12.09.2024

Microsoft Copilot für M365 & Datenschutz: So gelingt der sichere Einsatz im Unternehmen

Microsoft Copilot für M365 revolutioniert die Arbeit mit Office-Anwendungen, birgt jedoch auch erhebliche datenschutzrechtliche Herausforderungen. Wie Unternehmen den KI-Assistenten sicher und rechtskonform einsetzen können und welche Risiken es zu beachten gilt, erfahren Sie hier. Entdecken Sie, welche Maßnahmen Sie jetzt ergreifen sollten, um die Datenschutz-Compliance zu gewährleisten.

Unverbindliches Erstgespräch vereinbaren

Was ist der Microsoft Copilot für M365?

Microsoft Copilot für M365 ist ein KI-gestützter Assistent für die Anwendungen und Dienste von Microsoft 365 (abzugrenzen von "Microsoft Copilot", der unabhängig von M365 und direkt über den Browser oder per App angesteuert werden kann). Neben Outlook unterstützt Microsoft Copilot für M365 auch Programme wie Word, Excel und PowerPoint, die jeweils über einen eigenen Copiloten verfügen. Der Assistent soll die Nutzer:innen dabei unterstützen, ihre Aufgaben schneller zu erledigen und ihre Produktivität zu steigern. Als Feature bietet die Funktion beispielsweise an, Entwürfe für Texte, Präsentationen oder Formeln in der zugehörigen App zu erstellen.

Um unternehmensspezifische Antworten zu liefern, greift Copilot in Echtzeit auf die Daten des jeweiligen M365-Kunden über Microsoft Graph auf den SharePoint zu. Der Assistent nutzt dafür eine Kombination aus großen Sprachmodellen (LLMs) – beispielsweise GPT-4, das Microsoft von Open AI lizensiert hat – und einem spezifischen Algorithmus, der auf Deep-Learning-Techniken und umfangreiche Datasets zurückgreift. Diese Sprachmodelle koordiniert Copilot mit den berechtigungsabhängigen Inhalten aus Microsoft Graph und der jeweiligen Produktivitätsapp.

Praktisch funktioniert die Verarbeitung so, dass der Nutzer zunächst eine Eingabe in einer der Microsoft-365-Apps vorgibt. Ausgehend von den Berechtigungen dieses Nutzers erfasst Copilot dessen spezifischen Geschäftskontext, d.h. insbesondere auch relevante Inhalte, auf die der Nutzer zugreifen kann und sendet die Eingabe an das LLM. Der dort generierte Output wird durch Microsoft überprüft und anschließend an die Anwendung gesendet.

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Welche datenschutzrechtlichen Probleme gibt es bei der Nutzung vom Microsoft Copilot im Unternehmen?

Microsoft befand sich in den vergangenen Jahren regelmäßig im Fokus der aufsichtsbehördlichen Kritik. Speziell zu Microsoft 365 äußerte sich das gemeinsame Gremium der datenschutzrechtlichen Aufsichtsbehörden – die Datenschutzkonferenz (DSK) – dahingehend, dass ein datenschutzkonformer Einsatz zum damaligen Zeitpunkt kaum möglich sei (mehr zur Einschätzung der DSK lesen Sie hier).

Tatsächlich kann man unserer Auffassung nach durchaus einen datenschutzkonformen Einsatz von M365 – einschließlich Copilot – sicherstellen . Vorausgesetzt man setzt sich mit den datenschutzrechtlichen Herausforderungen, den Verträgen und der M365-Konfiguration auseinander. Im Zusammenhang mit Microsoft Copilot für M365 stellen sich einige spezifische datenschutzrechtliche Probleme.

Hauptproblem: Zugriff auf Unternehmensdaten via Nutzerberechtigungen

Ein datenschutzrechtliches Hauptproblem des Copiloten besteht darin, dass das Tool anhand der Nutzerberechtigungen auf Unternehmensdaten zugreifen kann, auf die auch der Nutzer zugreifen kann, und diese Daten für sein Ergebnis auswertet. Die einzelnen Nutzer:innen müssen dafür nicht über  Bearbeitungsrechte verfügen. Bereits einfache Leserechte ermöglichen Copilot die Auswertung der fraglichen Daten. Hinzu kommt, dass das Tool Vertraulichkeitslabel von Microsoft Information Protection nicht berücksichtigt und dadurch auch vertrauliche Daten ausgewertet und in den Output einfließen können.

Gerade mit Blick auf die personenbezogenen Daten der Mitarbeiter besteht hierdurch die Gefahr unbefugter Offenlegung oder sonstigen unbefugten Verarbeitung. Auch die potenzielle Auswertung von unternehmenseigenem Know-How – insbesondere Geschäftsgeheimnissen – ist aus wirtschaftlicher Perspektive heikel. Die Problematik lässt sich anhand folgenden Beispiels verdeutlichen.

Beispiel für problematischen Datenzugriff durch den Microsoft Copilot

Möchte etwa die Geschäftsführung eines Unternehmens eine Einladung für ein Firmenevent generieren lassen, greift Copilot anhand der – in diesem Fall in der Regel sehr umfangreichen – Nutzungsrechte auf einen großen Datenbestand im SharePoint der Geschäftsführung zu. Mitunter enthält dieser sensible Informationen zu den Mitarbeitern, vertraulichen Verhandlungen und Knowhow.

Da Copilot im Hinblick auf die Vertraulichkeit keine Unterschiede erkennt, wertet das Tool sämtliche Daten für einen Einladungsentwurf aus. Die fertige Einladung leitet schließlich im Worstcase mit einer Anekdote zu der Schwangerschaft einer Mitarbeiterin ein, spielt auf einen geplanten Deal an und macht Anspielungen über die schlechten Geschäftszahlen.

Weiteres Datenschutz-Problem: Verknüpfung von Microsoft Copilot und Bing

Ein weiteres datenschutzrechtliches Problem birgt die Verknüpfung von Copilot mit der Bing-Suche. Microsoft 365 verarbeitet die Daten des Unternehmens grundsätzlich auch bei Nutzung von Copilot als Auftragsverarbeiter. Mit der Weiterleitung der Daten an die Suchmaschine verlässt Copilot jedoch diese Sphäre und Microsoft verarbeitet die an Bing übersandten Daten in eigener datenschutzrechtlicher Verantwortlichkeit.

Eine mögliche eigene Verantwortlichkeit Microsofts wird von den Aufsichtsbehörden seit jeher als Argument gegen die Datenschutzkonformität der Microsoft-365-Nutzung durch hiesige Verantwortliche angeführt. Aus Sicht der Behörden komme Microsoft seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht hinreichend nach, weshalb kein rechtmäßiger Einsatz des Office-Pakets möglich sei.

Newsletter

Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Was ist die Summe aus 7 und 6?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Welche Maßnahmen muss man ergreifen, um Microsoft Copilot datenschutzkonform zu nutzen?

Das Hauptaugenmerk datenschutzrechtlicher Compliance liegt bei Microsoft Copilot auf der Begrenzung des Umfangs der verarbeiteten Daten.

Umfang der Datenverarbeitung – Nutzerberechtigungen

Je nach Anwendungsfall werden bei der Nutzung von Copilot mitunter große Mengen personenbezogener Daten – ggf. auch besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO – verarbeitet. Da der Zugriff durch Copilot vom Umfang der Berechtigung des jeweiligen Nutzers abhängt, bietet sich hier eine gute Möglichkeit zur datensparsamen Nutzung. Die Konfigurationen für Copilot sollten im M365 Admincenter geprüft und unter Berücksichtigung der unternehmensinternen Governance individuell angepasst werden. Grundsätzlich sollte kein Nutzer über mehr Berechtigungen verfügen als unbedingt notwendig. Gerade die Lese- und Bearbeitungsrechte an vertraulichen Daten sollten streng nach dem "Need-to-know-Prinzip" vergeben werden.

Umfang der Nutzung – Nutzungsrichtlinie

Copilot kann für die verschiedensten Anwendungsfälle zum Einsatz kommen und birgt dadurch ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen. Mittels einer Nutzungsrichtlinie können die erlaubten Einsatzzwecke des Tools festgelegt und die Mitarbeiter im Umgang damit geschult werden. So sollten beispielsweise auch die Prompts keine personenbezogenen Daten oder sensibles Knowhow enthalten.

Lösch- und Aufbewahrungsfristen

Personenbezogene Daten sollten - schon grundlegend - nur so lange gespeichert werden, wie dies unbedingt notwendig ist. Durch die Implementierung und Durchsetzung unternehmensspezifischer Aufbewahrungs- und Löschrichtlinien können die Nutzer von Copilot sensibilisiert und der Umfang der verarbeiteten Daten erheblich verringert werden.

Einschränkung von Bing, Plug-Ins und Drittanbieterdienste

Da die Verknüpfung von Copilot und Bing-Suche mit erheblichen datenschutzrechtlichen Problemen einhergeht, sollte diese Funktion in der Regel im unternehmerischen Kontext deaktiviert werden. Auch die Nutzung weiterer Plug-Ins und Drittanbieterdienste für Microsoft Copilot für M365 ist insofern problematisch und sollte zuvor einer datenschutzrechtlichen Risikoanalyse unterzogen werden.

Datenschutz-Folgenabschätzung für Microsoft Copilot

Aufgrund der umfassenden Verarbeitungsmöglichkeiten sowie der spezifischen Risiken des KI-Tools, sollte vor einer Nutzung von Copilot eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Soweit für das Unternehmen bereits eine DSFA zu Microsoft 365 besteht, kann diese insofern ergänzt werden. Durch eine DSFA können die jeweiligen Verarbeitungsvorgänge bewertet und einer spezifischen Risikoanalyse unterzogen werden. Zugleich bietet die Dokumentation eine Handhabe für die Beseitigung der Risiken für die Rechte und Freiheiten natürlicher Personen und kann das Unternehmen im Konfliktfall entlasten.

Unsere Empfehlung zur datenschutzkonformen Nutzung von Microsoft Copilot

Die Nutzung von Copilot ist datenschutzrechtlich grundsätzlich möglich, Nutzerberechtigungen und Funktionen müssen für den geschäftlichen Gebrauch jedoch entsprechend feinjustiert werden. Neben technischen Beschränkungen über das Admin-Center sollten auch die Nutzer im Hinblick auf die datenschutzrechtlichen Besonderheiten geschult werden. Vor der Implementierung sollte der Einsatz von Copilot im Rahmen einer DSFA geprüft oder eine bereits bestehende DSFA zu Microsoft 365 entsprechend ergänzt werden.

Wir beraten bereits viele Unternehmen zur Nutzung des Microsoft Copilot und wissen deshalb, worauf es ankommt. Vereinbaren Sie einfach ein unverbindliches Erstgespräch, um zu besprechen, wie unsere spezialisierten Rechtsanwält:innen Sie bei der datenschutzkonformen Nutzung des Copilot und MS365 unterstützen können.

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Weitere Neuigkeiten

30.09.2024

Künstliche Intelligenz (KI) – wer haftet, wenn ein Roboter versagt?

20.09.2024

Datenschutz und M&A: Data Due Diligence und der Schlüssel zur rechtssicheren Datennutzung

12.09.2024

Microsoft Copilot für M365 & Datenschutz: So gelingt der sichere Einsatz im Unternehmen