Microsoft 365 Copilot und der Datenschutz: Darauf sollten Sie achten

Microsoft 365 Copilot bietet KI-Features, die den Alltag Ihrer Mitarbeitenden erleichtern sollen. Doch wie steht es dabei um den Datenschutz? Hier erfahren Sie, welche Chancen und Herausforderungen sich durch den KI-Helfer ergeben.

Eine Steigerung der Kreativität und Produktivität – und das innerhalb von Sekundenbruchteilen: Das verspricht Microsoft für seinen KI-Assistenten Copilot. Zu beachten ist allerdings, dass die Anwendung dabei auch auf Daten inner- und außerhalb Ihres Unternehmens zugreifen kann. Allein deshalb sollten Sie sich umfänglich über Datenschutz in Microsoft 365 Copilot informieren.

Was ist Microsoft 365 Copilot?

Microsoft 365 Copilot ist ein Produktivitätstool für Microsoft 365 Business, das durch KI gestützt ist und das wir Ihnen an anderer Stelle im V-Hub ausführlich vorstellen. Es soll Nutzer:innen bei ihrer Arbeit unterstützen und aufwendige Aufgaben vorbereiten und vereinfachen.

Diese Aufgaben kann Microsoft 365 Copilot übernehmen

Microsoft 365 Copilot bietet eine Menge an nützlichen Funktionen im Kosmos von Microsoft 365. Hier eine kleine Auswahl der Aufgaben, bei denen Microsoft 365 Copilot Sie unterstützen kann:
  • Texte entwerfen
  • Grafiken erstellen
  • Chats zusammenfassen (maximal die letzten 30 Tage des Chat-Verlaufs)
  • eine PowerPoint-Präsentation anhand von Unternehmensvorlagen erstellen
  • Mail-Antworten korrigieren und Verbesserungsvorschläge geben
  • lange Mail-Verläufe zusammenfassen
  • mögliche Besprechungsthemen generieren und Meetings vorbereiten
  • Live-Transkripte von Anrufen und Video-Calls erstellen
  • Fragen in Besprechungen beantworten (anhand des zuvor erstellten Transkripts)
  • Besprechungen zusammenfassen

Wie arbeitet

Microsoft nutzt folgende Komponenten, um eine Aufgabe über Copilot zu lösen:
  • eine Kombination aus mehreren großen Sprachmodellen; auch „Large Language Models“ (LLMs) genannt
  • Inhalte in Microsoft Graph (Zugriff auf in der Cloud gespeicherte Daten)
  • Inhalte in Microsoft 365-Apps (Zugriff auf freigegebene Inhalte innerhalb der Apps)
Large Language Models mit künstlicher Intelligenz sind durch intensives Training mit verschiedenen Texten in der Lage, Sprache und geschriebene Worte zu verstehen und auf den Vorgaben basierend Aufgaben zu lösen. Sie beantworten so etwa Fragen oder generieren ganze Texte.
Im Fall von Microsoft 365 Copilot sind die LLMs – wie  ChatGPT von OpenAI – vortrainiert und arbeiten anschließend mit den Inhalten aus Microsoft Graph und Microsoft 365. Sie lernen allerdings durch die Inhalte nichts Neues, sondern verarbeiten sie nur. Warum das ein wichtiger Unterschied ist, erklären wir Ihnen weiter unten.

So läuft eine Anfrage in

  1. Eine Person gibt die Eingabeaufforderung „Erstelle mir eine Präsentation aus diesem Dokument“ in Copilot-Anbindung von PowerPoint ein und lädt ein Word-Dokument als Vorlage hoch.
  2. Microsoft 365 Copilot sieht sich an, welche Zugriffsrechte die Person innerhalb des Unternehmens hat.
  3. Zugängliche und relevante Daten werden – neben dem Dokument – für die Bearbeitung der Anfrage an die LLMs geschickt.
  4. Die LLMs erstellen eine Präsentation anhand der vorgegebenen Daten und leiten diese an Copilot zurück.
  5. Copilot bearbeitet die Präsentation zusätzlich anhand festgelegter Parameter. Dazu zählen etwa Datenschutz-, Sicherheits- sowie Compliance-Prüfungen.
  6. Nach der Prüfung wird die erstellte Präsentation in PowerPoint geladen.

Warum ist Datenschutz bei Microsoft 365 Copilot so wichtig?

Wie oben beschrieben greift Microsoft 365 Copilot bei Anfragen auf alle Inhalte zu, auf die die anfragende Person Zugriff hat. Dabei reicht es auch aus, dass die Person Dateien aufrufen kann. Eine Bearbeitungsfreigabe ist nicht notwendig.

Auf diese Daten kann

  • Mails in Outlook
  • Termine in Outlook (eigene und Teamkalender)
  • Chatverläufe in Microsoft Teams
  • Videokonferenzen in Teams
  • Geteilte Dateien im SharePoint
  • Word-Dokumente
  • Präsentationen in PowerPoint
  • Notizen in OneNote
  • Workspaces in Loop

Welche Risiken ergeben sich daraus?

Hat eine Person im Unternehmen umfassende Zugriffsrechte, kann Microsoft 365 Copilot also zahlreiche Daten einsehen. Befinden sich darunter sensible Informationen, kann die KI diese ebenfalls verwenden. Allein deswegen ist es wichtig, den die Datenschutzbestimmungen von Copilot zu kennen und richtig damit umzugehen.
Im Falle von Meetings, die die KI aufzeichnet und transkribiert, können sogar neue sensible Dokumente entstehen. Etwa dann, wenn es in der Besprechung um Interna Ihres Unternehmens ging. Solche Dokumente müssen Sie dann an sicheren Orten ablegen und so vor dem Zugriff durch die KI schützen.
 Arbeiten Sie mit anderen Unternehmen zusammen und teilen sich etwa Dateien in einem gemeinsamen SharePoint, ist der sichere Umgang mit Copilot noch wichtiger. Haben Ihre Mitarbeiter:innen Zugriff auf Daten außerhalb der Organisation, kann Copilot ebenfalls darauf zugreifen.
Allerdings handelt es sich hier nicht nur um Sicherheitsbedenken, die rein durch Microsoft 365 Copilot entstehen. Eine Person mit entsprechenden Zugriffsrechten ist auch so in der Lage, auf sensible Informationen wie Gehälter, Akquisen und Expansionspläne zuzugreifen. Oder eine Person schreibt während des wichtigen Vorstand-Meetings Interna mit. Allerdings verarbeitet die KI ebendiese Daten möglicherweise automatisch, wenn eine Person Copilot nutzt. So entstehen ggf. verdeckte Probleme für die Datensicherheit Ihres Unternehmens.

Welche Maßnahmen trifft Microsoft?

Microsoft ist sich der Tatsache offenbar bewusst, dass Copilot auf viele Daten zugreifen kann. In einem Artikel, der sich rund um Datenschutz und Sicherheit von Copilot dreht, versichert das Unternehmen Folgendes:
  • Microsoft 365 Copilot richtet sich nach den bestehenden Datenschutz-, Sicherheits- und Compliance-Verpflichtungen von Microsoft-Produkten.
  • Microsoft 365 Copilot entspricht zudem der Datenschutz-Grundverordnung (DSGVO) sowie der Datenbegrenzung der Europäischen Union.
  • Alle Eingabeaufforderungen, sowie Antworten und genutzte Daten werden nicht zum Training von LLMs verwendet. Damit sind sämtliche LLMs gemeint und nicht nur die, die Microsoft 365 Copilot aktiv nutzt.
Gerade der letzte Punkt ist essenziell, damit Microsoft 365 Copilot nicht zu einer Datenkrake mutiert. Denn wenn unternehmensinterne Daten die LLM mit Wissen füttern, könnte Microsoft 365 Copilot diese bei anderen Nutzer:innen einsetzen.
Damit das nicht passiert, hat Microsoft weitere technische Vorkehrungen getroffen:
  • Über Microsoft 365 Business sind Kundendaten innerhalb von sogenannten Mandanten isoliert, die auch „Tenants“ genannt werden. Tenants sind Organisationseinheiten, in denen Ihre Lizenzen und Daten in der Cloud gebündelt werden.
  • Innerhalb der Tenants können die Zugriffsberechtigungen einzelner Nutzer:innen oder von ganzen Gruppen geregelt werden. So sehen Nutzer:innen nur das, was sie sehen dürfen.
  • Im Tenant verarbeitete Daten sollen nie in andere Tenants gelangen. Es sei denn, Sie arbeiten mit anderen Unternehmen innerhalb beider Tenants zusammen.
  • Microsoft verwendet diverse Verschlüsselungstechniken für die Datenübertragung innerhalb und zwischen Tenants, zum Beispiel BitLocker, Transport Layer Security und mehr.
Zudem verspricht Microsoft, diese Vorsichtmaßnahmen und Regularien ständig weiterzuentwickeln. Gibt es künftig neue Vorschriften für KI, muss und will das Unternehmen diese auch mit Microsoft 365 Copilot erfüllen. Für Transparenz und weitere Anpassungen sucht Microsoft zudem den Kontakt zu und das Feedback von Kund:innen und Partner:innen.

So schützen Sie Ihre und fremde Daten zusätzlich

Den Schutz Ihrer und fremder Daten sollten Sie dennoch nicht allein Microsoft überlassen. Durch zusätzliche Maßnahmen können Sie die Chance eines Datenlecks weiter verringern und Microsoft 365 Copilot sicher nutzen.

Beschränkung der Zugriffsrechte auf „Need to know“-Basis

Das Bundesamt für Sicherheit und Informationstechnik beschreibt „Need to know“ in einem Leitfaden als eine der „goldenen Regeln für Informationssicherheit“. Das Prinzip besagt, dass jede Person auf so viele Daten wie nötig und gleichzeitig so wenig Daten wie möglich zugreifen können sollte.
Ein Beispiel: Wenn eine Person im Bereich der technischen Produktentwicklung arbeitet, sollte sie Zugriff auf alle Ordner im SharePoint haben, in denen Texte, Bilder und entsprechende Präsentationen abgelegt sind. Dieselbe Person benötigt aber nicht zwingend Zugriff auf Ordner aus den Bereichen HR, Marketing oder Sales. Haben Personen nur Zugriff auf Daten, mit denen Sie wirklich arbeiten müssen, verringert das die Wahrscheinlichkeit einer Datenpanne – egal ob unabsichtlich oder absichtlich. Deshalb sollten Administrator:innen vor Freigabe von Ordnern und Berechtigungen abwägen, welche Zugriffsrechte die jeweilige Person benötigt, um ihre Arbeit zu erledigen.
Diese Regelung gilt besonders im Umgang mit Microsoft 365 Copilot. Denn die KI-Assistenz kann nur auf die Inhalte zurückgreifen, die auch für den/die Nutzer:in freigeben sind. Wenn Sie diese Inhalte vorab beschränken und nur Mitarbeiter:innen ohne Copilot darauf zurückgreifen lassen, kann die KI darauf nicht zugreifen.

Gastzugriffe streng kontrollieren

Gäste können über Microsoft 365 Business Besprechungen wahrnehmen, Dokumente anzeigen und mit Nutzer:innen aus Ihrem Unternehmen kommunizieren. Gerade der Zugriff auf Dokumente kann dabei schnell ein Risiko werden, wenn die Rechte nicht genau überwacht und eingeschränkt werden.
Administrator:innen sollten deshalb die Freigabe nicht für das ganze Unternehmen geben, sondern nur für notwendige Gruppen. Müssen etwa Mitarbeiter:innen eines anderen Unternehmens auf Inhalte aus Ihrer Firma zugreifen, sollte nur ein Ordner mit dem relevanten Content freigegeben werden. Alle anderen Inhalte, selbst ohne sensible Daten, sollten nur internen Zugriff erlauben.

Erarbeiten eines Sicherheitskonzepts für KI-Tools

Bevor Sie Microsoft 365 Copilot in Ihrem Unternehmen einsetzen, sollten Sie zusammen mit Ihrem IT-Team ein Sicherheitskonzept erarbeiten. Darin sollte ersichtlich sein, welche Funktionen Sie im Unternehmen mit Copilot nutzen wollen und welche administrativen Aufgaben sich dadurch ergeben.
In dem Konzept sollten Sie zudem festhalten, welche Risiken Microsoft 365 Copilot birgt; welche Maßnahmen Sie treffen, um Daten zu schützen – und was im Ernstfall passiert. Denn nur so können Sie schnell reagieren, falls es doch zu einem Datenleck in Ihrem oder einem Ihrer Partnerunternehmen kommen sollte.

IT-Präventivmaßnahmen für sensible Daten

Wie bereits erwähnt, sollten Sie Zugriffe von einzelnen Mitarbeiter:innen auf bestimmte Daten beschränken. Zudem können Sie solche Daten aber auch überwachen. Sollte jemand Daten ändern, löschen oder verschieben, bekommen die Administrator:innen eine Benachrichtigung. So können sie frühzeitig auf mögliche Datenschutzverstöße reagieren.
Je nach Größe Ihres Unternehmens kann es sich dabei lohnen, mehrere Tenants (interne Mandanten, siehe oben) in Microsoft 365 Business anzulegen. So sind die Daten einzelner Bereiche – wie des Marketings und des Personalmanagements – voneinander getrennt. Dennoch können Sie einzelne Dateien oder ganze Ordnerstrukturen freigeben, um den Austausch zwischen Unternehmen zu fördern.

Schulungen für alle Mitarbeitenden

Sämtliche Pläne, Vorkehrungen und Anleitung zur Nutzung von Microsoft 365 Copilot sollten Sie offen und klar in Security-Awareness-Trainings kommunizieren. Dabei sollten nicht nur die Vorteile des KI-Helfers im Vordergrund stehen. Nehmen Sie sich Zeit, auch die Herausforderungen und Risiken zu besprechen.
Dank eines vorgefertigten Sicherheitskonzepts können Sie allen Mitarbeiter:innen einen genauen Verhaltenskodex bezüglich KI an die Hand geben. Wenn Sie künftig weitere KI-Tools im Unternehmen nutzen, können Sie die Richtlinien erweitern und anpassen.

Sensibler Umgang mit Daten

Darüber hinaus sollten Sie Ihre Belegschaft in regelmäßigen Abständen darauf hinweisen, mit Daten sensibel umzugehen. Alle Personen im Unternehmen sollten wissen, auf welche Daten sie zugreifen. Dazu zählt auch das Wissen, ob diese Daten rein intern sind oder auch Dritte betreffen, wie zum Beispiel Kunden und Partner. Zu den Risiken gehören:
  • Mailverkehr mit vertraulichen Daten ohne Verschlüsselung
  • Mails mit sensiblen Daten an Unbefugte
  • Speichern von sensiblen Daten auf externen Speichermedien
  • Phishing-Angriffe über Mail und Chats
  • unsichere oder fehlende Passwörter auf Endgeräten wie Laptop und PC
  • Diebstahl von Hardware
  • Einblick in sensible Daten im öffentlichen Raum
  • öffentliches WLAN

Das Wichtigste zu Copilot und Datenschutz in Kürze

  • Microsoft 365 Copilot ist ein KI-Tool, das viele Aufgaben in Microsoft 365 Business übernehmen kann.
  • Das Tool greift dabei auf dieselben Inhalte zu wie die anfragende Person in Microsoft 365 Business.
  • Deshalb ist es wichtig, dass Personen nur Zugriff auf für sie relevante Daten haben.
  • Erarbeiten Sie zusammen mit Ihren IT-Mitarbeiter:innen ein Sicherheitskonzept für die Nutzung von KI-Tools und Verhaltensweisen im Falle eines Datenlecks.
  • Führen Sie Schulungen Ihrer Mitarbeiter:innen durch, um sie auf die Möglichkeiten und Risiken von Microsoft 365 Copilot vorzubereiten.

Quelle:

https://www.vodafone.de/business/blog/microsoft-copilot-datenschutz-20472/?icmp=v-hub-hero:2:microsoft-365-copilot-und-der-datenschutz-darauf-sollten-sie-achten:1