Was die DSGVO von Ihnen verlangt — bevor Copilot live geht
|
📋 MANAGEMENT SUMMARY — Was Sie in 5 Minuten wissen müssen |
|---|
|
Copilot ist aus Datenschutzsicht kein harmloses Produktivitätstool. Es ist ein System, das personenbezogene Daten in großem Umfang verarbeitet — E-Mails, Chats, Dokumente, Kalendereinträge, Aktivitätsprotokolle. Wer Microsoft 365 Copilot einführt, ohne die DSGVO-Anforderungen systematisch abzuarbeiten, riskiert erhebliche Bußgelder, Unterlassungsverfügungen und das Vertrauen der eigenen Belegschaft. Erstens: Microsofts Auftragsverarbeitungsvertrag (DPA) deckt die Verarbeitung durch Microsoft ab — aber nicht Ihre eigenen Compliance-Pflichten. Sie bleiben Verantwortlicher im Sinne der DSGVO. Microsoft ist Auftragsverarbeiter. Das klingt nach Arbeitsteilung, ist aber vor allem eine Haftungsverteilung. Zweitens: Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist für den Copilot-Einsatz in praktisch jedem Unternehmen Pflicht. Systematische Verarbeitung, neue Technologie, großlächige Verarbeitung von Beschäftigtendaten — alle drei Kriterien treffen zu. Drittens: Besondere Kategorien personenbezogener Daten — Gesundheitsdaten, Gewerkschaftszugehörigkeit, religiöse Überzeugungen — können durch Copilot an Oberflächen gelangen, an denen niemand mit ihnen gerechnet hat. Ein Teams-Chat über den Krankenstand eines Kollegen wird zur tickenden Zeitbombe. Viertens: Ihre Dokumentationspflichten gehen weit über den DPA hinaus. Verarbeitungsverzeichnis, Informationspflichten gegenüber Beschäftigten, Löschkonzept — all das muss stehen, bevor Copilot den ersten Prompt verarbeitet. Die Fallstudie Sparfuchs & Partner zeigt, was passiert, wenn der DSB zu spät informiert wird — und warum der Moment, in dem er „Stop“ sagte, der kluge Moment war. |
Abb. 6.1 — DPA-Abdeckung: Was Microsoft regelt und was Ihre Pflicht als Verantwortlicher bleibt
6.1 Der Auftragsverarbeitungsvertrag — was Microsoft zusagt (und was nicht)
Wenn Sie Microsoft 365 nutzen, haben Sie einen Auftragsverarbeitungsvertrag mit Microsoft. Das ist keine Option, sondern eine Tatsache: Microsoft stellt das Data Processing Addendum (DPA) als Bestandteil der Online Services Terms bereit. Es gilt automatisch, sobald Sie die Dienste nutzen.
Das klingt zunächst beruhigend — vielleicht sogar zu beruhigend. Microsoft hat die Auftragsverarbeitung vertraglich geregelt, die Standardvertragsklauseln sind integriert, und spezialisierte Anwälte haben sichergestellt, dass der Vertrag DSGVO-konform ist. Soweit die Theorie.
Die Praxis sieht differenzierter aus. Microsofts DPA regelt die Verarbeitung personenbezogener Daten durch Microsoft als Auftragsverarbeiter. Es regelt nicht — und kann nicht regeln —, was Sie als Verantwortlicher tun müssen. Und genau hier beginnen die Probleme, die viele Unternehmen systematisch unterschätzen.
Der DPA ist ein umfangreiches Dokument — über 50 Seiten in der aktuellen Fassung. Kaum jemand liest ihn vollständig. Noch weniger verstehen, was er im Kontext von Copilot konkret bedeutet. Die folgende Tabelle fasst die relevanten Klauseln zusammen.
|
DPA-Klausel |
Was Microsoft zusagt |
Was das für Sie bedeutet |
|---|---|---|
|
Verarbeitung nach Weisung |
Microsoft verarbeitet Daten nur gemäß Ihren Anweisungen |
Sie müssen definieren, welche Daten verarbeitet werden dürfen |
|
Vertraulichkeit |
Microsoft-Mitarbeiter unterliegen Vertraulichkeitspflichten |
Das schützt vor internem Missbrauch bei Microsoft — nicht vor Fehlkonfigurationen in Ihrem Tenant |
|
Technische Maßnahmen (TOMs) |
Microsoft implementiert umfangreiche Sicherheitsmaßnahmen (ISO 27001, SOC 2) |
Die TOMs schützen die Microsoft-Infrastruktur — nicht Ihre Berechtigungsstruktur |
|
Unterauftragsverarbeiter |
Microsoft führt eine Subprocessor-Liste und informiert über Änderungen |
Sie müssen die Liste regelmäßig prüfen und ggf. Widerspruch einlegen |
|
Betroffenenrechte-Unterstützung |
Microsoft unterstützt bei Auskunft, Löschung, Berichtigung |
Die Umsetzung der Betroffenenrechte bleibt Ihre Verantwortung |
|
Datenpannen-Meldung |
Microsoft informiert Sie innerhalb von 72 Stunden über Datenpannen auf ihrer Seite |
Sie müssen ihrerseits die Aufsichtsbehörde informieren — die Uhr läuft ab Kenntnis |
|
Datentransfers |
Standardvertragsklauseln (SCCs) sind integriert |
Die SCCs decken den Transfer ab — Sie müssen aber ein Transfer Impact Assessment (TIA) durchführen |
|
Datenlöschung nach Vertragsende |
Microsoft löscht Daten innerhalb von 180 Tagen nach Vertragsende |
Prüfen Sie, ob 180 Tage für Ihre Anforderungen akzeptabel sind |
Tabelle 6.1 — Microsofts DPA: Zusagen und ihre praktische Bedeutung
Die Rollenverteilung nach DSGVO ist bei Microsoft 365 Copilot klar — auf dem Papier. Sie sind der Verantwortliche. Sie entscheiden über Zweck und Mittel der Verarbeitung. Sie bestimmen, welche Daten Copilot verarbeiten darf, welche Benutzer Zugriff erhalten und welche Schutzmaßnahmen gelten. Microsoft ist Auftragsverarbeiter.
Das bedeutet konkret: Wenn Copilot in Ihrem Tenant personenbezogene Daten verarbeitet, die es nicht hätte sehen dürfen — weil Ihre Berechtigungsstruktur das erlaubt hat —, ist das Ihr Problem, nicht Microsofts. Microsoft hat den Vertrag eingehalten. Sie haben Ihre Sorgfaltspflicht verletzt. Kein Gericht und keine Aufsichtsbehörde wird Microsoft dafür verantwortlich machen, dass Ihre SharePoint-Berechtigungen seit 2019 nicht mehr angepasst wurden.
Ein häufiger Fehler in Beratungsgesprächen: Unternehmen glauben, mit dem DPA sei die Datenschutz-Compliance abgeschlossen. Das ist ein fundamentales Missverständnis. Der DPA regelt das Verhältnis zwischen Ihnen und Microsoft. Er ersetzt nicht Ihre eigene Datenschutzarbeit: keine DSFA, kein Verarbeitungsverzeichnis, keine Betroffenenrechte-Prozesse, keine Mitarbeiterinformation.
|
Aspekt |
Ihre Rolle (Verantwortlicher) |
Microsofts Rolle (Auftragsverarbeiter) |
|---|---|---|
|
Zweckbestimmung |
Sie entscheiden, wofür Copilot eingesetzt wird |
Microsoft stellt die Technologie bereit |
|
Rechtsgrundlage |
Sie wählen und dokumentieren die Rechtsgrundlage |
Microsoft verarbeitet auf Basis Ihrer Weisung |
|
Berechtigungen |
Sie konfigurieren Zugriffsrechte im Tenant |
Microsoft setzt die konfigurierten Rechte technisch um |
|
Betroffenenrechte |
Sie bearbeiten Anfragen von Betroffenen |
Microsoft stellt Tools bereit (eDiscovery, DSR-Portal) |
|
DSFA |
Sie führen die DSFA durch |
Microsoft stellt Informationen für die DSFA bereit |
|
Datenpannen-Meldung |
Sie melden an Aufsichtsbehörde und Betroffene |
Microsoft informiert Sie über Pannen auf ihrer Seite |
|
Dokumentation |
Sie erstellen VVT, Datenschutzinfo, Löschkonzept |
Microsoft stellt Compliance-Dokumentation bereit |
Tabelle 6.2 — Rollenverteilung: Was Sie tun müssen vs. was Microsoft übernimmt
|
ℹ️ TECHNISCHER HINTERGRUND — Wo Sie Microsofts DPA finden und was Sie lesen müssen |
|---|
|
Microsofts aktuelles Data Processing Addendum (DPA) finden Sie unter: microsoft.com/licensing/docs — suchen Sie nach „Microsoft Products and Services Data Protection Addendum“. Das Dokument wird regelmäßig aktualisiert. Laden Sie die aktuelle Version herunter und speichern Sie sie mit Datum. Bei einer Prüfung müssen Sie nachweisen können, welche Version des DPA zum Zeitpunkt der Verarbeitung galt. Diese fünf Abschnitte sind die Kernstücke für Ihre DSGVO-Compliance. Alles andere ist juristisches Beiwerk. |
Abb. 6.2 — Auftragsverarbeitungs-Kette: Microsoft und seine Subprocessors — Ihre Pflichten gegenüber der gesamten Kette
Ein kritischer Punkt, der in Beratungen regelmäßig für Überraschung sorgt: Der DPA erlaubt Microsoft unter bestimmten Umständen den Transfer personenbezogener Daten in die USA. Microsoft stützt sich dabei auf die Standardvertragsklauseln der EU-Kommission. Seit dem Schrems-II-Urteil des EuGH müssen Sie jedoch zusätzlich ein Transfer Impact Assessment (TIA) durchführen — eine Bewertung, ob das Datenschutzniveau im Empfängerland angemessen ist.
Microsoft stellt hierfür eigene Dokumente bereit, die das Assessment erheblich vereinfachen. Seit Juli 2023 ergänzt das EU-US Data Privacy Framework die SCCs als weiterer Übermittlungsrahmen. Die Verantwortung für die Durchführung des TIA liegt aber bei Ihnen — und muss dokumentiert werden.
Die Subprocessor-Problematik wird von vielen Unternehmen unterschätzt. Microsoft setzt mehrere Dutzend Subprocessors ein — Unternehmen, die im Auftrag von Microsoft Teilleistungen erbringen. Microsoft informiert über Änderungen, aber Sie müssen aktiv prüfen und gegebenenfalls Widerspruch einlegen. In der Praxis tut das kaum jemand — aber die Pflicht besteht.
Ein weiterer Aspekt des DPA, der in der Praxis oft zu Missverständnissen führt, ist die EU Data Boundary. Microsoft hat sich verpflichtet, Daten von EU-Kunden in europäischen Rechenzentren zu verarbeiten und zu speichern. Das klingt wie eine vollständige Lösung für das Drittlandtransfer-Problem. Ist es aber nicht, aus zwei Gründen. Erstens gilt die EU Data Boundary nur für bestimmte Services und nicht automatisch für alle Copilot-Funktionen. Zweitens müssen Subprocessors ohne EU-Standort weiterhin über SCCs oder andere Übermittlungsmechanismen abgesichert werden. Die EU Data Boundary ist ein wichtiger Schritt, aber kein Freifahrtschein.
Halten Sie fest: Der DPA ist ein notwendiges Fundament, kein hinreichendes. Wer glaubt, mit dem DPA seine DSGVO-Hausaufgaben erledigt zu haben, hat die umfangreicheren gemacht. Das analoge der Situation: der DPA ist der Mietvertrag. Die DSGVO-Compliance ist der Unterhalt der Wohnung. Beides ist Ihre Verantwortung.
|
⚠️ RISIKO — „Wir haben den DPA unterschrieben, also sind wir DSGVO-konform“ |
|---|
|
Das ist der häufigste und gefährlichste Irrtum im Copilot-Datenschutz. Der DPA regelt das Verhältnis zwischen Ihnen und Microsoft — er ersetzt nicht Ihre eigene Datenschutzarbeit. Was der DPA nicht abdeckt und was Sie dennoch tun müssen: Ein DSGVO-Bußgeldbescheid wegen fehlender DSFA nimmt Microsoft als Auftragsverarbeiter nicht in die Pflicht. Die Behörde kommt zu Ihnen. Nicht nach Redmond. |
6.2 Die Datenschutz-Folgenabschätzung — wann sie Pflicht ist und was sie enthalten muss
Art. 35 DSGVO ist unmißverständlich: Wenn eine Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durchführen. Die Betonung liegt auf vorab — nicht nachträglich, nicht wenn es gerade passt.
Die Frage, ob Microsoft 365 Copilot eine DSFA erfordert, wird in Beratungsgesprächen erstaunlich oft gestellt. Die Antwort ist ebenso erstaunlich einfach: Ja. In praktisch jedem Fall.
Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele, bei denen eine DSFA zwingend erforderlich ist. Copilot erfüllt mindestens zwei davon — in den meisten Fällen alle drei. Darüber hinaus hat die deutsche Datenschutzkonferenz (DSK) eine „Muss-Liste“ veröffentlicht — eine Liste von Verarbeitungstätigkeiten, bei denen eine DSFA ohne weitere Prüfung erforderlich ist. KI-Systeme zur Verarbeitung personenbezogener Beschäftigtendaten fallen eindeutig in diese Kategorie.
Abb. 6.3 — DSFA-Entscheidungsbaum: Schritt-für-Schritt-Prüfung ob Copilot eine DSFA erfordert — Ergebnis für die meisten Unternehmen: Ja
|
DSFA-Kriterium (Art. 35 DSGVO) |
Auf Copilot anwendbar? |
Begründung |
|---|---|---|
|
Systematische Bewertung persönlicher Aspekte auf Basis automatisierter Verarbeitung |
Ja |
Copilot erstellt Zusammenfassungen und Analysen — das ist automatisierte Bewertung personenbezogener Daten |
|
Umfangreiche Verarbeitung besonderer Kategorien (Art. 9) |
In den meisten Fällen ja |
In typischen M365-Tenants befinden sich Gesundheitsdaten, Gewerkschaftshinweise in E-Mails und Chats |
|
DSK-Kriterium: Einsatz neuer Technologien |
Ja |
KI-basierte Verarbeitung durch LLMs ist eine neue Technologie im Sinne von Art. 35 Abs. 1 |
|
DSK-Kriterium: Verarbeitung von Beschäftigtendaten |
Ja |
Copilot verarbeitet E-Mails, Chats und Dokumente von Beschäftigten in großem Umfang |
|
DSK-Kriterium: Datenverarbeitung in großem Umfang |
In den meisten Fällen ja |
Copilot hat potenziell Zugriff auf alle Daten im Tenant, die dem Benutzer zugänglich sind |
|
Systematische Überwachung öffentlich zugänglicher Bereiche |
Nein |
Copilot überwacht keine öffentlichen Bereiche — dieses Kriterium entfällt |
Tabelle 6.3 — DSFA-Screening: Kriterien angewendet auf Microsoft 365 Copilot
Was die DSFA enthalten muss — vier Pflichtbestandteile
Art. 35 Abs. 7 DSGVO schreibt vor, was eine DSFA enthalten muss. Es gibt genau vier Pflichtbestandteile — keinen mehr, keinen weniger. Wer nur drei von vier erfüllt, hat eine unvollständige DSFA und damit einen Datenschutzverstoß.
Zusätzlich schreibt Art. 35 Abs. 2 DSGVO vor: Der Datenschutzbeauftragte muss in die DSFA einbezogen werden — nicht informiert, sondern einbezogen. Er hat eine formale Stellungnahme zu erstellen, die Teil der DSFA-Dokumentation ist. Wenn diese Stellungnahme fehlt, ist die DSFA formal unvollständig — auch wenn alle vier Pflichtbestandteile vorhanden sind.
|
ℹ️ HINWEIS FÜR DSBs — Ihre Rolle in der DSFA nach Art. 35 Abs. 2 DSGVO |
|---|
|
Als Datenschutzbeauftragter sind Sie kein Stempel-Organ für die DSFA. Art. 35 Abs. 2 DSGVO fordert, dass der DSB „zu Rate gezogen“ wird. Das bedeutet echtes Einbeziehen, nicht nachträgliches Informieren. Ihre Aufgaben in der DSFA-Erstellung: Ein DSB, der eine DSFA unkritisch durchzeichnet, erfüllt seine Funktion nicht. Und er haftet im Ernstfall mit. |
Wie lange dauert eine DSFA? Realistische Zeitplanung
Eine DSFA für Microsoft 365 Copilot ist kein Nachmittagsprojekt. In der Praxis dauert eine ordentliche DSFA — mit allen Pflichtbestandteilen, DSB-Einbindung und externer Prüfung bei Bedarf — zwischen drei und sechs Wochen. Das setzt voraus, dass die nötigen Informationen über die Verarbeitungsvorgänge vorliegen.
Die zeitkritische Komponente ist die Datenbeschaffung. Bevor Sie die DSFA schreiben können, müssen Sie wissen: Welche Daten kann Copilot tatsächlich sehen? Das hängt von Ihrer Berechtigungsstruktur ab. Und diese aufzudecken dauert — je nach Größe Ihres Tenants — ein bis zwei Wochen.
Kalkulieren Sie realistisch für Ihren DSFA-Prozess: zwei Wochen für Datenbeschaffung und Berechtigungsanalyse, zwei bis drei Wochen für die eigentliche DSFA-Erstellung, eine Woche für DSB-Stellungnahme und ggf. externe Prüfung. Dann steht Ihnen ein Zeitpuffer zur Verfügung, falls Fragen auftauchen. Insgesamt: sechs bis acht Wochen vor dem geplanten Go-Live-Termin beginnen.
Noch eine Anmerkung zur Vorabkonsultation: Art. 36 DSGVO sieht vor, dass der Verantwortliche die Aufsichtsbehörde konsultiert, wenn die DSFA zeigt, dass die geplante Verarbeitung ein hohes Risiko birgt und keine Maßnahmen das Risiko ausreichend reduzieren. In der Praxis ist das selten der Fall — weil in der Regel Maßnahmen existieren, die das Risiko auf ein akzeptables Niveau senken. Wenn Sie jedoch in der DSFA zu dem Schluss kommen, dass das Restrisiko nicht ausreichend reduziert werden kann, ist die Vorabkonsultation nicht optional, sondern Pflicht. Das ist ein Zeichen, dass Copilot in dieser Konfiguration nicht eingesetzt werden sollte — nicht dass Sie die Behörde um Erlaubnis bitten.
Abschließend ein Wort zum DSFA-Format. Die DSGVO schreibt kein bestimmtes Format vor. Es gibt Standardvorlagen von Aufsichtsbehörden, ENISA-Templates und kommerzielle Tools. Alle funktionieren, wenn sie konsequent ausgefüllt werden. Das Schlechteste, was Sie tun können: eine leere DSFA-Vorlage ablegen und sie als „erstellt“ markieren. Das Zweitschlechteste: eine DSFA die nur die Microsoft-Dokumentation zusammenfasst, ohne eine eigene Risikobewertung für Ihren spezifischen Einsatzkontext zu enthalten. Eine gute DSFA ist unternehmensspezifisch. Sie berücksichtigt Ihre Branche, Ihre Beschäftigtenstruktur, Ihre Datenkategorien und Ihre konkrete Nutzung von Copilot.
6.3 Besondere Kategorien personenbezogener Daten — die unsichtbare Grenze
Art. 9 DSGVO bezeichnet bestimmte Kategorien von Daten als „besondere Kategorien“ und schlägt ihnen einen erhöhten Schutzwall entgegen. Wer diese Daten verarbeitet, muss nicht nur eine Rechtsgrundlage nach Art. 6 DSGVO haben, sondern zusätzlich eine der engen Ausnahmen nach Art. 9 Abs. 2 DSGVO erfüllen. Die Schranken sind hoch. Die Konsequenzen bei Verstößen sind entsprechend ernst.
Besondere Kategorien nach Art. 9 Abs. 1 DSGVO sind: rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten, Daten zum Sexualleben und zur sexuellen Orientierung.
Warum ist das für Copilot relevant? Weil Microsoft 365 — E-Mail, Teams, SharePoint, Kalender, OneDrive — ein Spiegelbild Ihres gesamten Unternehmenslebens ist. Und in diesem Spiegel sind besondere Kategorien allgegenwärtig. Niemand kennzeichnet eine E-Mail als „enthält Gesundheitsdaten“. Niemand schreibt in den Teams-Chat: „Warnung: Diese Nachricht ist Art. 9-Daten“.
Abb. 6.4 — Copilot-Datenfluss aus DSGVO-Sicht: Welche Rechtsgrundlage für welchen Datenstrom gilt
Wo besondere Kategorien in Microsoft 365 auftauchen
Die folgende Übersicht zeigt die häufigsten Szenarien, in denen besondere Kategorien in Microsoft-365-Daten vorkommen. Keines dieser Szenarien ist konstruiert — alle sind in der Praxis regelmäßig anzutreffen.
|
Besondere Kategorie (Art. 9) |
Wo sie in M365 vorkommt |
Copilot-Risiko |
|---|---|---|
|
Gesundheitsdaten |
Krankmeldungen per E-Mail oder Teams, Kalendereinträge („Arzttermin“), HR-Dokumente in SharePoint |
Copilot kann auf Anfrage Zusammenfassungen erstellen, die Gesundheitsstatus offenbaren |
|
Gewerkschaftszugehörigkeit |
Betriebsrats-E-Mails, Teams-Kanäle des Betriebsrats, Mitgliederlisten in SharePoint |
Copilot kann Betriebsratsinfos zusammenfassen, wenn Berechtigungen zu weit sind |
|
Religiöse Überzeugungen |
Urlaubsanträge für religiöse Feiertage, interne Kommunikation über Gebetszeiten |
Copilot kann Muster erkennen und in Zusammenfassungen thematisieren |
|
Biometrische Daten |
Zugangskontrolldaten in SharePoint, Zeiterfassungsdaten |
Wenn biometrische Daten in M365 abgelegt sind, kann Copilot darauf zugreifen |
|
Politische Meinungen |
Interne Diskussionen in Teams, Umfrageergebnisse, Feedbackdokumente |
Bei offener Kommunikationskultur können politische Positionen in Chatnäumen auftauchen |
|
Sexualleben/Sexuelle Orientierung |
In der Regel nicht explizit, aber indirekt in persönlicher Kommunikation |
Erhöhtes Risiko, wenn private Kommunikation über Unternehmens-Teams verläuft |
Tabelle 6.4 — Besondere Kategorien in Microsoft 365: Wo sie vorkommen und welches Risiko Copilot erzeugt
|
⚠️ RISIKO — Krankmeldungen im Teams-Chat: der häufigste Art.-9-Fall |
|---|
|
Szenario: Ein Mitarbeiter schreibt seinem Vorgesetzten per Teams: „Muss morgen zum Arzt, bin krank.“ Der Vorgesetzte antwortet: „Kein Problem, gute Besserung.“ Zwei Wochen später fragt ein HR-Mitarbeiter Copilot: „Wer aus Abteilung X hatte im letzten Monat wie viele Fehltage?“ Copilot durchsucht Teams-Nachrichten, findet die Krankmeldungen, extrahiert die Information und liefert eine Übersicht. Das ist eine Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO — ohne Rechtsgrundlage nach Art. 9 Abs. 2, ohne Einwilligung der Betroffenen. Die Lösung ist keine technische Magie: Teams-Nachrichten zwischen Mitarbeiter und Vorgesetztem müssen durch Berechtigungen so abgeschirmt sein, dass nur die Beteiligten Zugriff haben. HR-Mitarbeiter, die keine Parteien des Gesprächs waren, dürfen keinen Copilot-Zugriff auf diese Daten haben. Das ist leichter gesagt als getan. Teams ist für Kommunikation optimiert, nicht für Datenschutz. Die Berechtigungen sind in den meisten Unternehmen nicht so konfiguriert, dass dieser Schutz sichergestellt ist. Copilot-Einführung ohne Berechtigungsanalyse ist ein garantierter Art.-9-Verstoß. |
Die Ausnahmetatbestände nach Art. 9 Abs. 2 DSGVO sind eng. Für den Beschäftigungskontext kommt in erster Linie Art. 9 Abs. 2 lit. b in Betracht: Verarbeitung ist zulässig, wenn sie zur Erfüllung von Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist. Das klingt weitreichend, ist aber eng auszulegen.
Konkret bedeutet das: Gesundheitsdaten dürfen für die Lohnfortzahlung verarbeitet werden. Sie dürfen nicht für die Erstellung von KI-gestützten Krankheitsübersichten verarbeitet werden. Der Zweck „Productivity AI“ genügt als Rechtsgrundlage für Art.-9-Daten nicht. Sie benötigen eine spezifische, dokumentierte Rechtsgrundlage für jeden Fall, in dem Copilot besondere Kategorien verarbeiten soll.
Die praktische Konsequenz ist klar: Entweder Sie konfigurieren Ihren Tenant so, dass Copilot keinen Zugriff auf potenzielle Art.-9-Daten hat (Sensitivity Labels, Berechtigungskonzept, Information Barriers), oder Sie haben eine dokumentierte Rechtsgrundlage für die konkrete Verarbeitung. Beides gleichzeitig zu haben ist die robusteste Lösung.
Drei konkrete Szenarien — und was sie kosten können
Die abstrakten Kategorien des Art. 9 DSGVO werden erst greifbar, wenn man sieht, wo sie in Microsoft 365 konkret auftauchen. Drei Szenarien verdeutlichen das Risiko — und alle drei sind keine theoretischen Konstrukte, sondern in der Praxis regelmäßig anzutreffen.
HR-Daten sind der häufigste Ort für besondere Kategorien. Krankmeldungen landen in Outlook-Postfächern, Beurteilungen mit Gesundheitsbezug in SharePoint-Bibliotheken, Reha-Maßnahmen werden über Teams-Chats koordiniert. All das sind Gesundheitsdaten nach Art. 9 DSGVO. Wenn Copilot Zugriff auf diese Daten hat — und er hat ihn, wenn die Berechtigungsstruktur es nicht verhindert —, kann er sie zusammenfassen, kombinieren und auf Anfrage ausgeben. Das ist kein technischer Fehler. Es ist ein Governance-Versagen.
Betriebsräte kommunizieren über Microsoft Teams und Exchange — oft in denselben Instanzen wie das restliche Unternehmen. Betriebsratssitzungen, Beschlüsse, Mitgliederlisten: all das kann Gewerkschaftszugehörigkeit nach Art. 9 Abs. 1 DSGVO offenbaren. Eine Anfrage wie „Wer ist im Betriebsrat?“ an Copilot ist technisch beantwortbar — wenn die Daten zugänglich sind. Ob sie es sein dürfen, ist eine andere Frage. Die Antwort lautet: Nein, ohne geeignete Schutzmaßnahmen nicht.
Bewerbungsunterlagen enthalten regelmäßig besondere Kategorien: Schwerbehindertenausweis, Religionszugehörigkeit aus dem Lebenslauf, Angaben zur Nationalität. Wenn diese Unterlagen in einer SharePoint-Bibliothek liegen, die für das gesamte HR-Team zugänglich ist, hat Copilot darauf Zugriff. Ein Recruiting-Mitarbeiter, der Copilot fragt „Was wissen wir über Bewerber Mustermann?“, erhält möglicherweise eine Zusammenfassung, die sensible Kategorien enthält — ohne dass jemals eine geeignete Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO geprüft wurde.
|
Datenkategorie |
Typischer Ort in M365 |
Risiko bei Copilot-Zugriff |
Schutzmaßnahme |
|---|---|---|---|
|
Gesundheitsdaten (Krankmeldungen, AU) |
Exchange-Postfach, Teams-Chat zwischen Mitarbeiter und Vorgesetztem |
Copilot fasst Krankenstand eines Mitarbeiters auf Anfrage zusammen |
Sensitivity Label „Streng Vertraulich“, Zugriff auf HR-Gruppe beschränken |
|
Gewerkschaftszugehörigkeit (Betriebsrat) |
Teams-Kanäle des Betriebsrats, SharePoint-Mitgliederlisten |
Mitgliederliste über Copilot-Abfrage abrufbar |
Separater Betriebsrats-Tenant oder stark eingeschränkte Berechtigungen |
|
Bewerbungsunterlagen mit Art.-9-Bezug |
SharePoint (HR-Bereich), Recruiting-Postfächer |
Copilot verknüpft Bewerbernamen mit Behinderungsstatus oder Religion |
SharePoint-Site nur für Recruiting-Team, nicht für alle HR-Mitarbeiter |
|
Disziplinar- und Kündigungsunterlagen |
SharePoint, Exchange-Archiv |
Historische Konflikte und Personalentscheidungen über Copilot abrufbar |
Sensitivity Label plus Zugriffsprotokoll aktivieren |
|
Biometrische Daten (soweit in M365 abgelegt) |
Azure AD (Foto), HR-System-Anhänge in SharePoint |
Je nach Nutzungskontext Art.-9-relevant, Copilot kann darauf zugreifen |
Separate Ablage außerhalb M365 prüfen, Zugriff auf Minimum reduzieren |
Tab. 6.5b — Besondere Kategorien in Microsoft 365: Wo sie vorkommen und was zu tun ist
Was Sie jetzt prüfen müssen
Führen Sie einen gezielten Scan durch: Welche SharePoint-Bibliotheken und Exchange-Postfächer enthalten mit hoher Wahrscheinlichkeit besondere Kategorien? Wer hat Lesezugriff auf diese Bereiche? Ist der Zugriff auf die Personen beschränkt, die tatsächlich mit diesen Daten arbeiten müssen? Sind Sensitivity Labels gesetzt und aktiv?
Diese Prüfung ist keine Option — sie ist Voraussetzung für die ordnungsgemäße Durchführung der DSFA. Art. 35 Abs. 7 lit. a DSGVO verlangt eine systematische Beschreibung der Verarbeitung einschließlich der Kategorien verarbeiteter Daten. Wer diese Beschreibung nicht erstellen kann, weil er nicht weiß, wo im Tenant besondere Kategorien liegen, kann auch keine vollständige DSFA erstellen. Das ist kein akademisches Problem — es ist ein formaler Mangel, der bei einer Prüfung sofort auffiele.
Microsoft bietet hierfür Purview-Klassifizierungsregeln und den Content Explorer an: Werkzeuge, die automatisch nach Mustern suchen, die auf besondere Kategorien hindeuten — etwa auf Begriffe wie „Krankmeldung“, „Arzttermin“, „Schwerbehinderung“ in E-Mails und Dokumenten. Der Content Explorer zeigt, wo diese Inhalte liegen und wer darauf Zugriff hat. Es lohnt sich, diesen Scan vor dem Copilot-Rollout einmalig durchzuführen.
Technische Maßnahmen gegen Art.-9-Verarbeitung durch Copilot
Die technische Absicherung gegen unbeabsichtigte Verarbeitung besonderer Kategorien durch Copilot ist kein Nice-to-have, sondern eine Pflichtmaßnahme. Drei Werkzeuge stehen Ihnen in Microsoft 365 zur Verfügung — und alle drei müssen kombiniert werden, um wirklich wirksam zu sein.
Erstens: Sensitivity Labels. Microsoft Purview ermöglicht es, Dokumente und E-Mails mit vertraulichkeitsgradbasierten Labels zu versehen. Labels können so konfiguriert werden, dass Copilot entsprechend klassifizierte Inhalte nicht in Antworten einbezieht. Das setzt aber voraus, dass die Labels tatsächlich vergeben werden — entweder manuell oder automatisch über Regeln. Ein Label-System das existiert, aber nicht genutzt wird, bietet keinen Schutz.
Zweitens: Information Barriers. Diese Funktion in Microsoft 365 verhindert, dass bestimmte Benutzer- oder Abteilungsgruppen miteinander kommunizieren oder Daten austauschen können. Für besondere Kategorien bedeutet das: Sie können festlegen, dass Copilot keine Inhalte aus HR-Abteilungs-Bereichen an Mitarbeiter außerhalb der HR-Abteilung liefert. Information Barriers wirken jedoch auf Kommunikationsebene und benötigen eine sorgfältige Konfiguration, um keine legitimen Arbeitsabläufe zu blockieren.
Drittens: Berechtigungskonzept mit Least-Privilege-Prinzip. Das ist keine KI-spezifische Maßnahme, aber die wirkungsvollste: Wenn ein Benutzer keinen Zugriff auf bestimmte Dokumente oder E-Mails hat, kann Copilot sie ihm nicht zeigen. Das Berechtigungskonzept ist damit die erste Verteidigungslinie gegen Art.-9-Verletzungen durch Copilot. Und in den meisten Unternehmen ist diese Verteidigungslinie löcheriger als sie sein sollte.
Eine Anmerkung zur Vollständigkeit: Microsoft hat Copilot so konzipiert, dass es die bestehenden Berechtigungen des Benutzers respektiert. Copilot zeigt keine Daten, auf die der Benutzer keinen Zugriff hat. Das Problem ist nicht, dass Copilot Berechtigungen umgeht. Das Problem ist, dass viele Berechtigungsstrukturen so weitgefächert sind, dass Mitarbeiter Zugriff auf Daten haben, den sie eigentlich nicht haben sollten. Copilot macht dieses Problem sichtbar — und vergrößert es gleichzeitig, weil es die Daten nicht nur passiv zugänglich macht, sondern aktiv zusammenfasst und präsentiert.
6.4 Dokumentationspflichten — was Sie nachweisen müssen, bevor der Prüfer klingelt
Art. 5 Abs. 2 DSGVO ist bekannt als die Rechenschaftspflicht. Sie lautet: Der Verantwortliche ist für die Einhaltung des Abs. 1 verantwortlich und muss dessen Einhaltung nachweisen können. Das kleine Wort „nachweisen“ trägt das gesamte Gewicht. Es reicht nicht, den Datenschutz zu leben. Sie müssen ihn dokumentieren.
Für Copilot bedeutet das eine ganze Reihe von Dokumenten, die vor dem Go-Live vorliegen müssen. Nicht „vorliegen können“. Vorliegen müssen. Die folgende Tabelle gibt Ihnen eine Übersicht.
Abb. 6.5 — Dokumentationspflichten-Zeitstrahl: Was wann vor dem Go-Live und danach nachweisbar sein muss
|
Dokument |
Inhalt (Copilot-spezifisch) |
Deadline |
Aufbewahrung |
|---|---|---|---|
|
Verarbeitungsverzeichnis (VVT) |
Eintrag für Copilot mit allen Pflichtfeldern nach Art. 30 |
Vor Go-Live |
Dauerhaft, aktuell halten |
|
Datenschutz-Folgenabschätzung (DSFA) |
Alle 4 Pflichtbestandteile nach Art. 35 Abs. 7 inkl. DSB-Stellungnahme |
Vor Go-Live |
Mindestens 3 Jahre, bis Änderung |
|
Datenschutzinformation für Beschäftigte |
Informationen nach Art. 13 DSGVO über Copilot-Verarbeitung |
Vor erster Nutzung |
Dauerhaft inkl. Zustellnachweis |
|
Auftragsverarbeitungsvertrag (DPA) |
Aktueller Microsoft DPA mit Datum |
Vor Go-Live |
Vertragsdauer + 3 Jahre |
|
Transfer Impact Assessment (TIA) |
Bewertung des US-Datentransfers mit SCCs-Verweis |
Vor Go-Live |
3 Jahre nach Überprüfung |
|
Betriebsratsvereinbarung / Dokumentation |
Nachweis der Betriebsratsbeteiligung nach §87 Abs. 1 Nr. 6 BetrVG |
Vor Go-Live |
Dauerhaft |
|
Löschkonzept für Copilot-Interaktionen |
Aufbewahrungsfristen in Purview konfiguriert und dokumentiert |
Vor Go-Live |
Aktuell halten |
|
Technische Maßnahmen-Dokumentation |
Sensitivity Labels, DLP-Policies, Conditional Access, Berechtigungskonzept |
Vor Go-Live |
Aktuell halten |
Tabelle 6.5 — Pflichtdokumentation für den Copilot-Einsatz: Was vorliegen muss, bis wann und wie lange
Die Mindest-Dokumentation vor dem Go-live
Viele Unternehmen gehen mit einer einzigen Frage in den Copilot-Launch: Haben wir den DPA unterschrieben? Die Antwort darauf mag Ja lauten — und trotzdem fehlen vier weitere Pflichtdokumente. Die folgende Tabelle zeigt, was vor dem ersten produktiven Prompt vorliegen muss.
Erstens: der AVV mit Microsoft. Liegt er vor? In aktueller Version? Datum dokumentiert? Das klingt trivial, ist aber in überraschend vielen Unternehmen nicht sauber abgelegt.
Zweitens: der DSFA-Entscheid. Entweder „DSFA durchgeführt“ (mit Datum und Ergebnis) oder „DSFA nicht erforderlich“ (mit schriftlicher Begründung). Beides muss schriftlich vorliegen. „Wir haben kurz darüber gesprochen“ zählt nicht.
Drittens: der Eintrag im Verarbeitungsverzeichnis. Copilot als Verarbeitungstätigkeit muss eingetragen sein — alle Pflichtfelder nach Art. 30 DSGVO ausgefüllt. Ein generischer Eintrag „Microsoft 365“ ohne Copilot-Bezug genügt nicht.
Viertens: die Datenschutzinformation an Mitarbeiter. Art. 13 und 14 DSGVO verlangen, dass Mitarbeiter informiert worden sind, bevor ihre Daten verarbeitet werden. „Bevor“ ist dabei wörtlich gemeint.
Fünftens: die Betriebsvereinbarung oder der dokumentierte Nachweis, dass keine Mitbestimmungspflicht besteht. Der Nachweis, dass man darüber nachgedacht hat, ist besser als gar kein Nachweis — aber die Betriebsvereinbarung ist besser als der Nachweis.
|
Dokument |
Rechtsgrundlage |
Wer erstellt es |
Fällig bis |
|---|---|---|---|
|
AVV mit Microsoft (aktueller DPA) |
Art. 28 DSGVO |
IT-Leiter / Rechtsabteilung |
Vor Vertragsabschluss |
|
DSFA-Entscheid (durchgeführt oder begründet abgelehnt) |
Art. 35 DSGVO |
DSB |
Vor Go-live |
|
Verarbeitungsverzeichnis-Eintrag Copilot |
Art. 30 DSGVO |
DSB / IT |
Vor Go-live |
|
Datenschutzinformation an Mitarbeiter |
Art. 13 DSGVO |
HR / Unternehmenskommunikation |
Vor Go-live |
|
Nachweis BR-Einbindung oder Begründung Nicht-Pflicht |
§87 Abs. 1 Nr. 6 BetrVG |
HR / Rechtsabteilung |
Vor Pilotstart |
|
EU Data Boundary Aktivierungsnachweis |
AVV / Compliance-Doku |
IT-Admin |
Vor Go-live |
Tab. 6.6b — Pflichtdokumentation vor Copilot-Go-live: Mindestanforderungen und Verantwortlichkeiten
Was „dokumentiert“ konkret bedeutet
Viele Unternehmen verstehen Dokumentation als „wir haben das irgendwie besprochen“. Das genügt nicht. Art. 5 Abs. 2 DSGVO — die Rechenschaftspflicht — verlangt, dass Sie nachweisen können, dass die DSGVO-Anforderungen erfüllt sind. Das bedeutet: schriftlich, datiert, von einer verantwortlichen Person unterzeichnet oder genehmigt, und vor allem: auffindbar.
„Auffindbar“ ist keine Trivialität. Wenn die Aufsichtsbehörde ein Dokument anfordert und Sie es in zwei Stunden nicht vorlegen können, hilft es nichts, dass es irgendwo existiert. Legen Sie einen zentralen Ablageort für die Copilot-DSGVO-Dokumentation fest — eine SharePoint-Site mit beschränktem Zugriff, klar benannt, strukturiert nach den Dokumenttypen aus der Tabelle oben. Und definieren Sie, wer diesen Ordner pflegen muss — mit Namen, nicht mit Rollenbezeichnung.
Dasselbe gilt für Entscheidungen, die nicht getroffen wurden. Wenn Sie entschieden haben, dass Copilot für die HR-Abteilung vorerst nicht aktiviert wird, weil das Risiko für Art.-9-Daten zu hoch ist: Dokumentieren Sie diese Entscheidung. Datum, Begründung, wer entschieden hat. Aufsichtsbehörden schließen aus fehlender Dokumentation auf fehlende Überlegung — und aus fehlender Überlegung auf fahrlässiges Handeln.
Eine praktische Empfehlung: Erstellen Sie eine einseitige „Copilot DSGVO-Checkliste“, die alle fünf Pflichtdokumente auflistet, jeweils mit Status (vorhanden / in Bearbeitung / ausstehend), Verantwortlichem und Datum der letzten Überprüfung. Diese Checkliste ist kein offizielles DSGVO-Dokument — sie ist das Steuerungsinstrument, das sicherstellt, dass kein Dokument vergessen wird. Und sie ist das erste, was Sie dem Prüfer zeigen — als Signal, dass Sie die Lage im Griff haben.
Das Verarbeitungsverzeichnis: Was der VVT-Eintrag für Copilot enthalten muss
Art. 30 DSGVO verlangt, dass jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten führt. Copilot ist eine Verarbeitungstätigkeit — in den meisten Unternehmen sogar mehrere, nämlich für jeden Einsatzbereich (E-Mail-Zusammenfassungen, Meeting-Protokolle, Dokumentenanalyse, etc.). Jede dieser Verarbeitungstätigkeiten braucht einen eigenen VVT-Eintrag.
Was viele übersehen: Der VVT ist kein statisches Dokument. Er muss aktuell gehalten werden. Wenn Microsoft ein neues Copilot-Feature einführt — und das passiert alle paar Wochen — müssen Sie prüfen, ob das Feature eine neue Verarbeitungstätigkeit darstellt und den VVT entsprechend aktualisieren.
Abb. 6.6 — VVT-Pflichtfelder nach Art. 30 DSGVO: Was der Copilot-Eintrag enthalten muss
Informationspflichten gegenüber Beschäftigten
Art. 13 DSGVO verlangt, dass betroffene Personen über die Verarbeitung ihrer Daten informiert werden — transparent, verständlich, zum Zeitpunkt der Datenerhebung. Für Copilot bedeutet das: Bevor ein Mitarbeiter Copilot zum ersten Mal nutzt, muss er über die Copilot-Datenverarbeitung informiert worden sein.
Diese Information muss folgende Aspekte abdecken: Wer ist Verantwortlicher, zu welchem Zweck wird Copilot eingesetzt, welche Kategorien personenbezogener Daten werden verarbeitet, an wen werden die Daten übermittelt (Microsoft als Auftragsverarbeiter, Subprocessors), wie lange werden Copilot-Interaktionen gespeichert, welche Rechte haben die Beschäftigten, und wie können sie diese Rechte ausüben.
|
💡 TIPP — Mitarbeiterinformation als FAQ: verständlich und nachweisbar |
|---|
|
Die Datenschutzinformation nach Art. 13 DSGVO muss nicht das trockene Juristen-Deutsch einer Datenschutzerklärung sein. Ein Dual-Format funktioniert in der Praxis am besten: Das FAQ sollte mindestens diese Fragen beantworten: Was ist Copilot? Welche meiner Daten nutzt Copilot? Werden meine Daten für KI-Training verwendet? (Antwort: Nein, Microsoft nutzt Ihre Unternehmensdaten nicht für Modelltraining.) Welche Rechte habe ich? Senden Sie die Information nicht nur per E-Mail, sondern dokumentieren Sie den Zustellnachweis. Bei einer Prüfung müssen Sie belegen können, dass Mitarbeiter informiert wurden — und wann. |
Löschkonzept: Was passiert mit Copilot-Daten?
Ein oft vergessener Aspekt: das Löschkonzept. Art. 5 Abs. 1 lit. e DSGVO verlangt Speicherbegrenzung — Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck notwendig ist.
Microsoft erklärt, dass Copilot keine eigene Datenkopie anlegt — es greift auf die bestehenden Daten im Tenant zu. Die Copilot-Interaktionen selbst (Prompts und Antworten) werden jedoch gespeichert und sind über Microsoft Purview-Aufbewahrungsrichtlinien steuerbar. Für Ihr Löschkonzept bedeutet das: Sie müssen die Aufbewahrungsfristen für Copilot-Interaktionen definieren und in Purview konfigurieren.
Empfehlung: Setzen Sie die Aufbewahrungsfrist für Copilot-Interaktionen nicht höher als die Frist für die zugrunde liegenden Daten. Wenn Ihre E-Mail-Aufbewahrung bei zwei Jahren liegt, sollten Copilot-Interaktionen zu diesen E-Mails nicht länger gespeichert werden. Wenn ein Mitarbeiter sein Recht auf Löschung nach Art. 17 DSGVO geltend macht, müssen Sie auch die Copilot-Interaktionen zu seinen Daten löschen. Das ist technisch möglich — aber es erfordert einen definierten Prozess.
Rechenschaftspflicht in der Praxis: Was „nachweisen“ bedeutet
Art. 5 Abs. 2 DSGVO fordert Nachweisbarkeit. In der Praxis bedeutet das: Sie brauchen nicht nur die Dokumente, sondern auch den Nachweis, dass sie zum richtigen Zeitpunkt vorlagen, vom richtigen Personenkreis erstellt wurden und tatsächlich genutzt werden. Ein DSFA-Dokument, das niemand gelesen hat, ist schlechter als keine DSFA — weil es die Illusion von Compliance erzeugt.
Konkret: Ein Aufsichtsbehörden-Prüfer wird nicht nur die Dokumente anfordern, sondern auch fragen: Wer hat die DSFA erstellt? An welchem Datum? Hat der DSB eine Stellungnahme abgegeben — und wenn ja, wie lautet sie? Wurden die Maßnahmen tatsächlich umgesetzt oder nur beschlossen? Wie wurde die Mitarbeiterinformation zugestellt?
Empfehlung für die Praxis: Versehen Sie alle Datenschutzdokumente mit einem klaren Metadatensatz: Erstellt von, erstellt am, geprüft von, geprüft am, Version, nächste Überprüfung fällig. Legen Sie alle Dokumente zentral ab — idealerweise in einem dedizierten Datenschutz-Ordner in SharePoint mit eng gefassten Berechtigungen. Und definieren Sie einen festen Rhythmus für die Überprüfung: DSFA alle sechs Monate, VVT bei jedem wesentlichen Feature-Update von Copilot, Mitarbeiterinformation bei wesentlichen Änderungen des Einsatzumfangs.
Ein oft unterschätzter Aspekt der Rechenschaftspflicht: die Dokumentation von Entscheidungen. Wenn Sie entschieden haben, dass Copilot für eine bestimmte Abteilung nicht aktiviert wird — weil das Risiko für Art.-9-Daten zu hoch ist —, dann dokumentieren Sie diese Entscheidung. Wenn Sie entschieden haben, dass die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO ist und nicht eine Betriebsvereinbarung, dann dokumentieren Sie die Abwägung. Aufsichtsbehörden schließen aus fehlender Dokumentation auf fehlende Überlegung.
Betroffenenrechte bei Copilot: Auskunft, Löschung, Widerspruch
Art. 15–22 DSGVO gewähren Betroffenen umfangreiche Rechte: Auskunft über die Verarbeitung, Berichtigung falscher Daten, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Für Copilot müssen Sie für jedes dieser Rechte einen definierten Prozess haben.
Das Auskunftsrecht nach Art. 15 DSGVO ist am häufigsten. Ein Mitarbeiter hat das Recht, auf Anfrage zu erfahren: welche seiner personenbezogenen Daten verarbeitet werden, zu welchem Zweck, an wen sie übermittelt wurden und wie lange sie gespeichert werden. Bei Copilot bedeutet das: Er kann auch Auskunft über die Copilot-Interaktionen verlangen, an denen seine Daten beteiligt waren. Microsoft stellt hierfür das DSR-Portal (Data Subject Request) bereit — aber die Bearbeitung der Anfrage liegt bei Ihnen.
Das Löschrecht nach Art. 17 DSGVO ist technisch am anspruchsvollsten. Wenn ein Mitarbeiter die Löschung seiner personenbezogenen Daten fordert, müssen Sie nicht nur die Quelldaten löschen, sondern auch alle davon abgeleiteten Copilot-Interaktionen. Microsoft Purview ermöglicht die gezielte Löschung über Content Search und eDiscovery. Aber der Prozess muss definiert und getestet sein — nicht erst wenn ein Antrag eingeht.
Das Widerspruchsrecht nach Art. 21 DSGVO ist bei Copilot besonders heikel. Wenn ein Mitarbeiter der Verarbeitung seiner Daten durch Copilot widerspricht — was er bei einer Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO grundsätzlich kann —, müssen Sie die Verarbeitung einstellen, es sei denn, Sie haben zwingende schutzwürdig begründete Interessen. Das bedeutet in der Praxis: Copilot für diesen Mitarbeiter deaktivieren. Haben Sie einen Prozess, der das technisch umsetzt und dokumentiert? Wenn nicht: Lücke in Ihrer Compliance.
6.5 Aufsichtsbehörden und Meldepflichten — was passiert, wenn es schiefgeht
Deutsche Datenschutzaufsichtsbehörden sind keine zahnlosen Tiger — auch wenn dieser Eindruck manchmal entsteht. Die Realität ist: Sie prüfen zunehmend systematisch, sie entwickeln Schwerpunktthemen, und KI am Arbeitsplatz steht seit 2024 auf ihrer Agenda.
Art. 33 DSGVO ist unmissverständlich: Im Fall einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche dies der zuständigen Aufsichtsbehörde unverzüglich und wenn möglich binnen 72 Stunden. Diese 72-Stunden-Frist beginnt in dem Moment, in dem Sie von der Datenpanne Kenntnis erlangen — nicht in dem Moment, in dem sie passiert.
Abb. 6.7 — Betroffenenrechte-Prozess: Schritt-für-Schritt von der Anfrage bis zur dokumentierten Antwort
Was ist eine Datenpanne bei Copilot?
Eine Datenpanne ist jeder Vorfall, bei dem die Sicherheit personenbezogener Daten verletzt wird — also Zugangs-, Integritäts- oder Vertraulichkeitsverletzungen. Für Copilot gibt es spezifische Szenarien, die besonders häufig auftreten und die Sie als Datenpannen qualifizieren müssen.
Das häufigste Szenario: Oversharing. Copilot liefert einem Benutzer Informationen aus Dokumenten oder E-Mails, auf die er zwar technisch — aufgrund zu weiter Berechtigungen — Zugriff hat, aber inhaltlich keinen Zugriff haben sollte. Das ist eine Verletzung der Vertraulichkeit personenbezogener Daten. Ob eine Meldepflicht besteht, hängt vom Risiko für die betroffenen Personen ab.
Das zweite Szenario: Datenabfluss via Prompt. Ein Mitarbeiter übergibt Copilot sensible Unternehmensdaten als Kontext — und die KI verarbeitet sie über Microsoft-Infrastruktur, die Sie in Ihrem Threat Model nicht berücksichtigt haben. Das kann bei Fehlkonfigurationen der Copilot-Einstellungen passieren.
Abb. 6.8 — Datenpannen-Meldeprozess: Von der Erkennung bis zur 72-Stunden-Meldung an die Aufsichtsbehörde
|
Panne-Typ bei Copilot |
Meldepflicht (Art. 33)? |
Benachrichtigung Betroffene? |
Bußgeld-Risiko |
|---|---|---|---|
|
Copilot zeigt HR-Daten ohne Berechtigung |
Ja — Vertraulichkeitsverletzung mit Risiko |
Ggf. ja bei hohem Risiko für Betroffene |
Mittel bis hoch bei Beschäftigtendaten |
|
Copilot fasst Krankmeldungen zusammen (Art. 9) |
Ja — Verarbeitung besond. Kategorien ohne Rechtsgrundlage |
Ja — hohes Risiko für Betroffene |
Hoch: Art. 83 Abs. 5 DSGVO (bis 20 Mio. EUR oder 4%) |
|
Mitarbeiter gibt Mandantendaten in Copilot-Prompt |
Je nach Konfiguration und Vertrag |
Abhängig vom Schutzgrad der Daten |
Hoch bei Berufsgeheimnis (§ 203 StGB) |
|
Oversharing durch offene SharePoint-Berechtigungen |
Ja bei großem Umfang oder sensiblen Daten |
Ggf. bei hohem Risiko |
Mittel — berücksichtigt ggf. fahrlässige Konfiguration |
|
Copilot-Interaktionsprotokoll unbefugt abgerufen |
Ja — Vertraulichkeitsverletzung |
Ja bei persönlichen Daten mit hohem Risiko |
Hoch, wenn keine technischen Schutzmaßnahmen |
Tabelle 6.6 — Risikobewertung typischer Copilot-Datenpannen: Meldepflicht, Benachrichtigung, Bußgeldrisiko
Bußgelder: Was Art. 83 DSGVO für Copilot-Verstöße bedeutet
Die Höhe der Bußgelder nach DSGVO variiert erheblich. Art. 83 Abs. 4 DSGVO sieht für Verstöße gegen Dokumentationspflichten und die DSFA-Pflicht Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Art. 83 Abs. 5 DSGVO verdoppelt den Rahmen bei Verstößen gegen Verarbeitungsgrundsätze und Betroffenenrechte.
In der Praxis liegen die Bußgelder in Deutschland deutlich unter diesen Maximalwerten. Aber sie steigen. Wichtiger noch: Neben dem Bußgeld droht die Unterlassungsverfügung. Wenn die Aufsichtsbehörde feststellt, dass Ihre Copilot-Nutzung nicht DSGVO-konform ist, kann sie die Einstellung der Verarbeitung anordnen. Sofort. Für alle Benutzer. Der wirtschaftliche Schaden einer solchen Anordnung übersteigt jedes Bußgeld bei weitem.
Abb. 6.9 — DSGVO-Risiko-Landkarte: Eintrittswahrscheinlichkeit und Schadensausmaß der häufigsten Copilot-Datenschutzrisiken
Was löst eine Prüfung aus? Drei Szenarien sind am häufigsten: Erstens Beschwerden von Betroffenen — ein Mitarbeiter, der sich beim DSB beschwert, dass Copilot seine privaten Chat-Nachrichten zusammengefasst hat, kann eine Kettenreaktion auslösen. Zweitens Datenpannen — wenn personenbezogene Daten durch Copilot an unbefugte Empfänger gelangen und eine Meldung nach Art. 33 DSGVO erfolgt. Drittens anlasslose Schwerpunktprüfungen — mehrere Aufsichtsbehörden haben angekündigt, KI-Einsatz am Arbeitsplatz systematisch zu prüfen.
Die beste Vorbereitung auf eine Prüfung ist keine Prüfungsvorbereitung, sondern ein funktionierender Datenschutz. Stellen Sie sich vor, morgen klingelt die Aufsichtsbehörde. Können Sie innerhalb von 48 Stunden folgende Dokumente vorlegen? Das Verarbeitungsverzeichnis mit Copilot-Einträgen. Die DSFA für den Copilot-Einsatz. Die Datenschutzinformation für Beschäftigte. Die Konfigurationsdokumentation der technischen Schutzmaßnahmen. Den Nachweis der Betriebsratseinbindung. Wenn die Antwort auf eine dieser Fragen „Nein“ ist, haben Sie Handlungsbedarf.
Ein häufiger Fehler: Unternehmen erstellen die Dokumentation, aktualisieren sie aber nicht. Der VVT-Eintrag stammt aus dem Pilotprojekt, die DSFA wurde vor dem Rollout erstellt, aber die seitdem eingeführten Features sind nicht berücksichtigt. Bei einer Prüfung fällt das sofort auf — und es erweckt den Eindruck, dass der Datenschutz nur zum Zeitpunkt der Einführung ernst genommen wurde. Richtig eingestellt ist der Copilot-Datenschutz kein einmaliges Projekt, sondern ein laufender Prozess.
Wenn eine Prüfung angekündigt wird, beginnt kein Notfallprogramm, sondern ein geordneter Prozess. Die Aufsichtsbehörde sendet in der Regel einen Fragenkatalog vorab. Sie haben üblicherweise vier bis sechs Wochen Zeit für die Beantwortung. In dieser Zeit sollten Sie: die angeforderten Dokumente zusammenstellen, fehlende Dokumentation nacherstellen (mit Datumsangabe — keine Rückdatierung), einen Ansprechpartner für die Behörde benennen (in der Regel den DSB) und bei Bedarf externen Rechtsrat hinzuziehen. Ein praktischer Hinweis: Beantworten Sie die Fragen der Aufsichtsbehörde vollständig, aber nicht übermäßig ausführlich. Jede zusätzliche Information, die Sie freiwillig liefern, kann zu weiteren Fragen führen.
|
Prüfthema |
Was die Behörde fragt |
Wie Sie sich vorbereiten |
|---|---|---|
|
Rechtsgrundlage |
Auf welcher Rechtsgrundlage setzen Sie Copilot ein? |
Art. 6 Abs. 1 lit. f oder Betriebsvereinbarung dokumentieren |
|
DSFA |
Haben Sie eine DSFA durchgeführt? Wann? Von wem? |
DSFA-Dokument mit Datum, Verantwortlichem und DSB-Stellungnahme |
|
Betroffeneninformation |
Wurden die Beschäftigten informiert? Wie? Wann? |
Datenschutzinfo mit Zustellnachweis |
|
Verarbeitungsverzeichnis |
Ist Copilot im VVT erfasst? Vollständig? |
VVT-Eintrag mit allen Pflichtfeldern nach Art. 30 |
|
Technische Maßnahmen |
Welche Schutzmaßnahmen haben Sie implementiert? |
Dokumentation der Sensitivity Labels, DLP-Policies, Berechtigungskonzept |
|
Betriebsrat |
Wurde der Betriebsrat beteiligt? Gibt es eine Betriebsvereinbarung? |
Betriebsvereinbarung oder Dokumentation der Betriebsratsbeteiligung |
|
Löschkonzept |
Wie lange werden Copilot-Interaktionen gespeichert? |
Aufbewahrungsrichtlinie in Purview konfiguriert und dokumentiert |
Tabelle 6.7 — Was die Aufsichtsbehörde bei einer Copilot-Prüfung fragt — und wie Sie antworten
6.6 Fallstudie: Sparfuchs & Partner — der DSB, der zu spät informiert wurde
|
🏢 FALLSTUDIE — Sparfuchs & Partner: Mandantengeheimnisse und § 203 StGB |
|---|
|
Ralf Wagner hatte einen schlechten Tag. Als Office-Manager und gleichzeitig Datenschutzbeauftragter der Sparfuchs & Partner Steuerberatungs GmbH saß er vor seinem Bildschirm und starrte auf eine Teams-Nachricht der Seniorpartnerin: „Herr Wagner, können Sie prüfen, ob wir dieses Copilot aktivieren können? Mein Kollege in Hamburg schwArmt davon.“ Ralf Wagner schloss die Augen und zählte bis drei. Dann öffnete er den Kalender und stellte fest, dass die IT-Abteilung — konkret: der externe IT-Dienstleister Computerhilfe Ruhrgebiet GmbH — Microsoft 365 Copilot vor drei Wochen aktiviert hatte. Als Teil eines „Standard-Rollouts“. Ohne Rückfrage. Ohne Datenschutzprüfung. Ohne Rückfrage beim DSB. Ralf erfuhr davon, weil eine Mitarbeiterin ihn fragte: „Herr Wagner, ich nutze jetzt dieses Copilot. Das zeigt mir E-Mails von Mandanten. Ist das erlaubt?“ Diese Frage war goldwert. Sie kam allerdings drei Wochen zu spät. |
Das Problem: DSGVO trifft § 203 StGB
Das Problem bei Sparfuchs & Partner war nicht nur die fehlende DSFA. Das Problem war die Kombination aus DSGVO und berufsrechtlicher Schweigepflicht. § 203 StGB schützt die Geheimnisse, die einem Steuerberater anvertraut werden. Eine Verletzung ist strafbar — nicht bußgeldbewehrt wie bei der DSGVO, sondern strafbar im strafrechtlichen Sinne. Für einen Steuerberater kann eine Verletzung des § 203 StGB den Verlust der Berufszulassung bedeuten.
Der Copilot-Tenant der Kanzlei enthielt: Mandantenkorrespondenz per E-Mail, Steuerklärungen in SharePoint, Mandantenakten in Teams, Besprechungsnotizen in OneNote und Kalendereinträge mit Mandantennamen. Wenn ein Steuerberater Copilot nach einem Mandanten fragte, durchsuchte Copilot — mit den Berechtigungen des fragenden Beraters — all diese Daten. Soweit kein Problem, solange nur der zuständige Berater fragt. Aber: Die SharePoint-Berechtigungen waren für alle Mitarbeiter geöffnet. Ein Berater, der Mandant Müller nicht betreute, hätte über Copilot Zugriff auf die Unterlagen von Mandant Müller erhalten können.
Das wäre kein technischer Unfall gewesen. Das wäre ein Verstoß gegen § 203 StGB.
Abb. 6.10 — DSGVO-Compliance-Reifegrad: Vor und nach der strukturierten Copilot-Einführung bei Sparfuchs & Partner
Die Maßnahmen: Was Sparfuchs in drei Monaten aufgebaut hat
Ralf Wagner sagte „Stopp“. Per E-Mail an die Partnerversammlung, mit dem Betreff: „Copilot: Sofortiger Handlungsbedarf vor jeder weiteren Nutzung.“ Er war höflich. Er war klar. Er ließ keinen Spielraum für Interpretation. Copilot wurde auf rein interne Kommunikation beschränkt, bis die DSGVO- und Berufsrechtsfragen geklärt waren.
Was folgte, war ein dreimonatiger Prozess, der mehr bewirkte als jede IT-Projektplanung der letzten fünf Jahre:
Abb. 6.11 — Sparfuchs & Partner: Vom unkontrollierten Rollout bis zum DSGVO-konformen Betrieb in 12 Wochen
|
Maßnahme |
Aufwand |
Ergebnis |
|---|---|---|
|
Berechtigungsanalyse |
1 Woche, 2 Personen |
14 von 23 SharePoint-Sites hatten zu weite Berechtigungen |
|
Sensitivity Labels einführen |
2 Tage Konfiguration + 3 Wochen Schulung |
Mandantendaten automatisch als Mandantengeheimnis klassifiziert |
|
Information Barriers |
3 Tage technische Konfiguration |
Mandantenübergreifende Suchen durch Copilot unterbunden |
|
DSFA inkl. § 203 StGB |
3 Wochen intern + externe Prüfung |
Vollständige DSFA mit berufsrechtlicher Bewertung |
|
Eingeschränkter Pilot |
2 Monate, 5 Benutzer |
Keine Datenschutzvorfall, positive Nutzererfahrung |
|
Gesamtkosten |
3 Monate, ca. 35.000 EUR |
Copilot DSGVO- und berufsrechtskonform im Einsatz |
Tabelle 6.8 — Sparfuchs & Partner: Sanierungsmaßnahmen, Aufwand und Ergebnisse
Die Lehren aus Sparfuchs: Drei Essentials
Ralf Wagner war nach Abschluss des Projekts ein anderer DSB. Nicht weil er dramatische Persönlichkeitsveränderungen durchgemacht hätte, sondern weil er drei Dinge verinnerlicht hatte, die für jeden DSB im KI-Zeitalter gültig sind.
Erstens: Der DSB muss VOR dem Rollout informiert werden. Nicht danach durch Zufall. Die Einbeziehung des DSB ist kein administrativer Akt, sondern die Voraussetzung für rechtlich sicheren KI-Einsatz. Kein IT-Dienstleister, kein Seniorpartner, kein Vorstand sollte KI-Tools ohne DSB-Beteiligung in Betrieb nehmen.
Zweitens: DSFA bedeutet nicht Papierarbeit. Die DSFA bei Sparfuchs deckte Schwachstellen auf, die seit Jahren in der Berechtigungsstruktur schlummerten. Copilot war der Anlass, sie zu finden. Die Behebung war unabhängig von Copilot ein Gewinn für das gesamte Unternehmen.
Drittens: Datenschutz und Produktivität sind keine Gegensätze. Die fünf Pilotbenutzer berichteten nach der Konfiguration der Sensitivity Labels: Copilot funktionierte besser. Die Labels sorgten dafür, dass Copilot präzisere Antworten lieferte — weil irrelevante Daten aus fremden Mandantenordnern nicht mehr eingezogen wurden.
Seniorpartnerin Dr. Sparfuchs, die ursprünglich gefragt hatte ob man Copilot aktivieren könne: „Ich wusste nicht, dass unsere SharePoint-Berechtigungen so aussehen. Dass wir das jetzt aufgeräumt haben, ist unabhängig von Copilot ein Gewinn.“ Das ist das Muster, das ich in vielen Unternehmen beobachte.
Was Sparfuchs & Partner gezeigt hat, gilt universell: Die DSGVO-Vorbereitung für Copilot ist kein bremsendes Beiwerk, sondern ein Qualitätsfilter für die gesamte Datenkultur des Unternehmens. Wer die Arbeit investiert, bekommt nicht nur einen rechtskonformen KI-Einsatz, sondern auch ein aufgeräumtes, sichereres und transparenteres Informationsmanagement. Das zahlt sich aus — auch dann, wenn niemand mehr über Copilot redet.
|
➡️ WAS JETZT ZU TUN IST — DSGVO-Checkliste für den Copilot-Einsatz |
|---|
|
|
KAPITEL 7