Datensicherheit und Datenschutz in Copilot für Microsoft 365

Microsoft Copilot für Microsoft 365 ist ein intelligenter Assistent, der Ihnen hilft, produktiver zu arbeiten. Er nutzt künstliche Intelligenz (KI), um verschiedene Aufgaben zu erledigen und Ihre täglichen Arbeiten einfacher und effizienter zu gestalten. Copilot kombiniert dabei drei wichtige Komponenten:

1. Copilot nutzt KI-Modelle: Diese Modelle verstehen und verarbeiten Sprache, um Ihnen hilfreiche Vorschläge zu machen (Große Sprachmodelle (LLMs)).

2. Copilot greift auf Ihre Daten in Microsoft 365 zu: Das umfasst E-Mails, Chats und Dokumente, auf die Sie zugreifen können (Inhalte in Microsoft Graph).

3. Copilot ist in die bekannten Office-Apps integriert: Dazu gehören Anwendungen wie Word und PowerPoint, die Sie täglich nutzen.

Durch die Zusammenarbeit dieser drei Bereiche kann Copilot Ihnen dabei helfen, schneller und besser zu arbeiten, indem er Ihnen zum Beispiel Texte vorschlägt oder Ihnen hilft, wichtige Informationen zu finden.

Ein zentraler Aspekt bei der Nutzung von Microsoft Copilot ist der Schutz Ihrer Daten. Datenschutz und Datensicherheit sind für Microsoft von größter Bedeutung, um sicherzustellen, dass Ihre persönlichen und geschäftlichen Informationen sicher und geschützt sind. Besonders im Hinblick auf die Datenschutz-Grundverordnung (DSGVO), die strenge Regeln für den Schutz personenbezogener Daten innerhalb der Europäischen Union festlegt, hat Microsoft umfassende Maßnahmen ergriffen, um die Einhaltung dieser Vorschriften zu gewährleisten. In diesem Dokument möchten wir daher besonders auf die Maßnahmen eingehen, die Microsoft zum Schutz Ihrer Daten bei der Nutzung von Copilot ergriffen hat. Wir werden beleuchten, wie Microsoft Copilot Ihre Daten schützt, welche Sicherheitsstandards eingehalten werden und wie die DSGVO-Konformität sichergestellt wird, um Ihre Privatsphäre zu gewährleisten.

Weitere Informationen darüber, wie diese Komponenten zusammenarbeiten, finden Sie in der Microsoft Copilot für Microsoft 365-Übersicht und der Microsoft Copilot für Microsoft 365-Dokumentation.
 

Datensicherheit und Datenschutz in Copilot für Microsoft 365 in Kürze

•  Copilot für Microsoft 365 erfüllt die bereits bestehenden Datenschutz-, Sicherheits- und Compliance-Verpflichtungen von Microsoft gegenüber Unternehmenskunden, die Microsoft 365 nutzen, einschließlich der Datenschutz-Grundverordnung (DSGVO) und der EU-Datengrenze. 

•  Microsoft garantiert, dass die durch Copilot verarbeiteten Daten nicht zum Trainieren der Grundlagen-LLMs (Large Language Models) verwendet werden. Dies gilt auch für die Modelle, die von Microsoft 365 Copilot genutzt werden. Ihre Daten bleiben somit sicher und werden nicht zur Verbesserung von KI-Modellen herangezogen und nicht mit Dritten geteilt.

Copilot für Microsoft 365 berücksichtigt alle bereits in Ihrem Microsoft 365-Mandanten gesetzten Berechtigungen und Compliance-Einstellungen. Damit wird sichergestellt, dass Sicherheits- und Datenschutzvorgaben weiterhin eingehalten werden und Ihre Daten geschützt sind.
 

So verwendet Copilot für Microsoft 365 Ihre Unternehmensdaten

Copilot für Microsoft 365 verknüpft KI-Modelle (Large Language Models) mit Ihren Unternehmensdaten, die in Microsoft 365 gespeichert sind. Über die Microsoft Graph-Schnittstelle greift Copilot auf Inhalte und Kontext zu und kann auf Basis dieser Daten (z.B. Benutzerdokumente, E-Mails, Kalender, Chats, Besprechungen und Kontakte) Antworten generieren. Diese Inhalte werden mit dem aktuellen Arbeitskontext des Benutzers kombiniert, wie z.B. der aktuellen Besprechung, dem E-Mail-Austausch oder den Chatunterhaltungen der letzten Woche. Dadurch entstehen präzise, relevante und kontextbezogene Antworten.

Copilot für Microsoft 365 berücksichtigt alle Berechtigungen, die in Microsoft 365 eingestellt sind. Benutzer erhalten nur Zugriff auf Daten, auf die sie bereits Zugriff haben. Auch Compliance-Richtlinien innerhalb ihres Microsoft 365-Mandanten werden berücksichtigt. Mittels der Berechtigungsmodelle in Microsoft 365 lässt sich sicherstellen, dass Benutzer und Gruppen nur Zugriff auf die Daten erhalten, auf die sie auch Zugriff haben sollen. Copilot berücksichtigt diese Einstellungen.

Alle Daten im Rahmen der Interaktion zwischen Ihnen und Copilot für Microsoft 365 (ihre Eingaben, generierte Antworten sowie abgerufene Daten) bleiben innerhalb der Microsoft 365-Dienstgrenze. Dabei werden alle Datenschutz-, Sicherheits- und Compliance-Verpflichtungen eingehalten. Copilot für Microsoft 365 verwendet zur Verarbeitung die Azure OpenAI-Dienste und nicht die öffentlich verfügbaren OpenAI-Dienste. Azure OpenAI speichert keine Unternehmensdaten und Copilot hat die Eingabeaufforderungen für Copilot für Microsoft 365 angepasst.
 

Copilot für Microsoft 365 und die EU-Datengrenze

Für Copilot gelten dieselben rechtlichen und technischen Sicherheitsstandards wie für Microsoft 365. Dies schließt die vertragliche Verpflichtung von Microsoft zur Datenresidenz innerhalb der EU-Datengrenze ein, wie in den Microsoft-Produktbedingungen und dem Nachtrag zum Datenschutz beschrieben. Die hohen Standards und Schutzmaßnahmen für Daten bleiben somit unverändert.

Microsoft hat Copilot für Microsoft 365 so konzipiert, dass es den strengen Datenschutzbestimmungen der Europäischen Union entspricht. Das Unternehmen verpflichtet sich, keine Kundendaten außerhalb der EU zu übertragen oder zu speichern und hält sich dabei streng an die EU-Datengrenze. Alle Datenverarbeitungsvorgänge finden ausschließlich innerhalb der EU-Grenzen statt, wodurch die Privatsphäre und Sicherheit der europäischen Kunden gewährleistet werden. Durch diese Maßnahmen stellt Microsoft sicher, dass die Datenschutzanforderungen der EU vollständig erfüllt werden und die Kundendaten maximal geschützt sind. Weitere Informationen zur EU-Datengrenze finden Sie hier.
 

Wie schützt Copilot für Microsoft 365 Unternehmensdaten?

Mit dem Berechtigungsmodell in Ihrem Microsoft 365-Mandanten wird sichergestellt, dass Daten nicht versehentlich zwischen Benutzern, Gruppen und Mandanten offengelegt werden. Copilot für Microsoft 365 stellt nur Daten bereit, auf die jede Person mithilfe derselben zugrunde liegenden Berechtigungen zugreifen kann, die auch in anderen Microsoft 365-Diensten verwendet werden. Der semantische Suchindex berücksichtigt die Benutzerberechtigungen, sodass Copilot dem Benutzer nur Daten zugänglich macht, auf die er bereits Zugriff hat. Weitere Informationen finden Sie in den Datenschutzrichtlinien und in der Dokumentation der Microsoft-Dienste.

Wenn Sie über Daten verfügen, die durch Microsoft Purview Information Protection verschlüsselt sind, berücksichtigt Copilot für Microsoft 365 die dem Benutzer gewährten Nutzungsrechte. Diese Verschlüsselung kann durch Vertraulichkeitsbezeichnungen oder eingeschränkte Berechtigungen in Microsoft 365-Apps mithilfe von Information Rights Management (IRM) angewendet werden.

Microsoft hat mehrere Schutzmaßnahmen implementiert, um zu verhindern, dass Kunden Microsoft 365-Dienste und -Anwendungen gefährden oder unautorisierten Zugriff auf Daten anderer Kunden oder das Microsoft 365-System selbst erhalten. Hier sind einige Beispiele für diese Schutzmaßnahmen:

•  Logische Isolierung: Inhalte werden durch Microsoft Entra ID-Autorisierung und rollenbasierte Zugriffskontrolle isoliert.

•  Physische Sicherheit und Verschlüsselung: Strenge physische Sicherheitsmaßnahmen für die Rechenzentren, Hintergrundprüfungen des Personals und mehrschichtige Verschlüsselungsstrategien schützen die Vertraulichkeit und Integrität.

•  Dienstseitige Verschlüsselung: Verschlüsselungstechnologien wie BitLocker, TLS und IPsec sichern gespeicherte Daten und Daten während der Übertragung. Weitere Informationen zur Datenverschlüsselung in Microsoft 365.

•  Datenschutzgesetze und -standards: Microsoft hält sich an Datenschutzgesetze wie GDPR und Standards wie ISO/IEC 27001, ISO/IEC 27018, SOC 1, SOC 2, SOC 3  sowie viele weitere nationale, regionale und branchenspezifische Zertifizierungen.
 

Microsoft schütz Copilot für Microsoft 365-Kunden vor  Urheberrechtsverletzungen

Sollte ein kommerzieller Kunde wegen Urheberrechtsverletzungen verklagt werden, weil er Copilot für Microsoft 365 oder dessen erzeugte Inhalte verwendet, verteidigt Microsoft den Kunden und übernimmt die Kosten für negative Urteile oder Vergleiche. Dies gilt unter der Voraussetzung, dass der Kunde die eingebauten Schutzmechanismen und Inhaltsfilter von Microsoft verwendet hat. Weitere Informationen finden Sie unter "Microsoft kündigt neue Copilot Copyrightverpflichtung für Kunden an".
 

Benutzerinteraktionen mit Copilot für Microsoft 365

Wenn ein Benutzer mit Copilot für Microsoft 365 interagiert (über Apps wie Word, PowerPoint, Excel, OneNote, Loop oder Whiteboard), speichert Microsoft Daten zu diesen Interaktionen. Dazu gehören die Eingaben bzw. Fragen des Benutzers und die Antwort von Copilot, einschließlich der zitierten Informationen. Diese Daten bilden den "Inhalt der Interaktionen" und den Copilot-Interaktionsverlauf des Benutzers. Diese gespeicherten Daten ermöglichen es, den Interaktionsverlauf in Microsoft Copilot nachzuvollziehen. Diese Daten werden verschlüsselt gespeichert und nicht zum Trainieren von KI-Modellen verwendet.

Administratoren können diese gespeicherten Daten über die Inhaltssuche oder Microsoft Purview anzeigen und verwalten sowie Aufbewahrungsrichtlinien für Chatinteraktionen festlegen. Für Microsoft Teams-Chats mit Copilot können Administratoren auch Microsoft Teams-Export-APIs verwenden, um die gespeicherten Daten anzuzeigen.

Benutzer können ihren Copilot-Interaktionsverlauf, einschließlich Eingaben bzw. Fragen und Antworten, über das Portal "Mein Konto" löschen. Weitere Informationen finden Sie unter Löschen des Microsoft Copilot-Interaktionsverlaufs.
 

Webinhalte und Erweiterbarkeit von Copilot für Microsoft 365

Copilot für Microsoft 365 kann Chatantworten mit den neuesten Informationen aus dem Internet (Webinhalte) verbessern, indem es das Webinhalts-Plug-In verwendet, das Informationen aus dem Bing-Suchindex abruft. Administratoren können den Zugriff auf Webinhalte blockieren oder zulassen, und Benutzer haben die Möglichkeit, das Web-Plug-In zu verwenden oder nicht. Darüber hinaus kann Copilot auf Software und Dienste von Drittanbietern (z. B. Salesforce) verweisen, wenn diese über Microsoft Graph-Connectoren oder Plug-Ins eingebunden sind. Administratoren haben volle Kontrolle darüber, welche Plug-Ins in ihrer Organisation zugelassen sind, und Benutzer können nur auf die Plug-Ins zugreifen, die ihr Administrator erlaubt und die sie selbst aktiviert haben.
 

Fazit zu Datensicherheit und Datenschutz in Copilot für Microsoft 365

Copilot für Microsoft 365 ist ein intelligenter Assistent, der durch die Kombination von KI-Modellen, Unternehmensdaten aus Microsoft 365 und Office-Apps die Produktivität erhöht. Dabei ist der Schutz Ihrer Daten von höchster Priorität.

Datenschutz und Sicherheit:

•  Berechtigungen: Copilot berücksichtigt alle in Microsoft 365 eingestellten Berechtigungen und Compliance-Einstellungen. Nur Benutzer mit entsprechenden Zugriffsrechten können auf die Daten zugreifen.

•  Datenspeicherung: Alle Interaktionsdaten bleiben innerhalb der Microsoft 365-Dienstgrenze und werden verschlüsselt. Diese Daten werden nicht zur Schulung von KI-Modellen verwendet.

•  Schutzmaßnahmen: Microsoft hat umfassende Schutzmaßnahmen implementiert, darunter logische Isolierung durch Microsoft Entra ID, physische Sicherheit, dienstseitige Verschlüsselung und Einhaltung von Datenschutzgesetzen wie der GDPR und Standards wie ISO/IEC 27001.

Europäische Datenschutzanforderungen:

• EU-Datengrenze: Microsoft garantiert, dass alle Datenverarbeitungsvorgänge innerhalb der EU stattfinden und die Datenresidenz innerhalb der EU-Datengrenze sichergestellt ist.
 

Urheberrechtsschutz:

•​​​​​ Copyright-Verpflichtung: Microsoft verteidigt kommerzielle Kunden bei Urheberrechtsklagen im Zusammenhang mit der Nutzung von Copilot und übernimmt die Kosten für negative Urteile oder Vergleiche, sofern die Schutzmechanismen und Inhaltsfilter genutzt wurden.
 

Interaktions- und Erweiterungsverwaltung:

•​​​​​ Interaktionsverlauf und Verwaltung: Benutzerinteraktionen mit Copilot für Microsoft 365 werden gespeichert, um den Verlauf nachzuvollziehen, und können von Administratoren verwaltet und gelöscht werden.

• Verwaltung von Webinhalten und Drittanbieter-Integration: Copilot kann Chatantworten durch Informationen aus dem Bing-Suchindex verbessern und auf Software und Dienste von Drittanbietern verweisen. Administratoren können diese Einstellung per Richtlinie steuern.