Reuschlaw Reuschlaw

Daten­schutz bei der Copilot-Websuche und Teams-Besprechungen

Der Ein­satz von gene­ra­ti­ver KI in Micro­soft 365 ist kein Risi­ko, son­dern eine Fra­ge kon­se­quen­ter Datenschutz-Compliance.

Mit­hil­fe der Copilot-Websuche kön­nen exter­ne Web­in­for­ma­tio­nen kon­text­be­zo­gen in Copi­lot Chats ein­ge­bun­den wer­den. In Micro­soft Teams ermög­li­chen Tran­skrip­ti­on, Live-Übersetzung und Auf­zeich­nung eine effi­zi­en­te, inter­na­tio­na­le und bar­rie­re­ar­me Durch­füh­rung und Doku­men­ta­ti­on von Mee­tings. Gleich­zei­tig wer­den durch die KI-Funktionen in Micro­soft 365 per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, was eine daten­schutz­recht­li­che Betrach­tung erfor­der­lich macht. Anders als gele­gent­lich behaup­tet, ist der Ein­satz die­ser Funk­tio­nen jedoch daten­schutz­kon­form mög­lich. Ent­schei­dend sind, wie beim Ein­satz von Micro­soft 365 und Micro­soft Copi­lot im All­ge­mei­nen, eine struk­tu­rier­te Prü­fung und sau­be­re Umset­zung der all­ge­mei­nen daten­schutz­recht­li­chen Vorgaben. 

Copilot-Websuche: Zuläs­sig bei sau­be­rer Interessenabwägung

Die Nut­zung der Copilot-Websuche ist optio­nal. Sie ermög­licht es Copi­lot, bei Bedarf auf Inhal­te aus dem Inter­net zuzu­grei­fen, um prä­zi­se­re Ant­wor­ten zu lie­fern. Ist die Web­su­che akti­viert, prüft Copi­lot die Anfra­ge des Nut­zers und erkennt, bei wel­chen Begrif­fen Infor­ma­tio­nen aus dem Inter­net hilf­reich sein könn­ten. Dar­auf­hin erstellt Copi­lot eine stark ver­kürz­te Such­an­fra­ge und sen­det die­se an den Bing-Suchdienst. Daten­schutz­recht­lich rele­vant ist die Nut­zung nur, wenn die ver­kürz­te Such­an­fra­ge aus­nahms­wei­se per­so­nen­be­zo­ge­ne Daten ent­hält. Der Bing-Suchdienst wird in eige­ner daten­schutz­recht­li­cher Ver­ant­wort­lich­keit von Micro­soft betrie­ben. Als Rechts­grund­la­ge für die Daten­über­mitt­lung an Micro­soft kommt regel­mä­ßig ein berech­tig­tes Inter­es­se (Art. 6 Abs. 1 lit. f DSGVO) in Betracht. Maß­geb­lich ist eine doku­men­tier­te Inter­es­sen­ab­wä­gung. Auf­grund der begrenz­ten Daten­über­mitt­lung und kla­rer Zweck­be­schrän­kun­gen ist das Risi­ko für Betrof­fe­ne häu­fig als gering einzustufen.

Typi­sche berech­tig­te Inter­es­sen für den Ein­satz der Copilot-Websuche sind:

  • Effi­zi­enz­stei­ge­rung von Recherche- und Entscheidungsprozessen
  • Ver­bes­se­rung der Informationsqualität
  • Redu­zie­rung von Risi­ken durch unkon­trol­lier­te „Schatten-KI“.

Da Bing ein glo­ba­ler Dienst ist, gilt die EU Data Boun­da­ry nicht für Such­ab­fra­gen. Eine Daten­über­mitt­lung in die USA kann bei der Copilot-Websuche des­halb nicht aus­ge­schlos­sen wer­den. Die­se stützt sich der­zeit auf das EU-US Data Pri­va­cy Frame­work. Dane­ben ste­hen Stan­dard­ver­trags­klau­seln als Alter­na­ti­ve zur Verfügung.

Micro­soft Teams: Tran­skrip­ti­on, Live-Übersetzung und Auf­zeich­nung rechts­si­cher einsetzen

Bei Tran­skrip­tio­nen, Live-Übersetzungen und Auf­zeich­nun­gen wer­den in der Regel per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Eine Ein­wil­li­gung ist ins­be­son­de­re im Beschäf­ti­gungs­kon­text regel­mä­ßig nicht trag­fä­hig. Auch hier wird daher typi­scher­wei­se auf das berech­tig­te Inter­es­se abgestellt. 

Vor­aus­set­zun­gen sind für ein berech­tig­tes Inter­es­se an der Nut­zung der Funk­tio­nen sind:

  1. Das Vor­lie­gen eines berech­tig­ten Inter­es­ses des Ver­ant­wort­li­chen und/oder eines Drit­ten (z. B. Nach­voll­zieh­bar­keit von Ent­schei­dungs­pro­zes­sen) sowie
  2. die Erfor­der­lich­keit der Daten­ver­ar­bei­tung zur Wah­rung der berech­tig­ten Inter­es­sen (z. B. manu­el­le Pro­to­kol­lie­rung als mil­de­res Mit­tel) und
  3. eine Abwä­gung mit den Inter­es­sen, Grund­rech­ten und Grund­frei­hei­ten der betrof­fe­nen Per­son im kon­kre­ten Ein­zel­fall (z. B. beson­ders sen­si­ble Gesprächsinhalte).

Arti­kel 9 DSGVO, der beson­ders sen­si­ble per­so­nen­be­zo­ge­ne Daten schützt, ist in der Regel nicht anwend­bar, da Micro­soft Teams die Stim­me der Teil­neh­men­den nicht zur Iden­ti­fi­zie­rung nutzt, son­dern aus­schließ­lich zur Inhalts­ver­ar­bei­tung, d. h. zur Tran­skrip­ti­on oder Übersetzung.

Unter­neh­men müs­sen aller­dings zusätz­lich die Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO trans­pa­rent erfül­len und sicher­stel­len, dass Betrof­fe­nen­rech­te wie Aus­kunft und Wider­spruch umge­setzt wer­den und eine daten­schutz­kon­for­me Löschung gewähr­leis­tet ist. Neben den daten­schutz­recht­li­chen Anfor­de­run­gen ist auch § 201 StGB zu beach­ten. Die unbe­fug­te Auf­nah­me des nicht­öf­fent­lich gespro­che­nen Worts kann straf­recht­lich rele­vant sein. Die Befug­nis zur Auf­zeich­nung ist daher sorg­fäl­tig zu prüfen.

Fazit

Die Nut­zung von KI-Funktionen in Micro­soft 365 ist eine Fra­ge der Gover­nan­ce. Wer die ent­spre­chen­den Rechts­grund­la­gen sau­ber defi­niert, Inter­es­sen­ab­wä­gun­gen doku­men­tiert, für Trans­pa­renz sorgt und die erfor­der­li­chen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men trifft, kann Effi­zi­enz­ge­win­ne rea­li­sie­ren und zugleich daten­schutz­recht­li­che Risi­ken beherrschen.

Aus­führ­li­che Infor­ma­tio­nen zu Daten­schutz und digi­ta­ler Sou­ve­rä­ni­tät bei Micro­soft 365 fin­den Sie in der „Kom­mu­ni­ka­ti­on & Recht“, Aus­ga­be 12/2025, S. 755 ff. (hier kos­ten­frei im Voll­text abrufbar).

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.