Microsoft Copilot Datenschutz in Hamburg

Inhalt in Kürze

• Microsoft Copilot für Microsoft 365 greift auf E-Mails, Dokumente, Chats und Kalender zu — über den Microsoft Graph. EU Data Residency ist Opt-In, nicht Standard.
• Ohne Berechtigungskonzept exponiert Copilot für M365 sensible Daten: Personalakten, Bewerbungsunterlagen und Geschäftsgeheimnisse können in KI-generierten Antworten auftauchen.
• Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist für den Einsatz von Copilot zwingend erforderlich.
• frag.hugo prüft Ihre Copilot-Konfiguration, führt die DSFA durch und begleitet den datenschutzkonformen Rollout.

Warum Microsoft Copilot ein Datenschutzrisiko für Unternehmen ist

Microsoft 365 Copilot ist für viele Hamburger Unternehmen der naheliegendste Einstieg in die KI-Welt. Copilot für Microsoft 365 basiert auf großen Sprachmodellen (Large Language Models, LLMs) und ist tief in Microsoft 365 integriert. Es nutzt die vorhandene Infrastruktur und verspricht Microsoft Produktivitätsgewinne bei alltäglichen Aufgaben in Word, Excel, Outlook und PowerPoint. Doch genau diese tiefe Integration macht Microsoft 365 Copilot aus datenschutzrechtlicher Sicht besonders sensibel — die Datenschutzrisiken werden häufig unterschätzt. Ohne Information Protection und richtige Konfiguration können vertrauliche Unternehmensdaten ungewollt in KI-generierten Antworten auftauchen. Copilot birgt erhebliche datenschutzrechtliche Risiken, wenn Unternehmen keine Kontrolle darüber haben, welche Daten verarbeitet werden.

EU Data Residency ist Opt-In – nicht Standard. Das bedeutet: Wenn Ihr IT-Admin nichts unternimmt, können Ihre Unternehmensdaten außerhalb der EU verarbeitet werden. Für Hamburger Unternehmen, die der Aufsicht des HmbBfDI unterliegen, ist das ein erhebliches Compliance-Risiko.

Was Microsoft 365 Copilot mit Ihren Daten macht

Der Zugriff auf Ihr gesamtes Microsoft-365-Ökosystem

Copilot ist kein isoliertes Tool. Es greift auf alles zu, worauf der jeweilige Nutzer Zugriff hat:

• E-Mails in Outlook (einschließlich Anhängen)
• Dokumente in SharePoint und OneDrive
• Chats und Meetings in Teams
• Kalendereinträge und Kontakte
• Notizen in OneNote

Das bedeutet: Auf sämtliche personenbezogenen und vertraulichen Unternehmensdaten, die in Ihrem Microsoft-365-Tenant gespeichert sind, wird potenziell zugegriffen – Kundendaten, Mitarbeiterdaten, Geschäftsgeheimnisse, Bewerbungsunterlagen, Gesundheitsdaten aus BEM-Verfahren und mehr. Copilot greift dabei auf Daten aus dem Microsoft Graph zu und kann aus diesen sensiblen Daten in Word, Excel und PowerPoint Antworten generieren und Zusammenfassungen erstellen. Copilot verwendet die gleichen Berechtigungen wie der Nutzer selbst. Besonders kritisch: E-Mails in Outlook und Dokumente in SharePoint werden gleichermaßen durchsucht — ohne dass der Nutzer kontrollieren kann, welche Quellen Copilot für Microsoft 365 heranzieht. Copilot zeigt in seinen Antworten auch vertrauliche Daten an, wenn die Berechtigungen nicht korrekt konfiguriert sind.

Die 30-Tage-Datenspeicherung

In der Standardeinstellung speichert Microsoft Copilot-Interaktionsdaten 30 Tage lang. Das umfasst die Prompts der Nutzer, die generierten Antworten und die referenzierten Quelldokumente. Diese Speicherung erfolgt zusätzlich zu den regulären Microsoft-365-Retention-Policies und muss separat konfiguriert werden.

Die fünf kritischen Konfigurationsfehler beim Einsatz von Copilot

1. EU Data Residency nicht aktiviert

Der gravierendste Fehler: EU Data Residency ist bei Microsoft Copilot eine Opt-In-Einstellung. Ohne aktive Konfiguration behält sich Microsoft vor, Daten in allen globalen Rechenzentren zu verarbeiten – einschließlich der USA. Für die DSGVO-Konformität muss diese Einstellung zwingend aktiviert werden.

So prüfen Sie es: Microsoft 365 Admin Center → Settings → Org Settings → Copilot → Data Residency.

2. Berechtigungskonzept nicht angepasst

Copilot respektiert die bestehenden Zugriffsrechte in Microsoft 365. Das klingt zunächst gut, offenbart aber ein häufiges Problem: Viele Unternehmen haben ihre SharePoint-Berechtigungen nie sauber konfiguriert. Wenn ein Mitarbeiter Zugriff auf Personalakten hat, die er eigentlich nicht sehen sollte, kann Copilot diese Daten in Antworten verwenden und damit sichtbar machen.

Vor dem Copilot-Rollout müssen Sie Ihr Berechtigungskonzept grundlegend überprüfen. Nutzen Sie die Microsoft-365-Berichte, um Oversharing zu identifizieren, und bereinigen Sie SharePoint-Berechtigungen konsequent.

3. Sensitivity Labels und Information Protection nicht konfiguriert

Microsoft Information Protection (MIP) Sensitivity Labels sind das wichtigste Werkzeug, um zu steuern, welche Dokumente Copilot verwenden darf und welche nicht. Ohne Labels behandelt Copilot alle Dokumente gleich – unabhängig davon, ob es sich um eine Speisekarte oder einen vertraulichen Arbeitsvertrag handelt.

Konfigurieren Sie Labels wie „Vertraulich – Kein KI-Zugriff” für besonders sensible Dokumente und schließen Sie diese von der Copilot-Verarbeitung aus.

4. Keine Datenschutz-Folgenabschätzung durchgeführt

Der Einsatz von Microsoft Copilot erfordert eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Die Gründe liegen auf der Hand: Copilot verarbeitet systematisch und umfassend personenbezogene Daten aus E-Mails, Word-Dokumenten und Excel-Tabellen, verwendet neue Technologien (LLMs — Large Language Models) und kann Profile über Mitarbeitende erstellen. Aus datenschutzrechtlicher Sicht ist eine DSFA zwingend erforderlich, um die Datenschutzrisiken zu bewerten. Ohne DSFA setzen Sie sich einem erheblichen Bußgeldrisiko aus — zumal sensible Daten in SharePoint und OneDrive besonders schutzbedürftig sind.

5. Audit-Logging nicht aktiviert

Microsoft bietet umfangreiche Protokollierungsmöglichkeiten für Copilot-Aktivitäten. Diese müssen jedoch aktiv eingerichtet werden. Ohne Audit-Logging können Sie nicht nachweisen, wie Copilot genutzt wird – und bei einer Prüfung durch den HmbBfDI fehlt Ihnen die Dokumentationsgrundlage. Gleichzeitig sollten Sie prüfen, ob bestimmte Copilot-Funktionen für sensible Bereiche zu deaktivieren sind, um die Datenschutzrisiken zu minimieren. Wenn Copilot aktiviert ist, sollte das Logging vom ersten Tag an laufen. Die Protokollierung beim Einsatz von Copilot zielt darauf ab, die Nachweispflichten nach Art. 5 Abs. 2 DSGVO zu erfüllen.

Datenflüsse bei der Nutzung von Microsoft 365 Copilot — Microsoft Graph, LLMs und sensible Daten

Für Hamburger Unternehmen ist es entscheidend zu verstehen, wie Daten innerhalb von Microsoft 365 fließen, wenn Copilot aktiviert ist. Der Microsoft Graph aggregiert Informationen aus Outlook, Word, Excel, PowerPoint, SharePoint und Teams:

1. Nutzer stellt Prompt → Copilot empfängt die Anfrage
2. Microsoft Graph → Copilot durchsucht alle für den Nutzer zugänglichen Daten
3. LLM-Verarbeitung → Die gefundenen Daten werden an eines der LLMs (Large Language Models / großen Sprachmodellen) gesendet
4. Antwortgenerierung → Das Modell erstellt eine Antwort mit Quellenverweisen
5. Logging → Prompt und Antwort werden gespeichert (Standardmäßig 30 Tage)

An jedem dieser Schritte werden personenbezogene Daten verarbeitet. Jeder Schritt muss in Ihrer DSFA dokumentiert und bewertet werden.

Was IT-Administratoren konfigurieren müssen

Eine Checkliste für Ihre IT-Abteilung:

• EU Data Residency aktivieren – zwingend erforderlich
• Datenspeicherdauer anpassen – 30-Tage-Standard prüfen und ggf. reduzieren
• Berechtigungskonzept bereinigen – SharePoint-Oversharing eliminieren
• Sensitivity Labels einführen – besonders sensible Daten ausschließen
• Compliance-Richtlinien konfigurieren – DLP-Policies auf Copilot erweitern
• Audit-Logging aktivieren – für Nachweispflichten
• Conditional Access Policies – Copilot-Zugriff auf verwaltete Geräte beschränken
• Nutzergruppen definieren – Copilot schrittweise ausrollen, nicht pauschal freischalten

Datenschutz-Folgenabschätzung für Microsoft Copilot im Unternehmen

Eine DSFA nach Art. 35 DSGVO für Microsoft Copilot im Unternehmen sollte mindestens folgende Aspekte abdecken. Copilot erstellt automatisch Zusammenfassungen und Inhalte — die Nutzung von Copilot muss daher datenschutzrechtlich bewertet werden:

• Verarbeitungszwecke: Produktivitätssteigerung, Texterstellung, Datenanalyse
• Datenkategorien: E-Mail-Inhalte, Dokumente, Chat-Verläufe, Metadaten
• Betroffene: Mitarbeitende, Kunden, Geschäftspartner
• Risiken: Unbefugter Zugriff durch Oversharing, Profilbildung, Datenabfluss
• Maßnahmen: EU Data Residency, Labels, Berechtigungskonzept, Schulungen

Welche Daten greift Microsoft 365 Copilot zu?

Copilot für Microsoft 365 greift über den Microsoft Graph auf alle Daten zu, die dem jeweiligen Nutzer zugänglich sind. Das umfasst:

• Outlook: E-Mails, Anhänge, Kalendereinträge, Kontakte
• Word, Excel, PowerPoint: Alle Dokumente, auf die der Nutzer Zugriff hat
• Teams: Chat-Nachrichten, Kanalunterhaltungen, Meeting-Transkriptionen
• SharePoint und OneDrive: Alle Dateien und Ordner mit Leseberechtigung
• OneNote: Notizbücher und Sektionen

Microsoft betont, dass Copilot die bestehenden Zugriffsrechte respektiert. Das Risiko liegt nicht in neuen Zugriffen, sondern in der Aggregation: Copilot kann in einer einzigen Antwort Informationen aus E-Mails, Dokumenten und Chats zusammenführen, die ein Nutzer einzeln vielleicht nie gefunden hätte. Fehlerhafte Berechtigungen werden so erstmals sichtbar und datenschutzrechtlich relevant.

Copilot datenschutzkonform zu nutzen erfordert datenschutzrechtliche Vorarbeit

Der datenschutzrechtliche Einsatz von Copilot erfordert mehr als eine Administratoreinstellung. Beachten Sie, dass Copilot automatisch auf alle zugänglichen Daten zugreift und dass Microsoft keine Garantie für die DSGVO-Konformität gibt. Unternehmen müssen:

1. Berechtigungen bereinigen: Vor dem Rollout alle SharePoint-Sites, Teams und OneDrive-Ordner auf Oversharing prüfen
2. Sensitivity Labels einführen: Vertrauliche Dokumente (Personalakten, Gesundheitsdaten, Geschäftsgeheimnisse) vom Copilot-Zugriff ausschließen
3. Nutzungsrichtlinie erstellen: Welche Prompts sind erlaubt? Welche Daten dürfen in Copilot-Anfragen verwendet werden? Eine KI-Richtlinie regelt das verbindlich
4. Schulungen durchführen: Nutzer müssen verstehen, wie Copilot funktioniert und welche datenschutzrechtlichen Grenzen gelten

Microsoft Copilot im Unternehmen, Bing Chat und Copilot Chat

Beachten Sie den Unterschied zwischen Copilot für Microsoft 365 (Unternehmenslizenz), dem kostenlosen Bing Chat / Copilot und Copilot Chat: Bing Chat verwendet Microsoft-Daten und Informationen aus dem Internet, greift aber nicht auf Ihre Unternehmensdaten zu. Copilot für M365 hingegen nutzt den Microsoft Graph und greift auf Ihre gesamte M365-Umgebung zu. Copilot Chat wiederum bietet innerhalb von Copilot einen KI-gestützten Dialog ohne Zugriff auf Microsoft-365-Daten — dennoch gelten auch hier datenschutzrechtliche Anforderungen.

Für den Einsatz von Bing Chat im Unternehmen gelten ebenfalls datenschutzrechtliche Anforderungen — allerdings andere als für Copilot für M365. Alle Varianten müssen in Ihrer KI-Richtlinie berücksichtigt werden. Microsoft bietet mit dem Data Protection Addendum (DPA) einen datenschutzrechtlicher Rahmen, der jedoch nicht automatisch alle Datenschutzrisiken abdeckt.

Grundlegende Informationen zur DSGVO-konformen Nutzung von Microsoft 365 finden Sie auf unserer Seite zu Microsoft 365 und DSGVO. Der HmbBfDI hat KI-Systeme als aktuellen Prüfschwerpunkt benannt. Bei Fragen zum Datenschutz bei Microsoft Copilot in Ihrem Unternehmen stehen wir Ihnen zur Verfügung.

Kann Microsoft Copilot auf meine Daten zugreifen?

Ja — Microsoft 365 Copilot kann auf alle Daten zugreifen, die dem jeweiligen Nutzer über den Microsoft Graph zugänglich sind. Dazu gehören E-Mails, Dokumente in SharePoint und OneDrive, Teams-Chats und Kalendereinträge. Es wird also auf alle Unternehmensdaten zugegriffen, für die der Nutzer Leserechte besitzt. Deshalb ist ein sauberes Berechtigungskonzept vor dem Rollout unverzichtbar.

Wie sicher ist Microsoft Copilot?

Die Sicherheit von Microsoft 365 Copilot hängt maßgeblich von Ihrer Konfiguration ab. Microsoft bietet Verschlüsselung, rollenbasierte Zugriffssteuerung und Compliance-Tools — aber ohne aktive Konfiguration durch Ihren IT-Admin bleiben Datenschutzrisiken bestehen. Insbesondere die EU Data Residency muss aktiviert, Sensitivity Labels müssen konfiguriert und Copilot-Funktionen für sensible Bereiche sollten gegebenenfalls deaktiviert werden.

Ist Microsoft Office 365 DSGVO-konform?

Microsoft Office 365 (jetzt Microsoft 365) kann DSGVO-konform betrieben werden — erfordert aber erhebliche Konfigurationsarbeit. Microsoft stellt einen DPA (Data Processing Agreement) und das Data Protection Addendum bereit, die EU Data Boundary ist verfügbar und datenschutzrechtlicher Schutz wird durch Sensitivity Labels und DLP-Policies unterstützt. Dennoch haben deutsche Aufsichtsbehörden wiederholt Bedenken geäußert, insbesondere hinsichtlich Telemetrie-Daten und US-Datenübertragungen. Microsoft 365 verarbeitet Daten an zahlreichen Stellen — ein datenschutzrechtlicher Check Ihrer M365-Konfiguration ist daher dringend empfohlen. Auch die Dienste von Microsoft im Zusammenhang mit Microsoft Copilot müssen separat bewertet werden.

Nächste Schritte — Microsoft Copilot datenschutzkonform nutzen

Microsoft 365 Copilot kann ein mächtiges Werkzeug sein – wenn die datenschutzrechtlichen Grundlagen stimmen. Gehen Sie nicht davon aus, dass Microsoft die DSGVO-Konformität für Sie sicherstellt. Die Verantwortung liegt bei Ihnen als datenverarbeitendem Unternehmen. Ob Word, Excel, PowerPoint oder Outlook — in jeder Microsoft-365-Anwendung müssen Sensitivity Labels, Berechtigungen und Information Protection korrekt konfiguriert sein, bevor Copilot für Microsoft 365 sensible Unternehmensdaten verarbeitet. Unternehmen sollten die Nutzung des Copilot erst dann freigeben, wenn alle datenschutzrechtlichen Maßnahmen umgesetzt sind.

Möchten Sie Copilot in Ihrem Unternehmen datenschutzkonform einsetzen? Wir können Sie dabei unterstützen, die Verwendung von Microsoft Copilot so zu konfigurieren, dass Copilot jedoch nur auf die Daten zugreift, die tatsächlich benötigt werden. Mit Microsoft Purview und den richtigen Sensitivity Labels behalten Sie die Kontrolle darüber, welche sensiblen Daten Copilot finden und verarbeiten darf.

Hugo DSB unterstützt Sie bei der DSFA für Copilot, der Erstellung einer Konfigurationscheckliste für Ihre IT und der laufenden Compliance-Überwachung. Nils hilft Ihnen, Copilot so einzurichten, dass es den Anforderungen des HmbBfDI standhält.

Buchen Sie ein kostenloses Erstgespräch – wir prüfen gemeinsam Ihre Copilot-Konfiguration und identifizieren Handlungsbedarf.