Microsoft Copilot – Commercial Data Protection und Enterprise-grade Data Protection

Im Rahmen der neuen Ankündigungen zu Microsoft Copilot von Microsoft in der KW 3 wurden verschiedene Ankündigungen gemacht und auch zum Thema Datenschutz.

Was heißt es? Was sind die Unterschiede?

Commercial Data Protection

Der Commercial Data Protection enthält zusätzliche  Versprechen und Zusagen. Diese gelten zusätzlich zu den Microsoft Standardverpflichtungen die  zum Schutz der Verbraucherdaten gegeben werden und sich in den allgemeinen Datenschutzerklärungen und Service Terms finden.

In diesem Rahmen kommen dazu

(1) Chatdaten werden nicht gespeichert,

(2) Microsoft hat keinen Zugriff darauf und

(3) Ihre Daten werden nicht zum Trainieren der Modelle verwendet.

Enterprise-grade Data Protection

Um sich auf das „Enterprise-grade Data Protection“ berufen zu können, muss man mit einer Microsoft Entra-ID, also einem Schul- oder Geschäftskonto ( z.B. XX.onmicrosotft.com) angemeldet sein. Eine Nutzung eines Kundenkonto wie Familien oder Individuelle Konten, wie Outlook oder Hotmail sind nicht ausreichend.

Neben den Zusagen aus den AGB (DPA, PT, SLA) und dem Enterprise Agreement und auch den Zusatzverträgen, gelten die drei Zusagen zusätzlich:

(1) Chatdaten werden nicht gespeichert,

(2) Microsoft hat keinen Zugriff darauf und

(3) Ihre Daten werden nicht zum Trainieren der Modelle verwendet.

Es besteht damit also kein Mehrwert aus diesem Gesichtspunkt zwischen der Nutzung im Kontext eines Unternehmens.

Jedoch gibt es einen Unterschied, der daran liegt, dass der Copilot alle Zusagen aus den AGB, wie DPA, SLA, PT und den Zusatzverträgen, wie auch den Basisverträgen, wie dem Enterprise Agreement enthält. Dies gilt, da Copilot ein zentraler Microsoft 365 Dienst ist, wie Entra-ID, Teams, SharePoint Online oder Exchange Online.

Die Daten werden nur in Ihrem Mandanten gespeichert und im Ruhezustand, sowie in Transit verschlüsselt. Dazu gehört auch das EU-Boundary Program, welches gerade die Stufe 2 abgeschlossen hat und dies auch für den Copilot gilt.

 

Übersicht in der Tabelle

Commercial Data Protection Enterprise-grade Data Protection
Übersetzung kommerzielle Datenschutz Datenschutz auf Unternehmensniveau
zusätzliche Versprechen/Verpflichtung X X
Chatdaten werden nicht gespeichert X X
Microsoft hat keinen Zugriff darauf und X X
Ihre Daten werden nicht zum Trainieren der Modelle verwendet. X X
DPA X
SLA X
PT X
Enterprise Agreement X
MCA X
EU Boundary X

 

Lizenzen

Seit Copilot for Microsoft 365 GA ist, kann die Lizenzoption aktiviert werden. Bitte tut dies auch in den Lizenzen.
„Commercial Data Protection“

Diese Option ist aktuell nicht sichtbar, wenn ihr keine Copilot for Microsoft 365 Lizenz habt und nur eine Microsoft 365 E5. Es wird sichtbar, sobald ihr nur eine Microsoft 365 Copilot Lizenz dem Tenant hinzufügt.

Meinung/Kritik

Microsoft reagiert meiner Meinung nach mit der Neuerung der Einführung der beiden neuen Begriffe. Dennoch gibt es inhaltlich keine zusätzlichen Versprechen oder Neuerungen im Enterprise Bereich. Zusätzlich ist es damit genau gleich.

 

Folien der Mbuf

Hier findet ihr noch mal mehr Informationen. oder meldet euch bei mir oder nutzt das Copilot Paket https://koellnservice.de/microsoft-copilot

Folien Microsoft Copilot – Datenschutz und Regulatorik

 

Update vom 05.03.3024

Microsoft 365 Copilot ist nun auch in den PT sichtbar und damit in die AGB eingegangen.

Microsoft 365 Copilot nun ein Teil der Produktterms, EU Boundary und DPA

 

Update 10.03.2024

Die Terms of Use wurden einem Update unterzogen.

https://learn.microsoft.com/de-de/copilot/terms-of-use

 

Update 11.04.2024 – Lizenz und Update der Dokumentation

Dokumentation: Copilot Privacy and Protections | Microsoft Learn

 

Quelle: Microsoft

„So funktioniert die kommerzielle Datensicherung in Copilot:

Copilot verwendet Microsoft Entra ID (früher bekannt als Azure Active Directory) für die Authentifizierung und erlaubt Benutzern nur den Zugriff auf Copilot mit kommerziellem Datenschutz über ihr Arbeitskonto.
Die Mieter- und Benutzerinformationen eines Entra ID-Benutzers werden zu Beginn einer Chat-Sitzung aus den Chat-Daten entfernt. Diese Informationen werden nur verwendet, um festzustellen, ob der Benutzer für den kommerziellen Datenschutz berechtigt ist. Suchanfragen, die durch Eingabeaufforderungen eines Entra ID-Benutzers ausgelöst werden, werden von Bing nicht mit Benutzern oder Organisationen verknüpft.

Microsoft speichert keine Eingabeaufforderungen oder Antworten von Entra ID-Benutzern bei der Verwendung von Copilot. Eingabeaufforderungen und Antworten werden für einen kurzen Zeitraum zu Laufzeitzwecken zwischengespeichert. Nachdem der Browser geschlossen, das Chat-Thema zurückgesetzt oder die Sitzung beendet wurde, verwirft Microsoft die Eingabeaufforderungen und Antworten.
Chat-Daten, die an und von Copilot mit kommerziellem Datenschutz gesendet werden, werden während der Chatsitzung bei der Übertragung (TLS 1.2+) und im Ruhezustand (AES-128) verschlüsselt. Microsoft hat keinen Zugriff auf diese Daten.+

Da Microsoft die Eingabeaufforderungen und Antworten nicht speichert, können sie nicht als Teil eines Trainingssatzes für das zugrunde liegende große Sprachmodell verwendet werden.

Werbung, die Entra ID-Nutzern angezeigt wird, ist nicht auf die Identität des Arbeitsplatzes oder den Chatverlauf ausgerichtet.
Dieser Datenschutz gilt auch für Chats von berechtigten Entra ID-Nutzern in Copilot auf copilot.microsoft.com und in Bing, Edge und Windows. Sie erstrecken sich auch auf Copilot-Chats in den mobilen Apps Copilot, Bing, Edge, Microsoft Start oder Microsoft 365.“

 

Microsoft als für die Datenverarbeitung Verantwortlicher

Copilot ist ein verbundener Dienst, bei dem Microsoft der Datenverantwortliche ist. Die Eingabeaufforderungen der Benutzer verlassen die Microsoft 365-Tenant-Grenze Ihrer Organisation, um den Copilot-Dienst zu erreichen. Wenn der kommerzielle Datenschutz aktiviert ist, speichert Microsoft diese Daten nicht über eine kurze Zwischenspeicherung für Laufzeitzwecke hinaus. Nachdem der Browser geschlossen, das Chat-Thema zurückgesetzt oder die Sitzung beendet wurde, verwirft Microsoft alle Eingabeaufforderungen und Antworten.

Um Chat-Antworten bereitzustellen, verwendet Copilot globale Datenzentren für die Verarbeitung und kann Daten in den Vereinigten Staaten verarbeiten. Optionale, von Bing unterstützte vernetzte Erlebnisse fallen nicht unter die Verpflichtung von Microsoft zur EU-Datenschutzgrenze (EUDB). Erfahren Sie mehr: Fortlaufende Datenübertragungen, die für alle EU Data Boundary-Dienste gelten. Sie fallen auch nicht unter die Bedingungen des Data Protection Addendum (DPA), das vorschreibt, dass Unternehmensdaten innerhalb der geografischen Grenzen oder der Grenzen des Mieters bleiben müssen.

Zur Erinnerung: Copilot hat keinen Zugriff auf Unternehmensdaten innerhalb Ihrer Mietergrenze, und Chat-Unterhaltungen werden nicht gespeichert oder zum Trainieren der zugrunde liegenden Modelle verwendet.

Unternehmen mit strengen Anforderungen, dass Daten innerhalb von Mieter- oder geografischen Grenzen bleiben müssen, sollten stattdessen Copilot für Microsoft 365 oder Azure Open AI in Betracht ziehen, um generative KI-Dienste anzubieten. Copilot mit kommerziellem Datenschutz ist als sicherere Alternative für Unternehmen gedacht als die Verwendung von konsumentenorientierten generativen KI-Diensten.“

 

Screenshots aus dem Lizenzmanagement

Es ist ratsam die Lizenz zu aktivieren.

 

Sperrung von Inhalten bei BING

damit sperrt man dann auch den Zugang von Copilot for Edge.

Formular: Bing – Antragsformular zur Sperrung von Suchergebnissen in Europa