1. Was ist Microsoft 365 Copilot?
Microsoft 365 Copilot ist ein KI-gestütztes Produktivitätstool, das die klassischen Microsoft 365-Anwendungen (wie Word, Excel, PowerPoint, Outlook und Teams) mit großen Sprachmodellen kombiniert. Ziel von Copilot ist es, Inhalte zu verstehen, zu generieren und den Nutzer bei seiner Arbeit zu unterstützen. Dies bietet zahlreiche Vorteile, wie die Automatisierung von Routineaufgaben, die Verbesserung der Kreativität und Effizienz sowie die nahtlose Integration in bereits vorhandene Workflows.
Die Funktionsweise von Copilot basiert auf einem mehrstufigen Prozess:
- Der Benutzer gibt eine Anfrage (Prompt) in die Anwendung ein.
- Diese Anfrage wird an Microsoft Graph weitergeleitet, wo sie anhand der Unternehmensdaten überprüft und angereichert wird.
- Die überarbeitete Anfrage wird an den Azure OpenAI Service gesendet, der die Antwort generiert.
- Diese Antwort wird erneut über Microsoft Graph geprüft und schließlich an den Benutzer zurückgesendet.
Wichtig: Unternehmen können die Berechtigungen und Datenzugriffe in Copilot so konfigurieren, dass Nutzer nur auf die Daten zugreifen können, die ihnen aufgrund ihrer Rolle im Unternehmen zugewiesen sind.
2. Datenschutzrechtliche Herausforderungen
a. Allgemeine Kritik an Microsoft 365
Die deutschen Datenschutzaufsichtsbehörden haben wiederholt Bedenken hinsichtlich der Nutzung von Microsoft 365 geäußert, insbesondere in Bezug auf die Datenübermittlung in die USA und die Verarbeitung von Daten durch Microsoft für eigene Zwecke. Zwar hat Microsoft auf diese Kritik reagiert, indem es neue Datenschutzbestimmungen (Data Protection Addendum, DPA) eingeführt hat, dennoch bleibt die Nutzung von Microsoft 365 und damit auch Copilot ein sensibles Thema für datenschutzrechtliche Prüfungen.
Ein zentraler Punkt ist die Rechenschaftspflicht der Unternehmen, die Microsoft 365 verwenden. Unternehmen müssen sicherstellen, dass sie nachweisen können, wie sie die Anforderungen der DSGVO erfüllen, insbesondere im Hinblick auf Datensicherheit und den Schutz der Betroffenenrechte.
b. Spezifische Herausforderungen für Microsoft 365 Copilot
Neben den allgemeinen datenschutzrechtlichen Herausforderungen gibt es bei Microsoft 365 Copilot spezifische Risiken, die Unternehmen berücksichtigen müssen. Dazu zählen:
- Unbeabsichtigte Offenlegung von Informationen: Aufgrund fehlerhafter Berechtigungszuweisungen oder falscher Konfigurationen könnten Nutzer auf Daten zugreifen, für die sie nicht autorisiert sind.
- Missbrauch von Copilot: Copilot könnte zweckentfremdet genutzt werden, beispielsweise zur Überwachung von Mitarbeitern oder zur Erstellung von Profilen.
- Fehlerhafte Ergebnisse (Halluzinationen): KI-Systeme wie Copilot könnten falsche oder unvollständige Informationen liefern, was im geschäftlichen Kontext schwerwiegende Folgen haben kann.
3. Anknüpfungspunkte für datenschutzkonformen Einsatz von Microsoft 365 Copilot
Um den Einsatz von Microsoft 365 Copilot datenschutzkonform zu gestalten, sollten Unternehmen eine Reihe von Maßnahmen umsetzen. Einige davon stellen wir hier vor:
a. Datenschutzfolgenabschätzung (DSFA)
Vor dem Einsatz von Copilot sollten Unternehmen eine umfassende Datenschutzfolgenabschätzung durchführen, um die potenziellen Risiken zu identifizieren und geeignete Abhilfemaßnahmen zu ergreifen. Eine DSFA hilft dabei, die Verarbeitungsvorgänge, die betroffenen Daten und die Verhältnismäßigkeit der Datenverarbeitung zu bewerten.
Wichtige Punkte in der DSFA:
- Verarbeitungszwecke und Datenkategorien: Welche Daten werden verarbeitet und zu welchem Zweck? Welche Risiken ergeben sich daraus?
- Verantwortlichkeiten: Wer ist für die Einhaltung der Datenschutzbestimmungen verantwortlich – Microsoft als Auftragsverarbeiter oder das Unternehmen als Verantwortlicher?
- Risikobewertung und Abhilfemaßnahmen: Welche Risiken bestehen und wie können diese minimiert werden?
b. Berechtigungskonzept und Konfigurationseinstellungen
Da Copilot auf den Berechtigungen in Microsoft 365 basiert, ist es unerlässlich, ein detailliertes Berechtigungskonzept zu erstellen und die Konfigurationseinstellungen regelmäßig zu überprüfen. Unternehmen sollten sicherstellen, dass nur autorisierte Nutzer auf sensible Daten zugreifen können und dass Berechtigungen nach organisatorischen Änderungen (z. B. Versetzungen) angepasst werden.
c. Technische und organisatorische Maßnahmen (TOMs)
Microsoft bietet verschiedene technische und organisatorische Maßnahmen, die Unternehmen nutzen sollten, um die Datensicherheit zu gewährleisten:
- Verschlüsselung: Alle Daten sollten während der Übertragung und im Ruhezustand verschlüsselt werden.
- Protokollierung und Überwachung: Unternehmen sollten die Nutzung von Copilot protokollieren, um potenziellen Missbrauch oder Sicherheitsverletzungen frühzeitig zu erkennen.
- Anonymisierung von Nutzerdaten: Der Nutzungsbericht für Copilot kann anonymisiert werden, um das Risiko einer Profilbildung zu verringern.
d. Schulungen und Awareness-Maßnahmen
Ein weiterer wichtiger Aspekt für den datenschutzkonformen Einsatz von Copilot ist die Schulung der Mitarbeiter. Sie sollten darin geschult werden, wie sie Copilot datenschutzkonform nutzen können und welche Risiken mit der Nutzung verbunden sind. Es empfiehlt sich, Richtlinien und Nutzungsvereinbarungen zu erstellen, die die interne Nutzung von Copilot regeln.
4. Besonderes Augenmerk auf den AI Act
Neben den allgemeinen datenschutzrechtlichen Vorgaben müssen Unternehmen in Zukunft auch die spezifischen Anforderungen des AI Acts berücksichtigen, insbesondere wenn sie Hochrisiko-KI-Systeme wie Microsoft 365 Copilot nutzen. Der AI Act legt abhängig vom jeweiligen Use-Case und seiner Risiken fest, dass zusätzliche Sicherheits- und Transparenzanforderungen geprüft werden müssen. Unternehmen sollten daher besondere Vorsicht walten lassen, wenn Copilot für Entscheidungen verwendet wird, die erhebliche rechtliche oder ethische Auswirkungen haben könnten.
Entscheidend ist hierbei, dass sich das Unternehmen klar wird, wie KI eingesetzt wird und auf welche Daten zugegriffen wird. Nur wenn Klarheit über den Use-Case herrscht, kann eine Überprüfung nach den Kriterien des AI Acts erfolgen.
5. Fazit: Der Weg zu einem datenschutzkonformen Einsatz
Microsoft 365 Copilot bietet Unternehmen erhebliche Vorteile, insbesondere durch die Automatisierung von Prozessen und die Integration von KI in den Arbeitsalltag. Um jedoch sowohl die bestheenden datenschutzrechtlichen als auch die zukünftigen Anforderungen des AI Acts zu erfüllen, ist es unerlässlich, eine sorgfältige Planung und Implementierung vorzunehmen. Unternehmen sollten eine Datenschutzfolgenabschätzung durchführen, ein Berechtigungskonzept implementieren und technische und organisatorische Maßnahmen ergreifen, um die Datensicherheit zu gewährleisten.
Die enge Zusammenarbeit mit den Datenschutzaufsichtsbehörden sowie die ständige Überprüfung der rechtlichen Entwicklungen im AI-Bereich werden ebenfalls empfohlen, um den Einsatz von Copilot kontinuierlich zu überwachen und gegebenenfalls anzupassen.
Mit diesen Schritten können Unternehmen sicherstellen, dass sie die Vorteile von Microsoft 365 Copilot nutzen und gleichzeitig den datenschutz- und AI Act-rechtlichen Anforderungen gerecht werden
AI Credits
Bilder: Midjourney
Textunterstützung: ChatGPT