Microsoft Copilot für Microsoft 365 - ist eine datenschutzkonforme Verwendung möglich?
Was ist der Microsoft Copilot für Microsoft 365?
Microsoft Copilot für Microsoft 365 ist gemäß der Dokumentation von Microsoft ein „innovatives KI-Produktivitätswerkzeug“, welches Ihre Arbeit in Microsoft 365-Anwendungen revolutionieren soll. Es integriert fortschrittliche Sprachmodelle (unter anderem GPT-Modelle, welche Microsoft dank seiner Unternehmensanteile an OpenAI verwenden kann) und kombiniert diese Technik mit Zugriffen auf Microsoft Graph-Inhalte für die von Ihnen bevorzugten Apps wie Word, Excel, PowerPoint, Outlook und Teams, um nach den Aussagen von Microsoft Ihre Produktivität zu maximieren. Copilot unterstützt Sie bei der Erstellung von Inhalten, bietet intelligente Vorschläge und erleichtert die Zusammenarbeit. Dabei hat der Copilot Fähigkeiten zur Generierung kreativer Ideen, zur Erstellung von Grafiken und zum Zusammenfassen von Besprechungsnotizen – und vieles mehr.
Was gibt es zu beachten?
Bei der Nutzung von Microsoft Copilot für Microsoft 365 steht im Kontext der DSGVO die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) im Vordergrund. Diese Pflicht ergibt sich aus Artikel 35 DSGVO, welcher besagt, dass bei Verarbeitungsvorgängen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen könnten – insbesondere bei Einsatz neuer Technologien wie Copilot – eine solche Abschätzung vorab erforderlich ist.
Copilot stellt eine Form der Datenverarbeitung dar, die durch ihre Neuheit und die Komplexität der verwendeten Technologien gekennzeichnet ist. Daher müssen Unternehmen und Organisationen die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung genau definieren und bewerten, um das potenzielle Risiko für die Rechte und Freiheiten der betroffenen Personen zu ermitteln.
Bewertung gemäß Artikel 35 DSGVO
In diesem Abschnitt führen wir eine Bewertung gemäß Artikel 35 DSGVO durch, um die folgenden Aspekte zu untersuchen:
Copilot ist zweifellos eine Form der Datenverarbeitung, da es Nutzerinteraktionen analysiert und darauf basierend Antworten generiert oder Aktionen ausführt.
Die Einordnung von Copilot als neue Technologie ergibt sich aus der Nutzung fortschrittlicher KI-Algorithmen, die über die konventionelle Datenverarbeitung hinausgehen und kontinuierlich lernen und sich anpassen.
Die Art, der Umfang, die Umstände und die Zwecke der Datenverarbeitung durch Copilot müssen detailliert festgelegt werden, um den Kontext und die Grenzen seiner Funktionsweise zu verstehen und zu definieren.
Eine vorläufige Einschätzung deutet darauf hin, dass, solange keine personenbezogenen Daten verarbeitet werden, das Risiko für die Rechte und Freiheiten natürlicher Personen als gering eingestuft werden kann. Diese Bewertung muss jedoch durch eine gründliche Analyse bestätigt werden.
Microsoft Copilot für Microsoft 365: Mögliche Folgen einer Risikobewertung (DSFA)
Falls die Einschätzung ein geringes Risiko aufzeigt – etwa wenn keine personenbezogenen Daten verarbeitet werden oder Nutzer ihre Daten vollständig freiwillig und bewusst bereitstellen, wirkt sich dies positiv auf den Einsatz von Microsoft Copilot für Microsoft 365 aus. Schließlich soll und muss aber zuvor sichergestellt werden, dass alle Risiken erkannt und angemessen adressiert werden.
Welche Maßnahmen führen nun dazu, dass der Microsoft Copilot für Microsoft 365 eingesetzt werden kann?
Basierend auf diesen Erkenntnissen wird die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) empfohlen, um alle potenziellen Risiken vollständig zu identifizieren und zu bewerten. Zudem sollten unter anderem Schulungsprogramme und Datenschutzrichtlinien entwickelt werden, um Nutzer und Verantwortliche über den sicheren und verantwortungsvollen Umgang mit Copilot zu informieren, um erst gar nicht in die Problematik zu gelangen, dass der Microsoft Copilot für Microsoft 365 Konflikte mit der DSGVO hervorruft. Wir empfehlen daher dringend folgende Maßnahmen:
Der Einsatz von Copilot sollte gezielt auf bestimmte Projekte oder Aufgaben in der Organisation beschränkt werden, bei denen das Risiko der Verarbeitung sensibler oder personenbezogener Daten minimal oder bestenfalls gar nicht erst vorhanden ist.
Mitarbeiter sollten zwingend vor dem Einsatz geschult werden. Etwa um zu verstehen, welche Daten sie in Interaktionen mit Copilot überhaupt eingeben dürfen – aber viel wichtiger, welche Daten nicht eingegeben werden dürfen. Das Bewusstsein für den Datenschutz muss vor der Nutzung unbedingt gestärkt werden, um sicherzustellen, dass keine sensiblen oder personenbezogenen Informationen unbeabsichtigt verarbeitet werden.
Es sollten vor der Einführung klare Nutzungsrichtlinien erstellt werden. Diese sollten definieren, wie und in welchem Kontext bzw. Umfang Copilot verwendet werden darf. Diese Richtlinien sollten auch Verfahren zur Überwachung der Einhaltung und zur Behandlung von Datenschutzverletzungen umfassen.
Vor der Implementierung von Copilot sollte unbedingt eine Datenschutz-Folgenabschätzung durchgeführt werden, um potenzielle Risiken zu identifizieren und zu minimieren. Das ergibt sich bereits aus der in diesem Artikel aufgeführten Bewertung.
Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der verarbeiteten Daten zu gewährleisten und den Zugang zu Copilot entsprechend zu kontrollieren.