Transparenzhinweis: Dieser Artikel ist auf der Website von SkillSprinters veroeffentlicht. SkillSprinters ist Anbieter einer KI-Weiterbildung und steht damit in einem Wettbewerbsverhaeltnis zu einigen der hier genannten Anbieter bzw. deren Geschaeftsfeldern. Wir bemuehen uns um eine faire Darstellung anhand oeffentlich zugaenglicher Informationen, sind aber nicht neutral. Alle Angaben zu Preisen und Funktionen beruhen auf oeffentlich zugaenglichen Herstellerangaben. Stand der Recherche: April 2026, Angaben ohne Gewaehr. Verbindlich sind ausschliesslich die Angaben der jeweiligen Anbieter.

Der Datenschutz bei Microsoft Copilot im Unternehmen wirft für IT-Leiter, Datenschutzbeauftragte und Betriebsräte eine Reihe gleich bleibender Fragen auf. Wo werden die Daten verarbeitet. Ob Microsoft die Unternehmensdaten für KI-Training verwendet. Was der Betriebsrat verlangen kann und was die Aufsichtsbehörde im Prüfungsfall sehen will.

Dieser Artikel geht die wichtigsten Punkte durch, mit den Einschränkungen, die im Kleingedruckten stehen, und einer konkreten Handlungsempfehlung am Ende.

Wo Ihre Daten verarbeitet werden

Microsoft hat die EU Data Boundary eingeführt, damit Kundendaten europäischer Unternehmen innerhalb der EU verarbeitet und gespeichert werden. Für Microsoft 365 Copilot heißt das: Prompts, Antworten und die Daten, auf die Copilot über Microsoft Graph zugreift, verbleiben grundsätzlich innerhalb der EU-Infrastruktur.

Ab 2026 wird Microsoft die lokale Datenverarbeitung auf weitere Länder ausweiten. Deutschland, Italien, Spanien, Polen und Schweden gehören zu den elf europäischen Ländern, die lokale Copilot-Verarbeitung erhalten sollen.

Einschränkung: Anthropic-Modelle. Seit 2025 setzt Microsoft in Copilot neben OpenAI-Modellen auch Claude-Modelle von Anthropic ein. Anthropic hostet primär auf AWS-Servern in den USA und ist aktuell von der EU Data Boundary ausgenommen. Wenn Copilot eine Anfrage über ein Claude-Modell verarbeitet, können die Daten die EU verlassen.

Rechtliche Grundlage dieses Transfers ist der EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023). Microsoft und Anthropic sind DPF-zertifiziert. Für sensible Daten sollten Sie trotzdem prüfen, wie Sie die Modellauswahl in den Admin-Einstellungen steuern können. Bei vertraulichen Inhalten ist eine Claude-Verarbeitung nach Möglichkeit auszuschließen.

Training mit Ihren Daten: nein

Microsoft bestätigt ausdrücklich, dass Prompts, Antworten und Daten, auf die über Microsoft Graph zugegriffen wird, nicht für das Training von Foundation LLMs verwendet werden. Das gilt für Microsoft 365 Copilot ebenso wie für Microsoft 365 Copilot Chat. Diese Zusage ist Bestandteil der vertraglichen Vereinbarungen (Data Protection Addendum) zwischen Microsoft und seinen Unternehmenskunden.

Zu beachten: Die Zusage gilt für die kommerzielle Version. Die kostenlose Bing-Chat-Variante ist eine andere Baustelle. Stellen Sie sicher, dass Ihre Mitarbeiter die Enterprise-Version nutzen.

Microsoft Purview in der Praxis

Sensitivity Labels

Sensitivity Labels sind das wirksamste Sicherheitsinstrument für den Copilot-Einsatz. Sie klassifizieren Dokumente nach Vertraulichkeitsstufen und steuern, was Copilot mit ihnen tun darf.

Ein Dokument mit dem Label "Streng vertraulich" kann so konfiguriert werden, dass Copilot die Inhalte nicht in Antworten einbezieht. Ein Dokument mit dem Label "Intern" kann von Copilot verarbeitet werden, aber die Ergebnisse dürfen nicht an externe Empfänger weitergegeben werden.

Seit dem Rollout im März und April 2026 blockieren Purview-DLP-Policies die Copilot-Verarbeitung von Dateien mit bestimmten Sensitivity Labels nicht nur in SharePoint und OneDrive, sondern auch in lokal gespeicherten Word-, Excel- und PowerPoint-Dateien. Das ist eine echte Verbesserung gegenüber früheren Versionen, weil der blinde Fleck "lokaler Ordner" damit geschlossen ist.

DLP-Policies für Copilot

Data-Loss-Prevention-Policies lassen sich direkt auf den Copilot-Standort anwenden. Typische Regeln:

Führen Sie Sensitivity Labels vor der Copilot-Einführung ein, nicht danach. Copilot greift auf alles zu, worauf der jeweilige Nutzer Zugriff hat. Ohne Labels gibt es keine Bremse, sondern einen sehr schnell durchsuchbaren Index all Ihrer sensiblen Dokumente.

Admin Controls

Als IT-Administrator haben Sie mehrere Hebel.

Nutzer-Lizenzen. Sie entscheiden, welche Mitarbeiter eine Copilot-Lizenz bekommen. Starten Sie mit einer Pilotgruppe, bevor Sie Copilot unternehmensweit ausrollen.

Datenzugriff. Copilot übernimmt die Berechtigungen des jeweiligen Nutzers. Wenn ein Mitarbeiter keinen Zugriff auf die Personalabteilungsordner hat, kann auch Copilot diese Daten nicht einbeziehen. Prüfen Sie Ihre Berechtigungsstruktur kritisch. In vielen Unternehmen sind die Zugriffsrechte über Jahre gewachsen und stimmen mit dem aktuellen Organigramm nicht mehr überein. Copilot bringt das binnen Tagen ans Licht.

Audit-Protokolle. Microsoft 365 protokolliert Copilot-Interaktionen. Sie können nachvollziehen, wer Copilot wann für welche Aufgabe genutzt hat. Die Protokolle sind auch für die Datenschutzdokumentation relevant.

Opt-Out für spezifische Dienste. Sie können konfigurieren, dass Copilot in bestimmten Anwendungen (zum Beispiel Microsoft Teams Meetings) nicht verfügbar ist.

Betriebsrat und Mitbestimmung

Die Einführung von Microsoft 365 Copilot ist in deutschen Unternehmen mit Betriebsrat mitbestimmungspflichtig. Paragraf 87 Absatz 1 Nummer 6 BetrVG gibt dem Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die zur Überwachung der Leistung oder des Verhaltens der Arbeitnehmer geeignet sind.

Entscheidend ist, dass es nicht darauf ankommt, ob Sie Überwachung tatsächlich beabsichtigen. Die bloße Eignung des Systems reicht aus. Da Microsoft über Viva Insights und das Admin Center Nutzungsstatistiken bereitstellt, die als Leistungsüberwachung interpretiert werden können, fällt Copilot unter diese Regelung.

Binden Sie den Betriebsrat früh ein, idealerweise in der Planungsphase. Klären Sie gemeinsam, welche Nutzungsdaten erhoben werden und wer darauf Zugriff hat, ob und wie Copilot-Interaktionen protokolliert werden, welche Grenzen für die Auswertung von Nutzungsstatistiken gelten und wie mit versehentlich generierten sensiblen Inhalten umgegangen wird.

Eine Betriebsvereinbarung zum Copilot-Einsatz schafft Rechtssicherheit. Bestehende Betriebsvereinbarungen zu Microsoft 365 sind, sofern vorhanden, ein guter Ausgangspunkt.

Datenschutz-Folgenabschätzung

Vor der Einführung sollten Sie eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO durchführen. Rechtlich ist sie nicht in jedem Fall zwingend, aber angesichts der Verarbeitungstiefe und der potenziellen Risiken nachdrücklich zu empfehlen. Die DSFA sollte mindestens diese Punkte abdecken:

Dokumentieren Sie die Ergebnisse gut. Sie sind nicht nur für die Aufsichtsbehörde relevant, sondern auch für den Dialog mit dem Betriebsrat.

Checkliste: 10 Schritte zum DSGVO-konformen Copilot-Einsatz

  1. Berechtigungen aufräumen in SharePoint, OneDrive und Teams, bevor Copilot eingeführt wird.
  2. Sensitivity Labels einführen und Dokumente klassifizieren.
  3. DLP-Policies konfigurieren.
  4. DSFA durchführen und dokumentieren.
  5. Betriebsrat einbinden und Betriebsvereinbarung verhandeln.
  6. Pilotgruppe starten und Erfahrungen sammeln.
  7. Schulungen durchführen, damit Mitarbeiter den Umgang mit Copilot kennen.
  8. Audit-Protokolle aktivieren.
  9. Anthropic-Modelle prüfen: für welche Fälle darf Claude die Verarbeitung übernehmen, für welche nicht.
  10. Vierteljährliche Reviews der Konfiguration und der DLP-Policies einplanen.

Wer die Mitarbeiter nicht nur im Umgang mit Copilot, sondern mit KI-Werkzeugen allgemein fit machen will, findet im kostenlosen KI-Schnupperkurs einen praxisorientierten Einstieg über fünf Lektionen.

Häufige Fragen

Brauche ich eine Einwilligung der Mitarbeiter für den Copilot-Einsatz? Nein, wenn die Verarbeitung auf berechtigtem Interesse (Artikel 6 Absatz 1 lit. f DSGVO) oder der Erfüllung des Arbeitsvertrags basiert. Allerdings müssen Sie die Mitarbeiter nach Artikel 13/14 DSGVO über die Verarbeitung informieren. Zusätzlich ist der Betriebsrat einzubinden.

Kann Copilot auf E-Mails und Chat-Nachrichten zugreifen? Ja. Copilot greift über Microsoft Graph auf die Daten zu, auf die der jeweilige Nutzer Zugriff hat. Das schließt E-Mails, Chat-Nachrichten, Dateien und Kalendereinträge ein. Deshalb ist die Bereinigung der Berechtigungsstruktur so wichtig.

Ist Microsoft als Auftragsverarbeiter zu betrachten? Ja. Microsoft verarbeitet Daten im Auftrag des Unternehmens. Der Data Processing Addendum (DPA) regelt die Auftragsverarbeitung nach Artikel 28 DSGVO. Stellen Sie sicher, dass der aktuelle DPA unterschrieben ist.

Was passiert, wenn Copilot falsche Informationen generiert? Copilot kann halluzinieren, also plausibel klingende, aber falsche Aussagen treffen. Die Verantwortung für die Verwendung der Ergebnisse liegt beim Nutzer und damit beim Unternehmen. Schulen Sie Ihre Mitarbeiter, Copilot-Ergebnisse kritisch zu prüfen.

Können Nutzungsstatistiken für Leistungsbewertungen verwendet werden? Das ist datenschutzrechtlich und arbeitsrechtlich heikel. In der Betriebsvereinbarung sollte ausdrücklich geregelt sein, dass Copilot-Nutzungsdaten nicht für Leistungsbewertungen herangezogen werden. Viva-Insights-Daten sollten nur in aggregierter Form zugänglich sein.

Wie verhalte ich mich, wenn die Aufsichtsbehörde Fragen stellt? DSFA, Betriebsvereinbarung, DLP-Konfiguration und Schulungsnachweise bereithalten. Eine gut dokumentierte, proaktive Herangehensweise wird von Aufsichtsbehörden positiv bewertet.

Bereit für deinen nächsten Karriereschritt?

Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.

Weiterbildung ansehen WhatsApp