Microsoft Copilot: Datenschutz als Hemmnis?
Gut ein Jahr ist es her, dass OpenAI den KI-gesteuerten Chatbot ChatGPT veröffentlicht hat. Nun rollt OpenAI-Teilhaber Microsoft seinen KI-basierten Dienst namens „Copilot“ aus. Der digitale Assistent bietet Features für mehr Produktivität in der cloudbasierten M365-Welt. Datenschutzbeauftragte stehen vor der großen Herausforderung, den neuen Dienst einzuschätzen und Empfehlungen abzugeben. Hier zeigen wir, wie wir herangehen.
Unternehmen blicken international mit Spannung auf die Möglichkeiten neuer KI. Laut einer Capgemini-Umfrage erhoffen sich Manager mehr Chancen als Risiken. Microsoft Copilot soll vielfältig unterstützen und verschiedene Rollen übernehmen können: etwa als Schreib-Assistent in Word oder als Coach beim Verfassen von Outlook-Mails. Ferner soll die KI auch Microsoft-Teams-Meetings zusammenfassen können und analysieren, welche Punkte ungeklärt blieben – oder passende weiterführende Fragen vorschlagen.
Hier ein Copilot-Beispiel für Microsoft Word
(Quelle: Microsoft; via Youtube)
Hier ein weiteres Beispiel für Microsoft Teams
(Quelle: Microsoft; via Youtube)
Copilot kann Unternehmensdaten als Kontext nutzen
Damit der KI-Dienst funktioniert, verbindet Microsoft seine bekannten Apps (wie Outlook, Word und PowerPoint) mit einem großen Sprachmodell (LLM) in einer OpenAI-Azure-Instanz. Der Punkt, der Copilot von ChatGPT unterscheidet: Daten, für die ein angemeldeter Nutzer die notwendigen Berechtigungen hat, kann Copilot als Kontext verwenden. Damit soll die Qualität der KI-generierten Vorschläge steigen, da sie genau auf die Situation passen, in der sich der Nutzer befindet.
Auf einer Internetseite zur Copilot Privacy fasst Microsoft bisher entwickelte Datenschutzkonzepte zusammen. Demnach werden bestehende Richtlinien übernommen und sämtliche für den Dienst verwendete Daten sollen nur innerhalb eines geschützten Mandanten (M365 Tenant) nutzbar sein. Ferner soll keiner der von den Nutzern gestalteten KI-Dialoge dazu verwendet werden, die KI zu trainieren.
Empfehlung: KI wie Mitarbeiter sehen, Datenschutz prüfen
Der Name „Copilot“ deutet es an – die sprachbasierten KI-Lösungen sollen unterstützen wie menschliche Assistenten. Wir denken daher, es ist eine gute Idee, die neuen Lösungen zunächst wie potenzielle Mitarbeiter zu sehen, die sich noch in der Bewerbungsphase befinden. Wer als Mitarbeiter neu in ein Unternehmen eintritt, der bekräftigt nicht nur die Ziele, sondern bekennt sich auch zu einigen Regeln – wie etwa für den Datenschutz.
Mittelständische Unternehmen, die neue KI-Assistenten nutzen möchten, können sich an diesen Empfehlungen orientieren, die wir für solche Fälle aufgestellt haben:
- Rechtsgrundlage: Es sollten keine personenbezogenen Daten verarbeitet werden ohne die Einwilligung der Betroffenen (relevant hier: Art. 6 DSGVO sowie Art. 13/14 DSGVO).
- Isolierung: Alle personenbezogenen Daten sollten isoliert werden, so dass keine unbefugten Dritten darauf Zugriff erhalten können.
- Transparenz: Jede KI sollte darauf hin überprüft werden, welche Daten genau darin verarbeitet werden.
- Verträge: Es sollte ein Auftragsverarbeitungsvertrag im Sinne von Art. 28 DSGVO vereinbart worden sein.
- Drittlandtransfers: Die Vorgaben eines Drittlandtransfers im Sinne von Art. 44 DSGVO sollten berücksichtigt werden.
- AI Act: Ihr Unternehmen sollte den AI Act der EU beobachten und kennen. Von Vorteil ist es, wenn der KI-Herausgeber diesen auch erwähnt und bestenfalls nachweisbar einhält.
- Risikobewertung: Jedes Unternehmen sollte eine individuelle Risikobewertung für die Datenverarbeitung mit Copilot durchführen.
Sie überlegen, Microsoft Copilot in Ihrem Unternehmen einzuführen?
Ihr Ansprechpartner
Tommy Pöschl
Junior Project Manager // Thema KI
matrix technology GmbH
T +49 89 589395-600