Copilot und der Datenschutz
Datenschutzbeauftragte rechtzeitig einbinden
(PresseBox) - Der Einsatz von KI-gestützten Anwendungen wie Microsoft Copilot wird in unserer digitalen Welt zunehmend zur Normalität. Mithilfe erweiterter KI versteht Copilot Fragen und Anforderungen, bietet direkte Antworten, hilft beim Schreiben und erstellt sogar Bilder. Auch Kommunen stellen sich vermehrt mit Copilot zukunftsorientiert auf. Mit der Einführung wird der moderne Arbeitsplatz komplettiert. In diesem Zusammenhang ist es ausgesprochen wichtig, dass vor, während und nach der Implementierung auch diverse datenschutzrechtliche Aspekte beachtet werden. Unter anderem spielen Themen wie die Gewährleistung einer datenschutzfreundlichen Verarbeitung, die Wirksamkeit der Vereinbarung zur Auftragsverarbeitung, der mit dem Einsatz einhergehende Datentransfer in die Vereinigten Staaten von Amerika sowie die Einhaltung des Grundsatzes der Transparenz und Rechenschaftspflicht hierbei eine große Rolle.
Datenschutz-Folgenabschätzung ist zwingend erforderlich
Regelmäßig erfordert der Einsatz von Microsoft Copilot die Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (Datenschutz-Folgenabschätzung, DSFA).
Diese beinhaltet die systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge, eine Bewertung der Rechte und Freiheiten der betroffenen Personen sowie eine Identifizierung von geplanten Abhilfemaßnahmen zur Risikobewertung. Um eine DSFA zielführend durchführen zu können, bedarf es demnach auch einer ausführlichen Betrachtung der aktuellen Rechtslage, der Vertragswerke sowie der geplanten Verarbeitung personenbezogener Daten durch den Einsatz von Copilot. Primär sollen durch eine DSFA Risiken beim Einsatz erkannt und umfangreiche Maßnahmen zur Minimierung dieser Risiken identifiziert werden.
Diese Maßnahmen setzen sich regelmäßig zusammen aus:
technischen Maßnahmen wie dem Einsatz von Verschlüsselungslösungen
organisatorischen Maßnahmen wie der Beschränkung der in Copilot verarbeiteten Daten
vertraglichen Maßnahmen wie der Beschränkung der Offenlegung von personenbezogenen Daten
Anschließend erfolgt im Rahmen der Datenschutz-Folgenabschätzung eine Bewertung des Restrisikos bei vollständiger Implementierung der identifizierten Maßnahmen.
Um einen möglichst datenschutzkonformen Einsatz von Copilot zu gewährleisten, ist nach Ansicht von Datenschutzexpertinnen und -experten und den zuständigen Aufsichtsbehörden die Umsetzung umfangreicher Maßnahmen unerlässlich.
Undurchsichtige Rechtslage
Ableitung des KRITIS-IT-Schutzbedarfs aus den KRITIS-Schutzzielen
Da es sich bei Copilot um ein US-amerikanisches Produkt handelt, muss im Rahmen der Datenschutz-Folgenabschätzung vor allem die Rechtslage in den USA bewertet und der Rechtsrahmen für den Drittlandtransfer betrachtet werden. Aktuell stehen dabei das Data Privacy Framework und die sogenannten Standardvertragsklauseln im Fokus.
Eine signifikante Rolle spielt hierbei auch die rechtliche Entwicklung der vergangenen Jahre– insbesondere in Hinblick auf die Urteile des EuGH „Schrems I“ und „Schrems II“ – sowie eine Zukunftsbetrachtung. In die Zukunftsbetrachtung fließen unter anderem aktuelle politische Entwicklungen sowie neueste gerichtliche Entscheidungen, wie beispielsweise das Urteil des EuG in der Rechtssache Latombe / Kommission, ein. Die Datenschutzbeauftragten der ITEBO-Unternehmensgruppe nehmen daher im Rahmen der rechtlichen Vorbetrachtung für die DSFA auch eine Abschätzung der Risiken und Auswirkungen bei einem Wegfall des Data Privacy Frameworks vor. Für einen solchen Fall werden bereits an dieser Stelle umfangreiche Maßnahmen definiert, sodass die Kommune unabhängig der Beständigkeit des Data Privacy Frameworks rechtssicher aufgestellt ist.
„In diesem Zusammenhang bewerten wir neben den vertraglichen und datenschutzrechtlichen Regelungen im Rahmen eines sogenannten Transfer Impact Assessments (TIA) auch, wie hoch das Risiko einer Herausgabepflicht Microsofts gegenüber den US-Strafverfolgungsbehörden tatsächlich ist“, gibt Eric Josua Themann, Jurist und Senior Datenschutzberater bei der ITEBO, Einblick in seine Arbeit.
„Dazu prüfen wir die Law Enforcement Request Reports von Microsoft und analysieren, wie viele Offenlegungsanfragen bei Microsoft eingegangen sind und wie diesen seitens Microsoft nachgekommen wurde.“ Diese Ergebnisse fließen dann in die Risikobewertung und die Verhältnismäßigkeitsprüfung für den Einsatz von Copilot ein.
DSFA steht erst am Ende der Analyse
Zentrales Dokument der Datenschutz-Folgenabschätzung ist der sogenannte DSFA-Bericht. Hier werden beispielsweise die geplanten Verarbeitungstätigkeiten ausführlich beschrieben, mögliche Alternativen zu Copilot betrachtet, Rechtsgrundlagen aufgeführt und über die Erfüllung der datenschutzrechtlichen Verpflichtungen (beispielsweise die Erfüllung von Betroffenenrechten, Informationspflichten und der Rechenschaftspflicht) berichtet.
Unter Berücksichtigung der genannten Rahmenbedingungen wird hier zudem eine Risikoabschätzung vorgenommen. Dem identifizierten Risiko werden dann – wie oben beschrieben – umfangreiche Maßnahmen zur Risikominimierung entgegengestellt. Am Ende der Datenschutz-Folgenabschätzung steht die Prüfung des Restrisikos sowie der Verhältnismäßigkeit des Einsatzes von Copilot.
Ausblick
Die Datenschutzbeauftragten der ITEBO-Unternehmensgruppe haben sich bereits intensiv mit der Ausgangslage beschäftigt. Im Rahmen der Erstellung einer unabhängigen datenschutzrechtlichen Stellungnahme zu Copilot wurde eine erneute Zusammenarbeit mit dem Niedersächsischen Datenschutzzentrum (NDZ) initiiert – insbesondere mit Prof. Dr. Volker Lüdemann, dem wissenschaftlichen Leiter des NDZ.
Mit der Unterstützung des NDZ an der Hochschule Osnabrück wurde durch die ITEBO für Copilot bereits ein Vorgehen entwickelt, um die Kunden bei der Einführung zielsicher zu beraten. Hierzu zählt insbesondere die Überprüfung der datenschutzrechtlichen Rahmenbedingungen sowie die Erstellung von Datenschutz-Folgenabschätzungen, Datentransfer-Folgenabschätzung als auch die Ausarbeitung geeigneter Abhilfemaßnahmen.
„Um den datenschutzrechtlichen Anforderungen angemessen zu begegnen, sollte der betriebliche Datenschutzbeauftragte dringend von Beginn an in den Implementierungsprozess von Copilot einbezogen werden“, so Eric-Josua Themann. „Gerade im Zusammenhang mit der Einführung von KI-gestützten Anwendungen wie Copilot ist die Datenschutz-Folgenabschätzung sehr komplex. Bei der Projektplanung für Copilot sollten daher auch unbedingt Ressourcen für den Datenschutz eingeplant werden.“
Was wir mitnehmen
Frühzeitig den Datenschutzbeauftragten einbinden
DSFA ist ein MUSS
Datum: 21.04.2026 - 09:00 Uhr
Sprache: Deutsch
News-ID 2245865
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Jeanett Conquest
Stadt:
Osnabrück
Telefon: 0531 4800 534
Kategorie:
Softwareindustrie
Dieser Fachartikel wurde bisher 2 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Copilot und der Datenschutz"
steht unter der journalistisch-redaktionellen Verantwortung von
ITEBO GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).