Microsoft Copilot und Datenschutz: Die wichtigsten Aspekte

Copilot DSGVO

Der Microsoft 365 Copilot hält Einzug in Deutschlands Mittelstand. Doch kann die KI von Microsoft aus Datenschutzsicht ohne Bedenken genutzt werden?

Seit Anfang dieses Jahres kann der Microsoft 365 Copilot auch von kleinen und mittelständischen Unternehmen genutzt werden. Er verspricht eine deutliche Effizienzsteigerung bei alltäglichen Arbeitsthemen. Etwa ein schnelles und unkompliziertes Antworten auf E-Mails. Oder die automatische Protokollierung von Besprechungen in MS-Teams. Auch Präsentationen in Power Point sollen schneller und zielführender von der Hand gehen.

KI und Datenschutz / Informationssicherheit

Doch wie sieht es dabei in Sachen Datenschutz aus? Der Einsatz Künstlicher Intelligenz ist in Europa noch nicht final geregelt. Und auch, wenn der Copilot sich auf das unternehmensinterne Netzwerk beschränkt und unabhängig vom World Wide Web ist, so arbeitet er mit sensiblen Daten. Dazu gehören beispielsweise Beschäftigtendaten, Zahlen von Lieferanten oder Kundendaten, Inhaltsdaten von E-Mails etc.,.

Trotzdem kann aus datenschutzrechtlicher Sicht grünes Licht für den Microsoft Copiloten gegeben werden. Vorausgesetzt, ein paar Konventionen werden eingehalten.  Doch welches Hauptvorgehen ist für den datenschutzkonformen Einsatz von Copilot richtig?

Korrekte Einstellung durch die IT-Systemadministratoren

Um Microsoft 365 und damit den Copiloten möglichst sicher betreiben zu können, müssen IT-Verantwortliche die richtigen Einstellungen vornehmen. So sollte z. B. den Copiloten nicht erlaubt werden, Antworten mit Webinhalten zu verbessern.

Erstellung eines Verarbeitungsverzeichnisses

Um den Copiloten datenschutzkonform nach DSGVO nutzen zu können, gehört er ins Verarbeitungsverzeichnis nach Art. 30 DSGVO. Vergessen Sie nicht, dass auch die Informationspflichten erfüllt werden müssen sowie der Vertrag zur Auftragsverarbeitung (DPA) mit Microsoft.

Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Wir empfehlen außerdem, eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Es handelt sich um eine neuartige Technologie und zahlreiche personenbezogene Daten werden (potenziell) genutzt.

NutzerInnen sensibilisieren und schulen

Wie bei allen datenschutzrelevanten Themen sind auch beim Einsatz des Copiloten der Mensch die wahrscheinlich größte Gefahr. Daher gilt es, die Beschäftigten, die den Copiloten nutzen (wollen) hinsichtlich der Risiken zu sensibilisieren und für den richtigen Umgang zu schulen.

Und selbst, wenn all diese Maßnahmen umgesetzt wurden, muss jedem Unternehmen klar sein: Wer mit dem Copiloten arbeitet, geht ein gewisses Restrisiko ein, dass nicht datenschutzkonform gearbeitet wird. Auch, wenn Microsoft selbst schreibt: „Microsoft Copilot für Microsoft 365 entspricht unseren bestehenden Datenschutz-, Sicherheits- und Compliance-Verpflichtungen gegenüber kommerziellen Microsoft 365-Kunden, einschließlich der Datenschutz-Grundverordnung (DSGVO) und der Datenbegrenzung der Europäischen Union (EU).“

Können öffentliche Einrichtungen den Copiloten nutzen?

Auch wenn aus datenschutzrechtlicher Sicht einer Nutzung des Microsoft Copiloten nichts im Wege steht, raten wir öffentlichen Stellen dringend davon ab, mit der KI von Microsoft zu arbeiten. Das gilt insbesondere, wenn in den Ämtern und der Verwaltung sensible, personenbezogene Daten verarbeitet werden. Hier sollte abgewartet werden, bis es eine eindeutige Rechtsgrundlage zur Nutzung von Künstlicher Intelligenz gibt bzw. sich die Aufsichtsbehörden dazu geäußert haben.

Fazit: Copilot, ja! Aber…

Der Microsoft 365 Copilot wird unser Arbeiten verändern – und zwar zum Positiven. Etwa durch Effizienzgewinne.

Die konkreten Funktionsweisen und Algorithmen der KI, sind nicht ersichtlich. Das macht es schwer nachzuvollziehen, wie die KI Entscheidungen trifft und welche Daten sie auswertet. Dennoch ist, wie bei allen neuen Technologien, deren exakte Funktionsweise man nicht abschätzen kann, Vorsicht geboten. Aus datenschutzrechtlicher Sicht steht dem Einsatz in kleinen und mittelständischen Unternehmen aber erstmal nichts entgegen – sofern man seine Hausaufgaben gewissenhaft macht.

Tipp: Wir bieten einen Microsoft Copilot Datenschutzkit an. Im Paket sind wichtige Vorlagen vorhanden (Richtlinie, Verarbeitungstätigkeit, Informationsblatt etc.).


Ein Beitrag von Marvin Schmidt

© 2024 DSEV

DSEV Consulting & Akademie GmbH hat 4,67 von 5 Sternen 121 Bewertungen auf ProvenExpert.com
Navigation