Microsoft Copilot – was Datenschützerinnen zum neuen KI-Begleiter in Office 365 wissen sollten
Was ist Microsoft Copilot?
Microsoft umwirbt die neue Erweiterung Copilot der Microsoft 365-Anwendungen als täglichen KI-Begleiter. Zusammengefasst werden mit Copilot alle Microsoft 365-Anwendungen und -Dienste, wie z.B. Word, Excel, PowerPoint und Outlook, um entsprechende KI-gestützte Assistentenfunktionen erweitert.
Nach Aussage von Microsoft verwendet Copilot dazu große Sprachmodelle (Large Language Modells, kurz LLMs), also ein Typ von künstlicher Intelligenz, der darauf trainiert ist, natürliche menschliche Sprache zu verstehen und zu generieren. Neben der bereits verbreiteten Open AI-Anwendung Chat GPT finden damit weitere LLMs Einzug in die Mitte des Berufsalltags.
Microsoft Copilot unterstützt Nutzerinnen in der 365-Umgebung bei der Durchführung täglicher Aufgaben, z.B. Erstellung von Korrespondenzen, Durchführung von Recherche, Angebotserstellung, und so weiter. Vereinfacht dargestellt werden Eingaben von Nutzerinnen im Geschäftskontext anhand der Berechtigungen erfasst, an ein LLM gesendet, und dort eine Antwort generiert. Wesentlicher Mehrwert ist dabei, dass Inhalte auf Grundlage bestehender Informationen vorbereitet werden, die von Nutzerinnen einfach übernommen oder weiterbearbeitet werden können. Somit müssen Inhalte nicht immer manuell erarbeitet werden.
Datenschutzrechtliche Bedenken am Einsatz von Copilot
Durch die vielfältigen Einsatzmöglichkeiten von Copilot ist eine pauschale Einschätzung zum Datenschutz nicht möglich. Allerdings führt der Einsatz der KI-Anwendungen zu bekannten datenschutzrechtlichen Risiken, die vor Einsatz bewertet werden sollten. Für die Bewertung ist zunächst festzustellen, dass die Datenverarbeitung potenziell alle personenbezogenen Daten sowie sonstige Informationen umfasst, die in der Microsoft 365 Umgebung (Word, Excel, PowerPoint, Outlook, etc.) vorhanden sind. Eine Bewertung der Verarbeitungszwecke orientiert sich somit stets am jeweiligen Anwendungsfall.
Datenschutzrechtlich bedenklich für den Einsatz von KI-Anwendung ist vor allem die Verwendung von Daten zu anderen Zwecken, als solche für die sie erhoben worden sind (Grundsatz der Zweckbindung). Als Assistenztool führt Copilot regelmäßig Daten aus verschiedenen Quellen zusammen, um neue Inhalte zu generieren. Weiterhin können Daten aus allen Quellen zu Trainingszwecken genutzt werden, was gegebenenfalls eine Zweckänderung iSd Art. 6 Abs. 4 DSGVO darstellen kann. Die weitgehenden Zugriffsrechte durch Copilot können somit ein datenschutzrechtliches Risiko darstellen.
Weiterhin sollten die Risiken der KI-Nutzung in Form einer Datenschutz-Folgenabschätzung bewertet werden. Die Einbindung einer KI-Assistenz in den Arbeitsalltag kann unvorhergesehene Konsequenzen mit sich bringen, z.B. die Automatisierung von Prozessen, die eigentlich eine manuelle Entscheidung benötigen (Stichwort „Automatisierte Entscheidungsfindung“). Zudem kann auch die Zusammenführung von Daten als verschiedenen Quellen neue Risiken für betroffene Personen kreieren, wenn unvorsichtigerweise persönliche Informationen in den 365-Anwendungen geteilt werden, z.B. persönliche Daten der Mitarbeitenden.
Aussagen von Microsoft zu Copilot
Microsoft begegnet datenschutzrechtlichen Bedenken auf ihrer eigene Infoseite. Zunächst sollen Nutzerinnen zur Generierung von neuen Inhalten nur auf solche Organisationdaten zugreifen, für die mindestens Ansichtsberichtigungen bestehen. Dem Risiko der unkontrollierten Datenzusammenführen soll mit einer sauberen Trennung der Berechtigungen entgegengewirkt werden. Weiterhin sollen Nutzerinnen und Administratorinnen in der Lage sein, Interaktionsverläufe mit Copilot zu löschen, die unter anderem Eingabeaufforderungen und Antworten enthalten, die Copilot zurückgibt.
Der Hauptverkaufsgrund ist allerdings das Versprechen Microsofts an Kunden die eigenen Daten isoliert von anderen Kunden oder gar Microsoft selbst zu verarbeiten. Eine logische Isolation von Kundeninhalten soll verhindern, dass nicht autorisierte Zugriffe auf andere Mandanten oder das Microsoft 365 System selbst erfolgen. Zudem sollen Informationen über Copilot nicht durch Microsoft selbst genutzt werden, um LLMs grundlegend zu trainieren.
Maßnahmen und Empfehlungen
Vor der Einbindung von Copilot empfehlen wir Ihnen eine datenschutzrechtliche Risikobewertung durchführen, um sowohl Ihren datenschutzrechtlichen Pflichten nachzukommen als entstehende Risiken für betroffene Personen einzudämmen. Prüfen Sie die Dokumentation von Microsoft und treffen Sie empfohlenen technischen Maßnahmen zur Konfiguration der Datenzugriffe. Darüber hinaus sollten Sie auch organisatorische Maßnahmen für Mitarbeitende treffen, damit diese Leitlinien haben, wie Microsoft Office Anwendungen zukünftig verwendet werden sollen.