Microsoft positioniert Foundry als kontrollierte Umgebung für den Einsatz von Large Language Models innerhalb der eigenen Azure-Infrastruktur. Die zentrale Botschaft ist klar: Daten bleiben isoliert, werden nicht weitergegeben und nicht für Trainingszwecke verwendet.
Eine vertiefte Analyse der vertraglichen Grundlagen zeigt jedoch ein differenzierteres Bild.
- Technische Architektur – rechtlich fragmentiert
Foundry ermöglicht den parallelen Einsatz verschiedener LLMs innerhalb einer Azure-Instanz. Diese Multi-Model-Architektur führt dazu, dass sich die rechtliche Bewertung nicht auf Microsoft beschränken kann.
Entscheidend ist vielmehr:
- welcher konkrete Modellanbieter eingesetzt wird
- welche Funktionen (z. B. Grounding) aktiviert sind
- welche Datenflüsse tatsächlich stattfinden
In der Praxis entsteht damit ein modularer Risiko-Stack, der separat bewertet werden muss.
- Vertragsregime – keine einheitliche Schutzwirkung
Das Microsoft Data Protection Addendum (DPA) suggeriert ein einheitliches Datenschutzniveau. Dieses wird jedoch durch zahlreiche Ausnahmen relativiert.
Besonders kritisch:
- Bei Nutzung von Bing-Grounding greift nicht das DPA, sondern das Microsoft Privacy Statement
- Daten können dadurch die kontrollierte Umgebung verlassen
- Geo-Boundaries werden unter Umständen durchbrochen
Hinzu kommt die Nutzung von Preview-Diensten, bei denen:
- Datentransfers in die USA stattfinden
- reduzierte Schutzmechanismen gelten
- Nutzungsdaten – eigenständige Verwertung durch Microsoft
Während klassische Kundendaten relativ klar geschützt sind, gilt dies nicht für Nutzungsdaten.
Microsoft behält sich vor, diese zu verwenden für:
- Profilbildung
- Produktentwicklung
- kommerzielle Zwecke
Die Zweckbeschreibung ist dabei bewusst weit gefasst. Aus Sicht des Schweizer Datenschutzrechts bestehen hier erhebliche Transparenz- und Zulässigkeitsfragen.
- Fehlende Klarheit bei TOMs und SCCs
Ein zentrales Problem liegt in der vertraglichen Ausgestaltung der technischen und organisatorischen Massnahmen:
- Für Foundry lassen sich keine klar zugeordneten TOMs identifizieren
- SCCs sind nicht konsistent eingebunden
- Die praktische Absicherung stützt sich weitgehend auf das EU-/CH-US Data Privacy Framework
Damit besteht ein strukturelles Risiko – insbesondere im Fall zukünftiger Rechtsprechung.
- Drittstaatenzugriffe und Kontrolldefizite
Unabhängig von vertraglichen Zusicherungen bestehen weiterhin Risiken aus:
- US-Zugriffsgesetzen (Cloud Act, FISA)
- unklarer Einbindung von Modellanbietern
- fehlender Transparenz bei Wartungs- und Updateprozessen
Die häufig kommunizierte Aussage, wonach keine Prompts weitergegeben werden, ist vertraglich nicht eindeutig abgesichert.
- Verschlüsselung und technische Grenzen
Microsoft setzt auf Verschlüsselung „in transit“ und „at rest“. Nicht gelöst ist jedoch:
- Verarbeitung im Klartext während der Nutzung
- eingeschränkte Verfügbarkeit von Confidential Computing
Gerade bei sensiblen Daten bleibt damit ein Restrisiko bestehen.
- Fazit
Microsoft Foundry ist technologisch leistungsfähig – rechtlich jedoch kein Plug-and-Play-Produkt.
Die Verantwortung für eine rechtskonforme Nutzung liegt in erheblichem Umfang beim Kunden.
Insbesondere erforderlich sind:
- differenzierte Bewertung einzelner LLMs
- bewusste Steuerung von Zusatzfunktionen
- gezielte vertragliche Nachschärfung
- Wie wir unterstützen
Wir unterstützen Unternehmen regelmässig bei der rechtssicheren Implementierung von KI-Systemen, insbesondere:
- Analyse konkreter Foundry-Setups und Datenflüsse
- Prüfung und Nachverhandlung von Microsoft-Verträgen
- Strukturierung von Multi-LLM-Governance
- Umsetzung von DSG- und AI-Act-konformen Prozessen
Wenn Sie Foundry einsetzen oder evaluieren, lohnt sich eine gezielte rechtliche Standortbestimmung – oft lassen sich mit überschaubarem Aufwand erhebliche Risiken reduzieren.
Gerne prüfen wir Ihre konkrete Konfiguration und zeigen auf, wo Handlungsbedarf besteht.