,regionOfInterest=(225,152)&hash=ffd23fabdf1869757dfb76efeee20728411bdd5dd733efea8e636a2a3ce50444#)
![SEO-Relaunch: 7 Punkte, die nicht verhandelbar sein dürfen! [Search Camp 377]](https://blog.bloofusion.de/wp-content/uploads/2025/06/Search-Camp-Canva-377.png)
![Das HR-Power-Pack: SEO, SEA + Social Ads für die Mitarbeitergewinnung [Search Camp 376]](https://blog.bloofusion.de/wp-content/uploads/2025/05/Search-Camp-Canva-376.png)
![SEO-Monatsrückblick Mai 2025: AIOs, AI Mode, llms.txt + mehr [Search Camp 375]](https://blog.bloofusion.de/wp-content/uploads/2025/06/Search-Camp-Canva-375.png)
![Deals: Deep Space Nine - LEGO macht bald Star Trek Sets – hier gibt es noch eins der letzten von BlueBrixx [Anzeige]](https://images.cgames.de/images/gamestar/4/bluebrixx-star-trek-deep-space-9-nine-ds9-raumstation-teaser_6359952.jpg?#)
![Deals: Das ist abgedreht! - Der wohl irrste Shooter bekommt einen Nachfolger - den ersten Teil gibt's jetzt im Angebot! [Anzeige]](https://images.cgames.de/images/gamestar/4/high-on-life_6360305.jpg?#)
:quality(80)/p7i.vogel.de/wcms/a3/5f/a35feaad2b3c9bc96e50c09f06bf3e04/0125182351v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/7b/03/7b036dac23e672df46612edb70688710/0125137359v2.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/f9/41/f9414ce31e8109abe69fe576bf3bfdcb/0125224403v2.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/09/6a/096ad833b4ff28862dfb18e0dc3ea094/0125079793v1.jpeg?#)
Datenschutzrisiken von Copilot für Microsoft 365
Mit Microsoft Copilot zieht Künstliche Intelligenz direkt in die gewohnte Arbeitsumgebung ein – ob in Word, Excel, Outlook oder Teams. Die KI-gestützte Assistenzfunktion soll die tägliche Arbeit erleichtern, indem sie Inhalte analysiert, zusammenfasst oder neu erstellt. Doch was wie ein Produktivitätsschub wirkt, wirft gleichzeitig erhebliche Fragen zum Datenschutz auf. Wie funktioniert Microsoft Copilot? Microsoft Copilot […]
Mit Microsoft Copilot zieht Künstliche Intelligenz direkt in die gewohnte Arbeitsumgebung ein – ob in Word, Excel, Outlook oder Teams. Die KI-gestützte Assistenzfunktion soll die tägliche Arbeit erleichtern, indem sie Inhalte analysiert, zusammenfasst oder neu erstellt. Doch was wie ein Produktivitätsschub wirkt, wirft gleichzeitig erhebliche Fragen zum Datenschutz auf.
Wie funktioniert Microsoft Copilot?
Microsoft Copilot basiert technisch auf großen Sprachmodellen (Large Language Models, LLMs, z.B. GPT-4) und nutzt das sogenannte „Grounding“, bei dem es Antworten auf Basis der im Unternehmen gespeicherten Daten aus dem Microsoft Graph erstellt. Optional können diese Inhalte über ein aktiviertes Webinhalts-Plugin durch Informationen aus dem Internet angereichert werden, indem Copilot automatisch eigene Suchanfragen an die Bing-API stellt. So kombiniert Copilot interne Unternehmensdaten mit externen Quellen, um kontextbezogene Texte, Analysen oder Zusammenfassungen zu generieren.
Copilot verwendet also GPT-Modelle als Kerntechnologie, ist aber in eine komplexe Microsoft-Infrastruktur eingebettet, die weit über die Fähigkeiten eines klassischen ChatGPT hinausgeht – insbesondere durch den Zugriff auf Unternehmensdaten. Gerade diese Verknüpfung birgt eine Reihe spezieller datenschutzrechtlicher Herausforderungen.
Connected Experiences und Plugins
Der Einsatz von Connected Experiences und Plugins bei Microsoft Copilot führt dazu, dass Inhalte über verschiedene Anwendungen hinweg verarbeitet werden – dabei kann es zur unbeabsichtigten Offenlegung oder Verfälschung personenbezogener Daten kommen.
Die Entscheidungsfindung bleibt intransparent, auch weil Microsoft bestimmte Datenverarbeitungen außerhalb von Microsoft zur Verfügung gestellten Datenschutzvertrag (Data Protection Addendum, DPA) möglicherweise weisungsunabhängig und zu eigenen Zwecken durchführt. Da Microsoft nicht offenlegt, welche Daten zu welchen Zwecken verarbeitet werden, ist es für Unternehmen äußerst schwierig, eine belastbare Rechtsgrundlage für die Weitergabe personenbezogener Daten an Microsoft zu bestimmen.
Bing API / Webinhalts-Plugin
Wird das Webinhalts-Plugin aktiviert, greift Copilot über die Bing-API automatisch auf Internetinhalte zu, um Antworten anzureichern. Zwar werden Suchanfragen, die Copilot an Bing sendet, grundsätzlich von der Benutzer- und Mandanten-ID getrennt. Jedoch erfolgt die Verarbeitung außerhalb DPA mit Microsoft. Stattdessen gelten die Bedingungen des allgemeinen Microsoft-Servicevertrags, wodurch Microsoft nicht mehr als weisungsgebundener Auftragsverarbeiter, sondern als eigener Verantwortlicher auftritt. Es bleibt unklar, welche Daten Microsoft in diesem Zusammenhang verarbeitet, was eine datenschutzkonforme Nutzung erheblich erschwert.
Berechtigungen der User
Copilot hat Zugriff auf alle Inhalte, auf die ein User innerhalb des Microsoft-365-Tenants zugreifen darf – darunter E-Mails, Dokumente, Kalender und mehr. Fehlt ein klar definiertes Berechtigungskonzept, besteht die Gefahr, dass personenbezogene oder vertrauliche Daten in falsche Hände gelangen. Besonders kritisch ist dies, wenn Inhalte versehentlich in anderen Kontexten wiederverwendet oder kombiniert werden – etwa beim Generieren neuer Dokumente oder Zusammenfassungen.
Beschränkungsmöglichkeiten innerhalb von Copilot sind nicht wirklich vorhanden, sodass bei unvollständigen oder fehlerhaften Berechtigungen schnell sensible Daten unberechtigt offengelegt oder weiterverarbeitet werden können. Dadurch wird das Prinzip der Datenminimierung und das „Need-to-Know“-Prinzip unterlaufen, was erhebliche Datenschutzrisiken bis hin zu meldepflichtigen Datenschutzvorfällen mit sich bringt.
Zugriff von Copilot auf den Microsoft Graph
Der Microsoft Graph ist eine zentrale Schnittstelle, über die Microsoft 365 Dienste wie Outlook, Teams, OneDrive oder SharePoint miteinander verknüpft und Daten daraus für Anwendungen wie Copilot verfügbar macht. Der umfassende Zugriff von Copilot auf diese vernetzten Datenquellen birgt das Risiko von verfälschten oder angereicherten Ausgaben, erschwert die Identifikation von Datenschutzvorfällen und macht es schwieriger, Betroffenenrechte wie Auskunft oder Löschung wirksam umzusetzen. Zudem können bei kompromittierten Benutzerkonten große Datenmengen in kürzester Zeit abfließen, und Funktionen wie automatische Zusammenfassungen oder Bearbeitungsverläufe ermöglichen eine potenziell kritische Form der Mitarbeiterüberwachung.
Maßnahmen zur Risikominimierung
Um die datenschutzrechtlichen Risiken beim Einsatz von Microsoft Copilot zu minimieren, empfiehlt sich zunächst eine kontrollierte Testphase, in der Funktionen, Datenflüsse und mögliche Schwachstellen systematisch überprüft werden können. Ergänzend bietet sich der Einsatz von Microsoft Purview Labeling an, um sensible Daten automatisch zu klassifizieren und vor ungewolltem Zugriff zu schützen.
Ein zentrales Element zur Risikominimierung ist ein geprüftes Berechtigungskonzept, das den Zugriff auf Daten strikt nach dem Need-to-know-Prinzip organisiert. Darüber hinaus sollten Administratoreinstellungen gezielt genutzt werden, um Copilot-Funktionen einzuschränken und kritische Plugins wie das Webinhalts-Plugin bei Bedarf zu deaktivieren. Flankierend sind Schulungen unerlässlich, um das Bewusstsein für Datenschutzthemen im Umgang mit KI-gestützten Tools zu stärken. Der Einsatz von Microsoft Copilot kann große Chancen bieten – doch er bleibt datenschutzrechtlich anspruchsvoll und erfordert klare Regeln.
Webinar zum Thema „Copilot für Microsoft 365“
Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Copilot für Microsoft 365 – Datenschutz und Compliance praktisch umgesetzt“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen.
Donnerstag, den 25.06.2025
von 15:00 bis 17:00 Uhr
Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de
