1. Microsoft Copilot DSGVO und Datenschutz: Die Grundproblematik
Microsoft Copilot ist die KI-Erweiterung für Microsoft 365 und Teams. Sie erstellt Zusammenfassungen von Meetings, analysiert Inhalte und generiert automatisch Aufgaben – direkt aus Besprechungen, Mails oder Dokumenten. Doch obwohl Copilot tief in Microsoft-Produkte integriert ist, stellt sein Einsatz aus DSGVO-Sicht eine erhebliche Herausforderung dar. Denn: Die Funktion arbeitet im Hintergrund und viele Verarbeitungsprozesse laufen über US-Infrastruktur.
2. Wie Microsoft Copilot arbeitet: Im Hintergrund, ohne Hinweis
Copilot ist direkt in Microsoft Teams und Office integriert. Bei Aktivierung werden Meetings in Echtzeit analysiert, ohne dass ein sichtbarer Bot beitritt. Für andere Teilnehmende ist nicht erkennbar, dass ein KI-Tool aktiv mitliest oder mitschreibt. Auch automatische Hinweise fehlen oft.
Verarbeitet werden:
- Gesprochene Inhalte (z. B. aus Teams-Meetings)
- Teilnehmerinformationen, Zeitstempel, Kontextdaten
- Inhalte aus E-Mails, Chats, Dokumenten, Kalendern
3. Fehlende Transparenz: Microsoft Copilot als stiller Assistent
Die fehlende Sichtbarkeit von Copilot ist ein zentrales Datenschutzproblem. Wenn die Funktion aktiviert ist, werden Gespräche und Dokumente verarbeitet, ohne dass Beteiligte das zwangsläufig bemerken. Die Verantwortung, über die KI-Nutzung zu informieren, liegt bei der Organisation oder den Nutzern selbst.
Damit liegt schnell ein Verstoß gegen folgende DSGVO-Vorgaben vor:
- Art. 5 Abs. 1(a) DSGVO: Transparenz und Fairness
- Art. 13 DSGVO: Informationspflicht
- Art. 6 DSGVO: Fehlende Rechtsgrundlage ohne Einwilligung oder berechtigtes Interesse
Besonders kritisch ist das bei externen Meetings, Bewerbungsgesprächen oder sensiblen Inhalten.
4. Server außerhalb der EU: Ein weiteres Risiko
Microsoft betreibt eine globale Infrastruktur. Auch wenn für EU-Kunden EU-Datenzentren vorgesehen sind (z. B. "EU Data Boundary"), ist nicht immer garantiert, dass alle Copilot-bezogenen Prozesse dort bleiben. Teile der KI-Verarbeitung erfolgen über OpenAI-Modelle, die in den USA gehostet sind oder Zugriff auf US-Infrastruktur haben.
Problematisch ist:
- US-Behörden können theoretisch Zugriff verlangen (z. B. CLOUD Act)
- Der EuGH sieht die USA nicht als sicheres Drittland (Schrems II)
- DSGVO verlangt Standardvertragsklauseln oder andere Schutzmaßnahmen
Microsoft verweist auf DPF-Zertifizierung und Sicherheitsstandards, doch das reicht nicht für jede Einsatzsituation aus.
5. Was DSGVO-Konformität hier besonders schwer macht
Um Copilot DSGVO-konform zu nutzen, müssten Unternehmen sicherstellen:
- Alle Beteiligten sind vorab informiert
- Es liegt eine gültige Einwilligung oder andere Rechtsgrundlage vor
- Der Datentransfer in die USA ist rechtlich abgesichert
- Verantwortlichkeiten und Dokumentation sind klar geregelt
In vielen Unternehmen fehlt dafür das Bewusstsein oder die technische Transparenz.
6. Microsoft Copilot DSGVO und Datenschutz: Realität vs. Praxis
In der Praxis wird Copilot oft aktiviert, ohne dass alle Beteiligten davon erfahren. Vor allem in Teams-Meetings bemerken externe Gäste oder Mitarbeitende nicht, dass ihre Aussagen verarbeitet und zusammengefasst werden. Die Einhaltung der DSGVO liegt in der Verantwortung der Unternehmen – wird aber häufig vernachlässigt.
7. Fazit: Microsoft Copilot DSGVO-technisch höchst problematisch
Copilot bringt spannende Funktionen in den Arbeitsalltag, doch der Einsatz ist aus Datenschutzsicht schwierig. Unsichtbare Analyse, potenzieller Zugriff durch US-Behörden und fehlende Kommunikation machen eine DSGVO-konforme Nutzung kompliziert.
Wer Copilot verwenden will, sollte interne Prozesse definieren, Transparenz schaffen und externe Tools nur nutzen, wenn alle Beteiligten zustimmen. Alternativen wie Sally AI mit sichtbarem Bot und ausschließlich EU-Hosting bieten hier einen datenschutzfreundlicheren Ansatz.
Disclaimer: Das ist keine Rechtsberatung.
Meeting-Transkription testen!
Erlebe, wie entspannt Meeting-Notizen sein können - teste Sally 4 Wochen kostenlos.
Jetzt testenOder: Demo-Termin vereinbaren
