Eine nächste DSFA ist nun aus den Niederlanden veröffentlicht worden. Es handelt sich um Microsoft 365 Copilot im EDU Bereich, also den Einsatz im Bildungsbereich.
DSFA Microsoft 365 Copilot EDU
Hintergrund:
Die aktualisierte Datenschutz-Folgenabschätzung (DPIA) wurde im Auftrag von SURF für niederländische Forschungs- und Bildungseinrichtungen erstellt. Sie bewertet die Datenschutzrisiken bei der Nutzung von Microsoft 365 Copilot for Education – insbesondere für die kostenpflichtige Lizenz, die aktuell nur für Nutzer ab 18 Jahren verfügbar ist.
Wesentliche Inhalte:
- Microsoft 365 Copilot ist ein generativer KI-Dienst, der in Word, Excel, PowerPoint, Outlook und Teams integriert ist. Die kostenpflichtige Version kann auf Organisationsdaten (Graph) zugreifen, die kostenlose Version nicht.
- Datenschutzrisiken: Die DPIA identifiziert 2 mittlere und 9 geringe Datenschutzrisiken. Hohe Risiken wurden durch Maßnahmen von Microsoft reduziert, aber nicht vollständig beseitigt.
- Hauptkritikpunkte:
- Unklare Transparenz und Kontrolle über den neuen „Workplace Harms“-Filter (Filter für schädliche Inhalte am Arbeitsplatz). Bildungseinrichtungen können diesen Filter nicht deaktivieren oder anpassen.
- Aufbewahrungsfristen: Microsoft speichert pseudonymisierte Diagnosedaten und Servicedaten bis zu 18 Monate – ohne ausreichende Begründung für diese Dauer.
- Verarbeitung ungenauer personenbezogener Daten: Es besteht das Risiko, dass Copilot falsche oder veraltete personenbezogene Daten generiert. Die Verantwortung für die Überprüfung liegt bei den Bildungseinrichtungen.
- Datenübermittlung: Trotz EU-Datengrenze können in Ausnahmefällen Daten in Drittländer übertragen werden, z. B. für Supportzwecke.
- Empfohlene Maßnahmen für Bildungseinrichtungen:
- Klare Richtlinien für den Einsatz von Copilot und generativer KI erstellen.
- Bing-Zugriff deaktivieren und Nutzer über die Risiken informieren.
- Audit-Protokollierung aktivieren und die Einhaltung der internen KI-Regeln regelmäßig überprüfen.
- Beschwerden und Fehler bei personenbezogenen Daten an SURF melden.
- Lizenzen restriktiv vergeben – insbesondere für Konten mit Zugang zu sensiblen Daten.
- Schulung der Nutzer: Alle von Copilot generierten personenbezogenen Daten sollten unabhängig geprüft werden.
Fazit:
Microsoft hat auf viele Datenschutzbedenken reagiert, aber nicht alle Risiken sind ausgeräumt. Die Verantwortung für den datenschutzkonformen Einsatz von Copilot for Microsoft 365 EDU liegt bei den Bildungseinrichtungen. Es wird empfohlen, Microsoft 365 Copilot mit Bedacht einzusetzen, klare Richtlinien zu definieren und die Einstellungen regelmäßig zu überprüfen, so die DSFA.
Unterschied Microsoft 365 Copilot EDU und für Unternehmen
Copilot for Microsoft 365 ist die generelle, kostenpflichtige KI-Erweiterung für Unternehmen, die in die bekannten Office-Anwendungen wie Word, Excel, PowerPoint, Outlook und Teams integriert ist. Sie nutzt die Daten aus dem Microsoft Graph (z. B. E-Mails, Dokumente, Kalender) der Organisation, um kontextbezogene und personalisierte Antworten zu generieren. Die Zielgruppe sind Unternehmen und Organisationen aller Branchen.
Copilot for Microsoft 365 EDU ist speziell für den Bildungsbereich (Schulen, Hochschulen, Universitäten) konzipiert und wird über Bildungslizenzen bereitgestellt. Die Funktionen sind grundsätzlich identisch mit der Unternehmensversion, allerdings gibt es Besonderheiten beim Datenschutz, bei den Standardeinstellungen und beim Lizenzmodell. Die EDU-Version ist aktuell nur für Nutzer ab 18 Jahren verfügbar und berücksichtigt die besonderen Anforderungen und Risiken im Bildungssektor, etwa beim Umgang mit sensiblen personenbezogenen Daten von Studierenden und Lehrenden.
Kurz gesagt:
- Copilot for Microsoft 365 = Für Unternehmen, alle Branchen, volle Integration in Office, Zugriff auf Organisationsdaten.
- Copilot for Microsoft 365 EDU = Für Bildungseinrichtungen, angepasst an Datenschutz und Anforderungen im Bildungsbereich, aktuell nur für Erwachsene.
Es gibt keine Unterschiede!
Download
Es werden immer mehr Dokumente, deshalb schieben wir die Dokumente in den OneDrive:
- Original DSFA zu Microsoft 365 Copilot EDU
- DSFA mit DeepL in Deutsch übersetzt
Link
15. Teilen Daten für rakoellner Blog öffentlich