Datenschutz und Copilot. Was du vor dem Rollout wissen musst

Wenn wir von Copilot sprechen, meinen wir meist Microsoft 365 Copilot. Er arbeitet mit sogenannten Prompts, also deinen Eingaben, und greift über Microsoft Graph auf deine M365-Inhalte zu. Er sucht zum Beispiel in Dokumenten, E Mails oder Meetings nach relevanten Infos und baut daraus Antworten oder Entwürfe.

Wichtig für Datenschutz Copilot:

• Copilot verarbeitet Daten im Kontext der Nutzerrechte. Wenn ein:e Nutzer:in keinen Zugriff auf ein Dokument hat, kann Copilot es auch nicht verwenden.
• Prompts, Antworten und Graph-Daten werden nicht zum Training der zugrunde liegenden Modelle genutzt.
• Datenhaltung und Datenresidenz folgen den M365-Regeln, inklusive EU Data Boundary, wenn dein Tenant dafür ausgelegt ist.

Das klingt beruhigend. Trotzdem entstehen neue Risiken, weil Copilot Altdaten und Rechte-Ausrutscher gnadenlos sichtbar macht.

1. Berechtigungs-Wildwuchs wird plötzlich zum echten Problem

Viele Unternehmen leben seit Jahren mit historisch gewachsenen SharePoint-Bereichen oder Teams. Da liegt alles. Und oft hat „zur Sicherheit“ zu viele Leute Zugriff. Vor Copilot hat das selten weh getan, weil niemand aktiv tausende Ordner durchsucht. Mit Copilot wird genau das auf Knopfdruck möglich.

Beispiel aus der Praxis:
Ein:e Mitarbeiter:in fragt Copilot: „Gib mir alle Infos zu Gehaltsbändern für Senior Engineers.“ Wenn irgendwo eine alte Excel mit Personaldaten zu breit freigegeben ist, kann Copilot sie als Quelle nutzen. Die Ursache liegt dann nicht bei Copilot, sondern bei deinem Rechte-Setup.

2. Schatten-Content und unklassifizierte Daten

Copilot unterscheidet nicht automatisch zwischen „kann man teilen“ und „sollte man nicht teilen“. Wenn du keine Labels oder DLP-Regeln hast, behandelt er alles gleich.

3. Blackbox Gefühl und fehlende Nachvollziehbarkeit

Datenschutz heißt auch Rechenschaft. Du musst erklären können:

• welche Daten Copilot nutzt
• zu welchem Zweck
• wie lange Logs gespeichert werden
• wie Betroffenenrechte erfüllt werden

Viele Firmen tun sich damit schwer, weil KI-Systeme komplex sind. Microsoft stellt zwar Dokumentation und DSFA-Templates bereit, aber du musst sie auf deinen Use Case übertragen.

4. Besondere Kategorien personenbezogener Daten

Wenn Copilot in Bereichen wie HR, Gesundheit oder Finanzen genutzt wird, sind oft Daten nach Art. 9 DSGVO dabei. Das erhöht das Risiko und macht eine DSFA fast unvermeidbar.

5. Drittländer und getrennte Verantwortlichkeiten

Copilot ist Teil von Microsoft 365 und damit meist Auftragsverarbeitung. Sobald du aber Web-Funktionen oder Plugins nutzt, kann es zusätzliche Datenflüsse geben. Diese musst du separat prüfen.

DSGVO

Für Copilot sind vor allem diese Punkte entscheidend:

• Rechtsgrundlage und klare Zwecke
• Datenminimierung und Zugriffssteuerung
• Technische und organisatorische Maßnahmen (TOMs)
• Auftragsverarbeitungsvertrag und DPA prüfen
• DSFA nach Art. 35 DSGVO, wenn hohe Risiken wahrscheinlich sind

revDSG (Schweiz)

revDSG ist inhaltlich ähnlich, legt jedoch viel Fokus auf Transparenz und Datensicherheit. Wenn du in der EU und in CH tätig bist, solltest du immer den strengeren Standard als Basis nehmen.

ISO 27001

Hier geht es um Risikomanagement, Zugriffe, Logging und Lieferantenkontrolle. Copilot gehört als neuer Cloud-Use-Case in den ISMS-Scope.

NIS2

NIS2 verlangt Resilienz und Lieferketten-Sicherheit. KI-Dienste wie Copilot sind damit Teil deiner kritischen SaaS-Landschaft. Risikoanalyse, Monitoring und Incident-Prozesse müssen Copilot mitdenken.

EU AI Act

Der EU AI Act gilt seit 2024 und wird stufenweise wirksam. Für dich als Betreiber:in heißt das vor allem, dass Use Cases in HR, Finanzen, kritischer Infrastruktur oder Bildung als Hochrisiko gelten können. Dann brauchst du zum Beispiel Logging, Risikomanagement, menschliche Aufsicht und saubere Dokumentation.

Schritt 1. Use Cases definieren und priorisieren

Starte nicht mit „Copilot für alle“. Sammle Use Cases und sortiere nach Risiko und Nutzen.

Low Risk Beispiele:

• Marketing Texte ohne echte Kundendaten
• Zusammenfassungen von internen, nicht sensitiven Meetings
• Standard-Reports mit anonymisierten Infos

High Risk Beispiele:

• HR, Bewerbungen, Performance Reviews
• Kundensupport mit Tickets und Vertragsdaten
• Forschung, M&A, Rechtsabteilung

Je riskanter, desto stärker brauchst du DSFA, Policies und technische Controls.

Schritt 2. DSFA durchführen, bevor du live gehst

Eine DSFA ist nicht nur Papierkram. Sie zwingt dich, Copilot sauber zu beschreiben:

• Zweck und Rechtsgrundlage
• Datenkategorien
• Betroffene Gruppen
• Risiken
• Schutzmaßnahmen

Nutze Templates als Grundlage, aber passe sie immer auf deine Prozesse an.

Schritt 3. Berechtigungen aufräumen und Need to know durchsetzen

Das ist der wichtigste Hebel für Datenschutz Copilot.

Checkliste:

• SharePoint und Teams Strukturen auditieren
• zu breite Gruppen verkleinern
• externe Freigaben prüfen
• sensible Sites ggf. vom Copilot Zugriff ausschließen

Schritt 4. Sensitivity Labels und DLP Regeln aktiv nutzen

Mit Microsoft Purview kannst du Daten labeln und Regeln setzen, zum Beispiel:

• „Vertraulich HR“ darf nicht in Copilot Outputs landen
• „Kundenvertrag“ darf nicht per Copy Paste exportiert werden
• besondere Kategorien werden automatisch blockiert

Ohne Labels und DLP kann Copilot nicht zwischen harmlos und heikel unterscheiden.

Schritt 5. Logging, Monitoring und Review Prozesse

Copilot erzeugt Logs. Die brauchst du für:

Nachvollziehbarkeit

• Security Untersuchungen
• Pflichten aus dem EU AI Act
• interne Audits

Dabei gilt: Logs sind selbst personenbezogene Daten. Also sauber begrenzen, Zugriffe definieren und Aufbewahrungsfristen festlegen.

Schritt 6. Policies und Schulung

Schreib eine Copilot Richtlinie, kurz und klar. Mit echten Do’s und Don’ts.

Beispiele für Don’ts:

• keine Gesundheitsdaten oder Gehaltslisten eingeben
• keine Geheimhaltungs-Infos für externe Mails nutzen
• Outputs immer prüfen. Copilot entscheidet nicht.

Dann Schulung. Viele Risiken entstehen nicht technisch, sondern durch falsche Nutzung.

Schritt 7. Pilotieren, dann skalieren

Starte mit einer kleinen Pilotgruppe, idealerweise quer durch Fachbereiche plus Datenschutz und IT. Dokumentiere Learnings und erweitere stufenweise.

Was ist der größte Datenschutz-Risikohebel bei Copilot?

Nicht die KI selbst, sondern zu breite Berechtigungen und unklassifizierte Altdaten. Copilot macht diese Schwächen sofort sichtbar.

Welche Rollen sollte Copilot Governance übernehmen?

Mindestens IT, Datenschutz, Compliance, HR und die betroffenen Fachbereiche. Ein KI Steering mit klaren Verantwortlichkeiten verhindert Wildwuchs.

Wie lange dürfen Copilot Logs gespeichert werden?

So kurz wie möglich, so lang wie nötig. Definiere Zweck, Zugriff und Fristen wie bei anderen Protokolldaten.

Gilt EU AI Act für meinen Copilot-Einsatz?

Wenn du Copilot beruflich nutzt, bist du Betreiber:in im Sinne des AI Acts. Hochrisiko wird es bei HR, Finanzen oder kritischen Bereichen geben. Dann gelten zusätzliche Pflichten.

Was sind schnelle First Wins vor einem Pilot?

Berechtigungen bereinigen, Sensitivity Labels definieren, DLP aktivieren, erste Richtlinie schreiben, Pilotgruppe schulen.

Copilot ist ein Produktivitäts-Booster, keine Frage. Aber er ist auch ein Datenschutzturbo, im positiven wie im negativen Sinne. Wenn dein Datenhaus sauber ist, hilft er dir enorm. Wenn nicht, zeigt er jede Schwachstelle sofort.

Der Weg zu Datenschutz Copilot ist deshalb klar: erst Governance und Datenhygiene, dann Pilot, dann Skalierung. Mit DSFA, Berechtigungs-Cleanup, Labels, DLP, Logging und Schulung bist du auf der sicheren Seite. Und ganz nebenbei stärkst du damit auch deine ISO 27001- und NIS2-Reife und bist für den EU AI Act deutlich besser vorbereitet.