top of page
AutorenbildLukas Staffler

Kann Copilot von Microsoft 365 datenschutzkonform (DSGVO) genutzt werden?

Die Integration von KI-gestützten Diensten wie Microsoft 365 Copilot in Unternehmensprozesse bringt nicht nur große Vorteile für Unternehmen, sondern wirft wichtige Fragen bezüglich der Datenschutzkonformität auf. Dieser Blogbeitrag beleuchtet verschiedene Herausforderungen und bespricht erste Lösungsansätze für die rechtskonforme Integration.



Allgemeines

Die Nutzung von Copilot birgt tatsächlich verschiedene Datenschutzrisiken. So greift die Anwendung umfangreich auf Unternehmensdaten wie E-Mails, Dokumente und Chat-Nachrichten zu, die vom Unternehmen auf Microsoft 365 gespeichert sind. Daraus ergeben sich etwa die folgenden Risiken: So könnten sensible Informationen ohne angemessenen Schutz verarbeitet oder ungewollt geteilt werden. Zudem könnten sich Datenschutzprobleme wegen fehlender Rechtsgrundlagen der Datenverarbeitung, wie dies von der DSGVO in Art. 6 vorgegeben wird, ergeben.


Immerhin betont Microsoft auf ihrer Homepage, dass alle EU-Datenschutzstandards eingehalten werden. Zudem gibt Microsoft an, dass Daten, die über Microsoft Graph in Copilot eingehen, nicht als Trainingsmaterial für die Sprachmodelle verwendet werden.


Aus Compliance-Perspektive sollten jedenfalls bestimmte organisatorische und technische Vorkehrungen vorgenommen werden, um Haftungsrisiken aus datenschutzrechtlicher Sicht zu minimieren!


Welche technischen Maßnahmen sind im Zusammenhang mit Microsoft Copilot erforderlich?

Um Microsoft Copilot datenschutzkonform zu nutzen, sollten Unternehmen jedenfalls ihre Daten sorgfältig kategorisieren und die Zugriffsrechte streng kontrollieren.


Diesbezüglich bietet Microsoft eine Orientierungshilfe. Das Unternehmen empfiehlt die Verwendung von Purview zur Klassifizierung und zum Schutz von Daten.



Welche organisatorischen Maßnahmen sind empfehlenswert?

Aus datenschutzrechtlicher Sicht ist die Vornahme einer Datenschutzfolgeabschätzung (Art. 35 DSGVO) in Bezug auf die Nutzung von Microsoft Copilot dringend empfohlen.


Daneben sind klassische Compliance-Maßnahmen zu empfehlen: Unternehmen sollten ihre Mitarbeiter über die Risiken bei der Nutzung von Copilot aufklären und entsprechende Schulungen anbieten. Sind diese Stakeholder für die Risiken sensibilisiert, ist dies ein erster wichtiger Schritt, um das eigene Haftungspotential zu vermeiden.


Als übliche Compliance-Maßnahme im Bereich der KI-Nutzung empfiehlt es sich ferner, unternehmensinterne Richtlinien für den Einsatz von Microsoft Copilot zu erlassen werden, um unzulässige Verarbeitungsprozesse zu verhindern. Dazu könnte beispielsweise aufgetragen werden, dass die KI-Überwachung von Kommunikation mit Kunden oder Lieferanten untersagt wird. Aus Compliance-Sicht erscheint hier wichtig, dass die Trainingsmaßnahmen und -fortschritte hinreichend dokumentiert werden.


Ausblick

Microsoft Copilot wartet aus datenschutzrechtlicher Sicht mit verschiedenen rechtlichen Herausforderungen auf. Unternehmen, die diese KI-Anwendung nutzen möchten, sollten die Integration dieses Dienstes mit entsprechenden Vorüberlegungen und Planungen angehen, um Haftungsrisiken zu reduzieren. Dazu gehört, sich einen Überblick über die eigene Daten-System-Architektur zu verschaffen, über potentielle Risiken und Worst-Case-Szenarien nachzudenken und dann eine informierte Entscheidung zu treffen, wie dieser Dienst in das Unternehmen integriert werden kann. Von entscheidender Rolle ist, dass die passende Rechtsgrundlage zur Verarbeitung der beabsichtigten Daten identifiziert wird und darauf aufbauend die KI-Anwendung implementiert wird. Hierbei können allgemeine und datenschutzspezifische Compliance-Maßnahmen helfen.

1 Ansicht

Aktuelle Beiträge

Alle ansehen
bottom of page