Jetzt Mitglied werden!
eRecht24.de

Copilot & Datenschutz

Ist die Nutzung von Copilot mit der DSGVO vereinbar?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(1 Bewertung, 5.00 von 5)

Das Wichtigste in Kürze

  • Microsofts Copilot gibt es in zwei Varianten: Als KI-Chatbot und als KI-Assistenten, der in Office-Apps wie Word, Excel, Outlook und PowerPoint integriert ist.
  • Wer Copilot geschäftlich nutzen möchte, sollte die Datenschutzrisiken kennen – nicht immer lässt sich z. B. nachvollziehen, was mit den Daten passiert.
  • Sorgen Sie für einen möglichst datenschutzfreundlichen Einsatz, indem Sie keine sensiblen Daten eingeben und Zugriffsrechte wo möglich beschränken.
Ich möchte mich umfassend informieren Ich möchte meine Website absichern

Worum geht's?

KI-gestützte Assistenten wie Copilot wollen die Arbeitswelt revolutionieren, indem sie Prozesse automatisieren und die kreative Arbeit erleichtern. Copilot nutzt dabei nicht (nur) frei zugängliche Daten aus dem Internet, sondern greift auch auf unternehmensspezifische Daten in der Microsoft-Suite zu. Aus datenschutzrechtlicher Sicht geht das jedoch mit einigen Risiken einher. Wir schauen uns an, wie es um den Datenschutz von Microsofts Copilot steht und ob sich der KI-Assistent datenschutzkonform verwenden lässt.

 

1. Was ist Copilot?

Copilot ist eine Assistenztechnologie von Microsoft, die auf künstlicher Intelligenz beruht und in verschiedene Produkte der Microsoft-Suite integriert ist. Dazu gehören auch sehr bekannte, wie Outlook, Word, PowerPoint und Excel. Microsoft 365 Copilot ist kostenpflichtig und will seinen Nutzern u. a. KI-basierte Unterstützung beim Erstellen von Texten in Word, beim Verfassen von E-Mails in Outlook, bei der Datenanalyse in Excel und bei der Generierung von Folien in PowerPoint bieten.

Daneben gibt es Microsoft Copilot noch als KI-gestützten Chatbot, mit dem sich menschenähnliche Konversationen führen lassen. Außerdem kann er Ideen entwickeln, Berichte erstellen, Informationen zusammenfassen, Bilder erzeugen und Fragen beantworten. Damit ähnelt er nicht nur ChatGPT, sondern beruht zum Teil auch auf diesem Large Language Model (LLM).

GLEICHER NAME, ANDERE KI

Beide Assistenten laufen unter dem gleichen Namen, sind aber voneinander abzugrenzen. Während der Chatbot über eine Web-Anwendung im Browser und per App bedient werden kann, gibt es bei den Microsoft Programmen nicht “den einen” Copilot, sondern jeder Dienst von Microsoft 365 hat seinen eigenen Copiloten.

Gesteuert wird Copilot wie andere generative KI-Tools über die Eingaben der Nutzer – die Prompts. Im Vergleich zu ChatGPT ist das Besondere, dass die KI nicht (nur) frei zugängliche Informationen aus dem Internet nutzt, um Antworten und Lösungen zu bieten, sondern in der Microsoft 365-Variante auf die gespeicherten Daten in der Microsoft-Suite zugreift.

Der KI-Begleiter in der Integration nutzt also keine beliebige Datenbasis aus dem Netz, sondern Informationen, auf die der jeweilige Nutzer ohnehin Zugriff hat. Genau das birgt aber für Unternehmen und Anwender Risiken in Sachen Datenschutz.

2. Wie steht es um den Datenschutz bei Copilot?

Möchten Sie Microsoft Copilot in Ihrem Unternehmen nutzen, sollten Sie sich darüber im Klaren sein, dass der Einsatz der KI-Integration unter datenschutzrechtlicher Betrachtung problematisch sein kann. Das hat zum einen mit dem sogenannten Blackbox-Effekt zu tun.

GUT ZU WISSEN

Der Blackbox-Effekt beschreibt das Problem, dass sich nicht klar sagen lässt, wie generative KI wie Copilot, ChatGPT und Google Gemini Entscheidungen treffen. Nicht einmal die Entwickler wissen genau, wie die KI hinter den Tools funktioniert. Da die Entscheidungsprozesse intransparent und nicht nachvollziehbar sind, ist es schwierig, sie zu steuern und zu kontrollieren.

Auch in Bezug auf den Datenschutz von Copilot wirkt sich der Blackbox-Effekt aus: Da die in Microsoft 365 integrierte KI auf Unternehmensdaten wie z. B. Chats in Teams, E-Mails oder Dokumente zugreifen kann, besteht das Risiko, dass diese Daten ohne Zustimmung, ausreichenden Datenschutz oder auf andere unzulässige Art und Weise verarbeitet werden.

Besonders relevant wird dies bei personenbezogener Daten, beispielsweise von Kunden und Mitarbeitern. Gemäß der Datenschutzgrundverordnung (DSGVO) stehen diese Daten unter einem besonderen Schutz, den Sie als Unternehmen sicherstellen müssen. Da Microsoft Copilot die Daten in Ihrem Auftrag verarbeitet, bleiben Sie für den Datenschutz verantwortlich. Das heißt etwa, dass Sie sicherstellen müssen, dass Microsoft ausreichende technische und organisatorische Maßnahmen implementiert hat, um die Daten zu schützen. Außerdem ist der Abschluss eines Auftragsverarbeitungsvertrags erforderlich.

Ein weiteres datenschutzrechtliches Problem ist die Anbindung von Copilot an Bing – hier ist nämlich nicht mehr Microsoft in der Rolle des Auftragsverarbeiters, sondern agiert selbst als Verantwortlicher. Dadurch entstehen verschiedene Datenschutzpflichten, u. a. die Gewährleistung einer transparenten Datenverarbeitung. Doch auch wenn Microsoft das verspricht: Klar nachvollziehen, welche Daten wie durch die KI verarbeitet werden, können Sie als Nutzer allein aufgrund des Blackbox-Effekts nicht.

Daneben hat Copilot Zugriff auf eine Menge Informationen und Dokumente, an denen Sie eine Berechtigung haben. Das Problem: Perspektivisch ist Copilot automatisch in die 365-Programme integriert und lässt sich (zumindest aktuell) bis auf Word nicht deaktivieren. Nicht nur aus diesem Grund stand der KI-Assistent in der Kritik.

VORSICHT

Indem Copilot Zugriff auf eine Vielzahl von sensiblen Unternehmensdaten erhält, besteht das Risiko, dass auch Personen darauf zugreifen können, die dafür keine Berechtigung haben. Potenziell betroffen von einer Datenpanne sind dann nicht nur die gespeicherten Daten des Unternehmens, sondern auch die von Kunden, Bewerbern, Geschäftspartnern oder Lieferanten.

Durch den Zugriff auf sensible interne Daten kann Copilot außerdem selbst schnell neue Dokumente generieren, die geschützt werden müssen. Immerhin verspricht Microsoft in Unternehmenslösungen wie Microsoft 365 Copilot, die Daten seiner Nutzer nicht zum Training und zur Modellverbesserung der KI zu verwenden.

3. Kann ich Copilot datenschutzkonform in meinem Unternehmen einsetzen?

Da Copilot automatisch in Microsoft Office 365 integriert ist und Programme wie Word, Excel und PowerPoint für die meisten Unternehmen zum Standard gehören, ist es unerlässlich, für einen bestmöglichen datenschutzkonformen Einsatz zu sorgen. Wichtig ist, dass Sie sich den datenschutzrechtlichen Risiken bewusst sind und diese so weit wie möglich ausräumen.

Zum ersten bedeutet das: Möchten Sie personenbezogene Daten verarbeiten, brauchen Sie eine Rechtsgrundlage. Die DSGVO sieht in Artikel 6 verschiedene Möglichkeiten vor: Die Datenverarbeitung könnte beispielsweise notwendig für die Erfüllung eines Vertrags sein oder es kann eine rechtliche Verpflichtung zur Datenverarbeitung bestehen.

In den meisten Fällen wird jedoch die Einwilligung der betroffenen Personen erforderlich sein. Sie können Copilot zum Beispiel nutzen, um Meetings mit Mitarbeitern oder Auftraggebern bei Teams aufzuzeichnen und zu transkribieren, um wichtige Absprachen festzuhalten. Sie brauchen dafür aber die vorherige, ausdrückliche und freiwillige Einwilligung aller Beteiligten. Gleiches gilt, wenn Sie mit Copilot Kundendaten analysieren möchten, um gezielte Angebote oder Werbung zu erstellen. Auch dafür muss das Einverständnis der betroffenen Personen vorliegen – sonst ist die Datenverarbeitung unzulässig.

WICHTIG

Neben der Rechtsgrundlage sind auch Datensicherheit und Compliance ein Thema. Sie müssen gewährleisten, dass unberechtigte Personen über Copilot keinen Zugriff auf sensible Unternehmensdaten oder schützenswerte Informationen über Kunden erhalten.

Möchten Sie Copilot in Ihrem Unternehmen nutzen, sollten Sie daher vor dem Einsatz:

  • die Zugriffsrechte beschränken, sodass Copilot (und berechtigte Personen) nur Zugriff auf für sie bestimmte Daten haben (anpassbar im MS365-Admin-Center).
  • unnötige Funktionen und Verknüpfungen deaktivieren
  • den Ist-Zustand beim Einsatz der Microsoft 365-Suite analysieren (welche Dienste werden genutzt und wofür, welche Einstellungen sind implementiert).
  • Ihre Mitarbeitenden hinsichtlich des Themas Copilot und Datenschutz sensibilisieren und sie über mögliche Risiken aufklären und eine interne KI-Richtlinie erstellen, ggf. mit spezifischen MS365-Vorgaben.
  • eine Datenschutz-Folgenabschätzung vornehmen, die die Datenschutzrisiken analysiert und Maßnahmen zur Risikominderung und Datensicherheit enthält.

Schulungen in Sachen KI-Kompetenz und Datenschutz sind unerlässlich – und seit Februar 2025 aufgrund der Vorgaben der KI-Verordnung (AI-Act) zudem Pflicht. Sensibilisieren Sie Ihre Angestellten für datenschutzrechtliche Risiken und klären Sie sie darüber auf, welche Informationen mit dem Chatbot geteilt werden dürfen und welche nicht. Neben Datenschutz sollten auch Themen wie KI und Urheberrecht und die Kennzeichnungspflicht von KI-Inhalten auf der Agenda stehen.

JETZT ANFRAGEN

Haben Sie Interesse an einer Schulung?

Die Kanzlei Siebert Lexow bietet regelmäßig Schulungen für Unternehmen nach Art. 4 KI-VO an.
  • 2-Stunden-Schulung inkl. aller Materialien
  • KI-Expertise zu technischen und rechtlichen Grundlagen
  • inkl. Zertifikat für jeden Teilnehmer
JETZT ANFRAGEN

Halten Sie die Rahmenbedingungen zum Umgang mit KI in einer internen KI-Richtlinie fest und lassen Sie diese von Ihren Mitarbeitenden unterschreiben. So können Sie einen verantwortungsvollen und möglichst datenschutzkonformen Einsatz von KI-Systemen wie Copilot sicherstellen, auch wenn sich nicht alle Datenschutzbedenken aushebeln lassen.

Darüber hinaus ist es sinnvoll, eine Datenschutz-Folgenabschätzung vorzunehmen. Diese ist immer dann angezeigt, wenn eine geplante Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen könnte. Da es sich bei Microsoft 365 Copilot um eine neue Technologie handelt und personenbezogene Daten mitunter automatisch verarbeitet werden, kann eine Datenschutz-Folgenabschätzung angebracht sein.

Unser Tipp: Unser Partner legaltrust unterstützt Sie auch bei einer Datenschutz-Folgenabschätzung für Copilot und andere KI-Lösungen, die in Ihrem Unternehmen zum Einsatz kommen.

LEGALTRUST KONTAKTIEREN

LEGALTRUST

Unser Partnerunternehmen Legaltrust identifiziert datenschutzrechtliche Schwachstellen, konzipiert Lösungen, begleitet Sie bei der praktischen Umsetzung und sorgt für nachhaltigen Datenschutz in Ihrem Unternehmen – kompetent, praxisnah und verständlich.
LEGALTRUST KONTAKTIEREN

Für den Chatbot Copilot (nicht die Office-Integration) gilt: Teilen Sie keine sensiblen Unternehmensinformationen, Geschäftsgeheimnisse oder fremde, personenbezogene Daten mit der KI. Entfernen Sie alle Daten, die Rückschlüsse auf konkrete Personen (Kunden, Mitarbeiter, Geschäftspartner etc.) zulassen bzw. anonymisieren Sie diese, bevor Sie einen entsprechenden Prompt eingeben oder ein Dokument hochladen.

Außerdem müssen Sie mit Microsoft einen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen, sofern Sie Copilot für Anwendungen nutzen, die personenbezogene Daten enthalten. Microsoft stellt Geschäftskunden standardisierte AV-Verträge unter der Bezeichnung “Data Processing Addendum” (DPA) hier zur Verfügung. Gesonderte Ausführungen zu KI und Copilot enthält die DPA aktuell jedoch nicht (Stand März 2025).

Vergessen Sie auch nicht, die verwendeten KI-Tools in Ihre Datenschutzerklärung mit aufzunehmen.

4. Checkliste: So nutzen Sie Copilot (möglichst) datenschutzkonform

Auch wenn Copilot als Microsoft 365-Integration keine Nutzerdaten speichert, um diese zur Modellverbesserung der KI zu verwenden und laut eigener Aussage nur auf Daten zugreift, für die der jeweilige Nutzer Berechtigungen hat, bleiben datenschutzrechtliche Bedenken bestehen. Eines der Hauptprobleme ist, dass Sie als Unternehmen keine vollständige Kontrolle darüber haben, welche Daten Copilot erhebt und verarbeitet.

Fehlende Transparenz und das Risiko potenzieller unkontrollierter Datenzugriffe erschweren einen datenschutzkonformen Einsatz der KI-Anwendung. Um Copilot in Ihrem Unternehmen möglichst rechtssicher zu verwenden – sei es als Office-Integration oder als Chatbot – sind strikte Datenschutzmaßnahmen unerlässlich.

Sören Siebert
Sören SiebertRechtsanwalt

Die folgende Checkliste gibt Ihnen einen ersten Eindruck, was wichtig ist:

Checkliste
Copilot datenschutzkonform nutzen
  • Zugriffsrechte prüfen: Stellen Sie sicher, dass Copilot als 365-Integration nur auf notwendige Daten zugreifen kann und beschränken Sie wo erforderlich die Zugriffsrechte.
  • Keine sensiblen Daten eingeben: Geben Sie im Chatbot-Copilot keine personenbezogenen Daten von Kunden oder Mitarbeitern ein, wenn Ihnen keine Einwilligung der betroffenen Personen vorliegt.
  • Daten anonymisieren: Anonymisieren Sie persönliche Daten, sodass sich keine Rückschlüsse auf konkrete Personen ziehen lassen.
  • Vorsicht mit Unternehmensinterna: Gehen Sie umsichtig mit vertrauenswürdigen Informationen wie Finanzdaten und Geschäftsgeheimnissen um und geben Sie diese nicht bei Copilot ein.
  • Transparent sein: Klären Sie sowohl Mitarbeiter als auch Kunden über die Datenverarbeitung durch Copilot auf.
  • Datenschutzerklärung: Nehmen Sie KI-Tools wie Copilot in Ihre Datenschutzerklärung auf.
  • Mitarbeiter schulen: Schulen Sie Ihre Angestellten im Umgang mit Copilot. Informieren Sie sie über datenschutzrechtliche Risiken und definieren Sie Nutzungsregeln (z. B. welche Daten dürfen eingegeben werden, welche nicht).
  • KI-Richtlinien: Halten Sie die Nutzungsregeln in einer internen KI-Richtlinie fest und lassen Sie diese von allen Mitarbeitenden unterschreiben.
  • AV-Vertrag abschließen: Schließen Sie für die Nutzung von Copilot für Microsoft 365 mit Microsoft einen Auftragsverarbeitungsvertrag (DPA) ab.
  • Datenschutz-Folgenabschätzung (DFSA) durchführen: Die DFSA dient dazu, die Datenverarbeitungsvorgänge zu beschreiben, die daraus resultierenden Risiken zu analysieren und Maßnahmen zu treffen, um diese zu minimieren.
  • Keine geschützten Inhalte verwenden: Achten Sie auch darauf, dass die Inhalte, die Copilot Ihnen generiert, keine fremden Urheberrechte verletzen – falls doch, nutzen Sie diese nicht.

 

Auch wenn KI-Anwendungen wie Copilot, ChatGPT, Deepseek und Gemini in aller Munde sind, bleiben für die meisten Unternehmen rechtliche Fragen und Unsicherheiten bestehen. Wir von eRecht24 wollen Sie dabei unterstützen, Klarheit zu schaffen. Dafür bieten wir mit eRecht24 Premium wertvolles Hintergrundwissen, praktische Tools und exklusive Webinare zu Themen wie “KI-Verordnung, ChatGPT & Co”. Außerdem stehen Ihnen Vorlagen für interne KI-Richtlinien und Checklisten für den rechtssicheren KI-Einsatz zur Verfügung. Machen Sie Ihr Unternehmen noch heute fit für die Zukunft.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

5. Häufige Fragen zum Thema Copilot und Datenschutz


Ist Copilot datenschutzkonform?

Mit strikten Datenschutzeinstellungen lässt sich Copilot datenschutzfreundlich nutzen. Ein komplett datenschutzkonformer Einsatz ist derzeit jedoch nicht möglich. Das liegt u. a. an der fehlenden Transparenz bei der Datenerhebung und -verarbeitung und dem potenziellen Risiko unzulässiger Datenzugriffe.

Auf welche Daten greift Microsoft Copilot zu?

Das kommt darauf an, in welcher “Version” Sie Copilot nutzen. Als Office-Integration greift Copilot auf Dokumente, Inhalte und Dateien aus Word, Excel, PowerPoint, OneNote und anderen Microsoft 365-Anwendungen zu, aber auch auf E-Mails, Kalender und Daten aus Cloud-Speichern (sofern Sie als Nutzer Zugriff darauf haben). Der Chatbot Copilot durchsucht frei zugängliche Informationen aus dem Internet, um Ergebnisse zu liefern.

Worauf muss ich achten, wenn ich Copilot im Unternehmen nutzen möchte?

Möchten Sie Copilot (ob als Integration oder Chatbot) geschäftlich nutzen, müssen Sie einen bestmöglichen datenschutzkonformen Einsatz sicherstellen – denn es gilt die DSGVO. Dazu gehören u. a. der Abschluss eines AV-Vertrags mit Microsoft, die Durchführung einer Datenschutz-Folgenabschätzung und die Beschränkung von Zugriffsrechten. Geben Sie weder sensible Daten noch Finanzinformationen oder vertrauliche Angaben ungeprüft ein und sensibilisieren Sie Ihre Mitarbeiter für Datenschutz und den korrekten Umgang mit KI-Tools.


 

Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details