Microsoft bygger stort i Danmark. I december 2020 annoncerede selskabet sin første danske datacenterregion – "Denmark East" – med faciliteter i Hovedstadsregionen og på Sjælland. Efter fem års byggeri er regionen planlagt til lancering i første halvår af 2026. Så, i december 2025, annoncerede Microsoft en anden region: "West Denmark" med tre nye faciliteter i Varde og Esbjerg kommuner, beskrevet som selskabets største enkeltinvestering i dets 36-årige danske historie. Alene mellem 2023 og 2027 investerer Microsoft 3 milliarder dollars i datacenterkapacitet på dansk grund – og West Denmark-udvidelsen vil skubbe det tal endnu højere.
For europæiske IT-ledere ser narrativet ud som en gevinst. Microsoft-tjenester der kører på dansk grund. Lokale arbejdspladser. CO2-fri energi. Et skridt tættere på at holde europæiske data i Europa.
Så, den 7. januar 2026, skete der noget andet – og de fleste organisationer gik fuldstændig glip af det.
Den stille ændring i Copilot
På den dato aktiverede Microsoft Anthropics Claude AI-modeller som underdatabehandler på tværs af Microsoft 365 Copilot. For kommercielle tenants uden for EU var knappen sat til TIL som standard. Ingen handling krævet. Ingen notifikation til slutbrugere. Bare en ny AI-model der behandler deres data ved siden af OpenAIs GPT.
De funktioner der drives af Anthropics Claude inkluderer Microsoft 365 Copilot på web, desktop og mobil, Researcher-agenten, Copilot Studio, Power Platform, Agent Mode i Excel samt Word-, Excel- og PowerPoint-agenterne. Det er ikke marginale funktioner – det er kerneprodukter som millioner af vidensarbejdere bruger dagligt.
Her er den kritiske detalje: Anthropic-modeller er eksplicit udelukket fra Microsofts EU Data Boundary. Microsofts egen dokumentation siger det ligeud: "Anthropic models deployed in Microsoft offerings are currently excluded from the EU Data Boundary, and when applicable, in-country processing commitments."
For EU/EFTA- og UK-tenants satte Microsoft knappen til FRA som standard. En ansvarlig beslutning. Men knappen eksisterer. Og der skal kun en enkelt Global Administrator til for at slå den til. Måske under pres for at give brugerne adgang til de nyeste Copilot-funktioner. Måske uden fuldt ud at forstå konsekvenserne for dataopbevaring.
Hvad der sker når indstillingen bliver aktiveret
Når en M365-administrator aktiverer Anthropic som Microsoft-underdatabehandler, fravælger organisationen eksplicit EU Data Boundary-beskyttelsen for data der behandles af disse modeller. Data behøver ikke længere at forblive inden for EU/EØS-infrastruktur. Anthropic behandler data på tværs af amerikansk, europæisk, asiatisk og australsk infrastruktur, med lagring i amerikanske datacentre.
Det er ikke en fejl. Microsoft har været transparent omkring det – informationen er tilgængelig i admin-centeret og i Microsofts dokumentation. Men "transparent" og "bredt forstået" er ikke det samme. Hvor mange IT-administratorer i danske SMV'er har gennemgået Microsofts underdatabehandlerdokumentation? Hvor mange DPO'er er blevet konsulteret før indstillingen blev ændret?
Risikoen forstærkes af, at brugerne ikke kan se hvilken AI-model der behandler deres forespørgsel i de fleste Copilot-oplevelser. En medarbejder der bruger Copilot i Word ved ikke – og kan ikke nemt afgøre – om deres dokumentindhold behandles af OpenAI (inden for EU Data Boundary) eller af Anthropic (uden for). Administratoren traf en enkelt beslutning i et indstillingspanel. Brugeren er uvidende.
Selv uden Anthropic: Datacenter-illusionen
Selv med Anthropic-knappen sikkert i FRA-positionen er der et dybere strukturelt problem som Microsofts danske datacentre ikke løser.
Microsoft er et amerikansk selskab. Dets danske datterselskaber – de enheder der vil drive faciliteterne i Esbjerg, Varde og Hovedstadsregionen – er kontrolleret af et amerikansk moderselskab. To amerikanske love gør forskellen mellem hvor dataene befinder sig og hvor selskabet er registreret kritisk vigtig:
FISA Section 702 giver amerikanske efterretningstjenester ret til at pålægge amerikanske selskaber at udlevere adgang til kommunikationsdata fra ikke-amerikanske personer. Den gælder selskabet, ikke serveren. Et Microsoft-datacenter i Danmark er lige så tilgængeligt under FISA 702 som et i Virginia.
CLOUD Act (2018) gør det eksplicit: Amerikanske myndigheder kan pålægge amerikanske selskaber at udlevere data der er lagret på servere uden for USA. Dataene behøver ikke være i USA. Det skal selskabet.
EU-US Data Privacy Framework (DPF), vedtaget i 2023, udgør det nuværende retsgrundlag for denne behandling. Men dets to forgængere – Safe Harbor (ugyldiggjort 2015, Schrems I) og Privacy Shield (ugyldiggjort 2020, Schrems II) – blev underkendt af EU-Domstolen af præcis samme grundlæggende årsag: Amerikansk overvågningslovgivning giver utilstrækkelig beskyttelse for europæiske borgere. DPF hviler på en eksekutiv ordre der kan ændres af enhver fremtidig amerikansk præsident. En juridisk udfordring – almindeligvis omtalt som Schrems III – er bredt forventet.
Intet af dette gør Microsoft ulovligt eller ubrugeligt. DPF er i kraft. Microsofts EU Data Boundary er en reel teknisk indsats. For de fleste europæiske organisationer er Microsoft 365 det praktiske og lovlige valg.
Men EU-datacenter er ikke lig med EU-datasuverænitet. Og din governance bør afspejle det.
Strator har brugt 25 år på at hjælpe europæiske organisationer med at håndtere, klassificere og styre deres dokumenter – fra SharePoint-migrationer til GDPR-compliance. Hvis du ikke er sikker på, hvordan disse jurisdiktionsmæssige problemer påvirker dit specifikke setup, kan vi hjælpe med at finde ud af det.
Den multi-model fremtid
Det der gør Anthropic-integrationen særligt vigtig, er at den signalerer en retning, ikke bare en hændelse. Microsofts Business and Industry Copilot-præsident Charles Lamanna formulerede det som at give kunder "fleksibiliteten til også at bruge Anthropic-modeller." Copilot er ved at blive en multi-model-orkestrator – der dirigerer forskellige opgaver til forskellige AI-udbydere baseret på kapabilitet, ikke geografi.
I dag er det Anthropic. I morgen kan det være en anden udbyder. Mønsteret er klart: den AI-tjeneste som brugere interagerer med, er ikke længere en enkelt model fra en enkelt udbyder med et enkelt sæt dataopbevaringsforpligtelser. Det er en platform der dirigerer opgaver bag kulisserne, og hver rute kan have forskellige jurisdiktionsmæssige karakteristika.
Hvor går data egentlig hen? AI-leverandøroversigt
For at forstå det reelle billede er det vigtigt at vide, hvor hver større AI-udbyder behandler data – og helt afgørende, hvor den udbyder er registreret.
Grøn = EU-baseret udbyder. Gul = EU-opbevaring tilgængelig eller betinget. Rød = ingen EU-dataopbevaring.
HQ: USA — EU Dataopbevaring: Ja (EU Data Boundary)Forespørgsler og svar behandles inden for EU for kvalificerede tenants. Dækker standard Copilot i Word, Excel, PowerPoint, Outlook, Teams.
HQ: USA — EU Dataopbevaring: NejResearcher, Copilot Studio-agenter, Agent Mode i Excel, Word/Excel/PowerPoint-agenter. Eksplicit udelukket fra EU Data Boundary. FRA som standard for EU-tenants.
HQ: USA — EU Dataopbevaring: Kun EnterpriseEU-opbevaring via
eu.api.openai.com for enterprise API-kunder. ChatGPT Enterprise/Education kan konfigureres til EU. Forbrugerplaner (Plus, Pro, Team): ingen EU-opbevaring.HQ: USA — EU Dataopbevaring: Ja (Data Zone EUR)Data Zone Standard (EUR) = kun EU-behandling. Regional deployment (f.eks. Sweden Central) = enkelt region. Global deployment = kan dirigere hvorsom helst (ikke egnet til EU-følsomme data).
HQ: USA — EU Dataopbevaring: NejIngen EU-dataopbevaring for nogen direkte tjeneste (claude.ai, Cowork, Claude Desktop, API). EU-behandling kun tilgængelig via Amazon Bedrock (eu-west-1, eu-central-1) eller Google Vertex AI (europe-west-regioner).
HQ: USA — EU Dataopbevaring: Kun VertexVertex AI understøtter EU-region-deployment. Gemini forbrugerprodukter: ingen EU-opbevaringsgaranti.
HQ: Frankrig — EU Dataopbevaring: JaEU-hovedkvarter. API og Le Chat behandles på EU-infrastruktur. Helt uden for amerikansk jurisdiktion.
HQ: Tyskland — EU Dataopbevaring: JaEU-hovedkvarter. Luminous-modeller med kun-EU-behandling. Helt uden for amerikansk jurisdiktion.
EU Dataopbevaring: Afhænger af hostingplaceringEU-cloududbydere (Hetzner, OVH, Scaleway) = stærkest suverænitet. AWS/Azure/GCP EU-regioner = amerikansk moderselskab gælder stadig.
Tabellen afslører et mønster: EU-dataopbevaring fra et amerikansk selskab er teknisk reel, men juridisk skrøbelig. EU-dataopbevaring fra et EU-selskab er strukturelt solid. Og selvhostede modeller giver mest kontrol – men kræver den største investering.
Med 25 års erfaring i dokumenthåndtering og datastyring på tværs af Microsoft 365-miljøer hjælper Strator organisationer med at forstå, hvilke leverandørmuligheder der matcher deres risikoprofil – og bygge den klassificering der håndhæver det.
Hvad du bør gøre nu
1. Tjek knappen. Log ind på Microsoft 365 admin center → Copilot → Settings → Data access → AI providers operating as Microsoft subprocessors. Verificér at Anthropic er deaktiveret, hvis organisationen kræver EU Data Boundary-overholdelse. Kun en Global Administrator kan ændre denne indstilling.
2. Dokumentér beslutningen. Uanset om Anthropic holdes fra eller slås til, dokumentér begrundelsen. DPO'en bør være involveret. Hvis det aktiveres, registrér at organisationen bevidst accepterer databehandling uden for EU Data Boundary og opdatér ROPA i overensstemmelse hermed.
3. Klassificér data. Ikke alle data bærer den samme risiko. Offentligt markedsføringsindhold behandlet af Anthropic uden for EU er en helt anden situation end interne HR-dokumenter eller klientkontraktdetaljer. En ordentlig dataklassificering – hvad der må behandles af AI, under hvilke betingelser og gennem hvilke udbydere – er fundamentet for governance i en multi-model-verden.
4. Overvåg underdatabehandlerlisten. Microsoft kan tilføje nye AI-underdatabehandlere. Gennemgå tenantens underdatabehandlerindstillinger kvartalsvist. Sæt en kalenderpåmindelse. Antag ikke at dagens konfiguration er permanent.
5. Hav en beredskabsplan. Hvis EU-US Data Privacy Framework bliver ugyldiggjort, vil enhver europæisk organisation der bruger Microsoft, OpenAI, Google eller enhver anden amerikansk cloududbyder, være nødt til at revurdere. Vid hvilke workloads der kan flyttes til EU-baserede udbydere. Begynd at evaluere alternativer nu – ikke når EU-Domstolens afgørelse falder.
Den ubehagelige sandhed
At Microsoft investerer milliarder i dansk infrastruktur er godt for Danmark. Flere lokale datacentre betyder lavere latenstid, lokale arbejdspladser og bedre disaster recovery. Ingen foreslår at europæiske organisationer skal holde op med at bruge Microsoft.
Men europæiske IT-ledere skal forstå, hvad de faktisk køber. Et datacenter i Danmark giver nærhed. Det giver ydeevne. Det giver et flag på et kort der ser betryggende ud i bestyrelseslokalet.
Det giver ikke suverænitet. Suverænitet kræver at dataene er uden for den juridiske rækkevidde af en fremmed regering. Så længe selskabet der driver datacenteret er registreret i USA, er det ikke tilfældet.
Organisationer der forstår dette i dag, klassificerer deres data, konfigurerer deres admin-knapper bevidst og bygger beredskabsplaner. De kommer til at stå langt bedre, når det næste regulatoriske skift rammer.
Ikke sikker på hvor du skal starte? Dataklassificering til AI-adgang er komplekst, men det behøver ikke være overvældende. Strator hjælper europæiske organisationer med at klassificere deres data, konfigurere deres Microsoft 365-miljøer og bygge governance der rent faktisk virker.
