AV-Vertrag mit Microsoft 365 Copilot einrichten

AV-Vertrag mit Microsoft 365 Copilot einrichten
Diese umfassende Anleitung zeigt Ihnen Schritt für Schritt, wie Sie Microsoft 365 Copilot rechtskonform nach DSGVO und AI Act in Ihrem Unternehmen einsetzen. Als IT-Administrator oder Datenschutzbeauftragter erhalten Sie alle notwendigen Informationen, um den Auftragsverarbeitungsvertrag korrekt einzurichten und potenzielle Compliance-Risiken zu minimieren.
Wichtiger Hinweis: Diese Anleitung bezieht sich ausschließlich auf Microsoft 365 Copilot für Unternehmenskunden mit Enterprise Data Protection. Die kostenlose Consumer-Version und Copilot with Commercial Data Protection sind NICHT DSGVO-konform für die Verarbeitung personenbezogener Daten.
Rechtsgrundlagen: Art. 28 DSGVO (Auftragsverarbeitung), AI Act (in Kraft seit 01.08.2024 mit gestaffelter Umsetzung bis 2027)
Stand dieser Dokumentation: Oktober 2025
1️⃣ Lizenz prüfen: Haben Sie die richtige Version?
Die Wahl der richtigen Lizenz ist die fundamentale Voraussetzung für eine DSGVO-konforme Nutzung von Microsoft 365 Copilot. Nur mit Enterprise Data Protection (EDP) agiert Microsoft als Auftragsverarbeiter nach Art. 28 DSGVO und stellt die erforderlichen Compliance-Mechanismen bereit.
✅ DSGVO-konforme Lizenzen
Diese Lizenzen bieten Enterprise Data Protection:
Microsoft 365 Copilot (ca. 28€/Nutzer/Monat, Stand Oktober 2025)
Microsoft 365 E3/E5 mit Copilot Add-On
Microsoft 365 Business Premium/Standard mit Copilot Add-On
Vorteile von Enterprise Data Protection:
Data Protection Addendum (DPA) gilt automatisch
Microsoft agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO
Prompts und Responses werden nicht für Modelltraining verwendet
Daten verbleiben in Microsoft 365-Umgebung (EU Data Boundary für EU-Kunden)
Umfassende Compliance-Tools: Logging, eDiscovery, Audit-Funktionen
❌ Nicht konforme Versionen
Diese Versionen sind NICHT geeignet für personenbezogene Daten:
Microsoft Copilot (Consumer) – kostenlose Version ohne Entra-Login
Copilot with Commercial Data Protection (veraltet, durch EDP ersetzt)
Warum diese Versionen problematisch sind:
Microsoft agiert als Verantwortlicher, nicht als Auftragsverarbeiter
Kein Data Protection Addendum (DPA) verfügbar
Nur Microsoft Services Agreement und Privacy Statement gültig
Keine Compliance-Garantien für geschäftliche Nutzung
Keine Kontrolle über Datenverarbeitung und -speicherung
So prüfen Sie Ihre Lizenz: Wenn Sie unsicher sind, welche Lizenz in Ihrem Unternehmen aktiv ist, öffnen Sie das Microsoft 365 Admin Center und navigieren Sie zu Abrechnung → Produkte. Alternativ kontaktieren Sie Ihren Microsoft-Ansprechpartner oder Lizenzpartner für eine Überprüfung.
2️⃣ Data Protection Addendum (DPA) aktivieren
Das Microsoft Products and Services Data Protection Addendum (DPA) ist das zentrale vertragliche Instrument für die DSGVO-konforme Nutzung von Microsoft 365 Copilot. Es regelt die Rechte und Pflichten zwischen Ihnen als Verantwortlichem und Microsoft als Auftragsverarbeiter nach Art. 28 DSGVO.
01
DPA herunterladen und prüfen
Die aktuellste Version des DPA (Stand: September 2025) ist unter microsoft.com/licensing verfügbar. Das Dokument ist auch auf Deutsch erhältlich und sollte vollständig in Ihrer Dokumentation gespeichert werden.
02
Vertragsbestandteile verstehen
Das DPA ist automatisch Teil Ihrer Microsoft 365 Product Terms – kein separater Vertragsabschluss erforderlich. Es tritt mit Aktivierung einer Enterprise-Lizenz in Kraft.
03
Kernelemente dokumentieren
Dokumentieren Sie die relevanten Vertragsbestandteile für Ihr Verarbeitungsverzeichnis und interne Compliance-Nachweise.
Wichtige Vertragsbestandteile des DPA
Verarbeitungszweck
Produktivitätsassistenz für Microsoft 365-Dienste: Word, Excel, PowerPoint, Outlook, Teams, SharePoint und weitere integrierte Anwendungen.
Verarbeitete Datenarten
Prompts (Nutzereingaben), Responses (KI-Antworten), Microsoft Graph-Inhalte (E-Mails, Dokumente, Kalendereinträge, Chat-Verläufe, Dateimetadaten).
Verarbeitungsdauer
Während der gesamten Lizenzlaufzeit sowie einer Nachhaltefrist von 90 Tagen nach Vertragsende gemäß den Retention Policies.
Subprozessoren
Vollständige Liste im DPA enthalten, einschließlich Azure OpenAI Service und weiterer Microsoft-Tochtergesellschaften. Updates werden rechtzeitig kommuniziert.
TOMs (Art. 32 DSGVO)
Verschlüsselung im Ruhezustand und bei Übertragung, Zugriffskontrolle, Tenant-Isolation, ISO 27001/27018/27701-Zertifizierungen, regelmäßige Penetrationstests.
Das DPA integriert auch die Standardvertragsklauseln (SCCs) der Europäischen Kommission (Beschluss 2021/914) für eventuelle Drittlandtransfers und erfüllt damit die Anforderungen des EuGH-Urteils "Schrems II".
3️⃣ Drittlandtransfer prüfen (Standardvertragsklauseln)
Die Frage nach Drittlandtransfers ist für EU-Kunden von zentraler Bedeutung. Microsoft hat mit der EU Data Boundary wichtige Schritte unternommen, um Daten europäischer Kunden innerhalb der EU zu verarbeiten. Dennoch gibt es Ausnahmen, die Sie kennen müssen.
EU Data Boundary für Microsoft 365 Copilot
Seit März 2024 ist Microsoft 365 Copilot vollständig in die EU Data Boundary integriert. Das bedeutet konkret:
Prompts und Responses werden für EU-Kunden grundsätzlich in EU-Rechenzentren verarbeitet
Azure OpenAI-Instanzen befinden sich in der EU (primär in den Niederlanden, Irland und Frankreich)
Microsoft Graph-Daten verbleiben in Ihrer bestehenden Microsoft 365-Infrastruktur
Standardvertragsklauseln (SCCs) sind automatisch im DPA integriert als zusätzliche Absicherung
⚠️ Wichtige Ausnahmen beachten
Bing-Websuche: Bei aktivierter Websuche werden Anfragen an globale Bing-Server gesendet, auch außerhalb der EU (siehe Abschnitt 4 für Details).
Kapazitätsengpässe: Bei außergewöhnlich hoher Auslastung können Anfragen temporär in andere Regionen geleitet werden, einschließlich USA. Microsoft gibt an, dass dies nur in seltenen Fällen geschieht.
Transfer Impact Assessment (TIA)
Führen Sie ein Transfer Impact Assessment durch, insbesondere bei Verarbeitung sensibler Kategorien nach Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten) oder für Behörden und regulierte Branchen. Bewerten Sie die Risiken eines Zugriffs durch Drittstaaten.
Zusätzliche Absicherungsoptionen
Für Organisationen mit höchsten Anforderungen an Datenresidenz: Microsoft 365 Multi-Geo garantiert feste Speicherorte für Daten. Azure Government Cloud ist für US-Behörden verfügbar und bietet physische Isolation.
4️⃣ Bing-Websuche: Der kritische Punkt! ⚠️
Die Integration der Bing-Websuche ist der datenschutzrechtlich heikelste Aspekt von Microsoft 365 Copilot. Hier verlässt Microsoft die Rolle des Auftragsverarbeiters und agiert als eigenständiger Verantwortlicher. Dies stellt ein erhebliches Compliance-Risiko dar.
Wie funktioniert die Bing-Websuche?
Microsoft 365 Copilot kann optional aktuelle Informationen aus dem Web abrufen, um Antworten zu verbessern – beispielsweise für Fragen zu aktuellen Ereignissen, Aktienkursen oder Wettervorhersagen. Der Prozess läuft wie folgt ab:
1
Prompt-Analyse
Copilot analysiert Ihre Eingabe und entscheidet, ob Webinhalte hilfreich wären.
2
Suchanfrage-Generierung
Aus Ihrem Prompt wird eine Suchanfrage extrahiert (z.B. "Tesla Quartalszahlen Q3 2025").
3
Bing-Abfrage
Die Suchanfrage wird an Bing Search Service gesendet und verarbeitet.
4
Ergebnis-Integration
Websuchergebnisse werden in die Copilot-Antwort eingebunden.
Das datenschutzrechtliche Problem
❌ Was bei Bing-Websuche passiert
Rollenwechsel: Microsoft ist Verantwortlicher, nicht Auftragsverarbeiter
Anderer Vertrag: Microsoft Services Agreement statt DPA
Drittlandtransfer: Daten werden an globale Bing-Server gesendet (inkl. USA)
Intransparenz: Unklar, welche Datenverarbeitung Microsoft als Verantwortlicher durchführt
Behördenkritik: Deutsche Datenschutzkonferenz (DSK) kritisiert seit Jahren Microsofts "eigene Verantwortlichkeit"
✅ Microsofts Zusicherungen
Was NICHT an Bing gesendet wird:
Vollständiger Prompt (außer bei extrem kurzen Eingaben)
Hochgeladene Dateien und Anhänge
Microsoft 365-Dokumente (E-Mails, SharePoint-Dateien)
Benutzer-ID, E-Mail-Adresse, Tenant-ID
Was gesendet wird:
Extrahierte Suchbegriffe (z.B. "Wetter Berlin heute")
Timestamp der Anfrage
Anonymisierte Session-ID
🚨 Klare Empfehlung: Bing-Websuche deaktivieren
Für eine rechtssichere DSGVO-Konformität sollten Sie die Bing-Websuche standardmäßig organisationsweit deaktivieren, insbesondere wenn Sie personenbezogene Daten verarbeiten, in regulierten Branchen tätig sind (Gesundheit, Finanzen, Versicherungen, Behörden) oder strenge Compliance-Anforderungen erfüllen müssen.
So deaktivieren Sie die Bing-Websuche
Admin-Ebene (empfohlen)
Öffnen Sie das Microsoft 365 Admin Center unter admin.microsoft.com
Navigieren Sie zu Einstellungen → Integrierte Apps
Wählen Sie Microsoft 365 Copilot aus
Deaktivieren Sie "Allow web content grounding" bzw. "Webinhalte zulassen"
Speichern Sie die Änderungen – sie gelten sofort für alle Nutzer
Nutzer-Ebene (individuell)
In Microsoft 365 Copilot gibt es einen Schalter für Webinhalte, den Nutzer selbst aktivieren können. Empfehlung: Deaktivieren Sie die Funktion zentral als Administrator, damit Nutzer sie nicht versehentlich aktivieren und Compliance-Risiken entstehen.
5️⃣ Training & Datenspeicherung konfigurieren
Gute Nachricht: Kein Modelltraining mit Ihren Daten
Microsoft hat explizit zugesichert und vertraglich garantiert, dass Ihre Unternehmensdaten NICHT für das Training von GPT-Modellen oder anderen KI-Systemen verwendet werden. Dies gilt für alle Microsoft 365 Copilot Enterprise-Kunden mit aktiver EDP-Lizenz.
Explizite Garantien:
Prompts und Responses werden nicht für Modelltraining genutzt
Microsoft Graph-Inhalte bleiben ausschließlich in Ihrer Umgebung
Keine Weitergabe an Dritte oder andere Microsoft-Kunden
Vertraglich festgeschrieben in Product Terms und DPA
Logging und Speicherung von Copilot-Aktivitäten
Microsoft protokolliert Copilot-Aktivitäten für Compliance-, Audit- und Sicherheitszwecke. Dies ist notwendig für eDiscovery, rechtliche Aufbewahrungspflichten und zur Nachvollziehbarkeit von KI-generierten Inhalten.
1
Was wird gespeichert?
Copilot Activity History: Ihre Prompts (Nutzereingaben) und die generierten Responses (KI-Antworten)
Metadaten: Zeitstempel, Nutzer-ID, verwendete Copilot-Funktion, Dokumentkontext
Interaktionsdaten: Welche Dokumente/E-Mails wurden referenziert
2
Wo werden Daten gespeichert?
Speicherort: Exchange Online (Teil Ihrer bestehenden Microsoft 365-Umgebung)
Verschlüsselung: Daten im Ruhezustand (at rest) und bei Übertragung (in transit) verschlüsselt
Zugriff: Nur autorisierte Administratoren mit eDiscovery-Rechten
3
Speicherdauer
Standard: 90 Tage für Chat-Verläufe
Anpassbar: Gemäß Ihrer organisationsspezifischen Retention Policies
Verwaltung: Über Microsoft Purview konfigurierbar
Nach Lizenzende: 90 Tage Nachhaltefrist, dann automatische Löschung
Keine Opt-Out-Funktion erforderlich: Da Microsoft Ihre Daten standardmäßig nicht für Training verwendet, müssen Sie keine separaten Einstellungen vornehmen oder Opt-Out-Mechanismen aktivieren. Dies ist ein fundamentaler Unterschied zu Consumer-KI-Diensten wie ChatGPT Free oder Google Bard.
6️⃣ Datenverarbeitung dokumentieren
Art. 30 DSGVO verpflichtet Sie als Verantwortlichen zur Führung eines Verarbeitungsverzeichnisses. Für Microsoft 365 Copilot müssen Sie eine eigenständige Verarbeitungstätigkeit dokumentieren, da es sich um eine spezifische KI-gestützte Datenverarbeitung handelt.
Mustervorlage für Ihr Verarbeitungsverzeichnis
Weitere erforderliche Compliance-Maßnahmen
Datenschutz-Folgenabschätzung (DSFA)
Führen Sie eine DSFA nach Art. 35 DSGVO durch, insbesondere bei umfassender organisationsweiter Nutzung, Verarbeitung sensibler Datenkategorien (Art. 9 DSGVO) oder Hochrisiko-Anwendungen nach AI Act.
Berechtigungskonzept
Copilot greift auf alle Daten zu, auf die der jeweilige Nutzer Zugriff hat. Überprüfen Sie SharePoint-Berechtigungen, OneDrive-Freigaben und Exchange-Postfachzugriffe, um Oversharing zu vermeiden.
Betroffenenrechte
Stellen Sie Prozesse sicher für Auskunft (Art. 15), Löschung (Art. 17), Berichtigung (Art. 16) und Widerspruch (Art. 21 DSGVO). Nutzen Sie Microsoft Purview für eDiscovery und Datenlöschung.
Informationspflichten
Informieren Sie Mitarbeiter und betroffene Dritte über den Einsatz von Microsoft 365 Copilot gemäß Art. 13/14 DSGVO. Aktualisieren Sie Datenschutzerklärungen und interne Richtlinien.
Mitarbeiterschulung
Schulen Sie Nutzer: Keine vertraulichen Personendaten in Prompts eingeben, KI-Outputs müssen inhaltlich geprüft werden, Verantwortung bleibt beim Menschen (Human-in-the-Loop-Prinzip).
7️⃣ AI Act Compliance prüfen
Der EU AI Act ist seit 1. August 2024 in Kraft und wird gestaffelt bis 2027 vollständig umgesetzt. Microsoft 365 Copilot basiert auf einem General Purpose AI (GPAI) System – konkret Azure OpenAI Service mit GPT-4/GPT-4o – und unterliegt damit spezifischen Anforderungen des AI Act.
Rollenverteilung nach AI Act
Microsoft als GPAI-Anbieter
Microsoft ist als Anbieter des zugrunde liegenden GPAI-Modells (Azure OpenAI) verantwortlich für:
✅ Bereitstellung technischer Dokumentation
✅ Transparenz über Trainingsdaten und Modellarchitektur
✅ Copyright-Compliance bei Trainingsdaten
✅ Urheberrechtsmanagement (z.B. Copilot Copyright Commitment)
✅ AI Literacy-Maßnahmen und Nutzeraufklärung
✅ Risikomanagement auf Modellebene
Ihr Unternehmen als Betreiber
Sie als Organisation, die Microsoft 365 Copilot einsetzt, sind verantwortlich für:
⚠️ Klassifizierung Ihrer spezifischen Anwendung (Hochrisiko vs. Minimales Risiko)
⚠️ Umsetzung entsprechender Compliance-Maßnahmen
⚠️ Sicherstellung menschlicher Aufsicht (Human-in-the-Loop)
⚠️ Dokumentation von Entscheidungen und Outputs
⚠️ Transparenz gegenüber Betroffenen
Hochrisiko-KI vs. Minimales Risiko: Was gilt für Sie?
🔴 Hochrisiko-Anwendung
Ihre Anwendung fällt unter Hochrisiko-KI, wenn Copilot eingesetzt wird für:
HR-Recruiting und Bewerberauswahl
Mitarbeiterbewertung und Performance-Management
Kreditwürdigkeitsprüfung und Finanzentscheidungen
Kritische Infrastruktur (Energie, Transport, Wasser)
Strafverfolgung und Rechtsprechung
Zugang zu Bildung oder essentiellen Dienstleistungen
Erforderliche Maßnahmen:
Risikomanagementsystem nach ISO 42001
Dokumentierte menschliche Aufsicht
Konformitätsbewertung durch Dritte
Registrierung in EU-Datenbank (ab Mitte 2026)
Transparenzkennzeichnung ("KI-generiert")
Detaillierte Logging und Audit Trails
🟢 Minimales Risiko
Ihre Anwendung fällt unter Minimales Risiko, wenn Copilot eingesetzt wird für:
Textgenerierung für interne Dokumente
E-Mail-Entwürfe und Kommunikationsassistenz
Meeting-Zusammenfassungen
Dokumentzusammenfassungen und Recherche
Datenvisualisierung und Tabellenkalkulation
Code-Vervollständigung für Entwickler
Erforderliche Maßnahmen:
Transparenzpflicht: Mitarbeiter informieren
Verantwortungsvolle Nutzung: Outputs prüfen
Kennzeichnung von KI-generierten Inhalten (empfohlen)
Freiwillige Verhaltenskodizes beachten
Grundlegende Dokumentation
Wichtig: Die Klassifizierung ist kontextabhängig. Ein und dieselbe KI kann für verschiedene Anwendungen unterschiedliche Risikoklassen haben. Beispiel: Copilot für E-Mail-Entwürfe = Minimales Risiko. Copilot für automatisierte Bewerberablehnung = Hochrisiko. Lassen Sie Ihre spezifischen Anwendungsfälle von einem KI-Compliance-Experten bewerten.
8️⃣ Berechtigungskonzept & Zugriffskontrolle
Microsoft 365 Copilot nutzt Microsoft Graph, um auf alle Daten zuzugreifen, auf die ein Nutzer berechtigt ist. Dies ist ein fundamentales Architekturprinzip, das massive Effizienzgewinne ermöglicht – aber auch erhebliche Datenschutzrisiken birgt, wenn Berechtigungen nicht sauber verwaltet sind.
⚠️ Das Berechtigungs-Dilemma
Copilot ist nur so sicher wie Ihr Berechtigungskonzept. Wenn ein Nutzer Zugriff auf sensible Dokumente hat (z.B. über weitläufige SharePoint-Freigaben), kann Copilot diese Informationen in Antworten einbeziehen – auch wenn der Nutzer die Existenz dieser Dokumente gar nicht kannte.
Nutzer stellt Frage
Ein Mitarbeiter fragt Copilot: "Welche Gehaltserhöhungen sind für 2025 geplant?"
Microsoft Graph-Abfrage
Copilot durchsucht ALLE Dokumente, E-Mails und Kalender, auf die der Nutzer Zugriff hat.
Sensible Daten gefunden
Ein vertrauliches HR-Dokument wurde versehentlich mit "Alle Mitarbeiter" geteilt.
Ungewollte Information
Copilot gibt sensible Gehaltsinformationen in der Antwort preis.
Checkliste: Berechtigungen vor Copilot-Rollout prüfen
1
Zugriffsrechte-Audit durchführen
Überprüfen Sie systematisch alle SharePoint-Bibliotheken, OneDrive-Freigaben und Exchange-Postfachzugriffe. Wer hat Zugriff auf welche Dokumente? Gibt es "Alle Mitarbeiter"-Freigaben für sensible Inhalte?
2
Oversharing eliminieren
Identifizieren Sie weitläufig geteilte Dokumente mit sensiblen Informationen. Nutzen Sie Tools wie Microsoft Purview Data Loss Prevention (DLP) oder SharePoint Advanced Management für automatisierte Erkennung.
3
Sensitivity Labels implementieren
Klassifizieren Sie Dokumente mit Azure Information Protection: "Öffentlich", "Intern", "Vertraulich", "Streng vertraulich". Labels steuern Zugriff, Verschlüsselung und Copilot-Verarbeitung.
4
Conditional Access konfigurieren
Beschränken Sie Copilot-Zugriff auf bestimmte Nutzergruppen (z.B. nur Führungskräfte, nur Finance-Team). Nutzen Sie Azure AD Conditional Access Policies.
5
DLP-Richtlinien aktivieren
Verhindern Sie automatisch, dass Copilot auf Dokumente mit Kreditkartennummern, Sozialversicherungsnummern, Gesundheitsdaten oder andere regulierte Inhalte zugreift.
6
Least-Privilege-Prinzip durchsetzen
Nutzer sollten nur Zugriff auf Daten haben, die sie für ihre Arbeit benötigen. Überprüfen Sie regelmäßig und entfernen Sie unnötige Berechtigungen.
Empfehlung: Führen Sie ein umfassendes Berechtigungs-Audit durch, BEVOR Sie Microsoft 365 Copilot organisationsweit ausrollen. Nutzen Sie einen Pilotbetrieb mit einer kleinen Nutzergruppe, um potenzielle Berechtigungsprobleme zu identifizieren, bevor sie zu Compliance-Vorfällen werden.
9️⃣ Löschen von Daten
Die Löschung von Daten ist ein zentrales Betroffenenrecht nach Art. 17 DSGVO und muss auch für Microsoft 365 Copilot-Daten gewährleistet sein. Microsoft bietet verschiedene Mechanismen für die Datenlöschung auf unterschiedlichen Ebenen.
Speicherfristen und Retention Policies
Copilot Activity History:
Prompts und Responses werden in Exchange Online gespeichert
Standardspeicherdauer: Gemäß Ihrer konfigurierten Retention Policies
Typisch: 90 Tage für Chat-Verläufe (anpassbar)
Verwaltung über Microsoft Purview Compliance Center
Microsoft Graph-Daten:
Copilot greift nur lesend auf bestehende Daten zu (E-Mails, Dokumente, Kalender)
Keine separate Kopie oder Speicherung durch Copilot selbst
Daten bleiben in Ihren Microsoft 365-Apps mit deren jeweiligen Aufbewahrungsfristen
Löschung erfolgt durch normale Datenverwaltung in Outlook, SharePoint etc.
Löschungsmechanismen auf verschiedenen Ebenen
Nutzer-Ebene: Einzelne Prompts löschen
Nutzer können ihre Copilot Chat History selbst verwalten und löschen. In der Copilot-Anwendung: Einstellungen → Chat-Verlauf löschen. Dies entfernt die Conversation History aus der persönlichen Ansicht, die Daten bleiben jedoch für Audit-Zwecke in Exchange Online verfügbar (gemäß Retention Policy).
Admin-Ebene: Organisationsweite Verwaltung
Administratoren können über Microsoft Purview Compliance Center Copilot-Daten durchsuchen, exportieren und löschen. Nutzen Sie eDiscovery für gezielte Suchen (z.B. alle Prompts eines bestimmten Nutzers) und Content Search für organisationsweite Abfragen. Audit Logs bieten vollständige Nachvollziehbarkeit aller Copilot-Aktivitäten.
Automatische Löschung nach Retention Period
Konfigurieren Sie Retention Policies in Microsoft Purview, um Copilot Activity History automatisch nach Ablauf zu löschen (z.B. nach 90 Tagen, 1 Jahr oder gemäß Ihrer Compliance-Anforderungen). Dies gewährleistet Storage Governance nach dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO).
Löschung nach Vertragsende
Nach Kündigung der Microsoft 365-Lizenz werden Copilot-Daten gemäß Microsoft DPA innerhalb von 90 Tagen gelöscht. Backup-Kopien werden weitere 90 Tage aufbewahrt (insgesamt maximal 180 Tage). Fordern Sie bei Bedarf eine beschleunigte Löschung über Ihren Microsoft-Ansprechpartner an.
⚠️ Wichtiger Hinweis: Diese Löschfristen beziehen sich ausschließlich auf die Copilot Activity History (Prompts und Responses). Ihre Microsoft 365-Kerndaten (E-Mails, Dokumente in SharePoint/OneDrive, Kalendereinträge) bleiben unverändert bestehen, bis Sie sie selbst durch normale Datenverwaltung löschen. Copilot erstellt keine Kopien dieser Daten, sondern greift nur lesend darauf zu.
🔟 Checkliste: Habe ich alles richtig gemacht?
Bevor Sie Microsoft 365 Copilot produktiv einsetzen, stellen Sie sicher, dass alle Compliance-Anforderungen erfüllt sind. Diese Checkliste fasst alle kritischen Punkte zusammen.
1
Lizenzierung & Vertrag
Microsoft 365 Copilot Lizenz mit Enterprise Data Protection (EDP) aktiv?
Data Protection Addendum (DPA) heruntergeladen und geprüft?
Standardvertragsklauseln (SCCs) im DPA vorhanden?
Subprozessorenliste überprüft?
2
Datenschutz-Konfiguration
Bing-Websuche organisationsweit deaktiviert?
Drittlandtransfer-Risiken bewertet (Transfer Impact Assessment)?
EU Data Boundary aktiv für EU-Kunden?
Training mit Unternehmensdaten ausgeschlossen (standardmäßig der Fall)?
3
Dokumentation & Compliance
Verarbeitungsverzeichnis nach Art. 30 DSGVO aktualisiert?
Datenschutz-Folgenabschätzung (DSFA) durchgeführt bei Hochrisiko/sensiblen Daten?
AI Act Klassifizierung vorgenommen (Hochrisiko vs. Minimales Risiko)?
Qualitätsmanagementsystem etabliert (bei Hochrisiko-KI)?
4
Berechtigungen & Sicherheit
Berechtigungskonzept überprüft (SharePoint, OneDrive, Exchange)?
Oversharing-Audit durchgeführt und bereinigt?
Sensitivity Labels konfiguriert (Azure Information Protection)?
DLP-Richtlinien (Data Loss Prevention) aktiviert?
Conditional Access für Copilot konfiguriert?
5
Organisatorische Maßnahmen
Mitarbeiter geschult (keine vertraulichen Daten in Prompts, Outputs prüfen)?
Betroffene informiert über Copilot-Einsatz (Art. 13/14 DSGVO)?
Menschliche Aufsicht etabliert (Human-in-the-Loop bei Hochrisiko)?
Prozesse für Betroffenenrechte implementiert (Auskunft, Löschung, Widerspruch)?
Incident Response Plan für KI-bedingte Datenschutzvorfälle?
6
Technische Verwaltung
Retention Policies konfiguriert (Microsoft Purview)?
Löschkonzept definiert und dokumentiert?
Audit Logging aktiviert und überwacht?
eDiscovery-Zugriffe für Compliance-Team eingerichtet?
Monitoring für ungewöhnliche Copilot-Nutzung implementiert?
✅ Wenn alle Punkte abgehakt sind:
Sie können Microsoft 365 Copilot DSGVO-konform und AI-Act-compliant in Ihrem Unternehmen einsetzen. Dokumentieren Sie Ihre Compliance-Maßnahmen sorgfältig und überprüfen Sie regelmäßig, ob neue Microsoft-Updates oder Rechtsänderungen Anpassungen erfordern.
🔗 Wichtige Links und Ressourcen
Diese Referenzlinks bieten Ihnen direkten Zugang zu den wichtigsten offiziellen Microsoft-Dokumentationen und deutschen Datenschutzbehörden. Speichern Sie diese Seite als Lesezeichen für zukünftige Referenz.
Microsoft Vertragsdokumente
Microsoft DPA (Data Protection Addendum) – Aktuellste Version, auch auf Deutsch
Microsoft Product Terms – Vollständige Lizenzbedingungen
Microsoft Trust Center: Datenstandorte
Copilot Datenschutz-Dokumentation
Copilot Privacy Overview – Offizielle Datenschutzdokumentation
Enterprise Data Protection – Technische Details zu EDP
Bing-Websuche deaktivieren – Schritt-für-Schritt-Anleitung
Microsoft 365 Verwaltung
Microsoft 365 Admin Center – Zentrale Verwaltungskonsole
Microsoft Purview Compliance Portal – Compliance-Management
Microsoft 365 Defender Portal – Security-Einstellungen
Deutsche Datenschutzbehörden
LfD Niedersachsen: Microsoft 365 Handreichung
Datenschutzkonferenz (DSK) – Beschlüsse und Stellungnahmen
BfDI: Bundesbeauftragter für Datenschutz
EU AI Act Ressourcen
EU Kommission: AI Act Übersicht
AI Act Explorer – Detaillierte Analyse
ISO 42001: AI Management System Standard (via ISO.org)
Community und Support
Microsoft Tech Community: Copilot Forum
Microsoft Support – Technischer Support
Ihr Microsoft-Kundenberater für lizenzspezifische Fragen
Tipp: Abonnieren Sie die Microsoft 365 Roadmap und Tech Community-Blogs, um über neue Copilot-Features, Compliance-Updates und Best Practices auf dem Laufenden zu bleiben. Microsoft aktualisiert regelmäßig seine Datenschutzdokumente – überprüfen Sie mindestens quartalsweise auf Änderungen.
❓ Häufig gestellte Fragen (FAQ)
Diese FAQ-Sammlung beantwortet die häufigsten Fragen von IT-Administratoren und Datenschutzbeauftragten zur DSGVO-konformen Nutzung von Microsoft 365 Copilot.
Q: Ist Microsoft 365 Copilot grundsätzlich DSGVO-konform?
A: Ja, Microsoft 365 Copilot mit Enterprise Data Protection (EDP) ist DSGVO-konform, WENN Sie die Bing-Websuche deaktivieren. Mit aktivierter Websuche agiert Microsoft als Verantwortlicher (nicht als Auftragsverarbeiter), was datenschutzrechtlich problematisch ist.
Q: Wo werden meine Daten physisch verarbeitet und gespeichert?
A: Für EU-Kunden werden Daten grundsätzlich innerhalb der EU verarbeitet (EU Data Boundary). Primäre Rechenzentren befinden sich in den Niederlanden, Irland und Frankreich. Ausnahmen: Bei aktivierter Bing-Websuche oder temporären Kapazitätsengpässen können Daten auch außerhalb der EU verarbeitet werden.
Q: Nutzt Microsoft meine Unternehmensdaten für das Training von KI-Modellen?
A: Nein. Bei Enterprise-Lizenzen mit EDP werden Ihre Prompts, Responses und Microsoft Graph-Inhalte NICHT für das Training von GPT-Modellen oder anderen KI-Systemen verwendet. Dies ist vertraglich im DPA und den Product Terms garantiert.
Q: Wie lange werden Prompts und Responses gespeichert?
A: Die Speicherdauer richtet sich nach Ihren konfigurierten Retention Policies in Microsoft Purview. Der Standard beträgt 90 Tage für Chat-Verläufe, kann aber organisationsspezifisch angepasst werden. Nach Lizenzende werden Daten innerhalb von 90 Tagen gelöscht (plus weitere 90 Tage für Backup-Kopien).
Q: Kann ich die Bing-Websuche vollständig deaktivieren?
A: Ja, und das sollten Sie auch tun. Deaktivieren Sie die Funktion im Microsoft 365 Admin Center unter Einstellungen → Integrierte Apps → Microsoft 365 Copilot → "Allow web content grounding" deaktivieren. Dies ist die zentrale Maßnahme für DSGVO-Konformität.
Q: Ist Microsoft 365 Copilot konform mit dem EU AI Act?
A: Microsoft erfüllt die Anforderungen als GPAI-Anbieter (General Purpose AI). Ihre Organisation muss jedoch die spezifische Anwendung klassifizieren: Hochrisiko-KI (z.B. HR-Recruiting) erfordert umfassende Compliance-Maßnahmen inkl. Risikomanagement und Konformitätsbewertung. Minimales Risiko (z.B. E-Mail-Entwürfe) hat reduzierte Anforderungen.
Q: Was ist mit "Copilot with Commercial Data Protection" – kann ich das nutzen?
A: Nein. Diese Version ist veraltet und NICHT DSGVO-konform für die Verarbeitung personenbezogener Daten. Microsoft hat sie durch Enterprise Data Protection (EDP) ersetzt. Nutzen Sie ausschließlich Microsoft 365 Copilot mit EDP-Lizenz.
Q: Darf ich Copilot für HR-Recruiting oder Mitarbeiterbewertung einsetzen?
A: Rechtlich ja, aber dies gilt als Hochrisiko-KI nach AI Act. Sie benötigen ein umfassendes Risikomanagementsystem, dokumentierte menschliche Aufsicht, Konformitätsbewertung, Registrierung in der EU-Datenbank und müssen alle Hochrisiko-Anforderungen erfüllen. Holen Sie dafür unbedingt rechtliche Beratung ein.
Q: Wie verhindere ich, dass Copilot auf sensible Dokumente zugreift?
A: Nutzen Sie ein kombiniertes Schutzkonzept: Überprüfen Sie SharePoint/OneDrive-Berechtigungen (Least-Privilege-Prinzip), implementieren Sie Sensitivity Labels (Azure Information Protection), aktivieren Sie DLP-Richtlinien für sensible Datentypen, und nutzen Sie Conditional Access, um Copilot-Zugriff auf bestimmte Nutzergruppen zu beschränken.
Q: Was passiert bei einem Datenschutzvorfall mit Copilot-Daten?
A: Microsoft ist verpflichtet, Sie als Verantwortlichen gemäß Art. 33 Abs. 2 DSGVO unverzüglich über Datenschutzverletzungen zu informieren. Sie müssen dann innerhalb von 72 Stunden die zuständige Aufsichtsbehörde benachrichtigen. Implementieren Sie einen Incident Response Plan speziell für KI-bedingte Vorfälle.
🛡️ Microsoft 365 Copilot im Vergleich zu anderen Anbietern
Um eine fundierte Entscheidung zu treffen, ist es wichtig, Microsoft 365 Copilot im Kontext alternativer KI-Lösungen zu bewerten. Dieser Vergleich hilft Ihnen, die Stärken und Schwächen der verschiedenen Optionen zu verstehen.
Vorteile von Microsoft 365 Copilot
✅ Stärken
Nahtlose Integration: Vollständig in bestehende Microsoft 365-Umgebung eingebettet (Word, Excel, PowerPoint, Outlook, Teams) – keine separate Plattform nötig
Automatisches DPA: Data Protection Addendum gilt sofort mit Enterprise-Lizenz, kein separater Vertragsabschluss erforderlich
EU Data Boundary: Für EU-Kunden werden Daten standardmäßig in EU-Rechenzentren verarbeitet
Compliance-Tools inklusive: Microsoft Purview, eDiscovery, Retention Policies, Audit Logs – alles integriert
Single Sign-On: Azure AD-Integration für zentrale Identitätsverwaltung
Skalierbarkeit: Enterprise-ready mit Mandantenisolierung
❌ Nachteile und Herausforderungen
Bing-Websuche-Problem: Bei aktivierter Websuche agiert Microsoft als Verantwortlicher (nicht als Auftragsverarbeiter) – datenschutzrechtlich kritisch
Komplexität: Verschiedene Copilot-Versionen (Consumer, Commercial Data Protection, Enterprise) sorgen für Verwirrung
Unklare Namensgebung: Microsoft hat die Produktnamen mehrfach geändert
DSK-Kritik: Deutsche Datenschutzbehörden kritisieren seit Jahren Microsofts "eigene Verantwortlichkeit" in verschiedenen Kontexten
Vendor Lock-in: Starke Bindung an Microsoft-Ökosystem
Berechtigungskomplexität: Copilot greift auf alle Nutzerdaten zu – erfordert sauberes Berechtigungskonzept
Vergleich: Microsoft 365 Copilot vs. Azure OpenAI vs. Standalone-LLMs
Empfehlung für verschiedene Szenarien
Wählen Sie Microsoft 365 Copilot, wenn: Sie bereits Microsoft 365 nutzen, eine Out-of-the-box-Lösung benötigen, und die Bing-Websuche deaktivieren können.
Wählen Sie Azure OpenAI, wenn: Sie maximale Kontrolle über Datenverarbeitung benötigen, Custom-Modelle trainieren möchten, oder spezifische Anwendungsfälle haben, die Microsoft Graph nicht benötigen.
Wählen Sie Standalone-LLMs (OpenAI/Anthropic), wenn: EU-Datenschutz nicht kritisch ist, Sie maximale Flexibilität benötigen, oder Prototyping betreiben (nicht für Produktion mit personenbezogenen Daten empfohlen).
⚠️ Haftungsausschluss und abschließende Hinweise
Diese umfassende Anleitung dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die Verträge, Datenschutzbestimmungen und technischen Konfigurationen von Microsoft können sich jederzeit ändern. Es liegt in Ihrer Verantwortung, die Aktualität der hier dargestellten Informationen regelmäßig zu überprüfen.
Wichtige rechtliche Hinweise
Keine individuelle Rechtsberatung
Diese Anleitung ersetzt keine individuelle Beratung durch einen Fachanwalt für IT-Recht oder zertifizierten Datenschutzexperten. Jeder Anwendungsfall hat spezifische Anforderungen, die gesondert geprüft werden müssen.
Regelmäßige Überprüfung erforderlich
Microsoft aktualisiert Product Terms, DPA und Datenschutzdokumente regelmäßig. Überprüfen Sie mindestens quartalsweise auf microsoft.com, ob neue Versionen veröffentlicht wurden, und passen Sie Ihre Compliance-Dokumentation entsprechend an.
Kritische Punkte für rechtliche Prüfung
Folgende Aspekte sollten Sie unbedingt durch einen Rechtsexperten prüfen lassen:
Bing-Websuche und Microsofts Rollenwechsel zum Verantwortlichen
AI Act Hochrisiko-Klassifizierung Ihrer spezifischen Anwendung
Berechtigungskonzept und Oversharing-Risiken in Ihrer Organisation
Branchen-spezifische Compliance (BAFIN für Finanzdienstleister, Medizinproduktegesetz, Telekommunikationsgesetz)
DSK-Kritikpunkte an Microsoft 365 (siehe DSK-Abschlussbericht November 2022)
Besondere Vorsicht geboten bei:
🔴 Hochrisiko-Anwendungen
HR-Recruiting und Personalauswahl
Mitarbeiterleistungsbewertung
Kreditwürdigkeitsprüfung
Medizinische Diagnoseunterstützung
Kritische Infrastruktur
Rechtliche Entscheidungsvorbereitung
Erfordert: Umfassende AI Act Compliance, Risikomanagementsystem, Human-in-the-Loop, Konformitätsbewertung
🟡 Besondere Datenkategorien
Gesundheitsdaten (Art. 9 DSGVO)
Biometrische Daten
Genetische Daten
Strafrechtliche Daten
Gewerkschaftszugehörigkeit
Religiöse/politische Überzeugungen
Erfordert: Erweiterte DSFA, zusätzliche TOMs, erhöhte Transparenzpflichten
🟠 Regulierte Branchen
Behörden und öffentliche Verwaltung
Finanzdienstleister (BAFIN-Aufsicht)
Gesundheitswesen und Krankenhäuser
Versicherungen
Telekommunikation
Kritische Infrastruktur (KRITIS)
Erfordert: Branchenspezifische Compliance-Prüfung, Meldepflichten, Sondergenehmigungen
🚨 Kritische Punkte nochmals zusammengefasst
1. Bing-Websuche MUSS deaktiviert werden
Dies ist der wichtigste Schritt für DSGVO-Konformität. Mit aktivierter Websuche verliert Microsoft die Rolle des Auftragsverarbeiters.
2. Berechtigungskonzept MUSS vor Rollout geprüft werden
Copilot greift auf alle Daten zu, auf die Nutzer Zugriff haben. Oversharing führt zu Datenschutzverletzungen.
3. Mitarbeiter MÜSSEN geschult werden
Nutzer tragen Verantwortung für Prompts und müssen Outputs inhaltlich prüfen. KI übernimmt keine Haftung.
Stand dieser Anleitung: Oktober 2025
Nächste empfohlene Überprüfung: Januar 2026 (oder bei Änderungen der Microsoft-Vertragsbedingungen)
Ihr nächster Schritt: Wenden Sie sich für eine individuelle Bewertung Ihres Anwendungsfalls an einen Fachanwalt für IT-Recht oder zertifizierten Datenschutzbeauftragten. Dokumentieren Sie alle Compliance-Maßnahmen sorgfältig in Ihrem Verarbeitungsverzeichnis und halten Sie diese aktuell.