Einführung

Die Integration von Künstlicher Intelligenz (KI) in die bestehenden Technologien hat einen bemerkenswerten Fortschritt erzielt. Unternehmen setzen zunehmend Microsoft Copilot in Microsoft 365 ein, um die Produktivität zu steigern und demnächst werden die "Copilot+" PCs hinzukommen. Der KI-gestützte Assistent automatisiert Routineaufgaben und optimiert Arbeitsprozesse. Ein herausragendes Beispiel dafür ist die neue Suchfunktion "Recall", die Microsoft im Rahmen der Copilot+ Erweiterung vorgestellt hat. Diese Funktion bietet eine innovative, KI-gestützte Suchmöglichkeit auf dem Computer. Dies bringt jedoch Datenschutzrisiken mit sich, da Copilot auf alle zugänglichen Daten zugreift. Unternehmen müssen daher ihre Daten klassifizieren, Zugriffsrechte streng kontrollieren und Mitarbeiter über die Risiken aufklären. Eine Datenschutz-Folgenabschätzung ist erforderlich, um hohe Risiken für Betroffene zu erkennen und zu minimieren.

Microsoft Copilot und "Recall"

Microsoft Copilot ist ein KI-gestützter Assistent, der in Microsoft Bestriebssystem und in Microsoft 365-Anwendungen integriert ist. Er nutzt fortschrittliche Sprachmodelle wie GPT-4, um Benutzer bei der Erstellung und dem Wiederfinden von Dokumenten, der Datenanalyse oder der Zusammenfassung von Meetings zu unterstützen. Copilot automatisiert Routineaufgaben, bietet kontextbezogene Vorschläge und hilft bei der effizienten Organisation von Informationen.

Copilot versteht Benutzeranforderungen und führt entsprechende Aktionen aus, um Arbeitsprozesse zu optimieren. Beispielsweise automatisiert er das Verfassen und Formatieren von Texten in Word, bietet in Excel intelligente Analysen und Diagrammvorschläge, erstellt in Teams automatisch Protokolle und Highlights von Besprechungen und fasst in Outlook E-Mails zusammen oder hilft einem beim Zeichnen von Bildern.

Funktionsweise von "Recall"

Die neu vorgestellte "Recall"-Funktion ermöglicht es, automatisch in regelmäßigen Abständen Screenshots zu erstellen und zu speichern. Diese Screenshots werden von der KI analysiert und indexiert. Ein praktisches Anwendungsbeispiel: Wenn sich ein Nutzer nur daran erinnert, dass eine bestimmte Tasche auf einer Website zu finden war, reicht es, diese Information in die "Recall"-Suchmaske einzugeben. Die Software durchsucht dann alle gespeicherten Screenshots nach einer Tasche und zeigt die entsprechenden Treffer an. Von diesen Screenshots aus kann der Nutzer direkt auf die ursprüngliche Website zugreifen.

Zudem können Nutzer einstellen, dass von bestimmten Websites keine Screenshots gemacht werden. Um das Vertrauen in den Datenschutz zu stärken, stellt Microsoft sicher, dass diese Funktion ausschließlich lokal auf dem PC ausgeführt wird.

Datenschutzrisiken im Arbeitsalltag

Trotzdem: Copilot greift auf alle Daten zu, die ein Benutzer einsehen darf. Dies kann problematisch sein, wenn die Zugriffskontrollen nicht streng genug sind. Unternehmen beispielsweise gewähren oft mehr Zugriff als notwendig, was das Risiko von Datenlecks erhöht. Mitarbeiter mit weitreichendem Zugang können ein Risiko darstellen, wenn sie Daten falsch handhaben. Die Verwendung von Copilot und erst Copilot+ könnte daher dazu führen, dass sensible Daten das Unternehmen verlassen.

Technische Lösungen für den Datenschutz

Um die datenschutzkonforme Nutzung von Copilot zu gewährleisten, müssen Unternehmen ihre Daten sorgfältig klassifizieren. Zugriffsrechte sollten genau kontrolliert werden, damit die KI nur auf Informationen zugreift, auf die die Nutzer tatsächlich Zugriff haben. Microsoft bietet hierfür das Tool Purview an, das Daten klassifiziert und schützt. Ein effizientes Berechtigungsmanagement ist erforderlich, um den Zugriff auf Unternehmensdaten zu regulieren und sicherzustellen, dass das Need-to-Know-Prinzip strikt eingehalten wird. 

Organisatorische Maßnahmen

Unternehmen müssen klären, welche personenbezogenen Daten von welchen Personen für welche Zwecke durch Copilot verarbeitet werden. Dies betrifft alle in der Microsoft 365-Umgebung vorhandenen Daten, einschließlich Daten von Mitarbeitern, Kunden und Dienstleistern. Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist erforderlich, da die Nutzung von Copilot ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellen kann.

Mitarbeiter müssen über die Risiken der Nutzung von Copilot informiert werden, insbesondere in Bezug auf mögliche Datenabflüsse. Schulungen sollten die Risiken der automatisierten Texterstellung und der Inhaltsanalyse durch Copilot thematisieren. Es sollten interne Unternehmensrichtlinien für den Einsatz von Copilot erstellt und kommuniziert werden, die festlegen, welche Prompts und Verarbeitungsprozesse nicht erlaubt sind, beispielsweise die automatische Erstellung von Leistungsbewertungen ohne menschliche Überprüfung oder die Überwachung der Kommunikation. Eine private Nutzung des Tools im Unternehmen sollte grundsätzlich untersagt werden.

Seit dem 6. Mai 2024 stellt die Datenschutzkonferenz (DSK) eine Orientierungshilfe für den Einsatz von KI zur Verfügung. Diese Orientierungshilfe bietet Verantwortlichen, die KI-Anwendungen einsetzen möchten, einen Überblick über die datenschutzrechtlichen Kriterien, die für die datenschutzkonforme Nutzung von KI-Anwendungen zu berücksichtigen sind und sollte bei der Bewertung von Copilot herangezogen werden.