Mit dem Dienst Copilot von Microsoft 365 integriert der Techgigant Microsoft die KI von OpenAI in seine Dienste. Die Lösung zielt darauf ab, die Produktivität zu steigern und gleichzeitig komplexe Aufgaben zu vereinfachen und damit als täglicher KI-Begleiter Nutzer:innen im Arbeitsleben weiterzuhelfen. Da hierbei auch personenbezogene Daten in größerem Umfang verarbeitet werden können, müssen natürlich auch die Anforderungen der DSGVO beachtet werden.
In diesem Blogbeitrag werden wir uns eingehend mit den wesentlichen Fragen zum Datenschutz beschäftigen und schauen, was die Behörden zu dem Dienst zu sagen haben. Dabei analysieren wir insbesondere die rechtlichen Bedenken und geben Empfehlungen, wie Unternehmen Microsoft Copilot dennoch rechtskonform einsetzen können.
Wie funktioniert Copilot von Microsoft 365?
Copilot von Microsoft 365, im Folgenden einfach als Copilot bezeichnet, stellt in erster Linie eine Art Assistenzfunktion dar, die auf KI basiert und in die Microsoft 365-Suite integriert ist. Diese Suite umfasst eine Vielzahl an Programmen, darunter bekannte Anwendungen wie Word, Excel, PowerPoint und Outlook.
Copilot nutzt eine Kombination aus Großen Sprachmodellen (Large Language Models, LLMs), die wiederum auf KI-Algorithmen basieren, Deep-Learning-Technologien anwenden und umfangreiche Datensätze verarbeiten. Diese Technologie ermöglicht es, Inhalte zu analysieren, diese zusammenzufassen und auf dieser Basis Vorhersagen zu treffen. Dabei greift Copilot auf Modelle wie GPT-4 von OpenAI zurück.
Das Besondere an Copilot ist, dass es nicht einfach nur allgemeine Informationen nutzt. Es kann vielmehr direkt auf die in Microsoft 365 gespeicherten Daten eines Unternehmens zugreifen und Antworten liefern, die genau auf das Unternehmen zugeschnitten sein sollen.
So generiert Word beispielsweise eigene Textblöcke in Word und es lassen sich mittels Chatfunktion Fragen zu den Inhalten in Dokumenten stellen. In Powerpoint können mithilfe von Unternehmensvorlagen neue Präsentationen aus einer Eingabeaufforderung oder Word-Datei erstellt werden, und Outlook bietet die Möglichkeit, sich Inhalte aus längeren Konversationen zusammenfassen zu lassen. Daneben gibt es zahlreiche weitere Funktionen, die Microsoft auf dieser Seite zusammengefasst hat.
Welche Risiken bestehen bei Copilot?
Bei der Nutzung von Copilot gibt es verschiedene Datenschutzrisiken, die man im Auge behalten sollte. Da Copilot auf eine Vielzahl von Unternehmensdaten zugreift (u.a. E-Mails, Dokumente und Chat-Nachrichten), besteht die Gefahr, dass persönliche Informationen ohne ausreichenden Schutz verarbeitet und möglicherweise ungewollt geteilt werden.
Auch Microsoft ist sich dieser Risiken bewusst, versichert aber, dass alle Datenschutz-, Sicherheits- und Compliance-Anforderungen der EU erfüllt würden. Zudem bestätigt der Internetkonzern, dass Daten von Nutzenden, die über Microsoft Graph in Copilot eingehen, nicht als Trainingsmaterial für die zugrundeliegenden Großen Sprachmodelle (LLMs) verwendet würden.
Generell müssen Unternehmen die folgenden Risiken bei der Nutzung von Copilot im Auge behalten werden:
Zugriff auf sensible Daten
Microsoft kann bei Copilot grundsätzlich auf alle im jeweiligen Tenant gespeicherten Daten zugreifen und diese Informationen für die Auswertung verwenden. Ein Tenant ist dabei eine isolierte Instanz in Microsoft-Cloud-Services wie Azure, Office 365 oder Microsoft 365, die einem einzelnen Kunden oder einer Organisation zugewiesen wird. Es besteht hier die Gefahr, dass sensible Inhalte der Organisation von intern nicht berechtigten Personen abgerufen und genutzt werden können. Durch die vereinfachte Abfrage und Suche von Inhalten ist diese Gefahr deutlich größer als bei der herkömmlichen Version von Office 365.
Fehlende Rechtsgrundlagen für die Datenverarbeitung
Mit Copilot lassen sich auf Basis der vorhandenen Daten verschiedene Auswertungen durchführen, die für sich genommen eine eigene Rechtsgrundlage benötigen. So wäre es beispielsweise für Unternehmen möglich, das Arbeitsverhalten zu scannen und darauf aufbauende Analysen zu erstellen. Auch Kundendaten lassen sich mit Hilfe der KI für Marketingzwecke „optimieren“, was häufig das Einverständnis der Betroffenen voraussetzt. Mit dem automatischen Transkribieren von Teams-Calls können zukünftig Inhalte aus Videokonferenzen auswertet werden, ohne dass dies von den teilnehmenden Personen bemerkt wird, was ebenfalls erhebliche Auswirkungen auf die Privatsphäre der Teilnehmenden hat. Durch den leichten Zugang zu diesen neuen Verarbeitungen besteht somit das Risiko, dass die erforderlichen Rechtsgrundlagen der DSGVO ins Hintertreffen geraten und es zu unzulässigen Datenverarbeitungen kommt.
Erhöhte Gefahr von Datenpannen
Auch die Sicherheit der gespeicherten Daten kann durch Copilot berührt werden. Durch unberechtigte Abfragen der Nutzer:innen besteht die Gefahr, dass geschützte Informationen das Unternehmen verlassen, wodurch Meldepflichten der DSGVO ausgelöst werden. Neben besonders geschützten Unternehmensdaten können hier auch Infos zu Beschäftigten oder Kundendaten betroffen sein.
Alle aktuellen Entwicklungen zu Copilot von Microsoft haben Sie mit unserem Newsletter im Blick.
Welche technischen Vorkehrungen können getroffen werden?
Um Microsoft 365 Copilot datenschutzkonform zu nutzen, ist es somit wichtig, dass Unternehmen ihre Daten sorgfältig klassifizieren, um sensible Informationen zu schützen. Die Zugriffsrechte sollten dabei genau kontrolliert werden, damit die KI nur Informationen bearbeitet, auf welche die jeweiligen Nutzenden Zugriff haben. Microsoft bietet hierfür das Tool Purview an, mit dessen Hilfe die Daten eines Tenants klassifiziert und geschützt werden können. Damit lassen sich beispielsweise eigene Tags für Datenkategorien wie „Personendaten“, „sensibler Inhalt“ oder auch „Öffentlicher Beitrag“ erstellen und die dazugehörigen Datenpools entsprechend clustern.
Im Anschuss muss im Rahmen eines technischen Berechtigungskonzepts der Zugriff auf die Unternehmensdaten geregelt werden, denn Copilot zeigt grundsätzlich nur diejenigen Daten eines Tenants an, auf welche die jeweiligen Nutzer:innen mindestens Anzeigeberechtigungen haben. Das Berechtigungskonzept muss daher das Need-to-Know Prinzip strikt beachten, um unberechtigte Abfragen zu verhindern.
Was sollte organisatorisch beachtet werden?
Alle Beschäftigten eines Unternehmens müssen auf die Risiken des Tools hingewiesen und entsprechend sensibilisiert werden. Der Fokus der Schulungen sollte dabei auf die Gefahr von Datenabflüssen gelegt werden, denn durch den umfassenden Zugriff auf eine Vielzahl von Unternehmensdaten besteht die Gefahr, dass bei der automatisierten Erstellung von Texten Inhalte eingefügt werden, die nicht für Kunden:innen oder Dritte gedacht waren. Auch die Auswertung von Inhalten mittels Copilot birgt Risiken, weshalb zu diesem Thema ebenfalls geschult werden sollte.
Weiterhin sollten entsprechende Richtlinien für den Einsatz von Copilot erstellt und gegenüber den Beschäftigten kommuniziert werden. In den Richtlinien kann zum Beispiel festgelegt werden, welche Prompts generell nicht erlaubt und welche Verarbeitungsprozesse generell verboten sind. So kann beispielsweise die automatische Erstellung von Leistungsbewertungen von Mitarbeitenden ohne menschliche Überprüfung untersagt werden. Auch ein generelles Verbot der Überwachung von interner oder externer Kommunikation sollte in einer Richtlinie enthalten sein.
Allein aus Haftungsgründen sollten Unternehmen über Schulungen und Richtlinien entsprechende interne Regelungen treffen, um sich im Nachhinein kein Organisationsverschulden vorwerfen lassen zu müssen.
Ist eine Datenschutzfolgenabschätzung erforderlich?
Neben der allgemeinen Dokumentation im Verzeichnis von Verarbeitungstätigkeiten sollten Unternehmen zusätzlich eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO durchführen. Mit dieser Risikoprüfung können einzelne Prozesse innerhalb von Copilot bewertet und mit geeigneten Abhilfemaßnahmen geschützt werden. Auch im Fall einer aufsichtsbehördlichen Prüfung können so ggf. datenschutzrechtliche Bedenken ausgeräumt werden.
Sie brauchen rechtliche Unterstützung bei der Bewertung von Copilot für Microsoft 365? Melden Sie sich gerne hier.
Was sagen die Datenschutzbehörden?
Apropos Behörden: Was sagen die eigentlich zu Microsoft Copilot? Derzeit gibt es dazu noch keine allgemeine Empfehlung, es wird aber nur eine Frage der Zeit sein, bis sich die Behörden hier positionieren. Bereits im November 2022 hat eine Arbeitsgruppe der Datenschutzkonferenz festgestellt, dass der damalige Vertrag zur Auftragsverarbeitung nicht den gesetzlichen Anforderungen genügt. Auch auf Europäischer Ebene ist Microsoft unter Datenschützern nicht wirklich beliebt. Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski hat erst kürzlich einen Bericht veröffentlicht, in dem die Brüsseler Regierungsinstitution mit der Nutzung des Cloud-Office-Pakets des US-Softwareriesen gegen mehrere Vorgaben aus der speziellen Datenschutzverordnung für die EU-Institutionen verstoßen habe. Insbesondere sei nicht festgelegt worden, welche Arten personenbezogener Daten zu welchen expliziten und festgelegten Zwecken bei der Nutzung von Microsoft 365 erhoben werden.
Da die Verarbeitung mit Copilot die bisherigen Prozesse bei weitem überschreitet, sollten sich Unternehmen hier auf Prüfungen der Behörden einstellen und sowohl ihre Dokumentation als auch Risikoprüfungen vorweisen können. Auf dieser Übersichtsseite findet man den aktuellen AVV (engl. DPA) von Microsoft, der jedoch keine konkreten Regelungen zu Copilot enthält (Stand Jan 2024).
Fazit
Microsoft 365 Copilot integriert OpenAIs KI in Microsoft 365, um Arbeitsprozesse zu verbessern. Trotz vieler Potenziale für Effizienzsteigerungen ergeben sich aus der Verarbeitung personenbezogener Daten auch viele Datenschutzfragen. Microsoft behauptet, EU-Datenschutzstandards zu erfüllen, doch Unternehmen müssen dennoch Risiken, wie Zugriff auf sensible Daten, unklare Rechtsgrundlagen für Datenverarbeitung und erhöhte Datenpannengefahr, beachten. Technische und organisatorische Maßnahmen sowie eine Datenschutzfolgenabschätzung sind für einen rechtskonformen Einsatz daher in jedem Fall dringend zu empfehlen. Unternehmen sollten auch zukünftige Prüfungen durch Datenschutzbehörden einplanen, da diese den Dienst weiterhin mit viel Skepsis betrachten. Dennoch bietet Copilot auch viele Chancen, deren Nutzung jedoch eine genaue Beachtung der Datenschutzbestimmungen erfordert.
Rechtsanwalt David Oberbeck hat seinen Beratungsschwerpunkt im Datenschutzrecht, Wettbewerbsrecht und IT-Recht. Er berät Unternehmen als externer Datenschutzbeauftragter und beratender Rechtsanwalt.
Holen Sie die Datenschutzkanzlei an Bord
Rechtsberatung für Daten, Tech und Marketing
Externe Datenschutzbeauftragte für Ihr Unternehmen
Datenschutzkanzlei als Hinweisgeber-Meldestelle