Datenschutz bei Microsoft 365 Copilot

31.01.2024. 10:32

 

Was ist Microsoft 365 Copilot überhaupt?

Microsoft 365 Copilot ist eine Assistentenfunktion mit künstlicher Intelligenz für Microsoft 365-Anwendungen und -Dienste, zu denen die Produktivitätssuite mit Programmen wie Word, Excel, PowerPoint und Outlook gehört.

Microsoft Copilot ist als kostenpflichtiges Zusatz-Abo für die Abonnements Microsoft 365 E3, E5, Business Standard und Business Premium verfügbar. 

Insofern handelt es sich nicht um eine einzelne Anwendung, sondern es wird zu jedem einzelnen Microsoft Dienst einen Copiloten geben. Copilot verwendet eine Kombination aus LLMs, einem KI-Algorithmus (Künstliche Intelligenz), der Deep Learning- Techniken und umfangreiche Datasets, um Inhalte zu verstehen, zusammenzufassen, vorherzusagen und zu generieren. Die LLMs enthalten vortrainierte Modelle, z. B. GPT-4 von OpenAI.

Die Besonderheit von Copilot soll darin liegen, dass die LLMs nicht wie üblich Inhalte auf Basis beliebiger Datenquellen generieren, sondern durch einen Echtzeitzugriff auf die Daten des jeweiligen Geschäftskunden unternehmensspezifische und kontextbezogene Antworten erzeugen.

Microsoft Copilot koordiniert folgende Komponente:

  • Große Sprachmodelle (LLMs),
  • Inhalte, auf die über Microsoft Graph zugegriffen wird, wie z.B. E-Mails, Chats und Dokumente (für die ein Beschäftigter die Berechtigung hat),
  • die Microsoft 365-Apps, die täglich im Unternehmen genutzt werden, wie Word, Excel, Teams, PowerPoint und andere.

 

Weitere Informationen, wie diese Komponenten zusammenarbeiten findet man hier: https://learn.microsoft.com/de-de/microsoft-365-copilot/microsoft-365-copilot-overview

 

Ich selber nutze Microsoft Copilot nicht, die grundsätzliche Funktionsweise kann man sich aber wohl so vorstellen, das die Eingaben der Nutzers in der der jeweiligen Anwendungen (z.B. Word) zusammen mit dem Geschäftskontext des Nutzers und im Rahmen seiner Nutzerberechtigungen erfasst werden, um daraus dann mithilfe von LLM (z.B. GPT 4) eine Antwort zu generieren und diese an den Anwender über seine Anwendung zurück zu liefern.

 

Datenschutzrechtliche Risiken

Im Zusammenhang mit diesen neuen Funktionen können sich natürlich auch datenschutzrechtliche Risiken ergeben. Entscheidend ist hier aber die individuelle Nutzung im Unternehmen und die Umstände des Einzelfalls.  

Das größte Risiko im Einsatz dürfte darin bestehen, dass dem Anwender nicht bewusst sein wird, welche konkreten Daten alles für die Antwort herangezogen wurde. Einerseits können in Dokumenten auch Metainformationen sein, die gar nicht unbedingt dem Nutzer zugehörig sind, z.B. bei Vorlagen, die ihm zur Verfügung gestellt wurden. Auch können die Zugriffsrecht im Einzelfall mal nicht korrekt vergeben worden sein. Der Kreis der betroffenen Personen ist insofern nicht immer eingrenzbar.

Die Rechtsgrundlage bei der Verwendung der aktuellen Aufgaben muss auch nicht zwingend mit der Rechtsgrundlage der mal erhaltenen Daten matchen. Daten von bisherigen Kunden können nicht beliebig für vertragsfemde Aspekte genutzt werden. Der Personenbezug muss daher immer im Auge behalten werden.

 

Erforderlichkeit einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO?

In bestimmten Fällen sieht das Europäische Datenschutzrecht die Durchführung einer Datenschutz-Folgenabschätzung vor. Die Abwägung, wann dies der Fall ist, ist vielschichtig. Neben den in Art. 35 DSGVO genannten Fallgruppen gibt es noch Positivlisten und Kriterienkataloge von den EU-Institutionen. Hier spricht im Ergebnis viel dafür, eine DSFA durchführen zu müssen, da es sich um die Verwendung von einer neuen Technologie, welche eine Vielzahl von personenbezogenen Daten verarbeiten und dadurch zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führen kann. 

 

Maßnahmen beim Einsatz von Mircosoft Copilot

Welche Maßnahmen insgesamt beim Einsatz von Mircosoft Copilot sinnvoll oder gar erforderlich sind wird sich zeigen. Da hier Daten verwendet werden können, die möglicherweise nicht verwendet werden sollten oder verwendet werden dürften, sollten die Zugriffsrechte regelmäßig geprüft werden um einen Datenabfuss zu verhindern.

Eine Schulung der Nutzer generell zum Thema KI und speziell hier zu Microsoft Copilot ist ebenfalls zu empfehlen.

 

 

 

 

 

Das könnte Sie auch interessieren

05 Oktober 2020

Bewertung der Datenschutzkonferenz…

Bewertung der Datenschutzkonferenz (DSK) zu Microsoft Office365 negativ

Mehr Erfahren