Datenschutz Verstehen – Microsoft Copilot Datenschutz
Einleitung
Die KI-gestützte Lösung Microsoft 365 Copilot (nachfolgend Copilot) verspricht, die Produktivität durch fortschrittliche Assistenzfunktionen in den gängigen Microsoft-Anwendungen zu steigern. Doch bei aller Begeisterung für die neuen Möglichkeiten ergeben sich auch berechtigte Fragen hinsichtlich der Datenschutzrisiken. In diesem Blogbeitrag beleuchten wir, was Microsoft 365 Copilot genau ist, wie es Ihre Arbeitsweise verändern kann und warum ein genauer Blick auf die Datenschutzaspekte unerlässlich ist. Wir gehen den Fragen nach, welche Daten gesammelt werden, wie diese verarbeitet und geschützt werden und wie sich Unternehmen und Einzelpersonen gegen potenzielle Datenschutzrisiken wappnen können, um die Vorteile von Microsoft 365 Copilot bedenkenlos zu nutzen.
Was ist Microsoft 365 Copilot?
Microsoft 365 Copilot ist eine auf künstlicher Intelligenz basierende Verarbeitungs- und Orchestrierungs-Engine, die Benutzerinnen und Benutzer bei verschiedenen Aufgaben unterstützen kann und so deren Produktivität steigern soll. Die Plattform kombiniert umfassende Diagnosen, automatisierte Lösungen und Empfehlungen in Echtzeit, um die Leistung, Sicherheit und Zuverlässigkeit von Microsoft 365 Umgebungen zu verbessern. Microsoft 365 Copilot kann für Microsoft 365 Anwendungen und Dienste, sowie für Windows 11 und Microsoft Bing genutzt werden. Für jeden Microsoft Dienst gibt es einen individuellen Copilot.
Die Plattform bietet die Möglichkeit für Chat, Videokonferenzen und gemeinsames Bearbeiten von Dokumenten. Ziel ist die Verbesserung der Kommunikation innerhalb von Teams.
Der Unterschied zu anderen künstlichen Intelligenzen besteht darin, dass Copilot unmittelbar die Daten der jeweiligen Geschäftskunden per Schnittstelle mittels Microsoft Graph sammelt und so unternehmensspezifische und kontextbezogene Antworten geben kann.
Wie verarbeitet Copilot Daten?
Microsoft 365 Copilot nutzt eine Kombination aus Large-Language-Modellen (LLMs), einem KI-Algorithmus (Künstliche Intelligenz), der Deep Learning-Techniken und umfangreiche Datasets verwendet, um Inhalte zu verstehen, zusammenzufassen, vorherzusagen und zu erzeugen. Diese LLMs enthalten vortrainierte Modelle, z. B. Generative Pre-Trained Transformers (GPT) wie GPT-4, die für diese Aufgaben konzipiert sind.
Bei LLMs (Large Language Models, dt. großes Sprachmodell) handelt es sich um ein Sprachmodell, das menschenähnliche Sprache verstehen, erzeugen und darauf reagieren kann. Bekannt ist zum Beispiel ChatGPT von OpenAI.
Zunächst werden die Daten von der KI erfasst und aus verschiedenen Quellen innerhalb der Microsoft 365 Umgebung gesammelt. Dazu gehören beispielsweise Protokolldateien, Metriken zur Nutzung von Diensten wie Exchange Online und SharePoint Online, Konfigurationsdaten und Sicherheitsereignisse.
Die gesammelten Daten werden dann für Analysezwecke aggregiert und anonymisiert, um persönliche Informationen zu entfernen oder zu verschleiern. Dies verbessert die Privatsphäre der Benutzerinnen und Benutzer.
Mithilfe von künstlicher Intelligenz und maschinellem Lernen analysiert das Tool die gesammelten Daten, um Erkenntnisse und Empfehlungen zu generieren. Dies kann die Erkennung von Leistungsproblemen, Sicherheitsrisiken oder Optimierungsmöglichkeiten umfassen. Die Analyseprozesse sollen nach Möglichkeit nur die Daten und Informationen verwenden, die für die Erzeugung von Antworten erforderlich sind.
Microsoft 365 Copilot übernimmt die Antwort vom LLM und bearbeitet diese nachträglich. Dies umfasst weitere Groundingaufrufe an Microsoft Graph, KI-Prüfungen, Sicherheits-, Compliance- und Datenschutzprüfungen sowie die Befehlsgenerierung.
Wenn die Nachbearbeitung abgeschlossen ist, werden die erzeugten Erkenntnisse an die App zurückgesendet. Nun kann der Nutzer oder die Nutzerin die Antwort überprüfen und bewerten.
Datenschutzrisiken beim Einsatz von Copilot
Neben den vielfältigen Vorteilen von Microsoft 365 Copilot, entstehen auch erhebliche Risiken bezüglich des Datenschutzes. Microsoft 365 Copilot benötigt Zugriff auf verschiedene Daten und Metriken innerhalb der Microsoft 365 Umgebung, um seine Analysefunktionen durchzuführen. Microsoft kann dabei auf alle Daten, die in einen Microsoft Dienst vorhanden sind, also alles, woran jemals in Microsoft gearbeitet wurde, zugreifen und die Daten nutzen.
Dies kann sensible Informationen über Benutzeraktivitäten, Konfigurationen und Sicherheitsereignisse umfassen. Es ist daher wichtig sicherzustellen, dass der Zugriff und die Speicherung dieser Daten den Datenschutzbestimmungen entsprechen und angemessen geschützt sind. Nutzt man Copilot erhält Microsoft direkten Zugriff auf alle Daten innerhalb der Microsoft 365 Umgebung, sofern die Daten vom Nutzenden nicht klassifiziert wurden. Die Microsoft Umgebung beinhaltet außerdem nicht nur die Daten der jeweiligen Nutzerin oder des Nutzers, sondern auch Daten von Kund*innen oder Lieferant*innen. Zudem ist es unklar, wie die KI und der Algorithmus von Microsoft Copilot genau funktionieren und wie die Daten verarbeitet werden. Hier fehlt es an einer Rechtsgrundlage, da der oder die Verantwortliche nicht befugt ist, die Daten an ein LLM zu übermitteln.
Die Rechtsgrundlage hängt von der Art der Verarbeitung und dem Zweck ab. In Betracht kommt die Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO), die Verarbeitung zur Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b) DSGVO) oder ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DSGVO). Beim berechtigten Interesse wird es in der Regel problematisch sein, eine starke Interessensbegründung zugunsten des Verantwortlichen zu erstellen und zudem den Verpflichtungen aus Art. 12 ff. DSGVO nachzukommen.
Es gibt verschiedene Angebote für den Copilot. Für Unternehmen kommt üblicherweise nur “Copilot für Microsoft 365” in Frage. Hier werden das „Microsoft Customer Agreement“ (MCA) und das „Data Processing Addendum“ (DPA) mit einbezogen. Zudem können bestimmte Berufsgruppen, wie Ärzte und Ärztinnen oder Anwälte und Anwältinnen Zusatzvereinbarungen für Berufsgeheimnisse treffen.
Datenschutzmaßnahmen für konformen Einsatz von Copilot
Für einen datenschutzkonformen Einsatz von Microsoft 365 Copilot ist zunächst die Nutzung der adäquaten Version des Dienstes erforderlich. Ist diese nicht verfügbar, dürfen keine personenbezogenen Daten oder Geschäftsgeheimnisse von Microsoft 365 Copilot verarbeitet werden.
Zudem sollten die Daten vom Nutzenden klassifiziert werden, damit sensible Dokumente nicht in das LLM gelangen. Bei der Datenklassifizierung werden Daten anhand ihres Vertraulichkeitsgrades kategorisiert. Die Daten können zwischen öffentlich und streng vertraulich sortiert werden. Dadurch können besonders sensible Daten besser geschützt werden.
Das Risiko ist stark von den individuellen Einstellungen und Nutzung der Benutzerin oder des Benutzers abhängig. Wichtig ist insbesondere, dass der Nutzer oder die Nutzerin das Berechtigungskonzept individuell anpasst, damit Copilot nur auf die Daten Zugriff hat, für die dies erforderlich ist.
Ein datenschutzkonformer Einsatz von Microsoft 365 Copilot ist möglich, erfordert jedoch eine intensive Prüfung und Dokumentation. Mitarbeitende sollten zudem im Umgang mit dem Tool geschult werden. Eine unrechtmäßige Einbindung des Dienstes kann unter Umständen Strafen und hohe Bußgelder nach sich ziehen. Folgende Punkte sollten berücksichtigt werden:
- Dokumentenklassifizierung: Durch die Klassifizierung (z.B. “personenbezogen”, “vertraulich” etc.) kann gesteuert werden, welche Daten durch Copilot verarbeitet werden.
- Berechtigungskonzept: Berechtigungen eines Nutzers sorgen für Zugriff durch Copilot. Daher sollten Berechtigungen nur zweckgebunden vergeben werden.
- Einbeziehung des Datenschutzbeauftragten: Der Datenschutzbeauftragte sollte frühzeitig involviert werden, um alle Vertragsunterlagen zu prüfen und bereits die notwendige Dokumentation (siehe unten DSFA) anzufertigen.
Datenschutzfolgenabschätzung für Microsoft Copilot
Eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO ist immer dann erforderlich, wenn eine Datenverarbeitung ein hohes Risiko für die betroffenen Personen darstellt und ist ein wichtiger Teil der datenschutzkonformen Einführung eines neuen Tools, insbesondere wenn künstliche Intelligenzen viele personenbezogene Daten verarbeiten. Daher ist bei der Implementierung von Microsoft 365 Copilot eine Datenschutzfolgenabschätzung unbedingt erforderlich.
Eine Datenschutzfolgenabschätzung ist eine intensive Gegenüberstellung von Risikoszenarien und den getroffenen Maßnahmen zum Schutz personenbezogener Daten.
Es ist wichtig zu beachten, dass die DSFA nicht nur eine einmalige Aufgabe ist, sondern regelmäßig wiederholt werden sollte, insbesondere wenn sich die Datenverarbeitung ändert oder neue Risiken auftreten. Bei der Durchführung einer DSFA sollten verschiedene Aspekte berücksichtigt werden, darunter:
- Art der verarbeiteten Daten: Es ist wichtig zu verstehen, welche Arten von personenbezogenen Daten von der Datenverarbeitung betroffen sind und welche Sensibilität sie haben. Je sensibler die Daten, desto höher ist das Risiko für die betroffenen Personen.
- Umfang der Datenverarbeitung: Die DSFA sollte den gesamten Prozess der Datenverarbeitung umfassen, einschließlich der Erfassung, Speicherung, Nutzung und Weitergabe der Daten.
- Identifizierung potenzieller Risiken: Es müssen mögliche Risikoszenarien identifiziert werden, die sich aus der Datenverarbeitung ergeben könnten, wie etwa unbefugter Zugriff, Datenverlust oder Datenschutzverletzungen.
- Bewertung der Risiken: Die identifizierten Risiken müssen bewertet werden, um ihre Wahrscheinlichkeit und ihre potenziellen Auswirkungen auf die betroffenen Personen zu bestimmen.
- Maßnahmen zur Risikominimierung: Basierend auf der Bewertung der Risiken müssen angemessene Maßnahmen ergriffen werden, um das Risiko zu minimieren. Dazu können technische und organisatorische Maßnahmen wie Verschlüsselung, Zugriffskontrollen und Schulungen der Mitarbeiter gehören.
- Dokumentation: Alle Schritte der DSFA sollten dokumentiert werden, einschließlich der identifizierten Risiken, der ergriffenen Maßnahmen und der Gründe für diese Entscheidungen. Diese Dokumentation dient als Nachweis für die Einhaltung der Datenschutzbestimmungen.
Wie man eine DSFA durchführt, erfahren Sie hier.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
