Tool-Dossier · Risikoanalyse
Microsoft Copilot im Unternehmen: Was vor dem Rollout zu klären ist
Copilot greift auf das Microsoft-365-Berechtigungsmodell zu. Falsch konfiguriert, sieht plötzlich jeder, was er nicht sehen sollte.
Microsoft 365 Copilot bringt generative KI direkt in Word, Outlook und Teams — doch der Rollout berührt Datenschutz, Berechtigungen und Mitbestimmung. Was vor dem Start zu klären ist.
30€
Lizenzkosten p. M.
ja
Voraus. M365 E3/E5
ja*
Datenresidenz EU
ja
DPA enthalten
Copilot greift auf alle Inhalte zu, auf die der jeweilige Nutzer ohnehin Zugriff hat — und genau hier liegt das größte Risiko. Bestehende Berechtigungsprobleme werden durch Copilot sichtbar und sofort wirksam.
Pro
- + DPA mit EU-Datenresidenz vorhanden.
- + Daten werden nicht zum Training öffentlicher Modelle verwendet.
- + Integration in vertraute M365-Oberflächen.
Contra
- − Berechtigungs-Hygiene wird zur Voraussetzung — sonst Datenleaks intern.
- − Mitbestimmung nach § 87 BetrVG ist auslösbar.
- − Klassifizierung sensibler Inhalte (Sensitivity Labels) ist Pflicht-Vorarbeit.
Vor dem Rollout zu klären
- 01
Berechtigungs-Audit
SharePoint, OneDrive, Teams: Wer sieht was — wirklich?
- 02
Sensitivity Labels
Mindestens eine 3-stufige Klassifizierung etablieren.
- 03
Betriebsrats-Beteiligung
Frühzeitig — Copilot ist überwachungsfähige Software i. S. d. § 87 Abs. 1 Nr. 6 BetrVG.
- 04
DSFA
Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen.
- 05
Pilotgruppe
3–6 Monate mit klar definierter Nutzerschaft.