Microsoft Copilot & Datenschutz: Was Unternehmen wissen sollten

Künstliche Intelligenz zieht zunehmend in die Microsoft Applikationen wie die ERP-Lösung Dynamics 365 Business Central ein. Darunter fallen nicht nur KI-Assistenten, sondern mittlerweile sogar KI-Agenten, beispielsweise für die Kontenabstimmung oder Lieferantenkommunikation. Viele Unternehmen sehen darin enormes Potenzial für Effizienz, Automatisierung und bessere Entscheidungen. Gleichzeitig stellen einige die berechtigte Frage nach dem Datenschutz: Was passiert mit unseren Daten und ist die KI-Anwendung Copilot beispielsweise datenschutzkonform? In diesem Beitrag erklären wir die wichtigsten Schutzmechanismen von Microsoft Copilot und zeigen, worauf Unternehmen achten sollten, bevor sie Copilot produktiv einsetzen.

Wichtiger Hinweis (Disclaimer): Dieser Beitrag stellt keine Rechtsberatung dar. Die hier dargestellten Informationen basieren auf öffentlich zugänglichen Quellen und unserer technischen ERP-Praxis. Für eine rechtssichere Bewertung des Einsatzes von Microsoft Copilot im eigenen Unternehmen empfehlen wir ausdrücklich, eine qualifizierte Rechtsberatung hinzuzuziehen.

Copilot ist kein öffentlicher KI-Chatbot

Ein häufiger Irrtum: Microsoft Copilot funktioniert nicht wie andere frei verfügbare KI-Tools im Internet. Copilot ist in die bestehende Microsoft-Cloud-Architektur eingebettet und arbeitet ausschließlich im Kontext Ihres Microsoft-Tenants. Microsoft schreibt, dass Prompts, Antworten und zugrunde liegende Unternehmensdaten nicht zur Modellverbesserung genutzt werden, sofern keine explizite Zustimmung erfolgt: „Kundendaten, einschließlich Copilot-Eingaben und -Ausgaben, werden innerhalb der Microsoft Cloud-Vertrauensgrenzen gespeichert“. Das heißt, dass die Daten nicht für eigene Zwecke oder Trainingszwecke der LLMs genutzt werden und innerhalb der Microsoft Cloud-Vertrauensgrenzen gespeichert bleiben. Für europäische Nutzer/-innen erfolgt die Datenverarbeitung dabei in der geografischen Region des Azure OpenAI-Dienstes, konkret in Schweden oder der Schweiz.

Das folgende Schaubild zeigt die Einbindung von Copilot in die Microsoft Welt:

Was das konkret bedeutet:

• Copilot hat einen umfassenden Zugriff auf die Daten Ihres Unternehmens: Das bedeutet, er greift auf Daten zu, für die die jeweilige Person im Unternehmen bereits berechtigt ist (hierbei ist es aber irrelevant, ob die Person eine Berechtigung zum Lesen oder Bearbeiten hat).
• Inhalte werden nicht automatisch an Dritte weitergegeben
• Unternehmensdaten werden nicht für das Training der KI-Modelle verwendet

Wir möchten bewusst betonen, wie Datenschutzportale zu dem Thema stehen: eRecht24 beispielsweise steht dem Thema allerdings kritisch gegenüber und schreibt über den Blackbox-Effekt, wonach „…  sich nicht klar sagen lässt, wie generative KI wie Copilot, ChatGPT und Google Gemini Entscheidungen treffen. Nicht einmal die Entwickler wissen genau, wie die KI hinter den Tools funktioniert“. Datenschutzkanzlei.de sieht außerdem Risiken im Zugriff auf personenbezogene Daten durch nicht berechtigte Mitarbeitende, fehlende Rechtsgrundlagen in der Auftragsverarbeitung (z. B. bei der Transkription von Teams-Calls) und der Gefahr von Datenpannen.

Aber: keine Sorge! Sie können dafür sorgen, dass Sie das Tool datenschutzkonform einsetzen.

Datenschutz- und Sicherheitsmechanismen von Copilot

Bevor wir zu den Maßnahmen kommen, die Sie selbst aufsetzen können, zeigen wir Ihnen zunächst, welche Vorkehrungen Microsoft bei Copilot bereits getroffen hat. Dabei handelt es sich um dieselben Sicherheits- und Compliance-Standards wie bei Dynamics 365 Business Central und Microsoft 365:

• Verschlüsselung: Daten werden verschlüsselt übertragen und gespeichert
• Zugriffskontrolle: Identitäts- und Zugriffskontrollen der Microsoft Cloud gelten genauso für Copilot
• Audit- und Protokollfunktionen: Mit Tools wie Microsoft Purview können Sie nachvollziehen, wer was wann mit Copilot gemacht hat

Allgemein orientiert sich die Datenverarbeitung an geltenden DSGVO-Anforderungen. Microsoft bietet detaillierte Dokumentationen zur Datenverarbeitungsarchitektur und Sicherheitskontrollen.

Ist Microsoft Copilot DSGVO-konform? Die differenzierte Antwort

Kommen wir nun dazu, was Sie tun können, um Copilot DSGVO-konform einzusetzen. Denn dies ist nicht automatisch der Fall.

Wichtig für Unternehmen ist: Auch wenn Microsoft viele Schutzmechanismen liefert, liegt die rechtliche Verantwortung für den Einsatz beim Unternehmen selbst. Dies gilt nicht, weil Copilot unsicher ist, sondern weil DSGVO-Konformität immer eine gemeinsame Aufgabe von Dienstleister und Unternehmen ist und einige organisatorische Maßnahmen erfordert.

Warum ist das so?
Copilot bringt standardmäßig Sicherheitsmechanismen wie Identitäts- und Zugriffskontrollen mit. Dennoch kann das Tool erweitert werden – etwa durch Copilot Studio oder Azure Foundry, um zusätzliche Datenquellen anzubinden oder neue Workflows zu gestalten.
In diesen Fällen liegt die Konfiguration und das Sicherheitsmanagement vollständig in der Verantwortung des Unternehmens.

Was Unternehmen konkret tun sollten:

• Klare Prozesse und Schulungen: Lassen Sie Ihr Team im Umgang mit KI-gestützten Funktionen weiterbilden (insbesondere im Blick auf Risiken und personenbezogene Daten). Dies macht allein aus Haftungsgründen Sinn.
• Prüfung, ob eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist: In vielen Fällen kann eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO sinnvoll sein, insbesondere wenn Copilot auf besonders sensible Informationen zugreift. Halten Sie dazu am besten Rücksprache zu Ihrer Rechtsberatung.
• Einrichtung eines Rechtekonzepts: Sie sollten ein Rechtekonzept entwickeln, damit Nutzende keine Daten sehen können, zu denen sie nicht berechtigt sind und zu denen die KI keinen Zugriff erhalten soll.
• Vorsicht bei Verknüpfungen: Lassen Sie Vorsicht bei der Verknüpfung von Copilot mit der Bing-Suche sowie mit weiteren Plugins und Drittanbieterdiensten im unternehmerischen Kontext walten.
• Private E-Mail–Nutzung: Sofern die Mitarbeitenden das E-Mail-Programm auch privat nutzen dürfen, stellt sich das Problem dar, dass die KI auch auf private Daten zugreifen kann. Allerdings hat der Arbeitgeber grundsätzlich kein Recht, auf private Inhalte des Arbeitnehmers zuzugreifen. Dies kann mit Strafen verbunden sein.
• Richtige Einstellung (keine Leistungs-/Verhaltensüberwachung): Außerdem ist bei der Einrichtung darauf zu achten, dass der Zugriff durch Copilot nicht zur Profilerstellung und damit zur Verhaltens- oder Leistungsüberwachung der Arbeitnehmenden eingesetzt werden kann. Dies ist datenschutzrechtlich problematisch und könnte das Vertrauen der Mitarbeitenden im Unternehmen beeinträchtigen.
• Saubere Datenklassifikation: Definieren Sie genau, welche Daten wie verarbeitet werden dürfen (z. B. sensible vs. nicht-sensible Daten).
• Monitoring & Audits: Nutzen Sie Purview & Co., um Nutzung und Zugriff zu überwachen und bei Bedarf nachweisen zu können.

Fazit: Microsoft Copilot sicher und verantwortungsvoll einsetzen

Microsoft Copilot bringt echten Mehrwert für Dynamics 365 Business Central Nutzende, ohne dass Sie Sicherheits- oder Datenschutzabstriche machen müssen.

Die Plattform ist von Grund auf darauf ausgelegt, datenrechtliche Anforderungen wie DSGVO, Compliance und Sicherheit einzuhalten. Gleichzeitig liegt ein Teil der Verantwortung bei Ihnen als Unternehmen (z. B. in der richtigen Konfiguration oder der Etablierung interner Kontrollprozesse).

Wir von anaptis können Unternehmen bei der sicheren Einführung und Nutzung von Dynamics 365 Business Central inklusive Copilot unterstützen. So profitieren Sie von den Vorteilen der KI, ohne Sorgen um Datenschutz und Compliance zu haben. Melden Sie sich gerne, wenn Sie Fragen zur Umsetzung oder zur Absicherung Ihrer Daten haben!