCount\":2641,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/evana.ai\/#organization\"},\"image\":{\"@id\":\"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/evana.ai\/wp-content\/uploads\/2026\/04\/Marc-Arndt-Interview-1.png\",\"articleSection\":[\"Allgemein\"],\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/\",\"url\":\"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/\",\"name\":\"Copilot Flex Routing: Das DSGVO-Problem - EVANA Interview\",\"isPartOf\":{\"@id\":\"https:\/\/evana.ai\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/evana.ai\/wp-content\/uploads\/2026\/04\/Marc-Arndt-Interview-1.png\",\"datePublished\":\"2026-04-29T16:14:00+00:00\",\"dateModified\":\"2026-04-29T16:54:02+00:00\",\"description\":\"Was ist Copilot Flex Routing? EVANA erkl\u00e4rt das DSGVO-Risiko und was (regulierte) Unternehmen jetzt wissen m\u00fcssen.\",\"breadcrumb\":{\"@id\":\"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#primaryimage\",\"url\":\"https:\/\/evana.ai\/wp-content\/uploads\/2026\/04\/Marc-Arndt-Interview-1.png\",\"contentUrl\":\"https:\/\/evana.ai\/wp-content\/uploads\/2026\/04\/Marc-Arndt-Interview-1.png\",\"width\":1371,\"height\":1234,\"caption\":\"Marco Arndt im Interview zu CoPIlot Flex Routing\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Startseite\",\"item\":\"https:\/\/evana.ai\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Copilot Flex Routing: Das DSGVO-Problem &#8211; Marc Arndt im Interview\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/evana.ai\/#website\",\"url\":\"https:\/\/evana.ai\/\",\"name\":\"EVANA AG\",\"description\":\"Documents talk - We translate\",\"publisher\":{\"@id\":\"https:\/\/evana.ai\/#organization\"},\"alternateName\":\"EVANA AG\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/evana.ai\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/evana.ai\/#organization\",\"name\":\"EVANA\",\"alternateName\":\"EVANA AG\",\"url\":\"https:\/\/evana.ai\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/evana.ai\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/evana.ai\/wp-content\/uploads\/2024\/06\/Logo-Evana-4k-Icon.png\",\"contentUrl\":\"https:\/\/evana.ai\/wp-content\/uploads\/2024\/06\/Logo-Evana-4k-Icon.png\",\"width\":862,\"height\":776,\"caption\":\"EVANA\"},\"image\":{\"@id\":\"https:\/\/evana.ai\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.linkedin.com\/company\/evana\/\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/evana.ai\/#\/schema\/person\/3e5799729049b505bcbc11d8dc07f38d\",\"name\":\"Ben Wagner\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/evana.ai\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/f3fc4dc25f6f0f93742b0d165c9e1b01e4e39295ca38d56f36c41bec36ff1e41?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/f3fc4dc25f6f0f93742b0d165c9e1b01e4e39295ca38d56f36c41bec36ff1e41?s=96&d=mm&r=g\",\"caption\":\"Ben Wagner\"},\"url\":\"https:\/\/evana.ai\/eng\/author\/ben\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Copilot Flex Routing: Das DSGVO-Problem - EVANA Interview","description":"Was ist Copilot Flex Routing? EVANA erkl\u00e4rt das DSGVO-Risiko und was (regulierte) Unternehmen jetzt wissen m\u00fcssen.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/evana.ai\/eng\/copilot-flex-routing-dsgvo\/","og_locale":"en_US","og_type":"article","og_title":"Copilot Flex Routing: Das DSGVO-Problem - EVANA Interview","og_description":"Was ist Copilot Flex Routing? EVANA erkl\u00e4rt das DSGVO-Risiko und was (regulierte) Unternehmen jetzt wissen m\u00fcssen.","og_url":"https:\/\/evana.ai\/eng\/copilot-flex-routing-dsgvo\/","og_site_name":"EVANA AG","article_published_time":"2026-04-29T16:14:00+00:00","article_modified_time":"2026-04-29T16:54:02+00:00","og_image":[{"width":1371,"height":1234,"url":"https:\/\/evana.ai\/wp-content\/uploads\/2026\/04\/Marc-Arndt-Interview-1.png","type":"image\/png"}],"author":"Ben Wagner","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Ben Wagner","Est. reading time":"14 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#article","isPartOf":{"@id":"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/"},"author":{"name":"Ben Wagner","@id":"https:\/\/evana.ai\/#\/schema\/person\/3e5799729049b505bcbc11d8dc07f38d"},"headline":"Copilot Flex Routing: Das DSGVO-Problem &#8211; Marc Arndt im Interview","datePublished":"2026-04-29T16:14:00+00:00","dateModified":"2026-04-29T16:54:02+00:00","mainEntityOfPage":{"@id":"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/"},"wordCount":2641,"commentCount":0,"publisher":{"@id":"https:\/\/evana.ai\/#organization"},"image":{"@id":"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#primaryimage"},"thumbnailUrl":"https:\/\/evana.ai\/wp-content\/uploads\/2026\/04\/Marc-Arndt-Interview-1.png","articleSection":["Allgemein"],"inLanguage":"en-US","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/","url":"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/","name":"Copilot Flex Routing: Das DSGVO-Problem - EVANA Interview","isPartOf":{"@id":"https:\/\/evana.ai\/#website"},"primaryImageOfPage":{"@id":"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#primaryimage"},"image":{"@id":"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#primaryimage"},"thumbnailUrl":"https:\/\/evana.ai\/wp-content\/uploads\/2026\/04\/Marc-Arndt-Interview-1.png","datePublished":"2026-04-29T16:14:00+00:00","dateModified":"2026-04-29T16:54:02+00:00","description":"Was ist Copilot Flex Routing? EVANA erkl\u00e4rt das DSGVO-Risiko und was (regulierte) Unternehmen jetzt wissen m\u00fcssen.","breadcrumb":{"@id":"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#primaryimage","url":"https:\/\/evana.ai\/wp-content\/uploads\/2026\/04\/Marc-Arndt-Interview-1.png","contentUrl":"https:\/\/evana.ai\/wp-content\/uploads\/2026\/04\/Marc-Arndt-Interview-1.png","width":1371,"height":1234,"caption":"Marco Arndt im Interview zu CoPIlot Flex Routing"},{"@type":"BreadcrumbList","@id":"https:\/\/evana.ai\/copilot-flex-routing-dsgvo\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Startseite","item":"https:\/\/evana.ai\/"},{"@type":"ListItem","position":2,"name":"Copilot Flex Routing: Das DSGVO-Problem &#8211; Marc Arndt im Interview"}]},{"@type":"WebSite","@id":"https:\/\/evana.ai\/#website","url":"https:\/\/evana.ai\/","name":"EVANA AG","description":"Documents talk - We translate","publisher":{"@id":"https:\/\/evana.ai\/#organization"},"alternateName":"EVANA AG","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/evana.ai\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/evana.ai\/#organization","name":"EVANA","alternateName":"EVANA AG","url":"https:\/\/evana.ai\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/evana.ai\/#\/schema\/logo\/image\/","url":"https:\/\/evana.ai\/wp-content\/uploads\/2024\/06\/Logo-Evana-4k-Icon.png","contentUrl":"https:\/\/evana.ai\/wp-content\/uploads\/2024\/06\/Logo-Evana-4k-Icon.png","width":862,"height":776,"caption":"EVANA"},"image":{"@id":"https:\/\/evana.ai\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.linkedin.com\/company\/evana\/"]},{"@type":"Person","@id":"https:\/\/evana.ai\/#\/schema\/person\/3e5799729049b505bcbc11d8dc07f38d","name":"Ben Wagner","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/evana.ai\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/f3fc4dc25f6f0f93742b0d165c9e1b01e4e39295ca38d56f36c41bec36ff1e41?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/f3fc4dc25f6f0f93742b0d165c9e1b01e4e39295ca38d56f36c41bec36ff1e41?s=96&d=mm&r=g","caption":"Ben Wagner"},"url":"https:\/\/evana.ai\/eng\/author\/ben\/"}]}},"_links":{"self":[{"href":"https:\/\/evana.ai\/eng\/wp-json\/wp\/v2\/posts\/2776","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/evana.ai\/eng\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/evana.ai\/eng\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/evana.ai\/eng\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/evana.ai\/eng\/wp-json\/wp\/v2\/comments?post=2776"}],"version-history":[{"count":15,"href":"https:\/\/evana.ai\/eng\/wp-json\/wp\/v2\/posts\/2776\/revisions"}],"predecessor-version":[{"id":2791,"href":"https:\/\/evana.ai\/eng\/wp-json\/wp\/v2\/posts\/2776\/revisions\/2791"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/evana.ai\/eng\/wp-json\/wp\/v2\/media\/2793"}],"wp:attachment":[{"href":"https:\/\/evana.ai\/eng\/wp-json\/wp\/v2\/media?parent=2776"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/evana.ai\/eng\/wp-json\/wp\/v2\/categories?post=2776"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/evana.ai\/eng\/wp-json\/wp\/v2\/tags?post=2776"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}