Künstliche Intelligenz (KI) die Arbeit im Unternehmen erledigen lassen? Was bisher nach Science-Fiction klang, will Microsoft in Zukunft möglich machen. Mit Microsoft 365 Copilot bietet Microsoft seinen Geschäftskunden künftig ein kostenpflichtiges KI-Tool an. Welche Auswirkungen Copilot auf den Datenschutz haben wird, stellen wir nachfolgend dar.
Microsoft 365 Copilot
Microsoft 365 Copilot ist eine neue KI-Lösung von Microsoft, die in Microsoft 365 implementiert wird und Unternehmen bei der Optimierung ihrer Leistung unterstützen soll. Copilot integriert große KI-Sprachmodelle, sogenannte Large Language Models (LLMs), die auf großen Textdatenmengen basieren und zur Generierung von textbasierten Inhalten verwendet werden, in Microsoft 365 Apps und die Microsoft Graph-Anwendung. Die Besonderheit von Copilot soll aufgrund des oben genannten Ansatzes darin liegen, dass die LLMs nicht wie üblich Inhalte auf Basis beliebiger Datenquellen generieren, sondern durch einen Echtzeitzugriff auf die Daten des jeweiligen Geschäftskunden aus Microsoft Graph unternehmensspezifische und kontextbezogene Antworten erzeugen. Copilot soll künftig als kostenpflichtiges Zusatz-Abo in den Abonnements Microsoft 365 E3, E5, Business Standard und Business Premium enthalten sein. Der genaue Zeitpunkt ist noch nicht bekannt.
Thema Datenschutz
Da Copilot eine Analyse aller Geschäftsdaten erfordert, werden schnell Datenschutzbedenken laut. Laut Microsoft soll das neue Geschäftsmodell den Geschäftskunden jedoch neben dem Vorteil der kontext-bezogenen Content-Generierung auch mehr Datenschutz und Datensicherheit garantieren. Bei der Nutzung von Copilot sollen laut Microsoft die bestehenden Microsoft 365 Sicherheits- und Datenschutzrichtlinien des Unternehmens übernommen werden, die unternehmensbezogenen Daten innerhalb des Microsoft 365 Tenants isoliert und geschützt werden und die Unternehmen die volle Kontrolle über ihre eigenen Daten behalten. Außerdem sollen die Unternehmensdaten nicht für Trainingszwecke verwendet werden. Darüber hinaus verspricht Microsoft die Einhaltung der Microsoft KI-Grundsätze und der Microsoft Responsible AI Standards. Es bleibt abzuwarten, wie diese Versprechen vertraglich abgesichert werden. Da Copilot jedoch Teil der Microsoft 365 Produktfamilie sein wird, werden auch hier die bestehenden Datenschutz- und Compliance-Verpflichtungen einschlägig sein, so dass voraussichtlich das Microsoft Products and Services Data Protection Addendum (DPA) Anwendung finden wird.
Auswirkungen für die Praxis
Aufgrund der Komplexität und der vielfältigen Einsatzmöglichkeiten von Copilot ist eine pauschale Aussage zum datenschutzkonformen Einsatz nicht möglich. Entscheidend sind die individuelle Nutzung im Unternehmen und die Umstände des Einzelfalls. Als neues Mitglied der Microsoft 365-Produktfamilie wird Copilot aber aller Voraussicht nach auch auf heftige Kritik der Datenschutzaufsichtsbehörden stoßen. Unternehmen sollten sich von dieser Kritik jedoch nicht abschrecken lassen, sondern die Möglichkeit eines datenschutzkonformen Einsatzes des KI-Tools im konkreten Einzelfall prüfen. Folgende Schritte können dabei hilfreich sein:
- Unternehmen sollten analysieren, welche vertraglichen Vereinbarungen für den Einsatz von Copilot gelten und wie diese in ggf. bestehende Vertragsverhältnisse integriert werden.
- Steht die vertragliche Grundlage fest, sollten Unternehmen den Einsatz von Copilot einer (ergänzenden) Datenschutz-Folgenabschätzung unterziehen, mit der neben der Einhaltung der datenschutzrechtlichen Pflichten auch die Bewertung und Dokumentation von Risiken und geeigneten Abhilfemaßnahmen nachgewiesen werden kann.
Weitere Informationen finden Sie auch in unserem Onepager zum datenschutzkonformen Einsatz von Microsoft 365 (.pdf) sowie in unserem Onepager zur Datenschutz-Folgenabschätzung (.pdf).
zurück