Zurück zum Blog
Praxis
Datenschutz

Microsoft Copilot für Unternehmen: Funktionen, Datenschutz und Compliance

Microsoft Copilot integriert KI in Word, Excel, Teams und Outlook. Was Unternehmen bei Einführung und Nutzung beachten müssen — DSGVO und AI Act.

KCT
KI Comply TeamKI-Compliance Experten
25. August 20255 Min. Lesezeit
Microsoft Copilot für Unternehmen: Funktionen, Datenschutz und Compliance

Microsoft Copilot für Unternehmen: Funktionen, Datenschutz und Compliance

Das Wichtigste in Kürze: Microsoft Copilot bringt generative KI direkt in die Microsoft-365-Anwendungen, die Millionen von Beschäftigten täglich nutzen. Für Unternehmen bietet das enorme Produktivitätsgewinne -- aber auch erhebliche Compliance-Anforderungen. Entscheidend sind ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, die Prüfung des Drittlandtransfers (Art. 44-49 DSGVO), eine Datenschutz-Folgenabschätzung bei systematischem Einsatz (Art. 35 DSGVO), KI-Kompetenzschulungen nach Art. 4 VO (EU) 2024/1689 sowie die Beteiligung des Betriebsrats gemäß §87 Abs. 1 Nr. 6 BetrVG. Dieser Leitfaden erklärt alles, was Sie wissen müssen.

Microsoft Copilot ist nicht einfach ein weiterer Chatbot. Es ist ein KI-Assistent, der tief in die Microsoft-365-Infrastruktur eingebettet ist und auf die Unternehmensdaten im Microsoft Graph zugreift -- E-Mails, Dokumente, Chats, Kalender und mehr. Genau das macht Copilot so leistungsfähig und gleichzeitig so sensibel aus Compliance-Sicht.

Für Unternehmen, die Microsoft 365 bereits nutzen, stellt sich nicht die Frage, ob Mitarbeitende KI einsetzen wollen -- sondern wie der Einsatz sicher, rechtskonform und produktiv gestaltet werden kann. Dieser Leitfaden gibt Ihnen die Antworten.

1. Was ist Microsoft Copilot? Die drei Varianten im Überblick

Microsoft verwendet den Namen „Copilot" für mehrere Produkte. Für Unternehmen ist es wichtig, die Unterschiede zu kennen, denn sie haben unterschiedliche Datenschutz-Implikationen.

Microsoft 365 Copilot (Enterprise)

Microsoft 365 Copilot ist die Enterprise-Variante und für Unternehmen die relevanteste. Sie integriert generative KI direkt in Word, Excel, PowerPoint, Outlook, Teams, OneNote und SharePoint. Copilot greift dabei auf den Microsoft Graph zu -- also auf alle Daten, auf die der jeweilige Nutzer innerhalb des Tenants Zugriff hat.

Wichtige Merkmale:

  • Tenant-Isolation: Copilot verarbeitet ausschließlich Daten innerhalb des eigenen Microsoft-365-Tenants. Es gibt keinen Zugriff auf Daten anderer Organisationen.
  • Kein Training mit Kundendaten: Microsoft hat verbindlich zugesichert, dass Kundendaten aus M365 Copilot nicht zum Training der zugrunde liegenden Large Language Models verwendet werden.
  • EU Data Boundary: Für Kunden in der EU werden die Daten innerhalb der EU-Rechenzentren verarbeitet (seit Anfang 2024 sukzessive umgesetzt).

Copilot in Windows

Copilot in Windows (ehemals „Bing Chat Enterprise" bzw. „Microsoft Copilot") ist der in Windows 11 integrierte KI-Assistent. Er kann allgemeine Fragen beantworten, Texte generieren und Systemeinstellungen anpassen. Im Unternehmenskontext gilt: Mit einem Entra-ID-Konto (ehemals Azure AD) wird die kommerzielle Datenschutzrichtlinie aktiviert -- Prompts und Antworten werden dann nicht für das Modelltraining genutzt.

Copilot Studio

Copilot Studio (ehemals Power Virtual Agents) ermöglicht es Unternehmen, eigene KI-Agenten und Chatbots zu erstellen. Diese können auf interne Datenquellen zugreifen und benutzerdefinierte Workflows auslösen. Copilot Studio ist besonders relevant für Unternehmen, die KI-gestützte Prozesse automatisieren wollen -- bringt aber zusätzliche Compliance-Anforderungen mit sich, da hier potenziell auch externe Nutzer mit der KI interagieren.

2. Funktionen-Übersicht: Was kann Copilot in welcher Anwendung?

Die folgende Tabelle zeigt die wichtigsten Copilot-Funktionen pro Microsoft-365-Anwendung:

AnwendungCopilot-FunktionenDatenschutz-Relevanz
WordTexte verfassen, zusammenfassen, umschreiben; Dokumente auf Basis anderer Dateien erstellenZugriff auf alle Dokumente, die der Nutzer lesen kann; Gefahr der unbeabsichtigten Datenexposition
ExcelDatenanalyse per natürlicher Sprache, Formelvorschläge, Pivot-Tabellen erstellen, Trends erkennenVerarbeitung potenziell sensibler Geschäftsdaten und personenbezogener Daten in Tabellen
PowerPointPräsentationen aus Dokumenten generieren, Folien gestalten, Sprechernotizen erstellenKann Inhalte aus vertraulichen Dokumenten in Präsentationen übernehmen
OutlookE-Mails zusammenfassen, Antworten vorformulieren, Termine vorschlagen, Threads analysierenZugriff auf E-Mail-Inhalte einschließlich vertraulicher Kommunikation
TeamsMeeting-Zusammenfassungen, Transkription, Aufgaben extrahieren, Chat-ZusammenfassungenVerarbeitung von Gesprächsinhalten; Mitbestimmungsrecht des Betriebsrats
SharePointInhalte über Dokumentbibliotheken hinweg suchen und zusammenfassenAggregation von Informationen kann bestehende Zugriffsrechtebeschränkungen faktisch umgehen

Wichtig: Copilot respektiert grundsätzlich die bestehenden Berechtigungen in Microsoft 365. Ein Nutzer kann über Copilot nur auf Daten zugreifen, auf die er auch ohne Copilot Zugriff hätte. In der Praxis zeigt sich allerdings, dass viele Unternehmen zu großzügige Berechtigungen vergeben haben -- ein Problem, das durch Copilot schlagartig sichtbar wird.

3. Datenschutz-Analyse: Wie Microsoft Copilot Daten verarbeitet

EU Data Boundary

Microsoft hat die EU Data Boundary eingeführt, um europäischen Kunden die Datenverarbeitung innerhalb der EU zu garantieren. Für M365 Copilot bedeutet das:

  • Prompts und Antworten werden in EU-Rechenzentren verarbeitet.
  • Die zugrunde liegenden Daten (E-Mails, Dokumente etc.) verbleiben im bereits gewählten Speicherort des Tenants.
  • Die LLM-Inferenz (also die Verarbeitung durch das KI-Modell) erfolgt ebenfalls innerhalb der EU Data Boundary.

Microsoft nutzt hierfür Azure-OpenAI-Dienste in europäischen Rechenzentren. Das ist ein wesentlicher Unterschied zu vielen anderen KI-Tools, bei denen Daten in die USA übermittelt werden.

Aber Achtung: Die EU Data Boundary gilt nicht automatisch für alle Microsoft-Dienste. Unternehmen müssen prüfen, ob ihr Tenant korrekt konfiguriert ist und welche Ausnahmen bestehen. Microsoft dokumentiert verbleibende Datenflüsse in die USA transparent -- etwa für bestimmte Support-Szenarien oder Sicherheitsdienste.

Data Processing Addendum (DPA) von Microsoft

Microsoft stellt ein Data Processing Addendum (DPA) bereit, das als Auftragsverarbeitungsvertrag im Sinne von Art. 28 DSGVO dient. Das DPA umfasst:

  • Verpflichtungen zur Weisungsgebundenheit
  • Technische und organisatorische Maßnahmen (TOM)
  • Regelungen zur Unterauftragsverarbeitung
  • Standardvertragsklauseln (SCCs) für Drittlandtransfers
  • Löschpflichten nach Vertragsende

Das DPA wird mit dem Microsoft-Kundenvertrag (MCA) automatisch Vertragsbestandteil. Unternehmen sollten dennoch prüfen, ob die aktuelle Version vorliegt und ob die darin enthaltenen Regelungen ihren spezifischen Anforderungen genügen.

Tenant-Isolation und kein Training mit Kundendaten

Zwei der wichtigsten Zusicherungen von Microsoft:

  1. Tenant-Isolation: Die Daten eines Unternehmens werden strikt von denen anderer Tenants getrennt. Copilot kann nicht auf Daten anderer Organisationen zugreifen, und die Copilot-Interaktionen eines Unternehmens sind nicht für andere sichtbar.

  2. Kein Training mit Kundendaten: Microsoft hat in seinem DPA und in der Produktdokumentation verbindlich zugesichert, dass Inhalte aus Microsoft-365-Diensten -- einschließlich Prompts und Antworten in Copilot -- nicht zum Training der Foundation Models (GPT-4 und Nachfolger) verwendet werden. Dies unterscheidet M365 Copilot grundlegend von der kostenlosen ChatGPT-Version.

4. DSGVO-Checkliste für Microsoft Copilot

4.1 Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Microsoft agiert bei M365 Copilot als Auftragsverarbeiter im Sinne der DSGVO. Das bedeutet:

  • Pflicht: Ein AVV muss vorliegen. Bei Microsoft geschieht dies über das Data Processing Addendum.
  • Prüfpflicht: Unternehmen müssen den AVV inhaltlich prüfen. Ein bloßes „Abhaken" reicht nicht.
  • Unterauftragsverarbeiter: Microsoft setzt zahlreiche Unterauftragsverarbeiter ein. Die Liste ist öffentlich einsehbar und muss regelmäßig auf Änderungen geprüft werden.
  • Dokumentation: Der AVV und die Prüfung müssen im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden.

4.2 Technische und organisatorische Maßnahmen (TOM)

Unternehmen müssen sicherstellen, dass angemessene TOM implementiert sind:

  • Zugriffsmanagement: Berechtigungen im Microsoft-365-Tenant überprüfen und nach dem Prinzip der minimalen Berechtigung (Least Privilege) konfigurieren. Das ist bei Copilot besonders wichtig, da der Assistent alle Daten aggregieren kann, auf die ein Nutzer Zugriff hat.
  • Sensitivity Labels: Microsoft Information Protection Labels nutzen, um vertrauliche Dokumente zu klassifizieren und vor unbeabsichtigter Weitergabe durch Copilot zu schützen.
  • Conditional Access: Copilot-Zugriff auf verwaltete Geräte und konforme Netzwerke beschränken.
  • Audit-Logging: Die Copilot-Nutzung über das Microsoft Purview Compliance Portal protokollieren.
  • Data Loss Prevention (DLP): DLP-Richtlinien konfigurieren, die verhindern, dass Copilot sensible Daten (z. B. Kreditkartennummern, Gesundheitsdaten) in nicht autorisierte Kontexte überträgt.

4.3 Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO)

Eine DSFA ist erforderlich, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Bei Copilot ist eine DSFA in der Regel notwendig, weil:

  • Systematische Verarbeitung: Copilot verarbeitet systematisch große Mengen an Unternehmensdaten.
  • Neue Technologien: Generative KI gilt als neue Technologie im Sinne von Art. 35 Abs. 1 DSGVO.
  • Profiling-Potenzial: Insbesondere Copilot in Teams und Outlook kann Verhaltensmuster von Beschäftigten sichtbar machen.

Die DSFA sollte mindestens folgende Aspekte adressieren: Zwecke und Mittel der Verarbeitung, Erforderlichkeit und Verhältnismäßigkeit, Risiken für betroffene Personen sowie die vorgesehenen Abhilfemaßnahmen.

4.4 Automatisierte Einzelentscheidungen (Art. 22 DSGVO)

Art. 22 DSGVO gibt betroffenen Personen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Für Copilot gilt:

  • Solange Copilot als Assistenzsystem genutzt wird und Menschen die finale Entscheidung treffen, greift Art. 22 nicht.
  • Wird Copilot jedoch in Prozesse eingebunden, bei denen KI-Empfehlungen de facto ohne menschliche Überprüfung übernommen werden (z. B. bei der Vorauswahl von Bewerbungen), kann Art. 22 einschlägig sein.
  • Empfehlung: Dokumentieren Sie klar, dass bei allen Copilot-gestützten Entscheidungen mit Personenbezug eine menschliche Überprüfung stattfindet.

4.5 Informationspflichten (Art. 13/14 DSGVO)

Betroffene Personen müssen über die Datenverarbeitung informiert werden. Das betrifft:

  • Beschäftigte: Mitarbeitende müssen wissen, dass Copilot in den von ihnen genutzten Anwendungen aktiv ist und wie ihre Daten verarbeitet werden. Die Datenschutzerklärung für Beschäftigte muss entsprechend aktualisiert werden.
  • Externe Kontakte: Wenn Copilot E-Mails von Kunden oder Geschäftspartnern zusammenfasst oder analysiert, müssen auch diese Personen informiert werden -- typischerweise über die allgemeine Datenschutzerklärung.

5. AI Act: Pflichten für Copilot-Betreiber

5.1 KI-Kompetenz nach Art. 4 VO (EU) 2024/1689

Art. 4 der KI-Verordnung verpflichtet Anbieter und Betreiber von KI-Systemen sicherzustellen, dass ihr Personal über ein ausreichendes Maß an KI-Kompetenz verfügt. Diese Pflicht gilt seit dem 2. Februar 2025.

Für Unternehmen, die Copilot einführen, bedeutet das konkret:

  • Alle Copilot-Nutzer müssen geschult werden -- nicht nur IT-Administratoren, sondern auch die Fachanwender in Word, Excel oder Teams.
  • Die Schulung muss rollenspezifisch sein: Ein Vertriebsmitarbeiter, der Copilot in Outlook nutzt, braucht andere Kompetenzen als ein Analyst, der Copilot in Excel einsetzt.
  • Inhalte der Schulung: Funktionsweise der KI, Grenzen und Fehleranfälligkeiten (Halluzinationen), datenschutzrechtliche Vorgaben, unternehmensinterne Nutzungsrichtlinien.
  • Die Schulungen müssen dokumentiert werden -- im Rahmen einer KI-Kompetenz-Nachweispflicht.

5.2 Transparenzpflichten nach Art. 50 VO (EU) 2024/1689

Art. 50 der KI-Verordnung enthält spezifische Transparenzpflichten für bestimmte KI-Systeme:

  • KI-generierte Inhalte: Wenn Copilot Texte, Zusammenfassungen oder Präsentationen erstellt, die nach außen kommuniziert werden, muss kenntlich gemacht werden, dass diese mit KI-Unterstützung erstellt wurden.
  • Interaktion mit KI: Wenn Copilot Studio genutzt wird, um Chatbots für Kunden bereitzustellen, müssen Nutzer darüber informiert werden, dass sie mit einem KI-System interagieren.

Praxistipp: Führen Sie eine unternehmensinterne Regelung ein, die vorschreibt, dass KI-generierte Inhalte vor der externen Kommunikation geprüft und als KI-unterstützt gekennzeichnet werden.

6. Betriebsrat und Mitbestimmung: §87 Abs. 1 Nr. 6 BetrVG

Die Einführung von Microsoft Copilot löst in Unternehmen mit Betriebsrat regelmäßig Mitbestimmungsrechte aus. §87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Warum Copilot mitbestimmungspflichtig ist

Copilot erzeugt zwangsläufig Nutzungsdaten: Wer nutzt Copilot wann und wie häufig? Welche Prompts werden eingegeben? Welche Dokumente werden verarbeitet? Diese Daten können theoretisch zur Leistungs- und Verhaltenskontrolle herangezogen werden -- unabhängig davon, ob das Unternehmen dies beabsichtigt.

Die Rechtsprechung des Bundesarbeitsgerichts (BAG) stellt klar: Nicht die tatsächliche Überwachung ist entscheidend, sondern die objektive Eignung der technischen Einrichtung zur Überwachung. Da Copilot umfangreiche Nutzungsdaten generiert, ist die Mitbestimmung in aller Regel einschlägig.

Handlungsempfehlungen

  • Frühzeitige Einbindung: Beteiligen Sie den Betriebsrat bereits in der Planungsphase, nicht erst bei der Einführung.
  • Betriebsvereinbarung: Schließen Sie eine Betriebsvereinbarung ab, die regelt, welche Nutzungsdaten erhoben werden, wer darauf Zugriff hat, dass keine Leistungs- und Verhaltenskontrolle über Copilot-Daten erfolgt und wie mit KI-generierten Arbeitsergebnissen umgegangen wird.
  • Pilotphase einbeziehen: Auch eine Pilotphase mit wenigen Nutzern löst bereits das Mitbestimmungsrecht aus.

7. Einführungsstrategie: Microsoft Copilot in 5 Schritten

Schritt 1: Berechtigungen und Datenlandschaft bereinigen

Bevor Sie Copilot aktivieren, müssen Sie Ihre Datenlandschaft aufräumen. Der häufigste Fehler: Unternehmen aktivieren Copilot, ohne die bestehenden Berechtigungen zu prüfen. Copilot macht dann Daten zugänglich, die zwar technisch freigegeben, aber faktisch nie für den breiten Zugriff vorgesehen waren.

To-Do:

  • SharePoint-Berechtigungen nach dem Least-Privilege-Prinzip überprüfen
  • Veraltete Freigaben und „Jeder außer externe Benutzer"-Berechtigungen entfernen
  • Sensitivity Labels für vertrauliche Dokumente aktivieren
  • Microsoft Purview Data Governance nutzen, um sensible Daten zu identifizieren

Schritt 2: Rechtliche Grundlagen schaffen

  • AVV mit Microsoft prüfen (DPA)
  • DSFA durchführen oder aktualisieren
  • Verzeichnis der Verarbeitungstätigkeiten ergänzen
  • Datenschutzerklärung für Beschäftigte aktualisieren
  • Betriebsvereinbarung verhandeln und abschließen
  • Interne KI-Nutzungsrichtlinie erstellen oder erweitern

Schritt 3: Pilotprojekt starten

Beginnen Sie mit einer kleinen Pilotgruppe (20-50 Nutzer) aus verschiedenen Abteilungen:

  • Definieren Sie klare Use Cases pro Abteilung
  • Sammeln Sie Feedback zu Nutzen und Risiken
  • Identifizieren Sie problematische Datenflüsse
  • Testen Sie die konfigurierten Schutzmaßnahmen (DLP, Sensitivity Labels, Conditional Access)
  • Dokumentieren Sie Lessons Learned

Schritt 4: KI-Kompetenzschulungen durchführen

Schulen Sie alle vorgesehenen Nutzer vor dem Rollout -- nicht danach. Die Schulung sollte umfassen:

  • Grundlagen: Wie funktioniert Copilot? Was passiert mit meinen Daten?
  • Prompt-Kompetenz: Wie formuliere ich effektive und sichere Prompts?
  • Grenzen und Risiken: Halluzinationen, Fehler, Bias
  • Compliance-Regeln: Was darf ich eingeben, was nicht?
  • Unternehmensinterne Richtlinien: Dos and Don'ts

Die Schulungen erfüllen gleichzeitig die Anforderungen aus Art. 4 VO (EU) 2024/1689 zur KI-Kompetenz.

Schritt 5: Schrittweiser Rollout und kontinuierliche Überwachung

  • Copilot schrittweise für weitere Nutzergruppen freischalten
  • Nutzung über Microsoft Purview überwachen (nicht zur Leistungskontrolle, sondern zur Compliance-Sicherung)
  • Regelmäßige Reviews der Berechtigungen und Schutzmaßnahmen
  • Feedback-Kanal für Nutzer einrichten
  • DSFA regelmäßig aktualisieren (mindestens jährlich oder bei wesentlichen Änderungen)

8. Risiken und Fallstricke

Oversharing durch mangelhaftes Berechtigungsmanagement

Das größte praktische Risiko bei Copilot ist Oversharing: Copilot macht Informationen zugänglich, die zwar technisch freigegeben sind, aber bisher faktisch nicht gefunden wurden. Beispiel: Ein Mitarbeiter fragt Copilot nach Gehaltsinformationen -- und Copilot findet eine Excel-Tabelle in einem SharePoint-Ordner, der versehentlich für alle freigegeben wurde.

Halluzinationen und fehlerhafte Informationen

Wie alle LLM-basierten Systeme kann Copilot Halluzinationen produzieren -- also plausibel klingende, aber faktisch falsche Informationen. Bei der Zusammenfassung von Meetings kann Copilot Aussagen Personen zuordnen, die diese nie getätigt haben. Bei der Datenanalyse in Excel können Ergebnisse falsch interpretiert werden.

Compliance-Scheinargument „Microsoft macht das schon"

Ein gefährliches Missverständnis: Viele Unternehmen gehen davon aus, dass Microsoft als großer Anbieter „schon alles richtig macht" und keine eigenen Compliance-Maßnahmen nötig sind. Das ist falsch. Die DSGVO macht das Unternehmen als Verantwortlichen für die datenschutzkonforme Nutzung verantwortlich -- nicht Microsoft. Microsoft stellt Werkzeuge bereit, aber die Konfiguration und der rechtskonforme Einsatz liegen beim Unternehmen.

Shadow Copilot: Unkontrollierte Nutzung

Wenn Unternehmen Copilot nicht offiziell einführen, nutzen Mitarbeitende möglicherweise die kostenlose Copilot-Version in Windows oder Edge -- ohne kommerzielle Datenschutzrichtlinie. Dieses Shadow-AI-Phänomen lässt sich nur durch eine proaktive Einführungsstrategie vermeiden.

Fehlende Betriebsratseinbindung

Die Einführung von Copilot ohne Beteiligung des Betriebsrats kann zu Unterlassungsklagen führen und den gesamten Rollout gefährden. Im schlimmsten Fall muss die Nutzung eingestellt werden, bis eine Betriebsvereinbarung vorliegt.

9. Häufig gestellte Fragen (FAQ)

Nutzt Microsoft meine Unternehmensdaten zum KI-Training?

Nein. Microsoft hat verbindlich zugesichert, dass Kundendaten aus Microsoft-365-Diensten nicht zum Training der Foundation Models (GPT-4 und Nachfolger) verwendet werden. Dies ist im Data Processing Addendum (DPA) vertraglich fixiert. Prompts und Antworten in M365 Copilot werden nicht als Trainingsdaten genutzt.

Brauche ich eine DSFA für Microsoft Copilot?

In der Regel ja. Die systematische Verarbeitung großer Mengen potenziell personenbezogener Daten durch ein generatives KI-System erfüllt regelmäßig die Kriterien des Art. 35 DSGVO für eine verpflichtende Datenschutz-Folgenabschätzung. Die Datenschutzkonferenz (DSK) hat KI-Systeme auf ihre Positivliste der DSFA-pflichtigen Verarbeitungen gesetzt.

Wo werden meine Daten bei Copilot verarbeitet?

Für Kunden mit Sitz in der EU gilt die EU Data Boundary: Prompts, Antworten und die zugrunde liegenden Daten werden in europäischen Azure-Rechenzentren verarbeitet. Es gibt jedoch dokumentierte Ausnahmen -- etwa für bestimmte Support-Funktionen. Prüfen Sie die aktuelle Microsoft-Dokumentation zur EU Data Boundary auf vollständige Abdeckung Ihrer genutzten Dienste.

Ist die Einführung von Copilot mitbestimmungspflichtig?

Ja, in Unternehmen mit Betriebsrat ist die Einführung von Copilot nach §87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig. Copilot ist objektiv geeignet, das Verhalten und die Leistung von Arbeitnehmern zu überwachen, da umfangreiche Nutzungsdaten anfallen. Eine Betriebsvereinbarung sollte vor dem Rollout abgeschlossen werden.

Kann ich Copilot auch ohne Compliance-Maßnahmen testen?

Davon ist dringend abzuraten. Auch eine Pilotphase oder ein „Test" mit wenigen Nutzern stellt eine Datenverarbeitung dar, die den vollen DSGVO-Anforderungen unterliegt. Zudem löst bereits die Testphase das Mitbestimmungsrecht des Betriebsrats aus. Planen Sie die Compliance-Maßnahmen daher von Anfang an ein -- nicht erst nach dem Test.

10. Vergleich: M365 Copilot vs. ChatGPT Enterprise vs. Google Gemini

Unternehmen, die KI-Assistenten evaluieren, sollten die wichtigsten Plattformen vergleichen:

  • Microsoft 365 Copilot: Stärke in der tiefen Integration in die bestehende M365-Infrastruktur. Ideal für Unternehmen, die bereits Microsoft 365 nutzen. EU Data Boundary verfügbar. Nachteile: Hohe Lizenzkosten (ca. 30 EUR/Nutzer/Monat), erfordert sauberes Berechtigungsmanagement.
  • ChatGPT Enterprise (OpenAI): Eigenständiges Tool ohne native Integration in Büroanwendungen. Kein Training mit Kundendaten. SOC-2-zertifiziert. Drittlandtransfer in die USA erfordert besondere Prüfung nach Art. 44-49 DSGVO, wobei das EU-US Data Privacy Framework als Transfermechanismus dienen kann.
  • Google Gemini für Workspace: Ähnlich wie Copilot in Google-Workspace-Anwendungen integriert. EU-Datenresidenz verfügbar. Relevant für Unternehmen im Google-Ökosystem.

Unabhängig von der gewählten Plattform gelten dieselben DSGVO- und AI-Act-Anforderungen. Die spezifische Konfiguration und Risikoanalyse unterscheidet sich jedoch je nach Anbieter und Infrastruktur.

Fazit: Copilot rechtskonform einführen ist machbar -- aber kein Selbstläufer

Microsoft Copilot bietet Unternehmen ein enormes Produktivitätspotenzial. Die Integration in die vertraute Microsoft-365-Umgebung, die EU Data Boundary und die vertraglichen Zusicherungen von Microsoft schaffen eine solide Grundlage für den datenschutzkonformen Einsatz.

Allerdings entbindet das Unternehmen nicht von ihrer eigenen Verantwortung. Die DSGVO, der AI Act und das Betriebsverfassungsgesetz stellen klare Anforderungen, die aktiv umgesetzt werden müssen: vom Berechtigungsmanagement über die DSFA bis zur KI-Kompetenzschulung.

Der Schlüssel zum Erfolg: Behandeln Sie die Copilot-Einführung als strategisches Projekt, nicht als IT-Beschaffung. Beteiligen Sie Datenschutz, Betriebsrat, IT-Sicherheit und Fachabteilungen von Anfang an. Dann wird Copilot nicht zum Compliance-Risiko, sondern zum Wettbewerbsvorteil.

Sie möchten Ihre Mitarbeitenden fit für den Einsatz von Microsoft Copilot machen? KI Comply bietet praxisnahe KI-Kompetenzschulungen, die sowohl die produktive Nutzung als auch die Compliance-Anforderungen nach Art. 4 VO (EU) 2024/1689 abdecken. Jetzt informieren

Rechtsquellen

  • AuftragsverarbeitungArt. 28 DSGVO (Quelle)
  • KI-KompetenzArt. 4 VO (EU) 2024/1689
  • DrittlandtransferArt. 44-49 DSGVO
  • Mitbestimmung§87 Abs. 1 Nr. 6 BetrVG

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine rechtliche Bewertung Ihres konkreten Falls wenden Sie sich bitte an einen spezialisierten Rechtsanwalt.

Artikel teilen:

Weiterlesen

Bild
Datenschutz

ChatGPT und Datenschutz: DSGVO-Leitfaden für Unternehmen

ChatGPT im Unternehmen einsetzen und dabei die DSGVO einhalten? Dieser Leitfaden erklärt alle datenschutzrechtlichen Anforderungen — von der Rechtsgrundlage bis zur DSFA.

Bild
Praxis

Was darf man in ChatGPT eingeben? Do's und Don'ts für Unternehmen

Firmendaten in ChatGPT? Kundendaten? Verträge? Wir zeigen klar, was Sie in KI-Tools eingeben dürfen – und was auf keinen Fall.

Bild
Praxis

Shadow AI: Wenn Mitarbeiter KI ohne Genehmigung nutzen

Über 60% der Mitarbeiter nutzen KI-Tools ohne Wissen der IT-Abteilung. Shadow AI ist eines der größten Compliance-Risiken — so gehen Sie damit um.

Bild
Regulierung

AI Act vs. DSGVO: Wie die beiden Regulierungen zusammenspielen

AI Act und DSGVO — zwei EU-Verordnungen, ein Ziel: verantwortungsvolle KI. Wir erklären die Unterschiede, Überschneidungen und was Unternehmen beachten müssen.

Checkliste: DSFA für KI-Systeme durchführen
Datenschutz

Checkliste: DSFA für KI-Systeme durchführen

Praxisnahe Checkliste für die Datenschutz-Folgenabschätzung bei KI-Anwendungen. Schritt für Schritt durch alle Pflichtinhalte nach Art. 35 DSGVO -- mit Vorlage und Muster.

Ist KI-Output urheberrechtlich geschützt? Aktuelle Rechtslage
Regulierung

Ist KI-Output urheberrechtlich geschützt? Aktuelle Rechtslage

Warum rein maschinell erzeugte Inhalte in Deutschland keinen Werkschutz genießen, wo die Grenze zur schützfähigen KI-Assistenz verläuft und wie Unternehmen ihre Rechte an KI-gestütztem Content sichern.

Machen Sie Ihr Team KI-fit

Mit unserer Online-Schulung erfüllen Sie die Anforderungen der KI-Verordnung - einfach und effizient.

Preise ansehen