Microsoft 365 Copilot Pro – Werde ich heimlich beobachtet?
Data Privacy von Markus Espenhain
Die KI-Assistenz des Microsoft 365 Copilot Pro möchte vorallem die Produktivität steigern. In diesem Blogbeitrag konzentrieren wir uns auf die datenschutzrechtlichen Aspekte beim Einsatz von Copilot und hinterfragen, ob ein datenschutzkonformer Einsatz von Microsoft Copilot möglich ist.
Mittlerweile bietet Microsoft mit dem kostenpflichtigen Abonnement von Copilot Pro die Möglichkeit, die Copilot KI auch in die Microsoft 365 Apps, alsoWord, Excel, PowerPoint, OneNote, Outlook, Teams und OneDrive zu integrieren.
Hier die wichtigsten Punkte in Kürze:
- Jede Microsoft 365 App hat ihre eigene KI
- KIs kommunizieren miteinander über Microsoft Graph
- KIs basieren auf einem großen Sprachmodell (OpenAI’s GPT-4o)
- KIs können auf Daten wie E-Mails, Chats und Dokumente zugreifen
- Zugriffsrechte entsprechen denen des Benutzers
Mit dieser Assistenzfunktion sollen Inhalte analysiert, zusammengefasst und im besten Fall die Produktivität gesteigert und komplexe Aufgaben vereinfacht werden. Bei der Nutzung von Copilot Pro werden zwangsläufig im großen Umfang personenbezogene Daten sowie Unternehmensdaten verarbeitet.
Datenschutzrisiken bei der Nutzung von Microsoft Copilot Pro
Copilot Pro kann grundsätzlich auf alle Daten zugreifen, die innerhalb des jeweiligen Tenant gespeichert sind. Ein Tenant ist eine abgeschottete Umgebung für Cloud-Dienste wie Azure, Office 365 oder Microsoft 365, die einem Kunden oder einer Organisation zugewiesen wird. Durch diese uneingeschränkte Zugriffsoption besteht die Gefahr, dass sensible Inhalte der Organisation von internen Personen abgerufen und genutzt werden können, die eigentlich keinen Zugriff darauf haben sollten. Die vereinfachte Abfrage und Suche von Inhalten in Copilot macht dieses Risiko im Vergleich zur herkömmlichen Office 365-Version deutlich größer.
Copilot ermöglicht aufgrund seiner KI-Fähigkeiten vielfältige Auswertungen aus vorhandenen Daten. Da diese Auswertungen jedoch häufig eigene Rechtsgrundlagen erfordern, stellen sie den Datenschutz teilweise vor neue Herausforderungen.
Beispiele hierfür sind:
- Analyse des Arbeitsverhaltens: Copilot könnte die Arbeitsprozesse von Mitarbeitern analysieren und daraus Rückschlüsse ziehen. Dies erfordert jedoch eine fundierte rechtliche Grundlage, um die Privatsphäre der Mitarbeiter zu schützen.
- Optimierung von Kundendaten: Die KI kann Kundendaten für Marketingzwecke nutzen, was oft das Einverständnis der Kunden voraussetzt. Copilot könnte diese Prozesse automatisieren, birgt aber gleichzeitig das Risiko, dass dieses Einverständnis fehlt oder nicht mehr aktuell ist.
- Transkription und Auswertung von Teams-Calls: Die automatische Transkription von Videokonferenzen ermöglicht es, Inhalte ohne Wissen der Teilnehmer auszuwerten. Dies stellt eine erhebliche Bedrohung für die Privatsphäre dar und erfordert klare rechtliche Rahmenbedingungen.
Durch den einfachen Zugang zu diesen neuen Verarbeitungsoptionen besteht das Risiko, dass Unternehmen die Anforderungen der DS-GVO außer Acht lassen und unzulässige Datenverarbeitungen durchführen. Im schlimmsten Fall kann dies zu Verstöße gegen die Datenschutzgrundverordnung und damit auch zu entsprechenden Bußgeldern durch die Aufsichtsbehörden führen.
Beeinträchtigung der Datensicherheit
Auch die Sicherheit der gespeicherten Daten kann durch Copilot beeinträchtigt werden. So besteht die Gefahr, dass geschützte Informationen durch unberechtigte Nutzeranfragen das Unternehmen verlassen. Dies würde wiederum Meldepflichten nach der DSGVO auslösen. Dabei können sowohl Unternehmensdaten, als auch Daten von Mitarbeitern, Kunden oder anderweitig beteiligten Dritten, abfließen. Microsoft hat hier jedoch die Aussage getroffen, dass keine Unternehmensdaten genutzt werden um die LLMs zu trainieren. Das bedeutet, dass das Unternehmen zumindest nicht befürchten muss, seine eigenen geschützten Daten in den Antworten anderer Benutzer / Unternehmen wieder zu finden.
Dennoch birgt eine unbedachte Integration von Copilot Pro in den betrieblichen Alltag eine Gefahr, die schnell übersehen werden kann. Daher sollten Vorkehrungen getroffen werden, um dieser Gefahr zu begegnen.
Copilot Pro Datenschutzkonform nutzen
Der Einsatz von Copilot Pro erfordert einen sorgfältigen Umgang mit Datenschutzaspekten. Unternehmen müssen ihre Daten präzise klassifizieren und schützen, um sensible Informationen vor unbefugtem Zugriff zu bewahren.
Datenklassifizierung & Schutz:
- Klare Kategorisierung: Durch die Einteilung von Daten in Kategorien wie "Persönliche Daten", "Sensible Inhalte" oder "Öffentliche Information" lässt sich der Umfang des Zugriffs durch Copilot regulieren.
- Microsoft Purview: Dieses Tool ermöglicht die effiziente Klassifizierung und den Schutz von Daten im Tenant. Dieses Tool erlaubt die Kategorisierung durch Individuelle Tags für Datentypen, um passende Datenpools zu erstellen.
Zugriffskontrolle & Need-to-Know Prinzip:
- Technisches Berechtigungskonzept: Ein konsequent implementiertes Berechtigungssystem ist unerlässlich. Copilot zeigt nur die Daten an, auf die Nutzer Zugriff haben.
- Need-to-Know: Das Prinzip "Nur das Notwendige" muss strikt befolgt werden, um unberechtigte Abfragen und potenzielle Datenschutzverletzungen zu vermeiden.
Durch diese Maßnahmen können Unternehmen den Einsatz von Copilot Pro datenschutzkonform gestalten und die Sicherheit sensibler Daten gewährleisten. Jedoch bedarf es einer kontinuierlichen Betrachtung der Weiterentwicklung von Copilot Pro und dem damit verbundenen datenschutzkonformen Einsatz. Ebenfalls erfordert der Einsatz von Copilot eine umfassende Sensibilisierung aller Beschäftigten.
Mitarbeiter-Schulung & Handlungsempfehlungen:
- Umfassende Regelungen: Unternehmen müssen klare Richtlinien für den Einsatz von Copilot erstellen und ihren Beschäftigten kommunizieren.
- Definierte Verbote: Richtlinien können beispielsweise absolute Verbote für bestimmte Anwendungsfälle festlegen, z.B. automatisierte Leistungsbewertungen ohne menschliche Überprüfung oder die Überwachung interner/externer Kommunikation.
- Beispielhafte Verbotsszenarien: Die Erstellung von Texten mit sensiblen firmeninternen Informationen sowie die Generierung von Inhalten für Marketingzwecke, die auf unzulässigen Daten basieren.
Haftungsausschluss & Vermeidung von Organisationsverschulden:
- Proaktive Risikobegrenzung: Schulungen und Richtlinien dienen als Nachweis des Verantwortungsbewusstseins und helfen Unternehmen, sich im Falle von Datenschutzverletzungen oder Rechtsstreitigkeiten vor einem Vorwurf des Organisationsverschuldens zu schützen.
Letztlich kann nur durch einen verantwortungsvollen Umgang mit Copilot und durch transparente Kommunikation, klare Handlungsanweisungen und regelmäßige Schulungen eine datenschutzkonforme Nutzung von Copilot Pro erreicht werden.
Hinweis: Nach § 90 Abs. 1 Nr. 3 Betriebsverfassungsgesetz (BetrVG) hat der Arbeitgeber den Betriebsrat bei der Einführung von KI bereits über das bloße Vorhaben zu unterrichten und mit ihm zu beraten. Zudem erfordert der Einsatz von Copilot Pro in jedem Fall eine Datenschutz-Folgenabschätzung (DSFA) gemäß Artikel 35 DS-GVO.
Abschließende Informationen zu Microsoft und den USA
Die Verwendung von Microsoft 365 birgt datenschutzrechtliche Herausforderungen, die Unternehmen ernst nehmen müssen.
Probleme mit der aktuellen Vereinbarung:
- Unzureichende DPA: Im November 2022 kritisierte die Datenschutzkonferenz die von Microsoft angebotene Auftragsverarbeitungsvereinbarung (DPA) als nicht DSGVO-konform gemäß Art. 28 Abs. 3.
- Folgen für Unternehmen: Die Unzulänglichkeiten der DPA betreffen nicht nur Microsoft, sondern auch alle Unternehmen, die Microsoft 365 einsetzen.
Handlungsempfehlungen für Unternehmen:
- Aktive Einflussnahme: Verantwortliche müssen alles tun, um mit Microsoft eine datenschutzkonforme Vereinbarung zu erreichen.
- Hilfestellung durch Handreichung: Die LfD Niedersachsen, die LDI NRW und weitere Aufsichtsbehörden bieten eine praktische Anleitung mit konkreten To-Dos für eine datenschutzkonforme Nutzung von Microsoft 365.
- Dokumentation als Schutzmaßnahme: Unternehmen sollten jede Anpassung oder Ablehnung der empfohlenen Maßnahmen dokumentieren.
Risiken des ungeprüften Einsatzes:
- Gefahr von Bußgeldern und Schadensersatzforderungen: Der ungeklärte oder unkontrollierte Einsatz von Microsoft 365 stellt ein erhebliches Risiko dar und kann zu empfindlichen Sanktionen führen.
- Möglichkeit eines datenschutzkonformen Einsatzes: Die Aufsichtsbehörden betonen, dass der Einsatz von Microsoft 365 unter Einhaltung datenschutzrechtlicher Vorgaben möglich ist.
Unternehmen sollten sich aktiv mit den Herausforderungen im Zusammenhang mit Microsoft 365 auseinandersetzen und die notwendigen Schritte zur Sicherstellung eines datenschutzkonformen Betriebs einleiten.
Des Weiteren ist zu beachten, dass in diesem Abschnitt zunächst nur von Microsoft 365 und nicht von der Nutzung von Copilot in diesem Paket die Rede ist. Dies ist jedoch der Fall, da es mit Microsoft nicht möglich ist, eine AV (in diesem Fall DPA genannt) für die KI von Copilot abzuschließen. Microsoft stellt lediglich ihre DPA online zur Vefügung. Diese gilt für die Nutzung sämtlicher Produkte und enthält zum aktuellen Stand (13.11.2024). Keine gesonderten Regelungen zu Copilot. Die erwähnte DPA finden Sie hier.
Sie planen die Einführung von Copilot Pro in Ihrem Unternehmen? Benötigen Sie Unterstützung bei der datenschutzkonformen Implementierung oder bei der Erstellung der Datenschutzfolgenabschätzung? Unser Datenschutzteam hilft Ihnen gerne bei diesen wie auch anderen Datenschutzthemen gerne weiter. Wir freuen uns auf Ihre Kontaktaufnahme!