{"id":3410,"date":"2025-08-25T15:34:55","date_gmt":"2025-08-25T13:34:55","guid":{"rendered":"https:\/\/www.ecovis.com\/datenschutzberater\/?p=3410"},"modified":"2025-08-25T15:35:38","modified_gmt":"2025-08-25T13:35:38","slug":"microsoft-copilot-helferlein-oder-gefahr","status":"publish","type":"post","link":"https:\/\/www.ecovis.com\/datenschutzberater\/microsoft-copilot-helferlein-oder-gefahr\/","title":{"rendered":"Microsoft CoPilot &#8211; Helferlein oder Gefahr?"},"content":{"rendered":"<p>Die KI-gest\u00fctzte Assistenzfunktion Microsoft CoPilot, die in Microsoft 365 integriert ist, bietet zahlreiche Vorteile f\u00fcr die Produktivit\u00e4t Ihrer Mitarbeitenden. E-Mails, Dokumente oder Excel-Tabellen k\u00f6nnen kurz und knapp zusammengefasst werden \u2013 daf\u00fcr liest die KI jedoch den gesamten Inhalt jeder Datei in Ihrem Dateisystem aus. Gerade deswegen sind bei der Nutzung wichtige datenschutzrechtliche Aspekte zu beachten, um die Rechte Ihrer Mitarbeitenden und die Sicherheit Ihrer Unternehmensdaten zu gew\u00e4hrleisten.<\/p>\n<h3>1. Das Auslesen und Verarbeiten von Dateien durch CoPilot<\/h3>\n<p>Microsoft CoPilot greift auf alle in Ihrer Organisation gespeicherten Daten und Dokumente zu, um personalisierte Unterst\u00fctzung zu bieten. Dabei werden Inhalte aus E-Mails, Dokumenten, Tabellen und anderen Office-Anwendungen analysiert.<\/p>\n<ul>\n<li><b>Datenerhebung und -\u00fcbertragung:<\/b> Die Daten werden in der Regel in die Cloud \u00fcbertragen, was grunds\u00e4tzlich eine Datenverarbeitung im Auftrag des Unternehmens darstellt, die einer rechtlichen Grundlage bedarf. Es ist daher entscheidend, dass Sie vertraglich mit Microsoft regeln, welche Daten verarbeitet und welche Sicherheitsma\u00dfnahmen getroffen werden.<\/li>\n<li><b>Rechtliche Grundlage:<\/b> Die Verarbeitung der Daten muss auf einer g\u00fcltigen Rechtsgrundlage basieren, beispielsweise auf einer Einwilligung, der Erf\u00fcllung eines Vertrags oder berechtigten Interessen. Es ist empfehlenswert, eine Datenschutz-Folgenabsch\u00e4tzung (DSFA) durchzuf\u00fchren, wenn sensible oder besonders sch\u00fctzenswerte Daten verarbeitet werden.<\/li>\n<li><b>Sensible Daten:<\/b> Besonders bei sensiblen Informationen (z.B. Gesundheitsdaten, Personaldaten) ist Vorsicht geboten. Es sollte gepr\u00fcft werden, ob die Daten \u00fcberhaupt an Microsoft \u00fcbertragen werden d\u00fcrfen, und gegebenenfalls m\u00fcssen entsprechende technische und organisatorische Ma\u00dfnahmen (TOM) implementiert werden. Sie sollten eine Richtlinie zur Nutzung von KI-Systemen in Ihrem Unternehmen etablieren, welche exakt regelt, wann und welche Daten mithilfe der KI verarbeitet werden d\u00fcrfen. Es empfiehlt sich ebenso, bestimmte Netzwerkbereiche von der KI zu isolieren, zum Beispiel den Lagerort von digitalen Personalakten.<\/li>\n<\/ul>\n<h3>2. Das Training der KI und die Nutzung von Daten<\/h3>\n<p>Microsoft nutzt die Daten, die durch die Nutzung von CoPilot generiert werden, um die KI-Modelle zu verbessern. Hierbei sind folgende Punkte zu beachten:<\/p>\n<ul>\n<li><b>Daten f\u00fcr das KI-Training:<\/b> Standardm\u00e4\u00dfig werden anonymisierte Nutzungsdaten verwendet, um die Modelle zu optimieren. Dennoch besteht die Gefahr, dass unbeabsichtigt personenbezogene oder vertrauliche Informationen in das Training gelangen.<\/li>\n<li><b>Einstellungen und Kontrolle:<\/b> Unternehmen sollten die Konfiguration so anpassen, dass nur die unbedingt notwendigen Daten f\u00fcr das Training verwendet werden. Es ist ratsam, die Option zu deaktivieren, bei der Nutzungsdaten automatisch f\u00fcr das KI-Training genutzt werden.<\/li>\n<li><b>Vertragliche Regelungen:<\/b> Treffen Sie mit Microsoft klare Vereinbarungen, die den Umgang mit Daten im Rahmen des KI-Trainings regeln, insbesondere im Hinblick auf den Schutz personenbezogener Daten.<\/li>\n<\/ul>\n<h3>3. Risiken des Missbrauchs durch Dritte<\/h3>\n<p>Wie bei jeder Cloud-basierten L\u00f6sung besteht das Risiko, dass unbefugte Dritte Zugriff auf Ihre Daten erlangen:<\/p>\n<ul>\n<li><b>Cyberangriffe und Datenlecks:<\/b> Hackerangriffe, Phishing oder Sicherheitsl\u00fccken k\u00f6nnen dazu f\u00fchren, dass vertrauliche Informationen in falsche H\u00e4nde geraten. Je mehr vertrauliche Informationen durch CoPilot verarbeitet werden, desto gr\u00f6\u00dfer das Risiko.<\/li>\n<li><b>Insider-Bedrohungen:<\/b> Mitarbeitende mit unzureichender Schulung oder b\u00f6swilligem Verhalten k\u00f6nnten Daten missbrauchen.<\/li>\n<li><b>Missbrauch durch Dritte:<\/b> Es besteht die Gefahr, dass Dritte versuchen, die KI-Funktion f\u00fcr unrechtm\u00e4\u00dfige Zwecke zu manipulieren oder auszunutzen. So kann es beispielsweise der Fall sein, dass ein\/-e Mitarbeitende\/-r durch\u00a0 gezieltes Fragenstellen an eine KI (Prompt Injection) an sensible Informationen ihrer Mitarbeitenden kommt. Nach aktuellem Stand funktioniert das MPIP Labeling[<a href=\"#footnote\">1<\/a>] nicht als Ausschluss f\u00fcr das Training von CoPilot, weiterhin werden die Labels derzeit nicht in der Ausgabe ber\u00fccksichtigt. Dies bedeutet, grunds\u00e4tzlich ist es auch m\u00f6glich, dass Copilot Daten verarbeitet, die eigentlich als \u201evertraulich\u201c gekennzeichnet sind und daher nicht f\u00fcr alle Nutzer zug\u00e4nglich sein sollten.<\/li>\n<\/ul>\n<h3>4. Sicherheitsma\u00dfnahmen und Empfehlungen<\/h3>\n<p>Um diese Risiken zu minimieren, sollten Sie unter anderem folgende Ma\u00dfnahmen ergreifen:<\/p>\n<ul>\n<li><b>Technische Sicherheitsma\u00dfnahmen:<\/b> Verschl\u00fcsselung der Daten, Zugriffskontrollen, Protokollierung der Prompts, Multi-Faktor-Authentifizierung und regelm\u00e4\u00dfige Sicherheitsupdates.<\/li>\n<li><b>Organisatorische Ma\u00dfnahmen:<\/b> Schulung der Mitarbeitenden im sicheren Umgang mit KI-Tools, klare Richtlinien zur Datenverarbeitung und -freigabe sowie regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der Zugriffsrechte.<\/li>\n<li><b>Datenschutz-Folgenabsch\u00e4tzung:<\/b> F\u00fchren Sie eine DSFA durch, um potenzielle Risiken zu identifizieren und geeignete Ma\u00dfnahmen zu ergreifen.<\/li>\n<li><b>Vertragliche Absicherung:<\/b> Stellen Sie sicher, dass Ihre Vertr\u00e4ge mit Microsoft den Datenschutzanforderungen entsprechen, insbesondere im Hinblick auf Auftragsverarbeitung und Datenverarbeitung im Ausland.<\/li>\n<\/ul>\n<h3>5. EU-KI-Verordnung<\/h3>\n<p>Die EU-KI-Verordnung (oder auch AI Act) legt wichtige Rahmenbedingungen fest, um den sicheren und verantwortungsvollen Einsatz von KI-Systemen zu gew\u00e4hrleisten.<\/p>\n<ul>\n<li><b>Einstufung der KI-Anwendung: <\/b>Wenn keine eigenen Programmierungen oder Datenanreicherungen geplant sind, h\u00e4ngt die Einstufung der KI-Anwendung von ihrer Risikokategorie ab. Die EU-KI-Verordnung unterscheidet zwischen minimalem Risiko, begrenztem Risiko, hohem Risiko und inakzeptablem Risiko.<\/li>\n<li><b>Minimal- oder begrenztes Risiko:<\/b> In der Regel fallen viele Anwendungen in diese Kategorien, f\u00fcr die weniger strenge Vorgaben gelten. Hierunter fallen meistens text- oder bildgenerierende KI-Systeme wie ChatGPT, Gemini oder Dall-E. Die genaue Einordnung sollte jedoch im Einzelfall gepr\u00fcft werden.<\/li>\n<li><b>Hohes Risiko:<\/b> Wenn die KI beispielsweise in sicherheitskritischen Bereichen eingesetzt wird (z.B. im Gesundheitswesen, Verkehr, Rechtssystem), gelten strengere Vorgaben.<\/li>\n<li><b>Transparenzpflichten: <\/b>Auch bei Anwendungen ohne eigene Programmierung muss sichergestellt werden, dass Nutzer \u00fcber den Einsatz der KI informiert werden. Das bedeutet, dass klar kommuniziert werden muss, wenn eine KI im Hintergrund arbeitet, damit Nutzer wissen, dass sie mit einer automatisierten Entscheidung oder Unterst\u00fctzung konfrontiert sind.<\/li>\n<li><b>Dokumentation und Nachvollziehbarkeit: <\/b>Auch wenn keine eigene Programmierung vorhanden ist, sollte dokumentiert werden, welche KI-Tools im Einsatz sind, woher sie stammen und wie sie eingesetzt werden. Das erleichtert die Nachvollziehbarkeit und Einhaltung der Vorgaben.<\/li>\n<li><b>Verantwortlichkeit: <\/b>Stellen Sie sicher, dass klare Verantwortlichkeiten f\u00fcr den Einsatz der KI vorhanden sind. Das bedeutet, dass jemand im Unternehmen f\u00fcr die \u00dcberwachung und Einhaltung der Vorgaben zust\u00e4ndig ist.<\/li>\n<li><b>Sicherstellung der Zweckbindung: <\/b>Nutzen Sie die KI nur f\u00fcr die Zwecke, f\u00fcr die sie vorgesehen ist. Vermeiden den Einsatz in Bereichen, die nicht abgedeckt sind oder f\u00fcr die die KI nicht geeignet ist. Nutzen Sie beispielsweise keine Marketing-KI um Dienstpl\u00e4ne zu erstellen. Ebenso sollten Sie eine textgenerierende KI keine vorbereitende Buchhaltung durchf\u00fchren lassen.<\/li>\n<li><b>Keine inakzeptablen Risiken: <\/b>Vermeiden Sie den Einsatz von KI-Systemen, die in der EU als inakzeptabel eingestuft werden, z.B. Systeme, die Massen\u00fcberwachung oder soziale Bewertungssysteme umfassen oder die gegen Grundrechte versto\u00dfen.<\/li>\n<\/ul>\n<h3 id=\"footnote\">6. Fazit<\/h3>\n<p>Der Einsatz von Microsoft CoPilot kann die Effizienz Ihrer Organisation erheblich steigern. Dennoch ist es unerl\u00e4sslich, die rechtlichen Rahmenbedingungen genau zu kennen und umzusetzen. Nur so k\u00f6nnen Sie sicherstellen, dass die Rechte Ihrer Mitarbeitenden gewahrt bleiben und Ihre Daten vor Missbrauch gesch\u00fctzt sind.<\/p>\n<p>Es ist ganz gleich, ob Microsoft CoPilot oder ein anderes Out-of-the-Box-KI-System eingef\u00fchrt werden soll. Die Voraussetzungen und Herausforderungen sind bei allen Systemen vergleichbar.<\/p>\n<p>Wenn Sie Fragen haben oder eine individuelle Beratung ben\u00f6tigen, stehen wir Ihnen gerne zur Verf\u00fcgung.<\/p>\n<hr \/>\n<p><small><em>1 &#8211; Ein &#8222;MPIP-Label&#8220; bezieht sich auf eine Vertraulichkeitsbezeichnung, die im Rahmen von Microsoft Purview Information Protection (MPIP) verwendet wird, um Daten basierend auf ihrer Sensitivit\u00e4t zu klassifizieren und zu sch\u00fctzen. Diese Labels helfen Benutzern, die Bedeutung von Informationen zu verstehen, Compliance-Administratoren bei der Entdeckung sensibler Daten zu unterst\u00fctzen und Sicherheitsadministratoren, Zugriffs- und DLP-Richtlinien (Data Loss Prevention) zu implementieren.<\/em><\/small><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die KI-gest\u00fctzte Assistenzfunktion Microsoft CoPilot, die in Microsoft 365 integriert ist, bietet zahlreiche Vorteile f\u00fcr die Produktivit\u00e4t Ihrer Mitarbeitenden. E-Mails, Dokumente oder Excel-Tabellen k\u00f6nnen kurz und knapp zusammengefasst werden \u2013 daf\u00fcr liest die KI jedoch den gesamten Inhalt jeder Datei in Ihrem Dateisystem aus. Gerade deswegen sind bei der Nutzung wichtige datenschutzrechtliche Aspekte zu beachten, um die Rechte Ihrer Mitarbeitenden und die Sicherheit Ihrer Unternehmensdaten zu gew\u00e4hrleisten.<\/p>\n","protected":false},"author":11,"featured_media":3412,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[29],"tags":[],"class_list":["post-3410","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzberatung"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3410","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/comments?post=3410"}],"version-history":[{"count":5,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3410\/revisions"}],"predecessor-version":[{"id":3416,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3410\/revisions\/3416"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media\/3412"}],"wp:attachment":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media?parent=3410"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/categories?post=3410"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/tags?post=3410"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}