Microsoft Copilot Datenschutz in Hamburg

Inhalt in Kürze

• Microsoft Copilot für Microsoft 365 greift auf E-Mails, Dokumente, Chats und Kalender zu — über den Microsoft Graph. EU Data Residency ist Opt-In, nicht Standard.
• Ohne Berechtigungskonzept exponiert Copilot für M365 sensible Daten: Personalakten, Bewerbungsunterlagen und Geschäftsgeheimnisse können in KI-generierten Antworten auftauchen.
• Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist für den Einsatz von Copilot zwingend erforderlich.
• frag.hugo prüft Ihre Copilot-Konfiguration, führt die DSFA durch und begleitet den datenschutzkonformen Rollout.

Warum Microsoft Copilot ein Datenschutz-Thema ist

Microsoft 365 Copilot ist für viele Hamburger Unternehmen der naheliegendste Einstieg in die KI-Welt. Es ist in Microsoft 365 integriert, nutzt die vorhandene Infrastruktur und verspricht Produktivitätsgewinne bei alltäglichen Aufgaben in Word, Excel, Outlook und PowerPoint. Doch genau diese tiefe Integration macht Microsoft 365 Copilot aus datenschutzrechtlicher Sicht besonders sensibel — die Datenschutzrisiken werden häufig unterschätzt. Ohne Information Protection und richtige Konfiguration können vertrauliche Unternehmensdaten ungewollt in KI-generierten Antworten auftauchen.

EU Data Residency ist Opt-In – nicht Standard. Das bedeutet: Wenn Ihr IT-Admin nichts unternimmt, können Ihre Unternehmensdaten außerhalb der EU verarbeitet werden. Für Hamburger Unternehmen, die der Aufsicht des HmbBfDI unterliegen, ist das ein erhebliches Compliance-Risiko.

Was Microsoft Copilot mit Ihren Daten macht

Der Zugriff auf Ihr gesamtes Microsoft-365-Ökosystem

Copilot ist kein isoliertes Tool. Es greift auf alles zu, worauf der jeweilige Nutzer Zugriff hat:

• E-Mails in Outlook (einschließlich Anhängen)
• Dokumente in SharePoint und OneDrive
• Chats und Meetings in Teams
• Kalendereinträge und Kontakte
• Notizen in OneNote

Das bedeutet: Auf sämtliche personenbezogenen und vertraulichen Unternehmensdaten, die in Ihrem Microsoft-365-Tenant gespeichert sind, wird potenziell zugegriffen – Kundendaten, Mitarbeiterdaten, Geschäftsgeheimnisse, Bewerbungsunterlagen, Gesundheitsdaten aus BEM-Verfahren und mehr. Microsoft 365 Copilot kann aus diesen sensiblen Daten in Word, Excel und PowerPoint Antworten generieren und Zusammenfassungen erstellen. Besonders kritisch: E-Mails in Outlook und Dokumente in SharePoint werden gleichermaßen durchsucht — ohne dass der Nutzer kontrollieren kann, welche Quellen Copilot für Microsoft 365 heranzieht.

Die 30-Tage-Datenspeicherung

In der Standardeinstellung speichert Microsoft Copilot-Interaktionsdaten 30 Tage lang. Das umfasst die Prompts der Nutzer, die generierten Antworten und die referenzierten Quelldokumente. Diese Speicherung erfolgt zusätzlich zu den regulären Microsoft-365-Retention-Policies und muss separat konfiguriert werden.

Die fünf kritischen Konfigurationsfehler

1. EU Data Residency nicht aktiviert

Der gravierendste Fehler: EU Data Residency ist bei Microsoft Copilot eine Opt-In-Einstellung. Ohne aktive Konfiguration behält sich Microsoft vor, Daten in allen globalen Rechenzentren zu verarbeiten – einschließlich der USA. Für die DSGVO-Konformität muss diese Einstellung zwingend aktiviert werden.

So prüfen Sie es: Microsoft 365 Admin Center → Settings → Org Settings → Copilot → Data Residency.

2. Berechtigungskonzept nicht angepasst

Copilot respektiert die bestehenden Zugriffsrechte in Microsoft 365. Das klingt zunächst gut, offenbart aber ein häufiges Problem: Viele Unternehmen haben ihre SharePoint-Berechtigungen nie sauber konfiguriert. Wenn ein Mitarbeiter Zugriff auf Personalakten hat, die er eigentlich nicht sehen sollte, kann Copilot diese Daten in Antworten verwenden und damit sichtbar machen.

Vor dem Copilot-Rollout müssen Sie Ihr Berechtigungskonzept grundlegend überprüfen. Nutzen Sie die Microsoft-365-Berichte, um Oversharing zu identifizieren, und bereinigen Sie SharePoint-Berechtigungen konsequent.

3. Sensitivity Labels und Information Protection nicht konfiguriert

Microsoft Information Protection (MIP) Sensitivity Labels sind das wichtigste Werkzeug, um zu steuern, welche Dokumente Copilot verwenden darf und welche nicht. Ohne Labels behandelt Copilot alle Dokumente gleich – unabhängig davon, ob es sich um eine Speisekarte oder einen vertraulichen Arbeitsvertrag handelt.

Konfigurieren Sie Labels wie „Vertraulich – Kein KI-Zugriff” für besonders sensible Dokumente und schließen Sie diese von der Copilot-Verarbeitung aus.

4. Keine Datenschutz-Folgenabschätzung durchgeführt

Der Einsatz von Microsoft Copilot erfordert eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Die Gründe liegen auf der Hand: Copilot verarbeitet systematisch und umfassend personenbezogene Daten aus E-Mails, Word-Dokumenten und Excel-Tabellen, verwendet neue Technologien (LLMs — Large Language Models) und kann Profile über Mitarbeitende erstellen. Aus datenschutzrechtlicher Sicht ist eine DSFA zwingend erforderlich, um die Datenschutzrisiken zu bewerten. Ohne DSFA setzen Sie sich einem erheblichen Bußgeldrisiko aus — zumal sensible Daten in SharePoint und OneDrive besonders schutzbedürftig sind.

5. Audit-Logging nicht aktiviert

Microsoft bietet umfangreiche Protokollierungsmöglichkeiten für Copilot-Aktivitäten. Diese müssen jedoch aktiv eingerichtet werden. Ohne Audit-Logging können Sie nicht nachweisen, wie Copilot genutzt wird – und bei einer Prüfung durch den HmbBfDI fehlt Ihnen die Dokumentationsgrundlage. Gleichzeitig sollten Sie prüfen, ob bestimmte Copilot-Funktionen für sensible Bereiche zu deaktivieren sind, um die Datenschutzrisiken zu minimieren.

Microsoft-365-Datenflüsse verstehen — Microsoft Graph, LLMs und Ihre sensiblen Daten

Für Hamburger Unternehmen ist es entscheidend zu verstehen, wie Daten innerhalb von Microsoft 365 fließen, wenn Copilot aktiviert ist. Der Microsoft Graph aggregiert Informationen aus Outlook, Word, Excel, PowerPoint, SharePoint und Teams:

1. Nutzer stellt Prompt → Copilot empfängt die Anfrage
2. Microsoft Graph → Copilot durchsucht alle für den Nutzer zugänglichen Daten
3. LLM-Verarbeitung → Die gefundenen Daten werden an eines der LLMs (Large Language Models) gesendet
4. Antwortgenerierung → Das Modell erstellt eine Antwort mit Quellenverweisen
5. Logging → Prompt und Antwort werden gespeichert (Standardmäßig 30 Tage)

An jedem dieser Schritte werden personenbezogene Daten verarbeitet. Jeder Schritt muss in Ihrer DSFA dokumentiert und bewertet werden.

Was IT-Administratoren konfigurieren müssen

Eine Checkliste für Ihre IT-Abteilung:

• EU Data Residency aktivieren – zwingend erforderlich
• Datenspeicherdauer anpassen – 30-Tage-Standard prüfen und ggf. reduzieren
• Berechtigungskonzept bereinigen – SharePoint-Oversharing eliminieren
• Sensitivity Labels einführen – besonders sensible Daten ausschließen
• Compliance-Richtlinien konfigurieren – DLP-Policies auf Copilot erweitern
• Audit-Logging aktivieren – für Nachweispflichten
• Conditional Access Policies – Copilot-Zugriff auf verwaltete Geräte beschränken
• Nutzergruppen definieren – Copilot schrittweise ausrollen, nicht pauschal freischalten

Die DSFA für Microsoft Copilot

Eine DSFA für Microsoft Copilot sollte mindestens folgende Aspekte abdecken:

• Verarbeitungszwecke: Produktivitätssteigerung, Texterstellung, Datenanalyse
• Datenkategorien: E-Mail-Inhalte, Dokumente, Chat-Verläufe, Metadaten
• Betroffene: Mitarbeitende, Kunden, Geschäftspartner
• Risiken: Unbefugter Zugriff durch Oversharing, Profilbildung, Datenabfluss
• Maßnahmen: EU Data Residency, Labels, Berechtigungskonzept, Schulungen

Welche Daten greift Microsoft Copilot zu?

Copilot für Microsoft 365 greift über den Microsoft Graph auf alle Daten zu, die dem jeweiligen Nutzer zugänglich sind. Das umfasst:

• Outlook: E-Mails, Anhänge, Kalendereinträge, Kontakte
• Word, Excel, PowerPoint: Alle Dokumente, auf die der Nutzer Zugriff hat
• Teams: Chat-Nachrichten, Kanalunterhaltungen, Meeting-Transkriptionen
• SharePoint und OneDrive: Alle Dateien und Ordner mit Leseberechtigung
• OneNote: Notizbücher und Sektionen

Microsoft betont, dass Copilot die bestehenden Zugriffsrechte respektiert. Das Risiko liegt nicht in neuen Zugriffen, sondern in der Aggregation: Copilot kann in einer einzigen Antwort Informationen aus E-Mails, Dokumenten und Chats zusammenführen, die ein Nutzer einzeln vielleicht nie gefunden hätte. Fehlerhafte Berechtigungen werden so erstmals sichtbar und datenschutzrechtlich relevant.

Copilot datenschutzkonform zu nutzen erfordert Vorarbeit

Der datenschutzrechtliche Einsatz von Copilot erfordert mehr als eine Administratoreinstellung. Unternehmen müssen:

1. Berechtigungen bereinigen: Vor dem Rollout alle SharePoint-Sites, Teams und OneDrive-Ordner auf Oversharing prüfen
2. Sensitivity Labels einführen: Vertrauliche Dokumente (Personalakten, Gesundheitsdaten, Geschäftsgeheimnisse) vom Copilot-Zugriff ausschließen
3. Nutzungsrichtlinie erstellen: Welche Prompts sind erlaubt? Welche Daten dürfen in Copilot-Anfragen verwendet werden? Eine KI-Richtlinie regelt das verbindlich
4. Schulungen durchführen: Nutzer müssen verstehen, wie Copilot funktioniert und welche datenschutzrechtlichen Grenzen gelten

Microsoft Copilot im Unternehmen und Bing Chat

Beachten Sie den Unterschied zwischen Copilot für Microsoft 365 (Unternehmenslizenz) und dem kostenlosen Bing Chat / Copilot: Bing Chat verwendet Microsoft-Daten und Internetquellen, greift aber nicht auf Ihre Unternehmensdaten zu. Copilot für M365 hingegen nutzt den Microsoft Graph und greift auf Ihre gesamte M365-Umgebung zu.

Für den Einsatz von Bing Chat im Unternehmen gelten ebenfalls datenschutzrechtliche Anforderungen — allerdings andere als für Copilot für M365. Beide müssen in Ihrer KI-Richtlinie berücksichtigt werden.

Grundlegende Informationen zur DSGVO-konformen Nutzung von Microsoft 365 finden Sie auf unserer Seite zu Microsoft 365 und DSGVO. Der HmbBfDI hat KI-Systeme als aktuellen Prüfschwerpunkt benannt.

Kann Microsoft Copilot auf meine Daten zugreifen?

Ja — Microsoft 365 Copilot kann auf alle Daten zugreifen, die dem jeweiligen Nutzer über den Microsoft Graph zugänglich sind. Dazu gehören E-Mails, Dokumente in SharePoint und OneDrive, Teams-Chats und Kalendereinträge. Es wird also auf alle Unternehmensdaten zugegriffen, für die der Nutzer Leserechte besitzt. Deshalb ist ein sauberes Berechtigungskonzept vor dem Rollout unverzichtbar.

Wie sicher ist Microsoft Copilot?

Die Sicherheit von Microsoft 365 Copilot hängt maßgeblich von Ihrer Konfiguration ab. Microsoft bietet Verschlüsselung, rollenbasierte Zugriffssteuerung und Compliance-Tools — aber ohne aktive Konfiguration durch Ihren IT-Admin bleiben Datenschutzrisiken bestehen. Insbesondere die EU Data Residency muss aktiviert, Sensitivity Labels müssen konfiguriert und Copilot-Funktionen für sensible Bereiche sollten gegebenenfalls deaktiviert werden.

Ist Microsoft Office 365 DSGVO-konform?

Microsoft Office 365 (jetzt Microsoft 365) kann DSGVO-konform betrieben werden — erfordert aber erhebliche Konfigurationsarbeit. Microsoft stellt einen DPA (Data Processing Agreement) bereit, die EU Data Boundary ist verfügbar und datenschutzrechtlicher Schutz wird durch Sensitivity Labels und DLP-Policies unterstützt. Dennoch haben deutsche Aufsichtsbehörden wiederholt Bedenken geäußert, insbesondere hinsichtlich Telemetrie-Daten und US-Datenübertragungen. Ein datenschutzrechtlicher Check Ihrer M365-Konfiguration ist daher dringend empfohlen.

Nächste Schritte — Microsoft Copilot datenschutzkonform nutzen

Microsoft 365 Copilot kann ein mächtiges Werkzeug sein – wenn die datenschutzrechtlichen Grundlagen stimmen. Gehen Sie nicht davon aus, dass Microsoft die DSGVO-Konformität für Sie sicherstellt. Die Verantwortung liegt bei Ihnen als datenverarbeitendem Unternehmen. Ob Word, Excel, PowerPoint oder Outlook — in jeder Anwendung müssen Sensitivity Labels, Berechtigungen und Information Protection korrekt konfiguriert sein, bevor Copilot für Microsoft 365 sensible Unternehmensdaten verarbeitet.

Hugo DSB unterstützt Sie bei der DSFA für Copilot, der Erstellung einer Konfigurationscheckliste für Ihre IT und der laufenden Compliance-Überwachung. Nils hilft Ihnen, Copilot so einzurichten, dass es den Anforderungen des HmbBfDI standhält.

Buchen Sie ein kostenloses Erstgespräch – wir prüfen gemeinsam Ihre Copilot-Konfiguration und identifizieren Handlungsbedarf.