Der sprunghafte Anstieg an Aufmerksamkeit für generative KI hat spätestens 2022 begonnen. Nachdem OpenAIs ChatGPT in aller Munde war, kam es ziemlich schnell zu einem jähen Rückschlag. Die italienische Aufsichtsbehörde verbot das Angebot von ChatGPT im Frühjahr 2023 für kurze Zeit aus Datenschutzbedenken für ihre Mitbürger. Seitdem hat sich einiges getan. Sowohl bei den Anbietern von Large Language Models (LLMs), als auch beim Thema Datenschutz. Im Folgenden wollen wir uns deshalb in zwei Teilen Microsofts Copilot anschauen und bewerten, wie eine gelungene Integration von Copilot als Produktivitätsbooster in einer Organisation allen Datenschutzbedenken zum Trotz gelingen kann.
Was ist der Copilot (für M365)?
Der Copilot für Microsoft 365 ist ein KI-gestützter Assistent, der in verschiedene Microsoft 365-Anwendungen wie Word, Excel, PowerPoint, Outlook oder Teams integriert ist. Er nutzt vorhandene Daten und Dokumente auf dem Tenant des Anwenders in Verbindung mit einem GPT-Sprachmodell von (Azure) OpenAI, um Anwender bei ihren täglichen Aufgaben zu unterstützen. Ziel ist, die Produktivität und Effizienz des täglichen Arbeitens zu steigern. Beispielhafte Tätigkeiten sind in diesem Zusammenhang die Zusammenfassung von Mails, Beantwortung von (organisationsinternen) Fragen oder die Unterstützung bei der Erstellung von Dokumenten und Präsentationen.
Wie funktioniert der Copilot?
Anfragen bzw. Prompts (Eingaben) des Anwenders werden zunächst innerhalb des Tenants verarbeitet. Um relevante Suchergebnisse zu erhalten, verwendet Microsoft einen sogenannten semantischen Index. Der semantische Index ist dabei die vektorielle Indizierung von Inhalten nach Schlüsselwörtern, Vorlieben und sozialen Verbindungen. Ein Prompt wird nun selbst als Vektor dargestellt und damit eine Ähnlichkeit feststellbar. Ähnliche Inhalte können somit relevant für die Beantwortung einer Anfrage sein.
Diese ähnlichen Inhalte (wie Inhalte eines Dokuments) gelangen dann außerhalb des Tenants. Dazu werden die gefundenen Inhalte in europäische Rechenzentren von Microsoft transportiert und dort verarbeitet. Microsoft garantiert in ihrem Auftragsverarbeitungsvertrag und Terms and Conditions, dass keine Daten außerhalb des Tenants gespeichert werden. Somit sei hier vorweggenommen, dass es in aller Regel kein datenschutzrechtliches Problem geben sollte.
Der Anwender erhält dann wiederum über den Rückstrom durch den Tenant einen generierten Output.
Wo gibt es Herausforderungen im Datenschutz?
Davon gibt es einige mit dem Copilot. Zunächst und am Offensichtlichsten: Personenbezogene Daten schlummern überall im Tenant. Dies können die personenbezogenen Daten des Anwenders bei der Nutzung sein. Personenbezogene Daten in Dokumenten. Oder eben personenbezogene Daten im Hinblick auf die Prompts. Jede dieser Verarbeitungen fällt dabei unter die Datenschutz-Grundverordnung (DSGVO). Deshalb schauen wir uns genauer an, welche Anforderungen und Artikel der DSGVO im Besonderen eine Herausforderung darstellen:
- Einhaltung der Grundsätze der Datenverarbeitung
- Rechtsgrundlagen
- Erfüllung der Informationspflichten
- Umsetzung von (weiteren) Betroffenenrechten
- Datenschutzrechtliche Verantwortlichkeit
- Datenschutzfreundliche Voreinstellungen
- Durchführung einer Datenschutzfolgenabschätzung
Zwischenfazit und Ausblick
Bis hierhin lässt sich feststellen, dass die Verwendung von Copilot datenschutzrechtliche Herausforderungen mit sich bringt. Wie eine Implementierung (dennoch) gelingen kann, beleuchten wir in Kürze im zweiten Teil der Reihe “Copilot und der Datenschutz”.
Weitere Infos zum Thema KI bei der Rewion: KI-Beratung – Rewion IT-Beratung & Services
Weitere Infos zum Thema M365 bei der Rewion: Microsoft 365 Beratung – Rewion IT-Beratung & Services
Letzter Blogpost zur Datenschutzrichtlinie im Unternehmen (auch hier relevant): Datenschutzrichtlinie in Unternehmen: Das Fundament – Rewion IT-Beratung & Services