Microsoft 365 Copilot und Datenschutz: DSGVO und Compliance

Microsoft 365 Copilot und Datenschutz: DSGVO, EU Data Boundary und Compliance

Der Einsatz von KI-Systemen im Unternehmen wirft unweigerlich Fragen zum Datenschutz auf: Werden meine Daten für KI-Training verwendet? Wo werden die Daten verarbeitet? Wie steht es um die DSGVO-Konformität? Diese Fragen sind berechtigt und zentral für die Entscheidung über den Einsatz von Microsoft 365 Copilot. Die gute Nachricht: Die Antworten haben sich in den letzten Monaten deutlich verbessert.

Microsoft hat erheblich in Datenschutz und Compliance investiert. Mit der vollständigen Umsetzung der EU Data Boundary im Februar 2025 und der positiven Einschätzung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) im November 2025 gibt es nun eine klarere und solidere Grundlage für den Einsatz von Microsoft 365 Copilot in deutschen Unternehmen. In diesem Artikel erfahren Sie, wie Microsoft 365 Copilot mit der DSGVO vereinbar ist, welche Maßnahmen Microsoft getroffen hat und worauf Sie bei der Einführung achten sollten.

‍

EU Data Boundary: Daten bleiben in Europa

Ein zentraler Kritikpunkt an Cloud-Diensten US-amerikanischer Anbieter war stets die Datenverarbeitung außerhalb Europas und die damit verbundenen rechtlichen Unsicherheiten. Mit der EU Data Boundary hat Microsoft dieses Problem grundlegend adressiert und eine Lösung geschaffen, die neue Maßstäbe setzt.

‍

Was ist die EU Data Boundary?

Die EU Data Boundary ist Microsofts verbindliche Zusage, Kundendaten aus der Europäischen Union und dem Europäischen Wirtschaftsraum (EWR) ausschließlich innerhalb dieser Region zu speichern und zu verarbeiten. Diese Initiative wurde in drei aufeinander aufbauenden Phasen umgesetzt:

• Phase 1 (2023): Abdeckung der Kundendaten aus den wichtigsten Microsoft 365 Diensten
• Phase 2 (2024): Einbeziehung pseudonymisierter Nutzungsdaten
• Phase 3 (Februar 2025): Support-Daten und vollständige Abdeckung aller Komponenten

Am 26. Februar 2025 kündigte Microsoft die vollständige Umsetzung der EU Data Boundary an. Dies war der Abschluss einer mehrjährigen Engineering-Anstrengung mit Hunderten von Produktteams und Tausenden von Entwicklern weltweit. Microsoft 365 Copilot ist explizit als EU-Data-Boundary-Dienst klassifiziert, was bedeutet, dass alle Verarbeitungen im Zusammenhang mit Copilot innerhalb der EU-Grenzen stattfinden.

‍

Was bedeutet das praktisch für Unternehmen?

Für Unternehmen in Deutschland und der gesamten EU bedeutet die vollständige Umsetzung der EU Data Boundary einen grundlegenden Wandel in der datenschutzrechtlichen Bewertung:

• Kundendaten werden ausschließlich in EU-Rechenzentren verarbeitet und gespeichert
• Die KI-Verarbeitung von Copilot erfolgt vollständig innerhalb der EU
• Auch Support-Anfragen und technische Logs werden in der EU bearbeitet und gespeichert
• Der Datenfluss in Drittländer außerhalb der EU wird auf ein Minimum reduziert

Dies vereinfacht die datenschutzrechtliche Bewertung erheblich, da die komplexe Frage der Drittlandübermittlung gemäß Kapitel V DSGVO in den meisten Fällen entfällt. Unternehmen müssen sich nicht mehr mit den Unsicherheiten rund um das Privacy Shield oder Standardvertragsklauseln für die Hauptverarbeitung auseinandersetzen.

‍

Einschränkungen und Ausnahmen beachten

Die EU Data Boundary gilt für die Kernfunktionen von Microsoft 365 Copilot, doch es gibt einzelne Bereiche, in denen Ausnahmen bestehen:

• Einige optionale Copilot-Erweiterungen und Integrationen mit Drittanbieter-Diensten können Daten außerhalb der EU verarbeiten
• Die Bing-Suche, die Copilot für aktuelle Webinhalte nutzen kann, unterliegt separaten Bedingungen und kann Daten außerhalb der EU verarbeiten
• Bestimmte optionale Features erfordern eine explizite Zustimmung bei Aktivierung

Microsoft dokumentiert diese Ausnahmen transparent in der offiziellen Dokumentation zur EU Data Boundary und erfordert in der Regel eine bewusste Aktivierung durch Administratoren, sodass Unternehmen die volle Kontrolle behalten.

‍

DSGVO-Konformität von Microsoft 365 Copilot

Die Einhaltung der Datenschutz-Grundverordnung (DSGVO) ist für Unternehmen in der EU verpflichtend. Microsoft hat zahlreiche Maßnahmen getroffen, um die rechtliche und technische Grundlage für einen konformen Einsatz zu schaffen.

‍

Vertragliche Grundlagen

Die Nutzung von Microsoft 365 Copilot ist durch ein umfassendes Set an Vertragswerken abgedeckt, die den Anforderungen der DSGVO entsprechen:

• Data Processing Addendum (DPA): Der Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO regelt detailliert die Rechte und Pflichten von Microsoft als Auftragsverarbeiter und enthält alle erforderlichen Garantien
• Microsoft Product Terms: Die Produktbedingungen definieren den Umfang der Dienste, die Datenschutzgarantien und die spezifischen Zusagen für Copilot
• EU Model Clauses: Standardvertragsklauseln für den Fall, dass trotz EU Data Boundary Datenübermittlungen in Drittländer erforderlich werden

Diese Vertragswerke wurden im September 2025 aktualisiert und berücksichtigen die vollständige Umsetzung der EU Data Boundary sowie Feedback deutscher Datenschutzbehörden.

‍

Keine Nutzung für KI-Training

Eine der häufigsten und berechtigten Sorgen bei Cloud-basierten KI-Diensten ist die Frage: Werden meine Unternehmensdaten verwendet, um die KI-Modelle zu trainieren und zu verbessern? Microsoft gibt hierzu eine eindeutige und vertraglich bindende Antwort:

Nein. Kundendaten, Prompts und Antworten von Microsoft 365 Copilot werden nicht für das Training der zugrundeliegenden Large Language Models verwendet. Das gilt sowohl für die Microsoft-eigenen Modelle als auch für OpenAI-Modelle, die in Copilot eingesetzt werden. Diese Zusage ist vertraglich im Data Processing Addendum verankert und wird regelmäßig durch unabhängige Audits überprüft. Unternehmensdaten bleiben ausschließlich im Kontext des jeweiligen Mandanten und werden niemals zur Verbesserung der allgemeinen Modelle herangezogen.

‍

Enterprise Data Protection Framework

Microsoft 365 Copilot unterliegt dem Enterprise Data Protection (EDP) Framework, das die gleichen strengen Sicherheits- und Datenschutzstandards anwendet, die auch für klassische Microsoft 365-Dienste gelten:

• Prompts und Antworten genießen den gleichen Schutz wie E-Mails und Dokumente
• Verschlüsselung sowohl im Ruhezustand als auch bei der Übertragung
• Strikte Datenisolation zwischen verschiedenen Mandanten
• Umfassende Audit- und Compliance-Funktionen über Microsoft Purview
• Konfigurierbare Retention-Policies für Copilot-Interaktionen

Diese konsistente Sicherheitsarchitektur bedeutet, dass Unternehmen keine neuen Sicherheitskonzepte für Copilot entwickeln müssen, sondern ihre bestehenden Richtlinien erweitern können.

‍

Einschätzung deutscher Datenschutzbehörden

Die Position deutscher Datenschutzbehörden zu Microsoft 365 hat sich in den letzten Jahren erheblich gewandelt – von kritischer Ablehnung zu einer differenzierten Einschätzung mit klaren Anforderungen.

‍

Wegweisende Einschätzung des HBDI

Am 15. November 2025 veröffentlichte der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) nach zehnmonatigen intensiven Verhandlungen mit Microsoft einen 137-seitigen Bericht, der zu einer wegweisenden Einschätzung kommt:

Microsoft 365 lässt sich DSGVO-konform betreiben – wenn Unternehmen bestimmte Maßnahmen konsequent umsetzen.

Diese Einschätzung markiert eine bedeutende Kehrtwende gegenüber den kritischeren Positionen der Datenschutzkonferenz (DSK) vom November 2022, die sieben kritische Punkte identifiziert hatte, bei denen das damalige Data Processing Addendum nicht den Anforderungen des Art. 28 DSGVO entsprach. Der HBDI bestätigte, dass Microsoft diese Transparenzdefizite beseitigt und die vertraglichen Garantien substanziell verbessert hat.

‍

Was hat sich konkret geändert?

Die wichtigsten Verbesserungen aus Sicht der Datenschutzbehörden umfassen:

• Vollständige Umsetzung der EU Data Boundary mit verifizierbarer Datenlokalität
• Deutlich verbesserte Dokumentation aller Datenverarbeitungen und Subprozessoren
• Transparentere und DSGVO-konformere Vertragswerke mit klaren Zusagen
• Bereitstellung des Microsoft 365 Compliance Documentation Kit für Unternehmen mit Mustern für Verarbeitungsverzeichnisse und Datenschutz-Folgenabschätzungen

Microsoft entwickelte diese Compliance-Werkzeuge in Zusammenarbeit mit dem HBDI und der Bayerischen Datenschutzbehörde, was die Praxistauglichkeit der Materialien sicherstellt.

‍

Bedeutung für Unternehmen

Die Einschätzung des HBDI gilt formal zunächst nur für Hessen, doch die intensive Koordination mit anderen Bundesländern deutet auf einen breiteren Konsens hin. Für Unternehmen in ganz Deutschland bedeutet dies:

• Deutlich geringeres Risiko bei Prüfungen durch Aufsichtsbehörden
• Klarere Argumentationsgrundlage für die DSGVO-Konformität in internen Gremien
• Verfügbare Vorlagen und Dokumentationen, die den Compliance-Aufwand reduzieren

Dennoch ist wichtig zu betonen: Der HBDI hat keine technische Untersuchung einzelner M365-Dienste durchgeführt. Unternehmen bleiben selbst verantwortlich für die Bewertung und Umsetzung der erforderlichen Maßnahmen.

‍

Datenschutz-Folgenabschätzung (DSFA)

Trotz der verbesserten Rahmenbedingungen ist eine Datenschutz-Folgenabschätzung (DSFA) beim Einsatz von Microsoft 365 Copilot in den meisten Fällen erforderlich und sollte sorgfältig durchgeführt werden.

‍

Warum ist eine DSFA notwendig?

Gemäß Art. 35 DSGVO ist eine DSFA durchzuführen, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei Microsoft 365 Copilot sprechen mehrere Faktoren dafür, dass diese Schwelle überschritten wird:

• Verarbeitung großer Mengen personenbezogener und sensibler Unternehmensdaten
• Einsatz neuer Technologien (KI und Large Language Models)
• Systematische Analyse von Kommunikation, Dokumenten und Arbeitsmustern
• Potenzielle Profilbildung durch Work IQ mit Kontextverständnis

Die DSFA dient nicht nur der rechtlichen Absicherung, sondern ist auch ein wertvolles Instrument zur Identifikation und Minderung von Risiken.

‍

Wesentliche Inhalte der DSFA

Eine DSFA für Microsoft 365 Copilot sollte mindestens folgende Elemente umfassen:

• Beschreibung der Verarbeitungsvorgänge: Detaillierte Darstellung, welche Daten wie, wo und zu welchen Zwecken verarbeitet werden
• Bewertung der Notwendigkeit und Verhältnismäßigkeit: Kritische Prüfung, ob der Einsatz von Copilot für die verfolgten Zwecke erforderlich und angemessen ist
• Systematische Risikobewertung: Analyse der spezifischen Risiken für Betroffene, insbesondere im Hinblick auf Vertraulichkeit, Transparenz und Kontrolle
• Abhilfemaßnahmen: Dokumentation der technischen und organisatorischen Maßnahmen zur Risikominderung

‍

Hilfsmittel für die DSFA

Microsoft stellt Unternehmen umfangreiche Hilfsmittel zur Verfügung, die die Erstellung der DSFA erheblich erleichtern:

• M365 Compliance Documentation Kit: Enthält Muster für Verarbeitungsverzeichnisse und DSFA-Vorlagen, die in Zusammenarbeit mit deutschen Datenschutzbehörden entwickelt wurden
• Product Terms und DPA: Dokumentieren detailliert die Verarbeitungen seitens Microsoft als Auftragsverarbeiter
• Microsoft Trust Center: Bietet technische Dokumentation der Sicherheitsmaßnahmen und Zertifizierungen

Diese Materialien wurden speziell im Rahmen der Verhandlungen mit dem HBDI entwickelt und berücksichtigen die Anforderungen deutscher Datenschutzpraktiken.

‍

Berechtigungskonzept und Oversharing

Ein oft unterschätztes, aber kritisches Datenschutzthema bei der Einführung von Copilot ist das Berechtigungskonzept und das damit verbundene Risiko des "Oversharing".

‍

Das Problem: Gewachsene Berechtigungsstrukturen

Copilot zeigt Nutzern ausschließlich Informationen, auf die sie bereits Zugriff haben – dies klingt zunächst beruhigend, kann aber zu unerwarteten Problemen führen. In vielen Unternehmen sind Berechtigungen über Jahre gewachsen und wurden nie systematisch überprüft. Dokumente werden häufig aus dem SharePoint mit "Jeder in der Organisation" geteilt, obwohl sie nur für bestimmte Personenkreise bestimmt waren. In der Vergangenheit waren diese Dokumente praktisch unsichtbar, da niemand aktiv nach ihnen suchte oder sie zufällig fand.

Copilot macht diese Informationen plötzlich leicht zugänglich und durchsuchbar. Ein einfacher Prompt wie "Was wissen wir über Projekt X?" oder "Gibt es Informationen zu Gehaltsanpassungen?" könnte Informationen liefern, die der Nutzer zwar technisch berechtigt ist zu sehen, aber eigentlich nicht sehen sollte. Copilot wirkt damit wie ein Verstärker bestehender Berechtigungsprobleme.

‍

Strategien gegen Oversharing

Um dieses Risiko zu minimieren, sollten Unternehmen folgende Maßnahmen ergreifen:

• Berechtigungen systematisch überprüfen: Vor der Copilot-Einführung sollte eine kritische Prüfung erfolgen, wer auf welche SharePoint-Bibliotheken, Teams-Kanäle und Dokumente zugreifen kann
• SharePoint Advanced Management nutzen: Die in der Copilot-Lizenz enthaltene SAM-Komponente bietet leistungsfähige Tools zur Analyse und Bereinigung von Berechtigungen
• Sensitivity Labels konsequent einsetzen: Mit Microsoft Purview können sensible Dokumente klassifiziert, geschützt und von der Copilot-Indexierung ausgenommen werden
• Standard-Freigaben restriktiver gestalten: Die Voreinstellung für Freigabe-Links sollte nicht "Jeder in der Organisation", sondern "Bestimmte Personen" sein

Diese Maßnahmen sind nicht nur für Copilot relevant, sondern verbessern die Informationssicherheit generell. Mehr zur Vorbereitung der Datenbasis in SharePoint Online in unserem Artikel Microsoft 365 Copilot einführen: SharePoint als Wissensbasis für die KI

‍

Compliance-Anforderungen für spezifische Branchen

Je nach Branche können über die DSGVO hinaus zusätzliche Compliance-Anforderungen gelten, die bei der Einführung von Copilot berücksichtigt werden müssen.

Finanzdienstleistungen

Unternehmen im Finanzsektor unterliegen zusätzlichen Regularien wie den BaFin-Anforderungen und MaRisk (Mindestanforderungen an das Risikomanagement). Microsoft 365 Copilot bietet hierfür spezifische Funktionen:

• Detaillierte Audit-Logs für alle Copilot-Interaktionen zur Erfüllung von Dokumentationspflichten
• Integration mit Compliance-Lösungen für Finanzdienstleister
• Konfigurierbare Aufbewahrungsfristen zur Erfüllung gesetzlicher Archivierungspflichten
• Unterstützung für Geschäftsführungsdokumentation und Prüfpfade

Gesundheitswesen

Im Gesundheitsbereich gelten besondere Anforderungen an den Schutz von Patientendaten gemäß § 203 StGB und weiterer sektorspezifischer Vorschriften. Hier ist besondere Vorsicht geboten:

• Sorgfältige Prüfung, ob und in welchem Umfang Copilot auf Patientendaten zugreifen können soll
• Strikte Zugriffskontrollen für medizinische Dokumentation und Behandlungsinformationen
• Gegebenenfalls vollständiger Ausschluss bestimmter Datenquellen von der Copilot-Indexierung
• Erwägung spezieller Compliance-Features für Healthcare

Berufsgeheimnisträger

Für Anwälte, Steuerberater, Wirtschaftsprüfer und andere Berufsgeheimnisträger (§ 203 StGB) gelten besondere Verschwiegenheitspflichten, die über die DSGVO hinausgehen:

• Besonders sorgfältige Prüfung, welche mandantenbezogenen oder klientenbezogenen Daten Copilot verarbeiten darf
• Umfassende Dokumentation der getroffenen Schutzmaßnahmen für Mandantengeheimnisse
• Gegebenenfalls Einschränkung des Copilot-Einsatzes auf interne Dokumente ohne Mandantenbezug
• Klare Regelungen zur Trennung mandantenspezifischer Informationen

‍

Betriebsvereinbarung und Mitarbeiterinformation

Die Einführung von Microsoft 365 Copilot hat auch arbeitsrechtliche Aspekte, die nicht vernachlässigt werden dürfen.

Betriebsvereinbarung

In Unternehmen mit Betriebsrat ist eine Betriebsvereinbarung in der Regel erforderlich, da Copilot potenziell Leistungs- und Verhaltenskontrollen ermöglicht:

• Protokollierung von Copilot-Nutzung und Interaktionsmustern
• Analyse von Arbeitsmustern und Produktivität durch Work IQ
• Auswertung von Meeting-Teilnahmen, Kommunikationsfrequenz und Kollaborationsverhalten

Die Betriebsvereinbarung sollte klar und transparent regeln:

• Zweck und Umfang des Copilot-Einsatzes im Unternehmen
• Konkrete Grenzen der Datenauswertung und ausdrückliche Verbote bestimmter Nutzungen
• Rechte der Mitarbeitenden auf Information und Auskunft
• Ausdrücklicher Ausschluss von Leistungskontrollen und Verhaltensüberwachung auf individueller Ebene

Eine frühzeitige und kooperative Einbindung des Betriebsrats kann den Einführungsprozess erheblich beschleunigen und die Akzeptanz bei Mitarbeitenden fördern.

Mitarbeiterinformation

Unabhängig vom Vorhandensein eines Betriebsrats müssen alle Mitarbeitende gemäß Art. 13/14 DSGVO über die Datenverarbeitung durch Copilot informiert werden:

• Welche personenbezogenen Daten werden durch Copilot verarbeitet?
• Zu welchen Zwecken erfolgt die Verarbeitung?
• Wer hat Zugriff auf Copilot-generierte Daten und Protokolle?
• Welche Rechte haben Betroffene (Auskunft, Löschung, Widerspruch)?

Diese Informationen sollten klar, verständlich und proaktiv kommuniziert werden, idealerweise im Rahmen von Schulungen zur Copilot-Einführung.

‍

Praktische Empfehlungen für die Einführung

Basierend auf den Compliance-Anforderungen und den Erfahrungen aus Einführungsprojekten empfehlen wir einen strukturierten Ansatz in drei Phasen.

Vor der Einführung: Vorbereitung und Bewertung

Eine sorgfältige Vorbereitung ist entscheidend für eine rechtssichere Einführung:

• Datenschutz-Folgenabschätzung durchführen mit systematischer Risikobewertung und Dokumentation der Abhilfemaßnahmen
• Berechtigungen umfassend prüfen und Oversharing-Risiken identifizieren und beheben
• Betriebsrat frühzeitig einbinden und Betriebsvereinbarung verhandeln
• Verarbeitungsverzeichnis aktualisieren und Copilot als neue Verarbeitung dokumentieren

Bei der Einführung: Kommunikation und Schulung

Die eigentliche Einführung sollte von klarer Kommunikation begleitet werden:

• Mitarbeitende transparent informieren durch Aktualisierung der Datenschutzhinweise und proaktive Kommunikation
• Umfassende Schulungen durchführen die auch Datenschutzaspekte und Best Practices thematisieren
• Pilotphase strategisch nutzen um Erfahrungen zu sammeln und Prozesse anzupassen

Nach der Einführung: Monitoring und Optimierung

Die Compliance-Arbeit endet nicht mit der Einführung:

• Regelmäßige Überprüfung von Berechtigungen, Nutzungsmustern und Audit-Logs
• Dokumentation kontinuierlich pflegen und DSFA sowie Verarbeitungsverzeichnis bei Änderungen aktualisieren
• Entwicklungen aktiv verfolgen da Microsoft Compliance-Dokumentation und Features regelmäßig aktualisiert

‍

Fazit: Copilot datenschutzkonform einsetzen

Die datenschutzrechtliche Situation für Microsoft 365 Copilot hat sich im Laufe des Jahres 2025 fundamental verbessert. Mit der vollständigen Umsetzung der EU Data Boundary im Februar, den substanziell verbesserten Vertragswerken und insbesondere der positiven Einschätzung des Hessischen Datenschutzbeauftragten im November ist der Einsatz nun auf einer soliden rechtlichen Grundlage möglich. Die kritischen Punkte, die die Datenschutzkonferenz 2022 identifiziert hatte, wurden von Microsoft adressiert.

Dennoch liegt die Verantwortung für den datenschutzkonformen Einsatz letztendlich beim einsetzenden Unternehmen selbst. Eine sorgfältige Datenschutz-Folgenabschätzung, die systematische Überprüfung und Bereinigung von Berechtigungen, die frühzeitige Einbindung des Betriebsrats und die transparente Information der Mitarbeitenden sind keine optionalen Extras, sondern notwendige Voraussetzungen für einen rechtskonformen Betrieb.

Unternehmen, die diese Hausaufgaben gewissenhaft erledigen, können Microsoft 365 Copilot mit gutem Gewissen nutzen und profitieren von der KI-Unterstützung, ohne datenschutzrechtliche Risiken einzugehen. Die verfügbaren Compliance-Werkzeuge und Vorlagen von Microsoft erleichtern diesen Prozess erheblich.

Für Unterstützung bei der datenschutzkonformen Einführung von Microsoft 365 Copilot steht Ihnen computech als erfahrener Microsoft-Partner zur Verfügung.

‍

Häufige Fragen zu Copilot und Datenschutz

Werden meine Daten für KI-Training verwendet?

Nein, Microsoft verwendet keine Kundendaten, Prompts oder Antworten für das Training der KI-Modelle. Diese Zusage ist vertraglich im Data Processing Addendum verankert und gilt sowohl für Microsoft-eigene als auch für OpenAI-Modelle. Ihre Unternehmensdaten bleiben in Ihrem Mandanten und werden nie zur Verbesserung allgemeiner Modelle verwendet.

Wo werden meine Daten verarbeitet?

Seit Februar 2025 werden Daten von EU-Kunden vollständig innerhalb der EU Data Boundary verarbeitet und gespeichert. Die KI-Verarbeitung erfolgt in EU-Rechenzentren, und auch Support-Daten verbleiben in der EU. Optionale Features, die Daten außerhalb der EU verarbeiten, erfordern explizite Aktivierung.

Brauche ich eine Datenschutz-Folgenabschätzung?

In den meisten Fällen ja. Der Einsatz von KI-Systemen, die große Mengen personenbezogener Daten verarbeiten und neue Technologien nutzen, erfordert in der Regel eine DSFA gemäß Art. 35 DSGVO. Microsoft stellt hierfür Vorlagen und Dokumentationen bereit, die den Prozess erleichtern.

Ist Microsoft 365 Copilot DSGVO-konform?

Microsoft 365 Copilot kann DSGVO-konform eingesetzt werden, wenn Unternehmen die notwendigen Maßnahmen ergreifen. Die technischen und vertraglichen Voraussetzungen seitens Microsoft sind gegeben, wie auch der Hessische Datenschutzbeauftragte im November 2025 bestätigte. Unternehmen müssen jedoch eigene Compliance-Maßnahmen umsetzen (DSFA, Berechtigungskonzept, Mitarbeiterinformation).