Welche Daten Copilot verarbeitet, wie Sie den Zugriff steuern und was DSGVO und EU AI Act verlangen. Microsoft 365 Copilot greift auf alle Daten zu, die ein Nutzer in Microsoft 365 sehen darf. Für regulierte Unternehmen heißt das: Ohne Datenschutz Fundament wird Copilot zum Risiko.
Copilot Datenschutz Beratung →
Ab dem 2. August 2026 greifen die Transparenzpflichten nach Art. 50 EU AI Act. Ihre Mitarbeiter müssen ab diesem Datum nachweislich über den KI Einsatz informiert sein. Funktionsweise, Einschränkungen und Verantwortlichkeiten müssen dokumentiert und kommuniziert werden. Ist Ihre Organisation darauf vorbereitet?
Copilot nutzt Ihre M365 Daten als Kontext. Es greift auf dieselben Inhalte zu wie der angemeldete Nutzer, über Microsoft Graph. Microsoft verwendet Eingaben und Antworten nicht zum Training der Foundation Models. Sie werden ausschließlich innerhalb der Tenant Grenzen verarbeitet.
Aber: Was der Nutzer sehen darf, sieht auch Copilot. Und hier liegt das Problem.
In vielen Organisationen haben Nutzer Zugriff auf weit mehr Daten als nötig. Verwaiste SharePoint Sites, „Everyone except external" Links, offene Teams Kanäle. Copilot macht dieses Oversharing sichtbar und nutzbar. Das ist das Kernrisiko, das vor jedem Copilot Rollout adressiert werden muss.
Konkrete Schritte, die vor und während des Copilot Rollouts umgesetzt werden müssen. Jede Maßnahme ist technisch umsetzbar und dokumentierbar.
SharePoint Berechtigungen aufräumen, „Everyone except external" Links entfernen, verwaiste Sites identifizieren. Restricted Content Discovery konfigurieren, damit Copilot nur autorisierte Inhalte findet.
Streng vertrauliche Inhalte von Copilot ausschließen. Label Vererbung sicherstellen: Copilot generierte Antworten erben das Label der Quelldokumente automatisch.
DLP Regeln, die verhindern, dass Copilot sensible Inhalte in Antworten zitiert oder an nicht autorisierte Empfänger weitergibt.
Art. 35 DSGVO erfordert eine DSFA für Copilot. Wir erstellen belastbare Folgenabschätzungen mit konkreten technischen und organisatorischen Maßnahmen.
Copilot fällt unter den EU AI Act. Die Klassifizierung hängt vom Einsatzzweck ab. In den meisten Office Szenarien greifen die Transparenzpflichten nach Art. 50 (anwendbar ab August 2026). In regulierten Use Cases wie Schadenbearbeitung bei Versicherungen, Kreditentscheidungen bei Banken oder personalbezogenen Auswertungen kann Copilot als Hochrisiko KI nach Annex III einzustufen sein. Das löst erweiterte Pflichten aus: Risk Management, Data Governance, Human Oversight und Conformity Assessment.
Copilot Aktivitäten im Unified Audit Log erfassen. Nachvollziehbar dokumentieren, welche Daten Copilot verarbeitet hat. Aufbewahrungsfristen korrekt setzen: E3 bietet 180 Tage, E5 standardmäßig 1 Jahr, mit Audit Premium bis zu 10 Jahre. Die Wahl richtet sich nach Branche und regulatorischer Anforderung.
Microsoft verwendet Eingaben und Antworten nicht zum Training der Foundation Models. Prompts und Antworten werden ausschließlich innerhalb der Tenant Grenzen verarbeitet und für Audit und Compliance Zwecke im Unified Audit Log protokolliert. Bei aktivierter EU Data Boundary geschieht diese Verarbeitung in europäischen Rechenzentren. Die Datenresidenz Einstellungen für Copilot sollten geprüft werden, da je nach Tenant Konfiguration Inferenz Anfragen an Rechenzentren außerhalb der EU geroutet werden können.
Nein. Copilot respektiert die bestehenden M365 Berechtigungen. Es kann nur auf Inhalte zugreifen, die der angemeldete Nutzer auch ohne Copilot sehen dürfte. Genau deshalb ist Oversharing Cleanup so wichtig: Wenn Berechtigungen zu weit gefasst sind, greift Copilot auf mehr zu als beabsichtigt.
In den meisten regulierten Umgebungen ja. Copilot verarbeitet potenziell alle Daten eines Nutzers in M365. Das umfasst typischerweise personenbezogene Daten in erheblichem Umfang. Art. 35 DSGVO sieht dafür eine Datenschutz Folgenabschätzung vor.
Der EU AI Act betrifft Copilot auf zwei Ebenen. Das darunterliegende GPT 4 Modell unterliegt als General Purpose AI Model eigenen Pflichten (gelten seit August 2025, betreffen Microsoft als Anbieter). Die Anwendung Copilot wird je nach Einsatzzweck klassifiziert: In Standard Office Szenarien greifen die Transparenzpflichten nach Art. 50 (ab August 2026). In regulierten Use Cases wie Schadenbearbeitung, Kreditentscheidungen oder Personalbewertung kann Copilot nach Annex III als Hochrisiko KI einzustufen sein, mit deutlich strengeren Pflichten für Sie als Betreiber. Genau diese Einstufung muss vor dem Rollout geklärt werden.
30 Minuten Erstgespräch. Unverbindlich. Wir prüfen Ihren Copilot Readiness Status und zeigen, welche Datenschutz Maßnahmen vor dem Rollout stehen müssen.
Erstgespräch buchen →