• Start
V-Hub by Vodafone BusinessCloud & HostingMicrosoft 365Microsoft 365 Copilot und der Datenschutz: Darauf sollten Sie achten
Ein Mensch an einem Laptop. Über seiner linken geöffneten Hand im Vordergrund schweben Symbole für künstliche Intelligenz.
Cloud & Hosting

Microsoft 365 Copilot und der Datenschutz: Darauf sollten Sie achten

Vodafone-LogoV-Hub Redaktion
29.01.2024
10 Min.

    Microsoft 365 Copilot bietet KI-Features, die den Alltag Ihrer Mitarbeitenden erleichtern sollen. Doch wie steht es dabei um den Datenschutz? Hier erfahren Sie, welche Chancen und Herausforderungen sich durch den KI-Helfer ergeben.

    Eine Steigerung der Kreativität und Produktivität – und das innerhalb von Sekundenbruchteilen: Das verspricht Microsoft für seinen KI-Assistenten Copilot. Zu beachten ist allerdings, dass die Anwendung dabei auch auf Daten inner- und außerhalb Ihres Unternehmens zugreifen kann. Allein deshalb sollten Sie sich umfänglich über Datenschutz in Microsoft 365 Copilot informieren.

    Inhaltsverzeichnis

    Was ist Microsoft 365 Copilot? Warum ist Datenschutz bei Microsoft 365 Copilot so wichtig? Welche Maßnahmen trifft Microsoft? So schützen Sie Ihre und fremde Daten zusätzlich Das Wichtigste zu Copilot und Datenschutz in Kürze

    Was ist Microsoft 365 Copilot?

    Microsoft 365 Copilot ist ein Produktivitätstool für Microsoft 365 Business, das durch KI gestützt ist und das wir Ihnen an anderer Stelle im V-Hub ausführlich vorstellen. Es soll Nutzer:innen bei ihrer Arbeit unterstützen und aufwendige Aufgaben vorbereiten und vereinfachen.

    Diese Aufgaben kann Microsoft 365 Copilot übernehmen 

    Microsoft 365 Copilot bietet eine Menge an nützlichen Funktionen im Kosmos von Microsoft 365. Hier eine kleine Auswahl der Aufgaben, bei denen Microsoft 365 Copilot Sie unterstützen kann:  
    • Texte entwerfen 
    • Grafiken erstellen 
    • Chats zusammenfassen (maximal die letzten 30 Tage des Chat-Verlaufs) 
    • eine PowerPoint-Präsentation anhand von Unternehmensvorlagen erstellen 
    • Mail-Antworten korrigieren und Verbesserungsvorschläge geben 
    • lange Mail-Verläufe zusammenfassen 
    • mögliche Besprechungsthemen generieren und Meetings vorbereiten 
    • Live-Transkripte von Anrufen und Video-Calls erstellen  
    • Fragen in Besprechungen beantworten (anhand des zuvor erstellten Transkripts) 
    • Besprechungen zusammenfassen 

    Wie arbeitet

    Microsoft nutzt folgende Komponenten, um eine Aufgabe über Copilot zu lösen:  
    • eine Kombination aus mehreren großen Sprachmodellen; auch „Large Language Models“ (LLMs) genannt  
    • Inhalte in Microsoft Graph (Zugriff auf in der Cloud gespeicherte Daten) 
    • Inhalte in Microsoft 365-Apps (Zugriff auf freigegebene Inhalte innerhalb der Apps) 
    Large Language Models mit künstlicher Intelligenz sind durch intensives Training mit verschiedenen Texten in der Lage, Sprache und geschriebene Worte zu verstehen und auf den Vorgaben basierend Aufgaben zu lösen. Sie beantworten so etwa Fragen oder generieren ganze Texte.   
    Im Fall von Microsoft 365 Copilot sind die LLMs – wie  ChatGPT von OpenAI – vortrainiert und arbeiten anschließend mit den Inhalten aus Microsoft Graph und Microsoft 365. Sie lernen allerdings durch die Inhalte nichts Neues, sondern verarbeiten sie nur. Warum das ein wichtiger Unterschied ist, erklären wir Ihnen weiter unten.
    Ein Flugplatz und verschiedene Flugzeuge aus der Vogelperspektive

    Microsoft 365 Copilot: Mehr Produktivität dank KI

    Microsoft 365 Copilot ist eine künstliche Intelligenz, die sich nahtlos in Ihr Unternehmen integrieren lässt. Sie nutzen Copilot mit Ihren Office-Anwendungen. Geben Sie Ihre Frage oder Ihren Auftrag einfach ein – schon erhalten Sie Zusammenfassungen, Ideen oder Gestaltungsvorschläge.

    • Gesteigerte Produktivität
    • Hilfe und Tipps in Echtzeit
    • Austausch per Business Chat
    Jetzt mehr erfahren

    So läuft eine Anfrage in

    1. Eine Person gibt die Eingabeaufforderung „Erstelle mir eine Präsentation aus diesem Dokument“ in Copilot-Anbindung von PowerPoint ein und lädt ein Word-Dokument als Vorlage hoch.  
    2. Microsoft 365 Copilot sieht sich an, welche Zugriffsrechte die Person innerhalb des Unternehmens hat.  
    3. Zugängliche und relevante Daten werden – neben dem Dokument – für die Bearbeitung der Anfrage an die LLMs geschickt.  
    4. Die LLMs erstellen eine Präsentation anhand der vorgegebenen Daten und leiten diese an Copilot zurück.
    5. Copilot bearbeitet die Präsentation zusätzlich anhand festgelegter Parameter. Dazu zählen etwa Datenschutz-, Sicherheits- sowie Compliance-Prüfungen.  
    6. Nach der Prüfung wird die erstellte Präsentation in PowerPoint geladen. 
    Empfohlener externer Inhalt
    Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
    Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
    Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
    Datenschutzerklärung

    Warum ist Datenschutz bei Microsoft 365 Copilot so wichtig?

    Wie oben beschrieben greift Microsoft 365 Copilot bei Anfragen auf alle Inhalte zu, auf die die anfragende Person Zugriff hat. Dabei reicht es auch aus, dass die Person Dateien aufrufen kann. Eine Bearbeitungsfreigabe ist nicht notwendig.

    Auf diese Daten kann

    • Mails in Outlook 
    • Termine in Outlook (eigene und Teamkalender)  
    • Chatverläufe in Microsoft Teams 
    • Videokonferenzen in Teams 
    • Geteilte Dateien im SharePoint 
    • Word-Dokumente  
    • Präsentationen in PowerPoint 
    • Notizen in OneNote 
    • Workspaces in Loop  

    Welche Risiken ergeben sich daraus? 

    Hat eine Person im Unternehmen umfassende Zugriffsrechte, kann Microsoft 365 Copilot also zahlreiche Daten einsehen. Befinden sich darunter sensible Informationen, kann die KI diese ebenfalls verwenden. Allein deswegen ist es wichtig, den die Datenschutzbestimmungen von Copilot zu kennen und richtig damit umzugehen.  
    Im Falle von Meetings, die die KI aufzeichnet und transkribiert, können sogar neue sensible Dokumente entstehen. Etwa dann, wenn es in der Besprechung um Interna Ihres Unternehmens ging. Solche Dokumente müssen Sie dann an sicheren Orten ablegen und so vor dem Zugriff durch die KI schützen.  
     Arbeiten Sie mit anderen Unternehmen zusammen und teilen sich etwa Dateien in einem gemeinsamen SharePoint, ist der sichere Umgang mit Copilot noch wichtiger. Haben Ihre Mitarbeiter:innen Zugriff auf Daten außerhalb der Organisation, kann Copilot ebenfalls darauf zugreifen.  
    Allerdings handelt es sich hier nicht nur um Sicherheitsbedenken, die rein durch Microsoft 365 Copilot entstehen. Eine Person mit entsprechenden Zugriffsrechten ist auch so in der Lage, auf sensible Informationen wie Gehälter, Akquisen und Expansionspläne zuzugreifen. Oder eine Person schreibt während des wichtigen Vorstand-Meetings Interna mit. Allerdings verarbeitet die KI ebendiese Daten möglicherweise automatisch, wenn eine Person Copilot nutzt. So entstehen ggf. verdeckte Probleme für die Datensicherheit Ihres Unternehmens.  
    Empfohlener externer Inhalt
    Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
    Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
    Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
    Datenschutzerklärung

    Welche Maßnahmen trifft Microsoft?

    Microsoft ist sich der Tatsache offenbar bewusst, dass Copilot auf viele Daten zugreifen kann. In einem Artikel, der sich rund um Datenschutz und Sicherheit von Copilot dreht, versichert das Unternehmen Folgendes:  
    • Microsoft 365 Copilot richtet sich nach den bestehenden Datenschutz-, Sicherheits- und Compliance-Verpflichtungen von Microsoft-Produkten.  
    • Microsoft 365 Copilot entspricht zudem der Datenschutz-Grundverordnung (DSGVO) sowie der Datenbegrenzung der Europäischen Union.  
    • Alle Eingabeaufforderungen, sowie Antworten und genutzte Daten werden nicht zum Training von LLMs verwendet. Damit sind sämtliche LLMs gemeint und nicht nur die, die Microsoft 365 Copilot aktiv nutzt.  
    Gerade der letzte Punkt ist essenziell, damit Microsoft 365 Copilot nicht zu einer Datenkrake mutiert. Denn wenn unternehmensinterne Daten die LLM mit Wissen füttern, könnte Microsoft 365 Copilot diese bei anderen Nutzer:innen einsetzen.  
    Damit das nicht passiert, hat Microsoft weitere technische Vorkehrungen getroffen:  
    • Über Microsoft 365 Business sind Kundendaten innerhalb von sogenannten Mandanten isoliert, die auch „Tenants“ genannt werden. Tenants sind Organisationseinheiten, in denen Ihre Lizenzen und Daten in der Cloud gebündelt werden.  
    • Innerhalb der Tenants können die Zugriffsberechtigungen einzelner Nutzer:innen oder von ganzen Gruppen geregelt werden. So sehen Nutzer:innen nur das, was sie sehen dürfen.  
    • Im Tenant verarbeitete Daten sollen nie in andere Tenants gelangen. Es sei denn, Sie arbeiten mit anderen Unternehmen innerhalb beider Tenants zusammen.  
    • Microsoft verwendet diverse Verschlüsselungstechniken für die Datenübertragung innerhalb und zwischen Tenants, zum Beispiel BitLocker, Transport Layer Security und mehr.  
    Zudem verspricht Microsoft, diese Vorsichtmaßnahmen und Regularien ständig weiterzuentwickeln. Gibt es künftig neue Vorschriften für KI, muss und will das Unternehmen diese auch mit Microsoft 365 Copilot erfüllen. Für Transparenz und weitere Anpassungen sucht Microsoft zudem den Kontakt zu und das Feedback von Kund:innen und Partner:innen.  

    So schützen Sie Ihre und fremde Daten zusätzlich

    Den Schutz Ihrer und fremder Daten sollten Sie dennoch nicht allein Microsoft überlassen. Durch zusätzliche Maßnahmen können Sie die Chance eines Datenlecks weiter verringern und Microsoft 365 Copilot sicher nutzen.
    Der Unterschied zwischen Machine Learning und „normaler” Software

    Zwischen „normaler”, also gewissermaßen „unintelligenter” Software und Machine-Learning-Software besteht ein grundlegender Unterschied:

    Normale Software: Programmierer:innen erteilen sehr spezifische Befehle. Die Software befolgt diese und weicht nicht von diesen Regeln ab, um einen fest definierten Output zu erzielen.

    Machine-Learning-Software: Die Software ist in der Lage, anhand entsprechender Daten selbstständig Ergebnisse zu ermitteln. Die Regeln dafür spürt sie von sich aus auf, um zu dem vorgegebenen Output zu gelangen. Zu diesem Zweck schreibt die ML-Software eigenständig Software.

    Beschränkung der Zugriffsrechte auf „Need to know“-Basis

    Das Bundesamt für Sicherheit und Informationstechnik beschreibt „Need to know“ in einem Leitfaden als eine der „goldenen Regeln für Informationssicherheit“. Das Prinzip besagt, dass jede Person auf so viele Daten wie nötig und gleichzeitig so wenig Daten wie möglich zugreifen können sollte.
    Ein Beispiel: Wenn eine Person im Bereich der technischen Produktentwicklung arbeitet, sollte sie Zugriff auf alle Ordner im SharePoint haben, in denen Texte, Bilder und entsprechende Präsentationen abgelegt sind. Dieselbe Person benötigt aber nicht zwingend Zugriff auf Ordner aus den Bereichen HR, Marketing oder Sales. Haben Personen nur Zugriff auf Daten, mit denen Sie wirklich arbeiten müssen, verringert das die Wahrscheinlichkeit einer Datenpanne – egal ob unabsichtlich oder absichtlich. Deshalb sollten Administrator:innen vor Freigabe von Ordnern und Berechtigungen abwägen, welche Zugriffsrechte die jeweilige Person benötigt, um ihre Arbeit zu erledigen.   
    Diese Regelung gilt besonders im Umgang mit Microsoft 365 Copilot. Denn die KI-Assistenz kann nur auf die Inhalte zurückgreifen, die auch für den/die Nutzer:in freigeben sind. Wenn Sie diese Inhalte vorab beschränken und nur Mitarbeiter:innen ohne Copilot darauf zurückgreifen lassen, kann die KI darauf nicht zugreifen.

    Gastzugriffe streng kontrollieren

    Gäste können über Microsoft 365 Business Besprechungen wahrnehmen, Dokumente anzeigen und mit Nutzer:innen aus Ihrem Unternehmen kommunizieren. Gerade der Zugriff auf Dokumente kann dabei schnell ein Risiko werden, wenn die Rechte nicht genau überwacht und eingeschränkt werden.   
    Administrator:innen sollten deshalb die Freigabe nicht für das ganze Unternehmen geben, sondern nur für notwendige Gruppen. Müssen etwa Mitarbeiter:innen eines anderen Unternehmens auf Inhalte aus Ihrer Firma zugreifen, sollte nur ein Ordner mit dem relevanten Content freigegeben werden. Alle anderen Inhalte, selbst ohne sensible Daten, sollten nur internen Zugriff erlauben.

    Erarbeiten eines Sicherheitskonzepts für KI-Tools  

    Bevor Sie Microsoft 365 Copilot in Ihrem Unternehmen einsetzen, sollten Sie zusammen mit Ihrem IT-Team ein Sicherheitskonzept erarbeiten. Darin sollte ersichtlich sein, welche Funktionen Sie im Unternehmen mit Copilot nutzen wollen und welche administrativen Aufgaben sich dadurch ergeben.
    In dem Konzept sollten Sie zudem festhalten, welche Risiken Microsoft 365 Copilot birgt; welche Maßnahmen Sie treffen, um Daten zu schützen – und was im Ernstfall passiert. Denn nur so können Sie schnell reagieren, falls es doch zu einem Datenleck in Ihrem oder einem Ihrer Partnerunternehmen kommen sollte.

    IT-Präventivmaßnahmen für sensible Daten

    Wie bereits erwähnt, sollten Sie Zugriffe von einzelnen Mitarbeiter:innen auf bestimmte Daten beschränken. Zudem können Sie solche Daten aber auch überwachen. Sollte jemand Daten ändern, löschen oder verschieben, bekommen die Administrator:innen eine Benachrichtigung. So können sie frühzeitig auf mögliche Datenschutzverstöße reagieren.
    Je nach Größe Ihres Unternehmens kann es sich dabei lohnen, mehrere Tenants (interne Mandanten, siehe oben) in Microsoft 365 Business anzulegen. So sind die Daten einzelner Bereiche – wie des Marketings und des Personalmanagements – voneinander getrennt. Dennoch können Sie einzelne Dateien oder ganze Ordnerstrukturen freigeben, um den Austausch zwischen Unternehmen zu fördern.

    Schulungen für alle Mitarbeitenden

    Sämtliche Pläne, Vorkehrungen und Anleitung zur Nutzung von Microsoft 365 Copilot sollten Sie offen und klar in Security-Awareness-Trainings kommunizieren. Dabei sollten nicht nur die Vorteile des KI-Helfers im Vordergrund stehen. Nehmen Sie sich Zeit, auch die Herausforderungen und Risiken zu besprechen. 
    Dank eines vorgefertigten Sicherheitskonzepts können Sie allen Mitarbeiter:innen einen genauen Verhaltenskodex bezüglich KI an die Hand geben. Wenn Sie künftig weitere KI-Tools im Unternehmen nutzen, können Sie die Richtlinien erweitern und anpassen.

    Sensibler Umgang mit Daten

    Darüber hinaus sollten Sie Ihre Belegschaft in regelmäßigen Abständen darauf hinweisen, mit Daten sensibel umzugehen. Alle Personen im Unternehmen sollten wissen, auf welche Daten sie zugreifen. Dazu zählt auch das Wissen, ob diese Daten rein intern sind oder auch Dritte betreffen, wie zum Beispiel Kunden und Partner. Zu den Risiken gehören:
    • Mailverkehr mit vertraulichen Daten ohne Verschlüsselung
    • Mails mit sensiblen Daten an Unbefugte
    • Speichern von sensiblen Daten auf externen Speichermedien
    • Phishing-Angriffe über Mail und Chats
    • unsichere oder fehlende Passwörter auf Endgeräten wie Laptop und PC
    • Diebstahl von Hardware
    • Einblick in sensible Daten im öffentlichen Raum
    • öffentliches WLAN
    Eine Frau in roter Bluse sitzt an einem Mac und telefoniert via Headset

    Fertig für Sie eingerichtet und startklar: Microsoft 365 Business mit Vodafone Services

    Produktivität steigern. Sicherheit stärken. Und sich dabei komplett auf Ihr Business konzentrieren? Das geht. Unsere Expert:innen helfen mit Ihren Microsoft 365 Business-Lizenzen. So haben Sie Zeit für Ihr Kerngeschäft.

    Jetzt mehr erfahren

    Das Wichtigste zu Copilot und Datenschutz in Kürze

    • Microsoft 365 Copilot ist ein KI-Tool, das viele Aufgaben in Microsoft 365 Business übernehmen kann.
    • Das Tool greift dabei auf dieselben Inhalte zu wie die anfragende Person in Microsoft 365 Business.
    • Deshalb ist es wichtig, dass Personen nur Zugriff auf für sie relevante Daten haben.
    • Erarbeiten Sie zusammen mit Ihren IT-Mitarbeiter:innen ein Sicherheitskonzept für die Nutzung von KI-Tools und Verhaltensweisen im Falle eines Datenlecks.
    • Führen Sie Schulungen Ihrer Mitarbeiter:innen durch, um sie auf die Möglichkeiten und Risiken von Microsoft 365 Copilot vorzubereiten.
    Vodafone-LogoV-Hub Redaktion
    29.01.2024
      # Tags:Microsoft 365OfficeChatbot
      Das könnte Sie auch interessieren:
      Unified Communication
      Junge Frau arbeitet an einem Desktop-PC mit Microsoft Teams

      Microsoft Teams Essentials: Das kann die günstigere Teams-Version

      Microsoft Teams Essentials ist eine preiswerte Kommunikationslösung für kleine und mittlere Unternehmen (KMU) für die Zusammenarbeit in hybriden Arbeitsumgebungen. Teams Essentials ist als Einzelangebot auch ohne Microsoft 365 erhältlich und bietet die meisten Funktionen der Vollversion von Teams, mit einigen Einschränkungen und Grenzen. Lesen Sie hier, was Microsoft Teams Essentials alles kann und wie Sie die günstige Teams-Version optimal nutzen, um Ihre Arbeit in Projektteams so effizient wie möglich zu gestalten. Unter den Lizenz-Angeboten der Kollaborationssoftware Microsoft Teams erfüllt Teams Essentials die Anforderungen an modernes New Work zum kleinen Preis. Unbegrenzte Gruppenbesprechungen online bis zu 30 Stunden, Verfügbarkeit für bis zu 300 Teilnehmende pro Meeting sowie Telefon- und Web-Support zu jeder Zeit – diese Obergrenzen entsprechen bereits dem Funktionsumfang der teureren Angebote Microsoft 365 Business Basic und Business Standard für den KMU-Bereich. Im Vergleich zur Vollversion ist aber beispielsweise der Cloudspeicher auf zehn Gigabyte statt ein Terabyte pro Nutzer:in begrenzt. Eine frühere kostenlose Teams-Version hat Microsoft zum 12. April 2023 eingestellt. Stattdessen gibt es eine neue, funktionsreduzierte Free-Variante, die den Anforderungen einer Geschäftsanwendung aber nicht entspricht. Diese ist für Privatanwender:innen, Vereine und Bildungseinrichtungen gedacht.

      Weiterlesen
      Telefon

      Digitalisierungs-Beratung

      Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

      0800 505 4539

      Hilfe und Service

      Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

      0800 172 1234
      Online
      Vor Ort