Schritt für Schritt: Von der Datenschutz Folgenabschätzung über die technische Konfiguration bis zur laufenden Compliance Überwachung. Dieser Leitfaden zeigt, wie Sie Microsoft 365 Copilot DSGVO konform in Ihre Organisation einführen.
DSGVO Beratung für Copilot →
Ein strukturierter Pfad, der regulatorische Anforderungen und technische Konfiguration verbindet. Jeder Schritt baut auf dem vorherigen auf.
Art. 35 DSGVO verlangt eine DSFA, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko" birgt. Copilot verarbeitet potenziell alle Daten eines Nutzers in M365. Das qualifiziert sich in praktisch jeder regulierten Umgebung.
Was die DSFA enthalten muss: Beschreibung der Verarbeitung (Copilot Prompts, Datenquellen, Outputs), Zweck und Rechtsgrundlage (§ 26 BDSG für Beschäftigtendaten, häufig flankiert durch Betriebsvereinbarung; Art. 6 Abs. 1 lit. b für vertragsbezogene Verarbeitung; Art. 6 Abs. 1 lit. f für sonstige Konstellationen mit dokumentierter Interessenabwägung), Risikobewertung (Oversharing, Profilbildung, algorithmische Verzerrung in personalbezogenen Auswertungen, unbeabsichtigte Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO), technische Maßnahmen (Labels, DLP, Access Controls) und organisatorische Maßnahmen (Schulungen, Nutzungsrichtlinien).
Bevor Copilot produktiv geht, müssen vier technische Voraussetzungen erfüllt sein.
Eine interne Copilot Richtlinie regelt, wie Mitarbeiter Copilot nutzen dürfen. Sie ist nicht optional, sondern Bestandteil der organisatorischen Maßnahmen in der DSFA.
Mindestinhalte der Richtlinie: Erlaubte und verbotene Anwendungsfälle, Umgang mit personenbezogenen Daten in Prompts, Verantwortlichkeiten bei Fehlverhalten, Eskalationswege bei Datenschutz Vorfällen und Hinweis, dass Copilot Ausgaben geprüft werden müssen.
Copilot fällt unter den EU AI Act. Die Klassifizierung hängt vom Einsatzzweck ab. In Standard Office Szenarien (Meeting Zusammenfassungen, E Mail Entwürfe, Recherche) greifen die Transparenzpflichten nach Art. 50, anwendbar ab dem 2. August 2026. In regulierten Use Cases kann Copilot als Hochrisiko KI nach Annex III einzustufen sein.
Wann Hochrisiko greift: Schadenbearbeitung bei Versicherungen, Kreditentscheidungen bei Banken, personalbezogene Auswertungen in HR. Alle Szenarien, in denen Copilot Entscheidungen vorbereitet, die erhebliche Auswirkungen auf natürliche Personen haben, fallen potenziell unter Annex III. Das löst erweiterte Pflichten aus: Risk Management System, Data Governance, Human Oversight und Conformity Assessment. Diese Einstufung muss vor dem Rollout geklärt und in der DSFA dokumentiert werden.
Copilot Datenschutz ist kein Einmalprojekt. Regelmäßige Prüfung und Anpassung sind Pflicht.
Laufende Aufgaben: Audit Logs regelmäßig prüfen, DLP Incidents auswerten, DSFA mindestens jährlich oder bei wesentlichen Änderungen aktualisieren, Schulungen für neue Mitarbeiter wiederholen und Copilot Nutzungsstatistiken monitoren.
Microsoft stellt eine eigene DSFA für M365 bereit, aber die ersetzt nicht Ihre Pflicht nach Art. 35 DSGVO. Sie müssen eine eigene DSFA erstellen, die Ihre spezifische Verarbeitung, Ihre Datenarten und Ihre organisatorischen Maßnahmen abbildet. Die Microsoft DSFA kann als Grundlage dienen, reicht aber allein nicht aus.
In den meisten Fällen ja. Copilot kann als technische Einrichtung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG gelten, da es die Leistung und das Verhalten von Mitarbeitern potenziell überwachen kann. Wir empfehlen, den Betriebsrat frühzeitig einzubeziehen und eine Betriebsvereinbarung zu schließen.
Copilot gibt nur Inhalte zurück, auf die der Nutzer berechtigt ist. Wenn diese Inhalte personenbezogene Daten enthalten, zeigt Copilot sie. Genau deshalb sind Sensitivity Labels und DLP so wichtig: Sie verhindern, dass streng vertrauliche oder personenbezogene Inhalte in Copilot Antworten auftauchen.
Mindestens jährlich oder bei wesentlichen Änderungen. Wesentliche Änderungen sind beispielsweise: neue Copilot Features (Microsoft aktualisiert regelmäßig), Erweiterung auf neue Nutzergruppen, Anbindung neuer Datenquellen oder Änderungen in der Regulierung.
30 Minuten Erstgespräch. Unverbindlich. Wir erstellen Ihre Copilot DSFA und konfigurieren die technischen Maßnahmen, damit der Datenschutzbeauftragte das Okay geben kann.
Erstgespräch buchen →