#MSCloudkicker

Was macht M365 Copilot mit meinen Daten?

von | Jan. 21, 2026 | Copilot, Microsoft 365 Copilot | 0 Kommentare

Ein verständlicher Überblick für Unternehmen und Entscheider

Microsoft 365 Copilot verändert die Art, wie wir arbeiten – aber mit jeder neuen KI‑Funktion wächst auch die Frage: Was passiert eigentlich mit meinen Unternehmensdaten? Dieser Beitrag erklärt kompakt und transparent, wie Copilot arbeitet, welche technischen und rechtlichen Schutzmechanismen greifen und wie Unternehmen jederzeit die Kontrolle behalten.

 Wie Copilot funktioniert: Microsoft Graph, LLMs und Office‑Apps

 1. Microsoft Graph – Die Unternehmensdatenquelle

Copilot greift ausschließlich auf Daten zu, auf die der angemeldete Benutzer ohnehin Zugriff hat: E‑Mails, Teams‑Chats, Dateien, Kalender, SharePoint‑Inhalte usw. Dieser Zugriff erfolgt über Microsoft Graph, die zentrale API, über die Office‑Daten sicher und mandantenisoliert organisiert werden.

2. LLMs – Große Sprachmodelle ohne Zugriff auf fremde Daten

Die großen Sprachmodelle (z. B. GPT‑4 oder andere LLMs von Microsoft/Anthropic) generieren Texte, Zusammenfassungen oder Analysen. Das Besondere:

  • Sie arbeiten nicht mit Kopien der Unternehmensdaten, sondern erzeugen eine Antwort basierend auf den Informationen, die Copilot über Microsoft Graph bereitstellt.
    • Das besondere bei Copilot ist, wenn die Daten in eurem Tenant liegen, dass die Daten auf die sich das LLM beruft nicht erst hochgeladen werden müssen.
    • LLMs wie ChatGPT speichern die im Chat hochgeladenen Daten, um sie verarbeiten zu können, oder Cloud-Speicher muss angebunden werden.
  • Die Eingaben, Zwischendaten und Antworten werden bei Copilot im Standard schon nicht zum Training der Foundation‑Modelle verwendet und das kann auch nicht manuell aktiviert werden.
    • Also nicht zum Trainiren der KI. Genau genommen nicht zum Trainieren der KI auf die andere Unternehmen zugreifen können.

3. Office‑Apps – Der Arbeitskontext

Word, Excel, PowerPoint, Outlook, Teams usw. bilden die Oberfläche, in der die KI ihre Arbeit verrichtet.

Copilot orchestriert also drei Komponenten:

  • LLMs
  • Daten aus Microsoft Graph, für die ein Benutzer berechtigt ist
  • Microsoft 365‑Apps

Dabei ist zu beachten, aus welcher App ich Copilot nutze. Chat- und E-Mail-Zusammenfassungen funktionieren sehr gut aus Teams oder Outlook heraus, nicht aber aus Word. Eine Zahlen-Analyse für eine Excel-Datei funktioniert am besten aus Excel mit Copilot, nicht so gut mit Copilot in Word.

Beachte also immer in welchem Kontext du dich bewegen möchtest und was dein Ziel ist. Super funktioniert es auch, den Kontext zu verschieben. Zahlen mit Copilot in Excel analysieren. Die Ergebnisse in Word für den nächsten Prompt nutzen und daraus eine mitreißende Rede mit den Zahlen des letzten Jahres schreiben lassen z.B.

Welche Datenschutzmaßnahmen greifen?

1. Keine Trainingsdaten aus Kundeninhalten

Einer der wichtigsten Punkte:

Eingaben, Antworten und Unternehmensdaten werden nicht zur Verbesserung oder zum Training der KI‑Modelle verwendet.
[learn.microsoft.com]

Damit bleiben Unternehmensinformationen vertraulich.

2. EU‑Datengrenze (EU Data Boundary)

Microsoft 365 Copilot ist grundsätzlich darauf ausgelegt, die EU‑Datengrenze einzuhalten. In der Praxis bedeutet das:

LLM‑Verarbeitung innerhalb der EU – mit kontrollierten Ausnahmen bei Spitzenlast

Copilot leitet Anfragen (Prompts) zunächst an das nächstgelegene Rechenzentrum in der Region weiter.

  • Für Nutzer aus der EU bleibt der Datenverkehr innerhalb der EU‑Datengrenze, sodass personenbezogene Organisationsdaten nicht unkontrolliert die Region verlassen.
  • In seltenen Fällen hoher Auslastung kann die LLM‑Verarbeitung jedoch in andere Regionen außerhalb der EU umgeleitet werden – allerdings ausschließlich nach fest definierten Kapazitätsregeln und unter Einhaltung zusätzlicher Sicherheitsvorkehrungen.

Strenge Einhaltung der Datenresidenzverpflichtungen

Microsoft 365 Copilot erfüllt die vertraglichen Anforderungen der Microsoft‑Produktbedingungen (Product Terms) und des Datenschutz‑Nachtrags:

  • Seit 1. März 2024 ist Copilot offiziell als abgedeckte Workload in die Datenresidenzverpflichtungen aufgenommen.
  • Sowohl Erweiterte Datenresidenz (ADR) als auch Multi‑Geo‑Funktionen beinhalten Copilot seit diesem Datum.

EU‑Kunden erhalten vollständige EU‑Datenbegrenzung

  • Für Kunden in der Europäischen Union ist Microsoft 365 Copilot als EU‑Datenbegrenzungsdienst klassifiziert.
  • Organisationen außerhalb der EU können entscheiden, ob ihre Copilot‑Abfragen in der USA, EU oder anderen globalen Regionen verarbeitet werden.

3. Mandantenisolation & Berechtigungsmodell

Microsoft 365 arbeitet streng mandantenisoliert – Copilot kann also nicht auf Daten anderer Unternehmen zugreifen. Außerdem gelten dieselben Zugriffsrechte wie in Office:

  • Copilot sieht nur Inhalte, die der jeweilige Nutzer ohnehin sehen darf.
  • Zugriffsrechte, Klassifizierungen und DLP‑Regeln (Microsoft Purview) wirken vollumfänglich.

Das bedeutet: Falsche Berechtigungen führen zu falschen Antworten – nicht Copilot, sondern die Berechtigungsstruktur.

4. Technische Sicherheitsmaßnahmen

Copilot integriert Sicherheitsvorkehrungen wie:

  • Blockieren schädlicher Inhalte
  • Erkennung geschützten Materials
  • Schutz vor Jailbreak‑Angriffen

Anthropic‑Modelle in Copilot haben zusätzliche Sicherheitsmechanismen, werden aber nicht innerhalb der EU‑Datengrenze bereitgestellt.

Wie Unternehmen die Kontrolle behalten

1. Datenschutz-Folgenabschätzung (DSFA)

Empfohlen, wenn personenbezogene Daten verarbeitet werden – besonders bei KI‑gestützten Prozessen. Hier unbedingt mit eurem DSB und/oder Juristen abstimmen.

2. Datenklassifizierung & Zugriffskontrollen

Unternehmen sollten:

  • Daten kategorisieren,
  • das Need‑to‑Know‑Prinzip nutzen,
  • Purview‑Labeling und DLP‑Regeln einrichten.

3. Vertragliche Absicherung

  • Microsoft agiert als Auftragsverarbeiter (AVV nach Art. 28 DSGVO).
  • EU Data Boundary kann vertraglich genutzt werden.

4. Transparenz & Dokumentation

Microsoft veröffentlicht umfangreiche Dokumentation zur EU‑Datengrenze, Datenflüssen und Datenschutzmaßnahmen.
[microsoft.com]

Fazit: M365 Copilot ist datenschutzfreundlicher als viele denken

Copilot arbeitet nicht autonom, sondern innerhalb der bestehenden Unternehmensrichtlinien, Datenklassifizierungen und Berechtigungsmodelle.

Die wichtigsten Punkte auf einen Blick:

✔ Keine Trainingsnutzung von Kundendaten
✔ EU‑Datengrenze für Speicherung und Verarbeitung
✔ Zugriff nur auf Inhalte, die der Nutzer sehen darf
✔ Mandantenisolation bleibt bestehen
✔ Sicherheitsmechanismen schützen vor Missbrauch
✔ Unternehmen behalten volle Kontrolle über Datenflüsse und Richtlinien

Microsoft 365 Copilot kann damit sicher und DSGVO‑konform eingesetzt werden – vorausgesetzt, das Unternehmen hat seine Governance‑ und Berechtigungsstrukturen im Griff.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

* Bitte akzeptiere vor deinem Kommentar meine Datenschutzerklärung, damit wir beide auf der sicheren Seite sind :)