Datenschutz und Microsoft Copilot – was muss ich wissen?

Microsoft Copilot Datenschutz

Datenschutz beim Einsatz von Microsoft Copilot: Wichtige Fragestellungen und Lösungen

Microsoft Copilot, eine KI-gestützte Technologie, die in verschiedene Microsoft-Tools integriert ist, hat in den letzten Monaten viel Aufmerksamkeit erregt. Copilot kann eine Vielzahl von Vorteilen für Unternehmen, insbesondere hinsichtlich der Effizienzsteigerung und der Automatisierung von Aufgaben. Dennoch wirft der Einsatz von Copilot eine Reihe von Datenschutzfragen auf, die Unternehmen und IT-Administratoren und Datenschutzbeauftragte bei der Implementierung und Nutzung berücksichtigen müssen.

Inhaltsverzeichnis

Die zentralen Datenschutzbedenken, die beim Einsatz von Copilot aufkommen, betreffen unter anderem den Zugriff auf und die Verarbeitung von sensiblen Unternehmensdaten, die Speicherung und Nutzung von Daten in der Cloud und insbesondere, wie Copilot mit diesen Daten umgeht. Doch nicht nur die grundlegende Datensicherheit ist ein Thema – auch Fragen wie die Weiterverwendung von Kundendaten für Trainingszwecke, der Umgang mit sogenannten Embeddings (also der Umwandlung von Daten in Vektoren um Beziehungen und Zusammenhänge zwischen verschiedenen Daten für AI Systeme analysierbar zu machen) und der Schutz bei der Verwendung von KI-Agenten sind entscheidend, um den Datenschutz aufrechtzuerhalten.

In diesem Artikel werden wir uns eingehend mit den verschiedenen Datenschutzherausforderungen auseinandersetzen, die beim Einsatz von Microsoft Copilot entstehen können, und zeigen, wie Unternehmen sicherstellen können, dass ihre Daten geschützt bleiben. Dabei gehen wir auch auf spezifische Einstellungen in Microsoft 365 ein, die helfen können, die Vertraulichkeit und Sicherheit von Informationen zu gewährleisten.

Datenschutzfragen beim Einsatz von Microsoft Copilot

Der Einsatz von Microsoft Copilot eröffnet eine Reihe von Datenschutzfragen, die vor allem durch den umfangreichen Datenzugriff und die Nutzung von Künstlicher Intelligenz entstehen. Während Copilot Unternehmen dabei hilft, Arbeitsprozesse zu optimieren, erfordert dieser Einsatz auch, dass Unternehmen ihre Datenschutzrichtlinien und -technologien anpassen, um den Schutz von Daten sicherzustellen. Die wichtigsten Datenschutzaspekte, die bei der Nutzung von Copilot berücksichtigt werden sollten, umfassen:

Was für ein Copilot wird betrachtet

Microsoft Copilot bietet verschiedene Lösungen, die auf künstlicher Intelligenz basieren und in unterschiedlichen Anwendungen integriert sind. Zu den bekanntesten gehören Microsoft 365 CopilotGitHub Copilot und Dynamics 365 Copilot.

  • Microsoft 365 Copilot wurde standardmäßig für alle Tenants aktiv und kann als Chat wie ChatGPT in Edge, der Webanwendung, in der Copilot App und in Microsoft Teams verwendet werden (ehemals Microsoft Copilot Chat). Die zusätzliche Lizenz ermöglicht es, Copilot in Office-Anwendungen wie Word, Excel und Outlook zu verwenden und Daten aus OneDrive oder SharePoint für die Generierung zu nutzen.
  • GitHub Copilot ist ein KI-gestützter Code-Assistent, der Entwicklern hilft, effizienter zu programmieren, indem er Codevorschläge in Echtzeit liefert.
  • Dynamics 365 Copilot verbessert Geschäftsprozesse durch intelligente Automatisierung und Datenanalysen.
  • Bing Chat Copilot: Diese Version von Copilot ist in die Bing-Suchmaschine integriert und bietet Nutzern eine verbesserte Sucherfahrung durch KI-gestützte Antworten und Vorschläge.
  • Windows Copilot: Diese Version ist in Windows 11 integriert und hilft Nutzern, ihre täglichen Aufgaben effizienter zu erledigen, indem sie personalisierte Unterstützung und Automatisierung bietet.
  • Security Copilot: Ist ein System welches speziell für die Microsoft Sicherheitsanwendungen entwickelt wurde. Es unterstützt IT-Teams bei der Erkennung und Abwehr von Bedrohungen sowie bei der Verwaltung von Sicherheitsrichtlinien.

Diese unterschiedlichen Angebote haben jeweils spezifische Auswirkungen auf den Datenschutz, da sie verschiedene Arten von Daten verarbeiten und speichern. im folgenden wollen wir uns Hauptsächlich mit Microsoft 365 Copilot für Unternehmen beschäftigen.

Zugriff auf Unternehmensdaten

Microsoft Copilot benötigt Zugriff auf verschiedene Unternehmensdaten, um seine Funktionalität zu entfalten. So kann es beispielsweise auf E-Mails, Dokumente, Kalendereinträge oder Team-Chats zugreifen. Copilot nutzt diese Daten, um intelligente Vorschläge zu machen, Texte zu generieren oder Aufgaben zu automatisieren. Dies bedeutet jedoch, dass sensible Informationen (z.B. Gesundheitsinformationen aus Krankmeldungen der Mitarbeiter) potenziell verarbeitet und durch die KI analysiert werden, was Datenschutzrisiken mit sich bringt.

Die zentrale Frage ist hier: Wer hat Zugriff auf diese Daten, wie wird dieser Zugriff kontrolliert und wie/wann und welche Daten werden analysiert? Für eine vollständiges Bild und eine Bewertung der Datenschutzrisken ist es daher unerlässlich sich ein Überblick über die in Microsoft verarbeiteten Daten und deren Kritikalität unerlässlich. Vorhanden Verfahrensbeschreibungen können hier eine hilfreiche Stütze sein.

Die Nutzung von Copilot erfordert klare Datenschutzrichtlinien und eine präzise Steuerung, wer welche Daten verwenden darf. Besonders bei hochsensiblen Informationen muss sichergestellt werden, dass Copilot nur auf die Daten zugreift, für die eine entsprechende Berechtigung besteht. Um den Datenschutz in den Speichersystemen in SharePoint und OneDrive zu gewährleisten, können verschiedene Maßnahmen ergriffen werden:

  • Vertraulichkeitsbezeichnungen: Diese ist die von Microsoft priorisierte Methode. Hierrüber können, Dokumente und Dateien mit frei definierbaren Sicherheitsstufen gekennzeichnet werden. Beispielsweise können Dokumente als “Vertraulich” oder “Intern” markiert werden, und hierüber auch der Zugriff auf autorisierte Personen beschränkt werden. Zudem können zusätzlich Verschlüsselungen angewendet werden. Die Vertraulichkeitsbezeichnung werden in Copilot berücksichtig und nur zugriffsberechtigte Nutzer können Daten in Copilot verwenden, zu denen sie nach der Klassifizierung zugriffsberechtigt sind. Darüber hinaus erben generierte Daten die höchste Vertraulichkeitsstufe, so dass hierüber unbeabsichtigte Datenabflüsse vermieden werden.
  • Zugriffssteuerung: Es ist wichtig, klare Richtlinien für den Datenzugriff zu definieren und regelmäßig zu überprüfen. Dies umfasst die Verwaltung von Benutzerberechtigungen, um sicherzustellen, dass nur berechtigte Personen auf bestimmte Daten zugreifen können. Die in Microsoft 365 vergebenen Zugriffsrechte werden ebenso berücksichtigt und Nutzer könne nur Daten für die Generierung verwenden, zu denen sie bereits Zugriff haben.
  • Sucheinstellungen: Durch die Konfiguration von Sucheinstellungen kann gesteuert werden, welche Inhalte für Benutzer durch Suchanfragen auffindbar sind. Dies hilft, sensible Informationen vor unbefugtem Zugriff zu schützen. Über die Einschränkung der Inhaltsermittlung können Sharepoints aus der Suche ausgeschlossen werden, was ebenso die Nutzung der Daten durch Copilot ausschließt.

Werden Kundendaten zum Weitertrainieren von Copilot verwendet?

Eine der häufigsten Fragen im Zusammenhang mit KI-gestützten Anwendungen wie Microsoft Copilot betrifft den Umgang mit Nutzerdaten, die zur Verbesserung und Weiterentwicklung der Technologie verwendet werden. Wird Copilot mit den Unternehmensdaten, insbesondere den Kundendaten, weitertrainiert? Die Antwort darauf hat weitreichende datenschutzrechtliche Konsequenzen, insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) und andere Datenschutzgesetze.

Microsoft hat klar kommuniziert, dass Copilot-Daten nicht automatisch für das Training von Modellen verwendet werden. In den meisten Fällen werden Daten nur dann zur Verbesserung von Copilot verwendet, wenn Erweiterungen oder Apps aktiviert werden, die eine erweiterte Datennutzung vorsehen. Dies bedeutet, dass Unternehmen aktiv steuern können, ob und wie ihre Daten für Trainingszwecke genutzt werden.

Umgang mit Embeddings und KI-Modellen

Ein weiterer wichtiger Aspekt von Microsoft Copilot ist der Einsatz von sogenannten Embeddings. Hierbei handelt es sich um eine Technik des maschinellen Lernens, bei der Daten in mathematische Repräsentationen umgewandelt werden, um sie für KI-Modelle nutzbar zu machen. Embeddings sind eine grundlegende Methode, um semantische Informationen aus Texten zu extrahieren und mit KI zu verarbeiten.

Die Frage hier lautet: Wie werden Embeddings gehandhabt, und was passiert mit den Daten, die in diese Modelle integriert werden? Beim Einsatz von Copilot werden Inhalte, die in Microsoft-Programmen verarbeitet werden, über den Microsoft Graph als Teil von Embeddings in Azure Instanzen gespeichert. Dies macht es Copilot möglich, kontextbezogene und relevante Vorschläge zu machen. Offen ist, ob die Repräsentation von Daten, die durch Embeddings erstellt werden, als anonymisiert oder pseudonymisiert bewertet werden. Denn Embedding-Daten sind eine mathematische Beschreibung der Inhaltsdaten, aus der Microsoft Copilot/der Microsoft Graph einen Kontext ableiten kann. Zumindest kann festhalten werden, dass ein Rückschluss auf den genauen Klartext nur mit einem hohen Aufwand möglich ist. Denn hierfür sind Informationen zum genauen Embedding-Model und dessen ursprünglichen Parameter erforderlich. Aber auch mit diesen Informationen ist eine Rückführung der Daten in Klartext nicht gegeben, da die mathematische Beschreibung keine 1-zu-1 Wiedergabe der Klartextdaten umfassen muss, sondern es auch hier zu Abstrahierungen und Komprimierungen kommen kann.

Jedoch bleiben sensible Informationen aus der Kontextbewertung potenziell zugänglich, wenn die Daten nicht ordnungsgemäß behandelt werden oder mit anderen bekannten Informationen abgeglichen oder zusammengeführt werden. Daher ist es wichtig, dass Unternehmen genau wissen, wie ihre Daten verarbeitet und gespeichert werden, und gegebenenfalls Schutzmaßnahmen wie Verschlüsselung oder Anonymisierung anwenden.

Datenschutz bei der Verwendung von AI Agents

Die Erstellung und Verwaltung von AI Agents/KI-Agenten ist ein Anwendungsgebiet, welches gerade erst an Aufmerksamkeit gewinnt. KI-Agenten sind autonome Systeme oder Programme, die in der Lage sind, Aufgaben selbstständig im Namen eines Benutzers oder eines anderen Systems auszuführen. Copilot kann automatisch Besprechungsnotizen erstellen oder Aufgaben aus vorherigen Gesprächen generieren. Hier stellt sich die Frage, wie diese Daten verarbeitet und gespeichert, besonders wenn vertrauliche Themen besprochen werden. Zudem werden immer mehr KI-Agenten erstellt, die auch eine Anbindung und Nutzung von Drittdiensten ermöglichen und so auch ungewollte Datenabfülle oder Datennutzungen begünstigen können. Wenn beispielsweise strategische oder personenbezogene Daten in Besprechungsnotizen aufgenommen werden, müssen Unternehmen sicherstellen, dass diese Daten nicht in falsche Hände geraten. Daher ist es auch unerlässlich, nicht nur die Verwendung von Microsoft Copilot, sondern auch die Verwendung von KI-Agenten detailliert zu betrachten und mit technischen und organisatorischen Regelungen abzusichern.

Die Verwendung von Vertraulichkeitsbezeichnungen (Sensitivity Labels) kann auch hierbei helfen. Diese Bezeichner lassen sich auf Dokumente und Notizen anwenden und verhindern, dass diese unbefugt geteilt oder zugänglich gemacht werden. Zudem können Datenzugriffsrichtlinien in SharePoint und OneDrive dafür sorgen, dass nur autorisierte Nutzer Zugriff auf sensible Informationen haben.

Weitere relevante Datenschutzaspekte beim Einsatz von Copilot

Neben den oben genannten Aspekten gibt es weitere wichtige Punkte, die Unternehmen beim Datenschutz berücksichtigen sollten:

Datenspeicherung und -sicherheit

Da Microsoft Copilot cloudbasiert arbeitet, werden viele Daten in der Microsoft Azure-Cloud gespeichert. Für Unternehmen, die Datenschutzrichtlinien wie die DSGVO einhalten müssen, ist es wichtig, dass sie wissen, wo ihre Daten gespeichert werden und wie diese geschützt sind. Microsoft bietet unterschiedliche Geolocations ihrer Rechenzentren an und stellt sicher, dass die Datenverschlüsselung sowohl bei der Übertragung als auch im Ruhezustand gewährleistet ist. Diese Geolocations finden auch in Copilot Anwendung.

Auditing und Monitoring

Für Unternehmen, die Copilot nutzen, ist es entscheidend, eine Überwachung und Protokollierung der Datenzugriffe und -verarbeitungen zu implementieren. Dies ist besonders wichtig, um sicherzustellen, dass alle datenschutzrechtlichen Anforderungen eingehalten werden und dass Unternehmen im Falle eines Sicherheitsvorfalls schnell reagieren können. Über das Microsoft Admin Center können Sie grundlegende Berichte insbesondere zur Nutzung von Copilot oder von KI-Agenten einsehen. Hier empfehlen wir, zur Einhaltung des Datenschutzes insbesondere die Berichtspseudonymisierung zu aktivieren und die Admin-Rechte, mit Zugriff auf die Berichte, einzuschränken.

Schulung

Letztendlich liegt es jedoch immer in der Verantwortung der Beschäftigt bei der Verwendung von Microsoft Copilot zu entscheiden, ob bestimmte Prompts und Datenverwendungen zulässig und richtig sind. Dies kann bei der Anwendung von KI nur sehr eingeschränkt durch technische Mittel umgesetzt werden. Daher ist eine Schulung der Beschäftigten zur Verantwortung bei der Verwendung von Microsoft Copilot und zu den damit einhegenden Datenschutzrisiken unerlässlich.

Fazit

Der Einsatz von Microsoft Copilot bringt zahlreiche Vorteile für Unternehmen, insbesondere im Hinblick auf die Automatisierung von Aufgaben und die Steigerung der Effizienz. Gleichzeitig müssen Unternehmen sicherstellen, dass der Datenschutz und die Informationssicherheit gewahrt bleiben. Die wichtigsten Datenschutzaspekte umfassen den Zugriff auf und die Verarbeitung von sensiblen Unternehmensdaten, der Umgang mit Embeddings und die Verwaltung von KI-Agenten.

Indem Unternehmen proaktive Maßnahmen wie Vertraulichkeitsbezeichnungen, Zugriffskontrollen und Monitoring implementieren, können sie sicherstellen, dass Microsoft Copilot datenschutzkonform eingesetzt wird. Darüber hinaus ist es entscheidend, dass Unternehmen die Nutzung ihrer Daten durch Microsoft verstehen und entsprechende Vereinbarungen treffen, um den Datenschutz zu gewährleisten.

Haben Sie Fragen?

Sie haben Fragen zu unserem Artikel oder benötigen Unterstützung bei der Durchführung einer Interessenabwägung? Nehmen Sie einfach Kontakt mit uns auf. Wir helfen Ihnen gerne weiter.

Kontakt aufnehmen

Ihr Partner für Datenschutz!

Lassen Sie uns gemeinsam Ihre Datenschutzlösungen umsetzen – effizient, sicher und individuell. Kontaktieren Sie uns jetzt für Ihre erste Beratung!

Kontakt aufnehmen