Microsoft Copilot: datenschutzkonform – geht das?
Unter welchen Bedingungen ist ein sicherer Einsatz von Microsoft Copilot in deinem Unternehmen möglich und welche Risiken gilt es zu beachten?
Microsoft-Produkte wie Word, Excel, Outlook oder Teams gehören für die meisten Unternehmen und Mitarbeitenden zum Arbeitsalltag. Mit Microsoft Copilot hält nun künstliche Intelligenz direkt in diese vertrauten Anwendungen Einzug und verspricht, Arbeitsprozesse durch Analyse, Zusammenfassung und Erstellung von Inhalten deutlich zu erleichtern.
Doch wo Chancen für mehr Produktivität liegen, entstehen zugleich kritische Fragen: Lässt sich Copilot überhaupt datenschutzkonform nutzen?
In diesem Beitrag zeigen wir, unter welchen Bedingungen ein sicherer Einsatz von Microsoft Copilot möglich ist und welche Risiken du dabei im Blick behalten solltest.
Microsoft-Produkte mit Copilot
Wenn man an Microsoft Copilot denkt, denkt man zunächst an den Chatbot. Hier einmal die zwei wichtigsten Varianten im Überblick:
- Microsoft Copilot Chat: Ist eine kostenfreie, browser- und appbasierte Lösung, die auf einem Large Language Model (LLM) basiert. Der Copilot Chat liefert Antworten auf Basis von Modellwissen und öffentlich verfügbaren Informationen aus dem Web.
- Microsoft Copilot: Copilot ist ein KI-gestützter Assistent, der direkt in Anwendungen wie Word, Excel, Outlook oder Teams integriert ist. Jede Anwendung hat somit einen eigenen KI-Assistenten.
Weitere Informationen zu den Grundlagen von künstlicher Intelligenz oder auch des Large Language Models (LLM) findest du in unserem Tipp der Woche „KI-Systeme und Datenschutz: Was sagt die DSK?“.
Datenschutzrechtliche Problematik bei der Nutzung von Microsoft Copilot
„Microsoft 365 lässt sich nicht datenschutzkonform nutzen.“ Eine Einschätzung, die die Datenschutzkonferenz (DSK) 2022 offiziell bestätigte. Doch mit einem Bericht des HBDI Hessen vom November 2025 wird diese Einschätzung erstmals infrage gestellt.
Es bleibt offen, wie sich der Einsatz von Microsoft Copilot datenschutzrechtlich bewerten lässt und welche spezifischen Risiken dabei entstehen. Im nächsten Absatz zeigen wir, welche rechtlichen und praktischen Probleme beim Einsatz auftreten können.
Umfassende Zugriffsrechte aus dem Microsoft Graph
Microsoft Graph ist die zentrale Schnittstelle, die Dienste wie Outlook, Teams, OneDrive und SharePoint verbindet. Copilot hat einen umfassenden Zugriff auf die vernetzten Datenquellen. Das birgt Risiken: Vertrauliche Inhalte können unbeabsichtigt in neue Kontexte gelangen, unbemerkte Datenübertragungen, erschwerte Durchsetzung von Betroffenenrechten und potenzieller Datenabfluss bei kompromittierten Konten.
Verknüpfung von Bing und Microsoft Copilot
Ein weiteres kritisches Thema betrifft die Webinhalte-Funktion. Wird diese aktiviert, führt Copilot eigenständig Suchanfragen über die Bing-API aus, ohne dass die Nutzerin oder der Nutzer dies ausdrücklich veranlasst. So entsteht eine Kombination aus internen Daten und externen Onlineinhalten.
Laut Microsoft werden diese Anfragen nicht direkt mit Nutzerkennungen verknüpft. Allerdings tritt Microsoft in diesem Zusammenhang als eigenständiger Verantwortlicher auf, womit diese Verarbeitung nicht mehr unter die Auftragsverarbeitung fällt und sich dadurch der unmittelbaren Kontrolle des Unternehmens entzieht. Dies hat zur Folge, dass nicht eindeutig nachvollziehbar ist, welche und wie die Daten verarbeitet werden.
Kernproblem: Transparenz und Datenzugriff
Zusammenfassend bestehen zwei zentrale Probleme: Zum einen die fehlende Transparenz seitens Microsoft und zum anderen das Zugriffrecht durch die Nutzerberechtigung. Copilot nutzt alle Daten, auf die die jeweiligen Nutzer*innen zugreifen können. Somit können auch schützenswerte Informationen, wie personenbezogene daten von Mitarbeitenden und Geschäftsgeheimnisse, in die Ergebnisse der KI miteinfließen.
Wie kann Microsoft Copilot datenschutzkonform eingesetzt werden?
Um datenschutzrechtliche Risiken so weit wie möglich zu minimieren, sollten in deinem Unternehmen folgende Maßnahmen umgesetzt werden:
1. AuftragsverarbeitungsvertragStelle sicher, dass du den aktuellen Auftragsverarbeitungsvertrag (DPA) vorliegen hast.
2. Nutzerberechtigungen einschränken
Die Nutzerberechtigungen sollten eingeschränkt werden (im M365 Admin-Center möglich). Nutzer*innen sollten nur über die Lese- und Bearbeitungsrechte verfügen, die unbedingt erforderlich sind.
3. Erstellung oder Anpassung der KI-RichtlinieCopilot sollte in die interne KI-Richtlinie aufgenommen werden, wo die zulässige Nutzung des Tools für die Mitarbeitenden beschrieben wird.
4. Schulungen
Weiterhin sollten die Mitarbeitenden im Umgang mit KI-Tools und vor allem im Umgang mit Copilot geschult werden.
5. Schutz vertraulicher DatenUm die Nutzung des Microsoft Graph einzuschränken, sollten vertrauliche Daten durch Vertraulichkeitsbezeichnungen (Sensivity labels) gekennzeichnet werden oder Microsoft Purview Richtlinien aktiviert werden, die dem Unternehmen helfen, sensible Daten zu erkennen und zu schützen.
6. DatenschutzfolgenabschätzungDurchführung einer DSFA für Microsoft Copilot oder ggf. Ergänzung der bestehenden zu Microsoft 365.
7. Deaktivierung der Bing-Suchfunktion
Die Bing-Suchfunktion sollte deaktiviert werden. Dies reduziert die Verarbeitung durch Dritte und minimiert potentielle Risiken.
Unser Tipp
Der Einsatz von Microsoft Copilot kann die Produktivität im Unternehmen erheblich steigern, bringt jedoch auch datenschutzrechtliche Risiken mit sich. Eine datenschutzkonforme Nutzung ist grundsätzlich möglich, sofern bestimmte Einstellungen angepasst und ein strenges Berechtigungskonzept umgesetzt wird.
Dennoch bleibt der Einsatz nicht vollständig risikofrei, da für die Nutzer*innen nicht transparent nachvollziehbar ist, wie und welche Daten von der KI verarbeitet werden.
16.12.25
