Unternehmen setzen zunehmend KI-Tools wie Microsoft Copilot ein, um die Produktivität zu steigern und Abläufe zu optimieren. Copilot ist in Microsoft 365-Anwendungen wie Word, Excel und Teams integriert und soll durch Automatisierung von Routineaufgaben oder Erstellung von Inhalten die Effizienz verbessern. Copilot bietet zwar zahlreiche Vorteile, birgt aber auch Datenschutzrisiken, mit denen sich deutsche Unternehmen auseinandersetzen müssen.
Was ist Microsoft Copilot?
Microsoft Copilot ist ein KI-gestützter Assistent in Microsoft 365-Anwendungen. Durch die Nutzung von LLMs (Large Language Models) wie GPT-4 unterstützt Copilot Benutzer bei der Dokumentenerstellung, Datenanalyse und Meeting-Zusammenfassungen. Copilot automatisiert Routineaufgaben, bietet kontextbezogene Vorschläge und hilft bei der effizienten Organisation von Informationen.
Es kann Benutzeranforderungen verstehen und entsprechende Aktionen ausführen, um Arbeitsprozesse zu optimieren. Zum Beispiel automatisiert Copilot das Verfassen und Formatieren von Texten in Word, bietet in Excel intelligente Analysen und Diagrammvorschläge, erstellt in Teams automatisch Protokolle und Highlights von Besprechungen, sortiert und fasst in Outlook E-Mails zusammen.
Datenschutz-Risiken im Arbeitsalltag
Copilot greift auf alle Daten zu, die ein Benutzer einsehen darf. Dies kann problematisch sein, wenn die Zugriffskontrollen nicht streng genug sind. Unternehmen gewähren oft mehr Zugriff als nötig, was das Risiko von Datenlecks erhöht. Mitarbeiter mit weitreichendem Zugang können ein Risiko darstellen, wenn sie Daten falsch handhaben. Durch die Verwendung von Copilot könnten also sensible Daten das Unternehmen verlassen.
Technische Lösungen
Für die datenschutzkonforme Nutzung des Copiloten müssen Unternehmen ihre Daten sorgfältig klassifizieren. Zugriffsrechte sollten genau kontrolliert werden, damit die KI nur Informationen bearbeitet, auf die die Nutzenden Zugriff haben. Microsoft bietet hierfür das Tool Purview an, das Daten klassifiziert und schützt. Ein effizientes Berechtigungsmanagement muss den Zugriff auf Unternehmensdaten regeln, wobei das Need-to-Know-Prinzip strikt beachtet werden sollte. So können unberechtigte Abfragen vermieden werden. Copilot zeigt grundsätzlich nur Daten an, für die die jeweiligen Nutzer mindestens Anzeigeberechtigungen haben.
Organisatorische Maßnahmen
Beschäftigte müssen über die Risiken des Tools informiert werden, insbesondere bezüglich der Gefahr von Datenabflüssen. Schulungen sollten die Risiken der automatisierten Texterstellung und der Auswertung von Inhalten durch Copilot thematisieren. Interne Unternehmensrichtlinien für den Einsatz von Copilot sollten erstellt und kommuniziert werden. Diese können festlegen, welche Prompts und Verarbeitungsprozesse nicht erlaubt sind, z.B. die automatische Erstellung von Leistungsbewertungen ohne menschliche Überprüfung oder die Überwachung von Kommunikation. Darüber hinaus sollte eine private Nutzung im Unternehmen immer untersagt werden.
Unternehmen müssen klären, welche personenbezogenen Daten von welchen Personen für welche Zwecke durch Copilot verarbeitet werden. Dies betrifft alle in der Microsoft 365 Umgebung vorhandenen Daten, einschließlich Daten von Mitarbeitern, Kunden und Lieferanten. Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist erforderlich, da die Nutzung von Copilot ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellen kann.
Seit dem 06. Mai 2024 stellt die DSK (Datenschutzkonferenz – Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) eine Orientierungshilfe für den Einsatz von KI zur Verfügung. Diese Orientierungshilfe bietet für Verantwortliche, die KI-Anwendungen einsetzen möchten, einen Überblick über die datenschutzrechtlichen Kriterien, die für die datenschutzkonforme Nutzung von KI-Anwendungen zu berücksichtigen sind und sollte bei der Bewertung von Copilot herangezogen werden.
Fazit
Unternehmen nutzen zunehmend Microsoft Copilot in Microsoft 365, um die Produktivität zu steigern. Der KI-gestützte Assistent automatisiert Routineaufgaben und optimiert Arbeitsprozesse. Dies birgt jedoch Datenschutzrisiken, da Copilot auf alle zugänglichen Daten zugreift. Unternehmen müssen ihre Daten klassifizieren, Zugriffsrechte streng kontrollieren und Mitarbeiter über Risiken informieren. Eine Datenschutz-Folgenabschätzung ist notwendig, um hohe Risiken für Betroffene zu erkennen und wenn vorhanden zu beheben.