Kann „MS CoPilot“ Datenschutzkonform verwendet werden?
Der generative Microsoft CoPilot steht kostenfrei zur Verfügung und ist ebenso wie „Microsoft CoPilot with commercial Data Protection“ mit weniger Funktionen und Sicherheitseinstellungen als der „CoPilot for Microsoft 365“ ausgestattet.
Dies bedeutet dass: …
Microsoft CoPilot, auch mit der Lizenz „with commercial Data Protection“,
(„mit kommerziellem Datenschutz“)
nicht Datenschutzkonform (DS-GVO) einsetzbar ist.
Sofern der Microsoft CoPilot (Generativ / with commercial Data Protection) nicht im Zusammenhang mit personenbezogenen Daten eingesetzt wird, ist eine kommerzielle Verwendung, unter beachtung der KI-Verordnung, nicht grundsätzlich ausgeschlossen.
Die eigens entwickelten Lösungen und Assistentenfunktionen des CoPiloten basieren auf dem fortschrittlichen Algorithmus von ChatGPT und sind direkt in den M365 Applikationen, im Webbrowser Edge (Bing) und Windows 11 integriert.
Die Bezeichnung „with commercial Data Protection“ ist bei einer Verwendung mit personenbezogenen Daten absolut irreführend und ist, im Gegensatz zu Microsoft CoPilot 365, nicht Datenschutzkonform einsetzbar.
| MS Copilot | + Bing Chat Enterprise* | + Microsoft 365 Copilot | |
| GPT LLM Model |  |
|
|
| Bing Chat (LLM + Web) | |
|
|
| Commercial Data Protection* | |
|
|
| Enterprise Security, Privacy & Compliance | |
||
| Microsoft 365 Graph (content & context) | |
||
| Microsoft 365 Apps | |
* Die Option Commercial Data Protection mit Bing Chat Enterprise setzt die Lizenz – Microsoft 365 Business Standard, Business Premium oder Enterprise E3 / E5 voraus.
Grundsätzlich ist bei der Einführung von KI-Anwendungen aus Sicht der DS-GVO – also datenschutzrechtlich – folgendes zu beachten
- mit dem Anbieter, sofern dieser die Anwendung betreibt, muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden.
Microsoft bietet in Bezug auf die konkrete Ausprägung seines Copiloten keine Verträge zur Auftragsverarbeitung. Stattdessen wird eine Anwendbarkeit des globalen Microsoft Vertrags zur Auftragsverarbeitung (DPA) sogar ausgeschlossen.
„Datenschutz- und Sicherheitsbestimmungen – Microsoft zu den Ausschlusskriterien unter der Überschrift „Ausnahmen von DPA“.
- Der AV-Vertrag, oder Leistungsvertrag, muss die Zusicherung enthalten, dass die Daten nicht zweckfremd zum Anlernen der KI genutzt werden.
- bei Anbietern mit Sitz außerhalb der EU muss die Zulässigkeit der Drittlands-Übermittlung geprüft werden.
- Die Durchführung einer Datenschutz-Folgenabschätzung vor Anfang der Verwendung einer KI ist unbedingt erforderlich.
- De KI – in diesem Fall Microsoft CoPilot – darf nicht für eine automatisierte Entscheidungsfindung genutzt werden. Eine Verwendung zu Entscheidungen im Hinblick auf Kunden und Mitarbeiter ist somit nicht erlaubt.
- Bei einem Einsatz von einem Chatbot mit einer direkten Wirkung auf Kunden oder Mitarbeiter (Betroffenen) setzt die DSG-VO ausreichende Datenschutzinformationen (Abschnitt 1 – Transparenz und Modalitäten) voraus.
Was Betreiber und Nutzer von Microsoft CoPilot beachten müssen.
Nutzer müssen bei einer Verwendung von den generativen Microsoft CoPilot + Bing Chat Enterprise darauf achten, das keine Unternehmensdaten verwendet werden. Der leistungsstarke KI-Assistent verfügt über umfangreiche Zugriffsrechte auf die unterschiedlichsten Daten im Unternehmen, wie z.B. Teams-Meetings, Excel sowie Word-Datein und E-Mail. Es ist zwar möglich sensible Daten zu klassifizieren und zu sperren, aber dies wird in der Praxis wohl kaum effektiv verwendet werden.
Mit dieser KI ist es möglich, vormals komplizierte und aufwändige Arbeitsgänge – wie etwa die Suche nach Passwörtern, Zugangsinformationen und API-Keys in den Unternehmensdokumenten – durch den KI-Assistenten erledigen zu lassen. Da dieser leistungsstarke KI-Assistent aber auch über umfangreiche Zugriffsrechte auf die unterschiedlichsten Daten hat, könnten auch Dritte einen Zugriff auf diese Daten erlangen.
Fazit:
Verwirrend und für einige überraschend wird sein, das der Einsatz von Microsoft Copilot im kommerziellen Bereich nicht per se ausgeschlossen ist. Sofern diese KI nicht in einem Zusammenhang mit personenbezogenen Daten verwendet wird, ist eine Verwendung, unter beachtung der KI-Verordnung, im Unternehmen durchaus möglich. Dabei muss der Betreiber bzw. der Nutzer jedoch darauf achten das die Zugriffsrechte auf sensible Unternehmensdaten klassifiziert, gesperrt und regelmäßig aktualisiert werden.
Ich rate von einer Verwendung des Microsoft CoPiloten – auch unter der Lizenz „with commercial Data Protection“ – im Unternehmen ab.
Hinweis:
Eine Datenschutzberatung durch mich ersetzt nicht die Rechtsberatung durch einen Juristen, denn auch ein zertifizierter Datenschutzbeauftragter, der laut DS-GVO eine beratende Funktion hat, ist kein Fachanwalt. Dieses bezieht sich auch auf meine Tätigkeit als Datenschutz-Consultant und -Auditor (TÜV),.
Sobald eine Rechtsberatung erforderlich oder gewünscht wird, stelle ich in Absprache mit Ihnen ein Expertenteam zusammen.