Ein Mensch an einem Laptop. Über seiner linken geöffneten Hand im Vordergrund schweben Symbole für künstliche Intelligenz.
Cloud & Hosting

Copilot für Microsoft 365 und der Datenschutz: Darauf sollten Sie achten

Copilot für Microsoft 365 bietet KI-Features, die den Alltag Ihrer Mitarbeitenden erleichtern sollen. Doch wie steht es dabei um den Datenschutz? Hier erfahren Sie, welche Chancen und Herausforderungen sich durch den KI-Helfer ergeben.

Eine Steigerung der Kreativität und Produktivität – und das innerhalb von Sekundenbruchteilen: Das verspricht Microsoft für seinen KI-Assistenten Copilot. Zu beachten ist allerdings, dass die Anwendung dabei auch auf Daten inner- und außerhalb Ihres Unternehmens zugreifen kann. Allein deshalb sollten Sie sich umfänglich über Datenschutz in Copilot für Microsoft 365 informieren.

Inhaltsverzeichnis

Was ist Copilot für Microsoft 365?

Copilot für Microsoft 365 ist ein Produktivitätstool für Microsoft 365 Business, das durch KI gestützt ist und das wir Ihnen an anderer Stelle im V-Hub ausführlich vorstellen. Es soll Nutzer:innen bei ihrer Arbeit unterstützen und aufwendige Aufgaben vorbereiten und vereinfachen.

Diese Aufgaben kann Copilot für Microsoft 365 übernehmen 

Copilot für Microsoft 365 bietet eine Menge an nützlichen Funktionen im Kosmos von Microsoft 365. Hier eine kleine Auswahl der Aufgaben, bei denen Copilot für Microsoft 365 Sie unterstützen kann:  
  • Texte entwerfen 
  • Grafiken erstellen 
  • Chats zusammenfassen (maximal die letzten 30 Tage des Chat-Verlaufs) 
  • eine PowerPoint-Präsentation anhand von Unternehmensvorlagen erstellen 
  • Mail-Antworten korrigieren und Verbesserungsvorschläge geben 
  • lange Mail-Verläufe zusammenfassen 
  • mögliche Besprechungsthemen generieren und Meetings vorbereiten 
  • Live-Transkripte von Anrufen und Video-Calls erstellen  
  • Fragen in Besprechungen beantworten (anhand des zuvor erstellten Transkripts) 
  • Besprechungen zusammenfassen 

 Wie arbeitet Copilot für Microsoft 365?  

Microsoft nutzt folgende Komponenten, um eine Aufgabe über Copilot zu lösen:  
  • eine Kombination aus mehreren großen Sprachmodellen; auch „Large Language Models“ (LLMs) genannt  
  • Inhalte in Microsoft Graph (Zugriff auf in der Cloud gespeicherte Daten) 
  • Inhalte in Microsoft365-Apps (Zugriff auf freigegebene Inhalte innerhalb der Apps) 
Large Language Models mit künstlicher Intelligenz sind durch intensives Training mit verschiedenen Texten in der Lage, Sprache und geschriebene Worte zu verstehen und auf den Vorgaben basierend Aufgaben zu lösen. Sie beantworten so etwa Fragen oder generieren ganze Texte.   
Im Falle von Copilot für Microsoft 365 sind die LLMs – wie  ChatGPT von OpenAI – vortrainiert und arbeiten anschließend mit den Inhalten aus Microsoft Graph und Microsoft 365. Sie lernen allerdings durch die Inhalte nichts Neues, sondern verarbeiten sie nur. Warum das ein wichtiger Unterschied ist, erklären wir Ihnen weiter unten.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

So läuft eine Anfrage in Copilot für Microsoft 365 ab 

  1. Eine Person gibt die Eingabeaufforderung „Erstelle mir eine Präsentation aus diesem Dokument“ in Copilot-Anbindung von PowerPoint ein und lädt ein Word-Dokument als Vorlage hoch.  
  2. Copilot für Microsoft 365 sieht sich an, welche Zugriffsrechte die Person innerhalb des Unternehmens hat.  
  3. Zugängliche und relevante Daten werden – neben dem Dokument – für die Bearbeitung der Anfrage an die LLMs geschickt.  
  4. Die LLMs erstellen eine Präsentation anhand der vorgegebenen Daten und leiten diese an Copilot zurück.
  5. Copilot bearbeitet die Präsentation zusätzlich anhand festgelegter Parameter. Dazu zählen etwa Datenschutz-, Sicherheits- sowie Compliance-Prüfungen.  
  6. Nach der Prüfung wird die erstellte Präsentation in PowerPoint geladen. 

Warum ist Datenschutz bei Copilot für Microsoft 365 so wichtig?

Wie oben beschrieben greift Copilot für Microsoft 365 bei Anfragen auf alle Inhalte zu, auf die die anfragende Person Zugriff hat. Dabei reicht es auch aus, dass die Person Dateien aufrufen kann. Eine Bearbeitungsfreigabe ist nicht notwendig.

Auf diese Daten kann Copilot für Microsoft 365 zugreifen 

  • Mails in Outlook 
  • Termine in Outlook (eigene und Teamkalender)  
  • Chatverläufe in Microsoft Teams 
  • Videokonferenzen in Teams 
  • Geteilte Dateien im SharePoint 
  • Word-Dokumente  
  • Präsentationen in PowerPoint 
  • Notizen in OneNote 
  • Workspaces in Loop  

Welche Risiken ergeben sich daraus? 

Hat eine Person im Unternehmen umfassende Zugriffsrechte, kann Copilot für Microsoft 365 also zahlreiche Daten einsehen. Befinden sich darunter sensible Informationen, kann die KI diese ebenfalls verwenden. Allein deswegen ist es wichtig, den die Datenschutzbestimmungen von Copilot zu kennen und richtig damit umzugehen.  
Im Falle von Meetings, die die KI aufzeichnet und transkribiert, können sogar neue sensible Dokumente entstehen. Etwa dann, wenn es in der Besprechung um Interna Ihres Unternehmens ging. Solche Dokumente müssen Sie dann an sicheren Orten ablegen und so vor dem Zugriff durch die KI schützen.  
 Arbeiten Sie mit anderen Unternehmen zusammen und teilen sich etwa Dateien in einem gemeinsamen SharePoint, ist der sichere Umgang mit Copilot noch wichtiger. Haben Ihre Mitarbeiter:innen Zugriff auf Daten außerhalb der Organisation, kann Copilot ebenfalls darauf zugreifen.  
Allerdings handelt es sich hier nicht nur um Sicherheitsbedenken, die rein durch Copilot für Microsoft 365 entstehen. Eine Person mit entsprechenden Zugriffsrechten ist auch so in der Lage, auf sensible Informationen wie Gehälter, Akquisen und Expansionspläne zuzugreifen. Oder eine Person schreibt während des wichtigen Vorstand-Meetings Interna mit. Allerdings verarbeitet die KI ebendiese Daten möglicherweise automatisch, wenn eine Person Copilot nutzt. So entstehen ggf. verdeckte Probleme für die Datensicherheit Ihres Unternehmens.  
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

Welche Maßnahmen trifft Microsoft?

Microsoft ist sich der Tatsache offenbar bewusst, dass Copilot auf viele Daten zugreifen kann. In einem Artikel, der sich rund um Datenschutz und Sicherheit von Copilot dreht, versichert das Unternehmen Folgendes:  
  • Copilot für Microsoft 365 richtet sich nach den bestehenden Datenschutz-, Sicherheits- und Compliance-Verpflichtungen von Microsoft-Produkten.  
  • Copilot für Microsoft 365 entspricht zudem der Datenschutz-Grundverordnung (DSGVO) sowie der Datenbegrenzung der Europäischen Union.  
  • Alle Eingabeaufforderungen, sowie Antworten und genutzte Daten werden nicht zum Training von LLMs verwendet. Damit sind sämtliche LLMs gemeint und nicht nur die, die Copilot für Microsoft 365 aktiv nutzt.  
Gerade der letzte Punkt ist essenziell, damit Copilot für Microsoft 365 nicht zu einer Datenkrake mutiert. Denn wenn unternehmensinterne Daten die LLM mit Wissen füttern, könnte Copilot für Microsoft 365 diese bei anderen Nutzer:innen einsetzen.  
Damit das nicht passiert, hat Microsoft weitere technische Vorkehrungen getroffen:  
  • Über Microsoft 365 Business sind Kundendaten innerhalb von sogenannten Mandanten isoliert, die auch „Tenants“ genannt werden. Tenants sind Organisationseinheiten, in denen Ihre Lizenzen und Daten in der Cloud gebündelt werden.  
  • Innerhalb der Tenants können die Zugriffsberechtigungen einzelner Nutzer:innen oder von ganzen Gruppen geregelt werden. So sehen Nutzer:innen nur das, was sie sehen dürfen.  
  • Im Tenant verarbeitete Daten sollen nie in andere Tenants gelangen. Es sei denn, Sie arbeiten mit anderen Unternehmen innerhalb beider Tenants zusammen.  
  • Microsoft verwendet diverse Verschlüsselungstechniken für die Datenübertragung innerhalb und zwischen Tenants, zum Beispiel BitLocker, Transport Layer Security und mehr.  
Zudem verspricht Microsoft, diese Vorsichtmaßnahmen und Regularien ständig weiterzuentwickeln. Gibt es künftig neue Vorschriften für KI, muss und will das Unternehmen diese auch mit Copilot für Microsoft 365 erfüllen. Für Transparenz und weitere Anpassungen sucht Microsoft zudem den Kontakt zu und das Feedback von Kund:innen und Partner:innen.  

So schützen Sie Ihre und fremde Daten zusätzlich

Den Schutz Ihrer und fremder Daten sollten Sie dennoch nicht allein Microsoft überlassen. Durch zusätzliche Maßnahmen können Sie die Chance eines Datenlecks weiter verringern und Copilot für Microsoft 365 sicher nutzen.
Der Unterschied zwischen Machine Learning und „normaler” Software

Zwischen „normaler”, also gewissermaßen „unintelligenter” Software und Machine-Learning-Software besteht ein grundlegender Unterschied:

Normale Software: Programmierer:innen erteilen sehr spezifische Befehle. Die Software befolgt diese und weicht nicht von diesen Regeln ab, um einen fest definierten Output zu erzielen.

Machine-Learning-Software: Die Software ist in der Lage, anhand entsprechender Daten selbstständig Ergebnisse zu ermitteln. Die Regeln dafür spürt sie von sich aus auf, um zu dem vorgegebenen Output zu gelangen. Zu diesem Zweck schreibt die ML-Software eigenständig Software.

Beschränkung der Zugriffsrechte auf „Need to know“-Basis

Das Bundesamt für Sicherheit und Informationstechnik beschreibt „Need to know“ in einem Leitfaden als eine der „goldenen Regeln für Informationssicherheit“. Das Prinzip besagt, dass jede Person auf so viele Daten wie nötig und gleichzeitig so wenig Daten wie möglich zugreifen können sollte.
Ein Beispiel: Wenn eine Person im Bereich der technischen Produktentwicklung arbeitet, sollte sie Zugriff auf alle Ordner im SharePoint haben, in denen Texte, Bilder und entsprechende Präsentationen abgelegt sind. Dieselbe Person benötigt aber nicht zwingend Zugriff auf Ordner aus den Bereichen HR, Marketing oder Sales. Haben Personen nur Zugriff auf Daten, mit denen Sie wirklich arbeiten müssen, verringert das die Wahrscheinlichkeit einer Datenpanne – egal ob unabsichtlich oder absichtlich. Deshalb sollten Administrator:innen vor Freigabe von Ordnern und Berechtigungen abwägen, welche Zugriffsrechte die jeweilige Person benötigt, um ihre Arbeit zu erledigen.   
Diese Regelung gilt besonders im Umgang mit Copilot für Microsoft 365. Denn die KI-Assistenz kann nur auf die Inhalte zurückgreifen, die auch für den/die Nutzer:in freigeben sind. Wenn Sie diese Inhalte vorab beschränken und nur Mitarbeiter:innen ohne Copilot darauf zurückgreifen lassen, kann die KI darauf nicht zugreifen.

Gastzugriffe streng kontrollieren

Gäste können über Microsoft 365 Business Besprechungen wahrnehmen, Dokumente anzeigen und mit Nutzer:innen aus Ihrem Unternehmen kommunizieren. Gerade der Zugriff auf Dokumente kann dabei schnell ein Risiko werden, wenn die Rechte nicht genau überwacht und eingeschränkt werden.   
Administrator:innen sollten deshalb die Freigabe nicht für das ganze Unternehmen geben, sondern nur für notwendige Gruppen. Müssen etwa Mitarbeiter:innen eines anderen Unternehmens auf Inhalte aus Ihrer Firma zugreifen, sollte nur ein Ordner mit dem relevanten Content freigegeben werden. Alle anderen Inhalte, selbst ohne sensible Daten, sollten nur internen Zugriff erlauben.

Erarbeiten eines Sicherheitskonzepts für KI-Tools  

Bevor Sie Copilot für Microsoft 365 in Ihrem Unternehmen einsetzen, sollten Sie zusammen mit Ihrem IT-Team ein Sicherheitskonzept erarbeiten. Darin sollte ersichtlich sein, welche Funktionen Sie im Unternehmen mit Copilot nutzen wollen und welche administrativen Aufgaben sich dadurch ergeben.
In dem Konzept sollten Sie zudem festhalten, welche Risiken Copilot für Microsoft 365 birgt; welche Maßnahmen Sie treffen, um Daten zu schützen – und was im Ernstfall passiert. Denn nur so können Sie schnell reagieren, falls es doch zu einem Datenleck in Ihrem oder einem Ihrer Partnerunternehmen kommen sollte.

IT-Präventivmaßnahmen für sensible Daten

Wie bereits erwähnt, sollten Sie Zugriffe von einzelnen Mitarbeiter:innen auf bestimmte Daten beschränken. Zudem können Sie solche Daten aber auch überwachen. Sollte jemand Daten ändern, löschen oder verschieben, bekommen die Administrator:innen eine Benachrichtigung. So können sie frühzeitig auf mögliche Datenschutzverstöße reagieren.
Je nach Größe Ihres Unternehmens kann es sich dabei lohnen, mehrere Tenants (interne Mandanten, siehe oben) in Microsoft 365 Business anzulegen. So sind die Daten einzelner Bereiche – wie des Marketings und des Personalmanagements – voneinander getrennt. Dennoch können Sie einzelne Dateien oder ganze Ordnerstrukturen freigeben, um den Austausch zwischen Unternehmen zu fördern.

Schulungen für alle Mitarbeitenden

Sämtliche Pläne, Vorkehrungen und Anleitung zur Nutzung von Copilot für Microsoft 365 sollten Sie offen und klar in Security-Awareness-Trainings kommunizieren. Dabei sollten nicht nur die Vorteile des KI-Helfers im Vordergrund stehen. Nehmen Sie sich Zeit, auch die Herausforderungen und Risiken zu besprechen. 
Dank eines vorgefertigten Sicherheitskonzepts können Sie allen Mitarbeiter:innen einen genauen Verhaltenskodex bezüglich KI an die Hand geben. Wenn Sie künftig weitere KI-Tools im Unternehmen nutzen, können Sie die Richtlinien erweitern und anpassen.

Sensibler Umgang mit Daten

Darüber hinaus sollten Sie Ihre Belegschaft in regelmäßigen Abständen darauf hinweisen, mit Daten sensibel umzugehen. Alle Personen im Unternehmen sollten wissen, auf welche Daten sie zugreifen. Dazu zählt auch das Wissen, ob diese Daten rein intern sind oder auch Dritte betreffen, wie zum Beispiel Kunden und Partner. Zu den Risiken gehören:
  • Mailverkehr mit vertraulichen Daten ohne Verschlüsselung
  • Mails mit sensiblen Daten an Unbefugte
  • Speichern von sensiblen Daten auf externen Speichermedien
  • Phishing-Angriffe über Mail und Chats
  • unsichere oder fehlende Passwörter auf Endgeräten wie Laptop und PC
  • Diebstahl von Hardware
  • Einblick in sensible Daten im öffentlichen Raum
  • öffentliches WLAN
Eine Frau in roter Bluse sitzt an einem Mac und telefoniert via Headset

Fertig für Sie eingerichtet und startklar: Microsoft 365 Business mit Vodafone Services

Produktivität steigern. Sicherheit stärken. Und sich dabei komplett auf Ihr Business konzentrieren? Das geht. Unsere Expert:innen helfen mit Ihren Microsoft 365 Business-Lizenzen. So haben Sie Zeit für Ihr Kerngeschäft.

Das Wichtigste zu Copilot und Datenschutz in Kürze

  • Copilot für Microsoft 365 ist ein KI-Tool, das viele Aufgaben in Microsoft 365 Business übernehmen kann.
  • Das Tool greift dabei auf dieselben Inhalte zu wie die anfragende Person in Microsoft 365 Business.
  • Deshalb ist es wichtig, dass Personen nur Zugriff auf für sie relevante Daten haben.
  • Erarbeiten Sie zusammen mit Ihren IT-Mitarbeiter:innen ein Sicherheitskonzept für die Nutzung von KI-Tools und Verhaltensweisen im Falle eines Datenlecks.
  • Führen Sie Schulungen Ihrer Mitarbeiter:innen durch, um sie auf die Möglichkeiten und Risiken von Copilot für Microsoft 365 vorzubereiten.
Das könnte Sie auch interessieren:
Unified Communication
Ein Dokument in zwei Fenstern als PDF- und als Word-Datei auf dem Monitor eines Notebooks

Ein PDF in Word umwandeln: Diese Möglichkeiten gibt es

Eine PDF-Datei kann man nicht in ein Word-Dokument einbauen? Doch, das geht. Mit dieser Anleitung ist das überhaupt kein Problem. Es führen sogar gleich mehrere Wege zum Ziel. Wir beschreiben sie Ihnen Schritt für Schritt: So einfach können Sie ein PDF in Word einfügen. PDF-Dokumente sind im Geschäftsleben weit verbreitet. Adobe PDF (Portable Document Format) ist dank entsprechender Reader-Software auf unzähligen Endgeräten lesbar, vom Windows- und MacOS-Arbeitsplatzrechner über das Smartphone bis hin zum Raspberry Pi oder einem ESP32-Microcoller. Damit ist PDF ein echtes Multitalent. Leider können Sie PDF-Dateien mit dem kostenlosen Adobe Acrobat standardmäßig nur lesen, aber nicht bearbeiten. Höchstens das Ausfüllen von Formularfeldern ist manchmal möglich. Dabei wäre es oft sehr praktisch, eine PDF-Datei etwa in Microsoft Word zu öffnen und dort damit zu arbeiten. Mit den richtigen Werkzeugen funktioniert dies tatsächlich. Lesen Sie hier, was Sie dafür machen müssen.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort