Microsoft Copilot im Unternehmen – Datenschutz, Sicherheit und verantwortungsvolle Nutzung

von Marco

Künstliche Intelligenz hält immer stärker Einzug in den beruflichen Alltag.

Mit Microsoft Copilot bietet Microsoft einen Assistenten, der direkt in den bekannten Anwendungen von Microsoft 365 verfügbar ist und Texte generieren, Inhalte zusammenfassen, Daten analysieren oder Präsentationen vorbereiten kann. Das verspricht erhebliche Effizienzgewinne - gleichzeitig stellen sich jedoch berechtigte Fragen: Wie lassen sich Datenschutz, Informationssicherheit und Compliance gewährleisten? Und welche Copilot-Version ist für welche Zwecke geeignet? Damit Copilot nicht zum Risiko für Unternehmen wird, lohnt sich ein Blick auf die verschiedenen Versionen, die datenschutzrechtlichen Rahmenbedingungen und empfohlenen Governance-Maßnahmen.

Copilot-Varianten und warum die richtige Wahl entscheidend ist

Microsoft bietet Copilot in unterschiedlichen Ausführungen an, die sich datenschutzrechtlich deutlich voneinander unterscheiden. Besonders relevant ist der Unterschied zwischen Copilot für Microsoft 365 und den frei verfügbaren Consumer-Versionen.

Der Enterprise-Copilot arbeitet vollständig innerhalb des eigenen Unternehmens-Tenants, das bedeutet sämtliche Copilot-Interaktionen, also Prompts und deren Antworten, werden als sog. Copilot-Aktivitätsverlauf verschlüsselt im Tenant gespeichert und fallen unter die normalen M365-Vertragsbedingungen. Copilot greift zudem über Microsoft Graph ausschließlich auf die Informationen zu, die dem jeweiligen Benutzer ohnehin zugänglich sind. Zudem werden Unternehmensdaten nicht zur Weiterentwicklung der LLM Modelle genutzt und sämtliche Sicherheits- und Compliance-Funktionen von Microsoft 365 – von Sensitivity Labels bis hin zu Audit-Logs – greifen automatisch. Für Unternehmen ist das entscheidend, denn die Nutzung basiert auf dem bestehenden Auftragsverarbeitungsvertrag, konkret auf dem Microsoft Products and Services Data Protection Addendum (DPA) und die Datenverarbeitung kann in die EU Data Boundary eingebettet werden. Für Kundendaten innerhalb von Microsoft 365 agiert Microsoft somit als Auftragsverarbeiter; für bestimmte Telemetrie- und Service-Daten ist Microsoft eigener Verantwortlicher.

Die Situation ist bei den Consumer-Copilot-Versionen grundlegend anders. Diese laufen komplett außerhalb der Unternehmensinfrastruktur. Es existiert kein spezifischer Auftragsverarbeitungsvertrag, keine Integration in Purview, keine Kontrolle über Datenklassifizierungen oder Rechte. Selbst wenn Microsoft diese Dienste grundsätzlich datenschutzfreundlich betreibt, eignen sie sich nicht für sensible oder geschäftliche Daten. Unternehmen sollten deshalb sicherstellen, dass ausschließlich der Enterprise-Copilot genutzt wird und Consumer-Versionen, wie Copilot vom persönlichen Microsoft-Konto auf copilot.microsoft.com, Bing, oder Edge, blockiert oder technisch unterbunden werden.

Davon abzugrenzen ist Copilot Chat bzw. Copilot mit kommerziellem Datenschutz durch Anmeldung mit Entra ID, welches ebenfalls im „Web“ oder in Edge eingebunden ist, aber wie Copilot Enterprise durch einen AVV und Enterprise-Schutz denselben Bedingungen wie Copilot für M365 im Unternehmens Tenant unterstellt ist.

Effizienter Einsatz im Arbeitsalltag

Die Einsatzmöglichkeiten von Copilot sind vielfältig und reichen von der Erstellung von Textentwürfen bis zur Analyse großer Datenmengen. Besonders hilfreich ist Copilot überall dort, wo Informationen strukturiert, interpretiert oder in neue Formen überführt werden müssen. Lange E-Mails lassen sich mit wenigen Klicks zusammenfassen, Besprechungsnotizen automatisch in Aufgaben umwandeln, Tabellen analysieren oder Präsentationen aus bestehenden Dokumenten generieren. Diese Entlastung sorgt dafür, dass sich Mitarbeitende stärker auf ihre Kernaufgaben konzentrieren können.

Wichtig bleibt jedoch: auch wenn Copilot Routinearbeit erleichtert, ersetzt er nicht die fachliche Kontrolle. Generierte Inhalte müssen überprüft, bewertet und gegebenenfalls ergänzt werden. Copilot ist ein starkes Werkzeug, aber kein autonomes Entscheidungssystem.

Datenschutzrechtliche Einordnung und mögliche Herausforderungen

Wie jede digitale Verarbeitung personenbezogener Daten unterliegt auch die Nutzung von Copilot den Vorgaben der DSGVO. Unternehmen nutzen Copilot in der Regel auf Grundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Microsoft handelt dabei – zumindest in der Enterprise-Version – als Auftragsverarbeiter, wodurch klare vertragliche und technische Schutzmechanismen bestehen. Für EU-Kunden ist Microsoft 365 Copilot Teil der EU Data Boundary, d. h. die Verarbeitung und Speicherung erfolgt grundsätzlich innerhalb der EU-Datengrenze. Soweit Daten in Ausnahmefällen in Drittländer übermittelt werden, stützt Microsoft sich auf das EU-U.S. Data Privacy Framework (DPF) und Standardvertragsklauseln (SCCs).

Besonderes Augenmerk sollten Unternehmen auf Daten richten, die unter Art. 9 DSGVO fallen, also beispielsweise Gesundheits- oder biometrische Daten. Diese dürfen nicht allein auf Basis des berechtigten Interesses verarbeitet werden. Da eine wirksame Einwilligung in vielen Unternehmenskontexten schwer umsetzbar ist, empfiehlt es sich, solche Daten grundsätzlich nicht über Copilot zu verarbeiten.

Zu den praktischen Risiken gehören unter anderem weit gefasste Berechtigungen in SharePoint oder Teams. Wenn Mitarbeitende Zugriff auf Daten erhalten, die sie eigentlich nicht benötigen, kann Copilot diese Informationen ebenfalls einbeziehen. Ein weiteres Risiko liegt in der Eingabe sensibler Inhalte in Prompts, was unbeabsichtigt zu Datenlecks führen könnte. Zudem sollte die Konfiguration der Web-Suche beachtet werden: wenn sie aktiviert ist, können Fragmente eines Prompts in eine Suchanfrage einfließen, auch wenn die Inhalte selbst nicht „ins Web hochgeladen“ werden. Unternehmen sollten deshalb bewusst entscheiden, ob die Web-Suche aktiviert bleiben oder zentral deaktiviert werden soll.

Wie Unternehmen Copilot sicher und verantwortungsvoll einsetzen

Beim Einsatz von Copilot sollte das Prinzip der Datenminimierung eine zentrale Rolle spielen. Personenbezogene oder besonders vertrauliche Daten sollten nur verarbeitet werden, wenn dies unbedingt erforderlich und technisch abgesichert ist. Eine klare Zugriffskontrolle nach dem Zero-Trust-Prinzip verhindert, dass Nutzende ungewollt auf Daten zugreifen, die später durch Copilot verarbeitet werden könnten.

Unternehmen sollten Data Loss Prevention-Richtlinien, Protokollierungen und Audits aktivieren und Mitarbeitende dafür sensibilisieren, keine schützenswerten Informationen in ungesicherten Umgebungen zu verarbeiten. In einigen Fällen kann eine Datenschutz-Folgenabschätzung notwendig sein, um mögliche Auswirkungen zu bewerten.

Praxisorientierte Checkliste für die Einführung

Vor einer breiten Nutzung von Microsoft Copilot sollten folgende Punkte umgesetzt sein:

·         Versionen und Zugriffe: Consumer-Versionen sind blockiert, Enterprise-Copilot ist freigeschaltet und korrekt lizenziert.

·         Rechtliche Rahmenbedingungen: Auftragsverarbeitungsvertrag (DPA) mit Microsoft ist aktiv; internationale Datenübermittlungen geprüft; bei Bedarf Datenschutz-Folgenabschätzung durchgeführt.

·         Interne Richtlinien: Klare Vorgaben zur KI-Nutzung existieren, inklusive sicherer Prompt-Gestaltung und erlaubter Datenarten.

·         Daten- und Berechtigungsmanagement: Datenklassifizierung, Sensitivity Labels und Löschkonzepte sind umgesetzt; Berechtigungen in Teams, SharePoint und OneDrive regelmäßig geprüft.

·         Sicherheits- und Compliance-Funktionen: DLP, Audit-Logs und weitere Schutzmechanismen aktiviert; Web-Suche deaktiviert, falls sensible Daten verarbeitet werden.

·         Schulung und Sensibilisierung: Mitarbeitende sind geschult, kennen die Unterschiede zwischen Enterprise- und Consumer-Copilot und wissen, wie sie Prompts sicher gestalten.

·         Monitoring und Governance: Pilotphase abgeschlossen, Monitoring und Eskalationswege definiert, Nutzung und Risiken werden kontinuierlich überprüft.

Mit diesen Maßnahmen wird eine sichere Grundlage geschaffen, die Datenschutzrisiken minimiert und den produktiven Einsatz von Copilot im Unternehmenskontext ermöglicht.

Fazit

Microsoft Copilot kann die tägliche Arbeit effizienter gestalten, Wissensarbeit erleichtern und Routineaufgaben reduzieren. Datenschutz und Informationssicherheit lassen sich in der Enterprise-Umgebung gut umsetzen, vorausgesetzt, dass die Nutzung klar geregelt, technische Schutzmaßnahmen implementiert und Mitarbeitende ausreichend geschult sind. Mit dieser Kombination aus Governance, Sensibilisierung und Datenmanagement kann Copilot zu einem wertvollen Werkzeug im Unternehmen werden, das Prozesse beschleunigt und die Qualität der Arbeit verbessert, ohne unnötige Risiken einzugehen.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

Marco

Marco begann 2017 ein Lehramtsstudium, orientierte sich jedoch später neu und sammelte über zweieinhalb Jahre hinweg umfangreiche Erfahrung im öffentlichen Dienst, insbesondere im administrativen Bereich. Im Anschluss absolvierte er seine Ausbildung zum Kaufmann für Büromanagement bei aigner business solutions, die er mit herausragender Leistung abschloss. Im Rahmen seiner Ausbildung unterstützte er bereits tatkräftig die Bereiche Finance, Personal sowie das Datenschutz-Team im Backoffice.

Seit seiner Übernahme verstärkt Marco nun unser Team fest und bringt sein Know-how gezielt in den Bereichen Human Resources und Datenschutz ein. Mit seinem Engagement, seiner strukturierten Arbeitsweise und seinem ausgeprägten Verantwortungsbewusstsein ist er eine wertvolle Bereicherung für unser Unternehmen.