Copilot und der Datenschutz II.

Im letzten Blogpost ging es um die Herausforderungen bei der Implementierung von Copilot in Unternehmen im Hinblick auf den Datenschutz. Wir haben dabei festgestellt, dass es einige Probleme und Risiken geben kann. Außerdem gibt es vorgelagerte Herausforderungen: den Einsatz von Microsoft 365 im Allgemeinen. Im heutigen zweiten Teil wollen wir die angesprochenen Punkte aus dem letzten Blog aufgreifen. Hierzu gibt der Artikel konkrete Maßnahmen an die Hand, mittels denen das Risiko des Einsatzes von Copilot gesenkt wird.

Wahl des Copiloten

Es gibt unterschiedliche Varianten des Copiloten zur Auswahl. Neben der offensichtlichen Unterscheidung zwischen Lösungen für Privatpersonen oder Enterprise gibt es eine Reihe weiterer Optionen. Im Wesentlichen sind aktuell zwei (bzw. drei) Copilot-Varianten populär: „Microsoft Copilot für Edge (/für Windows)“ und „Microsoft Copilot für M365“.

In der Vergangenheit war insbesondere ein Unterschied signifikant. Während es bei der Option für M365 einen Auftragsverarbeitungsvertrag gab, war dies für die Option mit „Commercial Data Protection“ nicht möglich. In der Folge ist die Verarbeitung personenbezogener Daten problembehaftet gewesen. Denn, wir erinnern uns, die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter erfordert einen Auftragsverarbeitungsvertrag.

Inzwischen (Stand: September 2024) ist dies anders. Mittlerweile fallen beide Varianten unter den Auftragsverarbeitungsvertrag mit Microsoft (siehe hier), sodass dieses Risiko weggefallen ist.

Organisatorische Maßnahmen für Copilot

Ein wichtiger Punkt der Datenschutzgrundverordnung, der für jede Datenverarbeitung gilt, ist die Beachtung der Grundsätze der Datenverarbeitung (Artikel 5 DSGVO). Daher gelten die Anforderungen auch direkt bei der Einführung von Copilot für die Verwendung von Copilot. Anhand der einzelnen Grundsätze gehen wir die vorgeschlagenen Maßnahmen durch:

• Rechtmäßigkeit: Jede Datenverarbeitung bedarf einer Rechtsgrundlage (des Artikel 6 Absatz 1 DSGVO). Die Rechtsgrundlage ist für die einzelne Datenverarbeitung zu bewerten. Vorsicht: Bei öffentlichen Organisationen ist die Bandbreite der Rechtsgrundlagen möglicherweise eingeschränkt, da das „berechtigte Interesse“ nur bedingt anwendbar ist. Für nicht-öffentliche Organisationen kann jedoch das „berechtigte Interesse“ eine Rechtsgrundlage darstellen.
• Transparenz: Der Grundsatz der Transparenz findet insbesondere in Datenschutzerklärungen seine Anwendung. Es geht um die Nachvollziehbarkeit und Information der konkreten Datenverarbeitung gegenüber den Betroffenen. Daher gilt: Die Kategorien der Betroffenen müssen ausreichend über Verarbeitungen von bzw. mit Copilot informiert werden. Das gilt übrigens auch für eigene Mitarbeitende.
• Zweckbindung: Hier sollten Verantwortliche prüfen, welche Einsatzszenarien sie bei der Verwendung von Copilot zulassen. Dies sollte außerdem im Hinblick auf Dokumentationspflichten zum Beispiel im Verarbeitungsverzeichnis festgehalten werden. Es gibt Anwendungsfälle (in Verbindung mit der Rechtmäßigkeit), die ein höheres Risiko bergen. Das ist zum Beispiel der Einsatz von Copilot zur Verarbeitung besonderer Kategorien personenbezogener Daten. Statt „Blacklisting“ von Verarbeitungsvorgängen lohnt sich deshalb ein „Whitelisting“. Somit wissen alle Anwender, welche Szenarien erlaubt sind. Festgehalten werden kann dies alles in einer „KI-Richtlinie“ des Unternehmens.
• Richtigkeit: Personenbezogene Daten müssen richtig sein, wenn sie verarbeitet werden. Hier schwingt auch das Betroffenenrecht der Berichtigung mit. Es muss daher Prozesse geben, die falsche Daten im Tenant berichtigen lassen.

Technische Maßnahmen für Copilot

• Speicherbegrenzung: Nicht nur Kosten können durch vorgehaltenen Speicherplatz entstehen. Das „horten“ von personenbezogenen Daten ist schlicht nicht erlaubt und abhängig vom Zweck. Es lohnt sich jedenfalls offensichtlich für Verantwortliche, alle (personenbezogenen) Daten im Tenant mit Löschfristen zu belegen. Erstens senkt dies das Risiko von Datenschutzverletzungen und zweitens sorgt dies für mehr freien Speicherplatz.
• Integrität und Vertraulichkeit: Mit Fokus auf die Vertraulichkeit sollten Dokumente klassifiziert und gelabelt sein, sowie ein Konzept für Berechtigungen existieren. Nur so können Verantwortliche sicherstellen, dass der Copilot des jeweiligen Nutzers auf berechtigte Dokumente Zugriff hat. Andernfalls können ungewollt personenbezogene Daten von Dritten verarbeitet werden.

Fazit

Mit einigen mehr oder weniger aufwendigen Maßnahmen kann man für eine deutliche Verbesserung des Datenschutzes bei der Verwendung von Copilot sorgen. Sicherlich ist der Umfang der Maßnahmen auch abhängig von der Implementierungsphase. Soll heißen: Alle Maßnahmen umzusetzen, wenn es gerade noch um ein POC geht, dürfte über das Ziel hinausschießen. Trotzdem gelten die Anforderungen der DSGVO eben für jede Datenverarbeitung personenbezogener Daten, unabhängig vom Implementierungsgrad. Daher mein Appell: Machen Sie Ihre „Hausaufgaben“ rechtzeitig, um kostspielige Nachbesserungen zu vermeiden. Wie das aussehen kann, sehen Sie in der Grafik unten.

Abbildung: Datenschutz Copilot Maßnahmen

Weitere Infos zum Thema KI bei der Rewion: KI-Beratung – Rewion IT-Beratung & Services

Weitere Infos zum Thema M365 bei der Rewion: Microsoft 365 Beratung – Rewion IT-Beratung & Services

Letzter Blogpost zu Copilot und Datenschutz Teil I: Copilot und der Datenschutz I – Rewion IT-Beratung & Services