KI-Features werden immer präsenter – auch in den Software-Systemen, die wir alltäglich für unsere Arbeit verwenden. In fast allen modernen Tools findet man mittlerweile kostenlose KI-Features, die die Arbeit erleichtern sollen. Diesem Trend folgen nun auch Microsoft und Google, die ihre KI-Dienste Copilot und Gemini AI bisher nur gegen eine üppige Zusatzlizenz angeboten haben. Die Umstellung hat zur Folge, dass viele Unternehmen nun gegen eine geringe Zusatzgebühr oder gar ganz ohne Zusatzkosten Zugriff auf weitreichende KI-Features haben. Wir geben Ihnen in diesem Beitrag einen Überblick über die aktuellen Entwicklungen und die datenschutzrechtlichen Implikationen und zeigen einen Weg auf, mit den Anforderungen umzugehen.

Microsoft Copilot Chat – der „kleine Copilot“
Microsoft bietet mittlerweile verschiedene Varianten und Modelle des KI-Dienstes „Copilot“. Während die Integration von Copilot in sämtliche 365-Dienste nur mit Zusatzlizenz möglich ist (Microsoft 365 Copilot), kann der neue Dienst „Microsoft 365 Copilot Chat“ ohne zusätzliche Lizenz von allen Microsoft 365-Usern verwendet werden.
Die funktionalen Unterschiede zwischen Microsoft 365 Copilot („Copilot“) und dem neuen Microsoft 365 Copilot Chat („Copilot Chat“) stellt Microsoft in einem Blog-Beitrag vom 15.01.2025 dar.
Die guten Nachrichten
Im Vergleich zur lizenzpflichtigen Copilot-Variante fehlt Copilot Chat die Funktion des „Personal Assistant“. Das bedeutet, dass Copilot Chat nicht mit weiteren Microsoft 365-Diensten wie Word, Excel, PowerPoint & Co. verknüpft ist. Diese Integration ist weiterhin nur mit einer aktiven Copilot-Zusatzlizenz möglich. Zudem greift Copilot Chat nicht standardmäßig auf die gesamte Datenbasis in dem jeweiligen MS365-Tenant zu. Die Hauptrisiken bei der Nutzung von Copilot werden dadurch für Copilot Chat zumindest reduziert.
Darüber hinaus gilt auch für den Copilot Chat die „Enterprise Data Protection“. Dadurch wird sichergestellt, dass die über Copilot-Dienste verarbeiteten Daten durch verschiedene Maßnahmen gesichert werden. Dazu gehört, dass eingegebene Daten nicht für das Training der KI verwendet werden. Außerdem gelten sowohl für Copilot Chat als auch für Copilot weiterhin die Bestimmungen aus dem Microsoft Datenschutz-Nachtrag (Data Protection Addendum).
Microsoft scheint den Dienst Copilot Chat als Alternative zu ChatGPT und anderen Chat-Diensten positionieren zu wollen. Unternehmenskunden, die bisher lediglich die kostenlose Variante von ChatGPT nutzen, haben durch Copilot Chat nun ein Tool zur Hand, mit dem sie zumindest in einem begrenzten Umfang auch personenbezogene Daten verarbeiten können.
Die schlechten Nachrichten
Copilot Chat ist ab sofort für alle Microsoft 365-Nutzer:innen verfügbar. Der KI-Dienst ist nun als Integration im Edge-Browser nutzbar und kann darüber hinaus über m365.cloud.microsoft/chat angesteuert werden. Auch eine Integration in Teams und Outlook scheint demnächst möglich zu sein. Eine separate Freischaltung dieser Funktionen durch eine:n Administrator:in ist unserer Kenntnis nach nicht notwendig, sodass viele Unternehmen den KI-Dienst schon nutzen, ohne es zu wissen. Dadurch entstehen potenzielle Risiken, die unbedingt geprüft, minimiert und dokumentiert werden müssen.
Wichtig: Auch für Copilot Chat gibt es die Funktion der „Webanfragen“. Mit Webanfragen können Copilot und Copilot Chat mit dem Suchdienst Bing verknüpft werden. Eingaben in Copilot und Copilot Chat werden dann abgewandelt und als Suchanfrage an Bing weitergeleitet. Diese Eingaben in die Webanfragen-Funktion sind nicht über den AV-Vertrag von Microsoft abgegolten und werden daher von Microsoft als Verantwortlichem verarbeitet. Hierdurch können weitere Datenschutzrisiken entstehen, die vor Aktivierung geprüft werden sollten.
Google Gemini für Workspace
Nahezu zeitgleich mit Microsoft entschied sich auch Google dazu, die Gemini KI-Dienste in das beliebte Workspace-Angebot einzubinden. Unternehmen mit Workspace Business- oder Enterprise-Paketen bekommen seit Januar nach und nach Zugang zu den KI-Features, darunter das KI-Assistenzsystem für Gmail, Docs, Meet und andere Workspace-Apps, den Gemini-Chat sowie den KI-Assistenten „NotebookLM Plus“.
Anders als Microsoft mit Copilot Chat geht Google den Weg, das volle KI-Programm automatisch in das Workspace-Produkt einzubringen. Es gibt also keine „abgespeckte“ Version, sondern den vollen Funktionsumfang inklusive der Personal Assistant-Features in den Standard-Tools (z.B. Docs, Sheets, Drive).
Die guten Nachrichten
Google verknüpft die Erhöhung des Funktionsumfangs mit einer, zumindest kleinen, Preiserhöhung pro User. Dadurch behalten Unternehmen mit bestehenden Workspace-Lizenzen, anders als bei Microsoft, die Kontrolle über die integrierten Features und vermeiden eine KI durch die Hintertür.
Die Produktfeatures von Gemini für Workspace unterliegen weiterhin den Regelungen des allgemeinen Cloud Data Processing Addendums. Google sichert zudem vertraglich zu, dass über die KI verarbeitete Daten nicht ohne Erlaubnis für das Training der KI verwendet werden. Eingegebene Prompts und Antworten werden nach Angaben von Google nicht in Gemini gespeichert, sondern nach Ende einer Sitzung automatisch gelöscht.
Auch die in Workspace existierenden Datensicherheitsmaßnahmen werden automatisch auf Gemini AI angewendet. So unterfällt Gemini für Workspace ebenfalls den allgemeinen Zertifizierungen von Google. Zusätzlich ist Gemini für Workspace nach der ISO 42001 zertifiziert, die Anforderungen an ein AI Management System normiert.
Die schlechten Nachrichten
Durch die Einbindung des „großen“ Produktumfangs von Google Gemini wird man als Unternehmen wohl nicht um die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) herumkommen.
Wichtig: Gemini für Workspace ist auch bei Anfangslizenzen wie „Business Starter“ enthalten, die vor allem von kleineren Unternehmen und Startups verwendet werden. Entscheiden sich diese Unternehmen für die Aktivierung der Gemini-Features, entsteht dadurch nicht nur die Pflicht zur Durchführung einer DSFA, sondern gemäß § 38 Abs. 1 S. 2 BDSG auch automatisch die Pflicht zur Benennung eines Datenschutzbeauftragten.
Analog zur Websuche bei Microsoft Copilot und Copilot Chat gibt es auch bei Gemini für Workspace die Möglichkeit, KI-generierte Ergebnisse mit Inhalten aus der Google-Suche anzureichern.
Alle aktuellen Entwicklungen zur KI-Verordnung haben Sie mit unserem Newsletter im Blick.
Fahrplan für Unternehmen – KI-Assistenzsysteme datenschutzkonform einsetzen
Unternehmen sind gut beraten, den notwendigen Funktionsumfang von KI-Diensten für ihr Unternehmen zu prüfen, ihre Beschäftigten auf den richtigen Umgang mit KI-Assistenzsystemen zu sensibilisieren und den (potenziellen) Einsatz des KI-Dienstes zu dokumentieren.
Wir empfehlen dafür die folgenden Schritte:
- Entscheidung über den Einsatz: Soll das jeweilige KI-Assistenzsystem (z.B. Copilot Chat oder Gemini für Workspace) für alle Beschäftigten im Unternehmen nutzbar sein oder sollen die enthaltenen Features und Dienste standardmäßig deaktiviert werden?
- Prüfung der Verwaltungs- und Einstellungsmöglichkeiten: Prüfen Sie gemeinsam mit Ihrer IT-Abteilung, welche Möglichkeiten Sie bei der Verwaltung und Integration von KI-Assistenzsystemen wie Copilot Chat oder Gemini für Workspace haben und reduzieren Sie den Funktionsumfang auf das erforderliche Minimum.
- Belastbare Rechte- und Rollenkonzepte: Achten Sie insbesondere bei umfangreichen KI-Assistenzsystemen mit Zugriff auf Ihre Datenstruktur (z.B. Copilot oder Gemini für Workspace) darauf, belastbare Rechte- und Rollenkonzepte aufrechtzuerhalten. Es muss technisch jederzeit sichergestellt sein, dass die User und die verwendete KI nur auf solche Informationen zugreifen können, für die eine Zugriffsberechtigung besteht.
- Dokumentation: Dokumentieren Sie den festgelegten Funktionsumfang des genutzten KI-Assistenzsystems in Ihrem Unternehmen und erstellen Sie darauf basierend einen Eintrag in Ihrem Verzeichnis von Verarbeitungstätigkeiten. Legen Sie an dieser Stelle auch fest, zu welchen Zwecken der KI-Dienst im Unternehmen verwendet werden darf und welche Nutzungszwecke ausgeschlossen sind.
- Risikoeinschätzung: Prüfen Sie auf Basis des festgelegten Funktionsumfangs, welche Datenschutzrisiken mit der Nutzung des ausgewählten KI-Assistenzsystems einhergehen. Führen Sie bei Bedarf gemeinsam mit Ihrem Datenschutzbeauftragten eine Datenschutz-Folgenabschätzung durch und dokumentieren Sie diese.
- Sensibilisierung & Richtlinien: Geben Sie Ihren Beschäftigten konkrete Vorgaben zur Nutzung der KI-Dienste an die Hand und kommunizieren Sie die erlaubten Verwendungszwecke klar und deutlich. Sensibilisieren Sie Ihre Beschäftigten auch im Umgang mit personenbezogenen Daten und anderen sensiblen Informationen sowie auf den grundsätzlichen Umgang mit KI. Beschäftigte sollten ebenfalls darüber informiert werden, welche Einstellungen sie selbst in dem jeweiligen KI-Dienst vornehmen können (z.B. die Löschung des Copilot-Aktivitätsverlaufs bei Microsoft).
Wichtig: Durch den Einsatz von KI-Assistenzsystemen wie Copilot Chat, Copilot oder Gemini für Workspace im Unternehmen gilt Ihr Unternehmen in aller Regel als Betreiber eines KI-Systems nach Maßgabe der KI-Verordnung, sodass weitere Pflichten außerhalb des Datenschutzrechts auf Sie zukommen. Wir unterstützen Sie gerne beim Aufbau der notwendigen KI-Compliance.
Sie brauchen rechtliche Unterstützung beim Einsatz von KI-Systemen in Ihrem Unternehmen? Melden Sie sich gerne hier.
Fazit
Die Entwicklungen rund um den Einbau von KI-Features in die Standardlizenzen von Microsoft, Google & Co. betreffen nahezu alle Unternehmen. Werden die Dienste ungeprüft und unkontrolliert implementiert, birgt dies ein Potenzial für zahlreiche Datenschutzverstöße. Unternehmen sind daher gut beraten, die Implementierung von KI-Systemen im Unternehmen engmaschig zu kontrollieren und stets eine aktuelle Dokumentation aller Dienste zu führen. So können Sie dafür sorgen, dass die vielfältigen Chancen der KI-Dienste genutzt werden, ohne unnötige rechtliche Risiken einzugehen.
Louisa El-Dbeissi ist Beraterin für Datenschutz und Informationssicherheit, zertifizierte Datenschutzbeauftragte (IHK) und Senior Legal Consultant bei der Datenschutzkanzlei.