Copilot ist eine KI, die auf eure Unternehmensdaten zugreift. E-Mails, Teams-Chats, SharePoint-Dokumente, Kalendereinträge – alles, worauf ein Nutzer Zugriff hat, kann Copilot prinzipiell einbeziehen. Das ist die Stärke des Systems. Und genau das ist auch der Grund, warum Datenschutz und Governance kein Thema sind, das man auf später verschieben kann.
Ich erlebe regelmäßig, dass Unternehmen Copilot einführen, ohne diese Fragen vorher zu klären. Das ist nicht böse Absicht – es ist schlicht Unkenntnis. Dieser Artikel soll das ändern.
Wie Copilot auf Daten zugreift
Copilot nutzt das sogenannte Microsoft Graph – eine einheitliche Schnittstelle zu allen Daten eines Nutzers innerhalb von Microsoft 365. Was der Nutzer sehen und lesen darf, kann Copilot als Kontext verwenden.
Das klingt erstmal logisch. Wird aber dann zum Problem, wenn Berechtigungsstrukturen nicht stimmen. Wenn ein Mitarbeiter versehentlich Zugriff auf HR-Dokumente hat, die er eigentlich nicht sehen sollte – dann kann Copilot diese Inhalte in Antworten einbeziehen. Nicht weil Copilot unsicher wäre, sondern weil die Berechtigungen im Hintergrund nicht sauber sind.
Kurz gesagt: Copilot macht bestehende Datenzugriffsprobleme sichtbar. Wer also schlechte Berechtigungsstrukturen hat, bekommt mit Copilot ein Problem, das vorher unsichtbar war.
DSGVO-Risiken in der Praxis
Microsoft verarbeitet die Daten für Copilot innerhalb der EU, wenn der Tenant entsprechend konfiguriert ist. Das ist eine wichtige Grundvoraussetzung – aber nicht die einzige.
Kritisch wird es in diesen Szenarien:
- Personenbezogene Daten in KI-Antworten: Wenn Copilot auf Dokumente mit Mitarbeiterdaten, Kundendaten oder Bewerbungsunterlagen zugreifen kann und diese in Antworten zusammenfasst, muss das im Verarbeitungsverzeichnis erfasst sein.
- Fehlende Einwilligungen: Nicht jede Nutzung von KI auf personenbezogenen Daten ist automatisch zulässig. Je nach Kontext braucht es eine Rechtsgrundlage – und die muss dokumentiert sein.
- Protokollierung und Transparenz: Wer hat wann mit Copilot welche Daten abgerufen? Ohne entsprechende Auditlogs fehlt die Grundlage für Auskunfts- und Löschanfragen.
EU AI Act: Was Unternehmen konkret betrifft
Der EU AI Act ist seit August 2024 in Kraft und wird stufenweise wirksam. Microsoft 365 Copilot fällt als sogenanntes General-Purpose-AI-System unter die Regulierung – bedeutet konkret: Unternehmen, die es einsetzen, sind als Anwender in der Pflicht.
Was das für euch bedeutet:
- Ihr müsst den KI-Einsatz intern dokumentieren – welche Systeme, für welche Zwecke, mit welchen Risiken
- Für Anwendungen mit erhöhtem Risiko – etwa im HR-Bereich oder bei automatisierten Entscheidungen – gelten strengere Anforderungen
- Mitarbeiter müssen wissen, wenn KI in Prozessen eingesetzt wird, die sie betreffen
Das klingt nach viel Bürokratie. In der Praxis ist es gut handhabbar – wenn man es strukturiert angeht, statt es zu ignorieren.
Governance-Checkliste: 5 Maßnahmen vor dem Rollout
- Berechtigungen prüfen: Wer hat Zugriff auf was? SharePoint-Strukturen und Gruppenberechtigungen sollten vor der Copilot-Einführung bereinigt werden.
- Datenschutzfolgenabschätzung durchführen: Für den Einsatz von Copilot auf personenbezogenen Daten ist eine DSFA empfehlenswert – je nach Nutzungskontext auch Pflicht.
- Verarbeitungsverzeichnis aktualisieren: Copilot als Verarbeiter eintragen, Zwecke und Rechtsgrundlagen dokumentieren.
- Betriebsrat einbeziehen: In mitbestimmungspflichtigen Unternehmen ist der Betriebsrat bei der Einführung von KI-gestützten Überwachungs- oder Auswertungssystemen zu beteiligen.
- Richtlinie für die Nutzung erstellen: Was darf mit Copilot gemacht werden, was nicht? Eine klare interne Nutzungsrichtlinie schützt das Unternehmen und schafft Orientierung für Mitarbeiter.
Fazit: Compliance ist kein Hindernis – sondern Voraussetzung
Wer Copilot ohne Governance einführt, geht ein unnötiges Risiko ein. Nicht weil Microsoft unsicher wäre, sondern weil KI auf Unternehmensdaten eine neue Kategorie von Transparenz- und Dokumentationspflichten auslöst.
Die gute Nachricht: Wer diese Hausaufgaben macht, hat nicht nur rechtliche Sicherheit – er hat auch eine deutlich bessere Grundlage für eine erfolgreiche Einführung. Saubere Daten, klare Berechtigungen und eine definierte Nutzungsstrategie sind die Basis für echten ROI.
Du willst wissen, was ihr konkret tun müsst, bevor ihr Copilot ausrollt? Lass uns das gemeinsam durchgehen – strukturiert und ohne Juristendeutsch.