Im Rahmen der Copilot Community Conference habe ich einen Vortrag gehalten, dem ich auch diesen Blogpost widme. Hier erhaltet ihr auch die Folien.
Folien per OneDrive Link: CoCoCo_Copilot Compliance_Raphael_Köllner.pdf (läuft ab 17.11.2025)
Zusammenfassung
Meine Präsentation auf der CoCoCo (Copilot Community Conference) bietet einen umfassenden Überblick über die Herausforderungen, Anforderungen und Best Practices rund um den Einsatz von Microsoft 365 Copilot im Unternehmensumfeld – mit besonderem Fokus auf Compliance, Datenschutz, IT-Sicherheit und Mitbestimmung.
1. Einführung & Agenda
Die Präsentation startet mit einer Einführung in das Thema Copilot Compliance und skizziert die wichtigsten Themenfelder: Gesetze und Verordnungen, Vertragsgestaltung, Grundkonfiguration, IT- und Informationssicherheit, Datenschutz, Betriebsrat, spezielle Konfigurationen und eine abschließende Zusammenfassung.
2. Vertrauen in KI-Systeme
Ein zentrales Thema ist das Vertrauen in KI-Systeme. Es wird erläutert, was Vertrauen in diesem Kontext bedeutet – etwa die Sicherheit vor Datenlecks, Schutz vor Angriffen wie Prompt Injection, Kostenkontrolle, Überwachung der KI-Qualität und die Einhaltung gesetzlicher Vorgaben.
3. Rechtliche Rahmenbedingungen
Die Präsentation beleuchtet die wichtigsten rechtlichen Grundlagen:
- EU-KI-Verordnung (AI Act) und deren Auswirkungen auf verschiedene Copilot-Dienste.
- Deutsche Gesetze wie das Strafgesetzbuch, Zivilrecht, Urheberrecht und Produkthaftungsrecht.
- Vertragsstrukturen mit Microsoft, inklusive MBSA, MPSA, EA, DPA, SCC und Zusatzverträgen.
- Updates zu Datenschutzvereinbarungen (DPA), insbesondere im Hinblick auf den EU Data Act und neue Datenklassen wie EDDA.
4. Technische und organisatorische Maßnahmen
Die Compliance-Pyramide zeigt, wie Nutzer:innen, organisatorische Maßnahmen, Unternehmensrichtlinien, Datenschutz, IT-Sicherheit und gesetzliche Vorgaben ineinandergreifen. Es wird betont, dass Compliance nur im Zusammenspiel aller Beteiligten – Modern Work, Security, KI-Team, Datenschutz und Betriebsrat – erreicht werden kann.
5. Konfiguration & Monitoring
Die Grundkonfiguration von Microsoft 365 Copilot umfasst zahlreiche Parameter, die im Admincenter, Copilot Control System und über Microsoft Purview gesteuert werden. Monitoring-Lösungen wie DSPM for AI und das Copilot Control Center sorgen für Transparenz und Sicherheit.
6. Datenschutz & Datenverarbeitung
Ein Schwerpunkt liegt auf dem Datenschutz: Wo werden Daten verarbeitet? Wie funktioniert die Datenklassifizierung? Welche Daten werden an Bing gesendet? Die Präsentation erläutert, dass Copilot als Shared Service agiert, aber klare Grenzen und Schutzmechanismen für sensible Daten bestehen.
7. Mitbestimmung & Betriebsrat
Die Rolle des Betriebsrats wird ausführlich behandelt. Neue gesetzliche Regelungen (z.B. § 80 Abs. 3 Satz 2 BetrVG) stärken die Beteiligungsrechte des Betriebsrats bei der Einführung und Bewertung von KI-Systemen. Es werden verschiedene Möglichkeiten der Mitbestimmung und die Anforderungen an Betriebsvereinbarungen zu KI dargestellt.
8. Spezielle Herausforderungen & Best Practices
Die Präsentation geht auf typische Herausforderungen wie Transkription, Copilot Memory, Dateizugriff und Retention Policies ein. Es werden konkrete technische Maßnahmen wie DLP-Regeln, Labeling und PowerShell-Skripte zur Absicherung vorgestellt.
9. Fazit
Abschließend wird betont, dass Compliance beim Einsatz von Microsoft 365 Copilot ein Zusammenspiel aus rechtlichen, technischen und organisatorischen Maßnahmen erfordert. Verträge, Gesetze und Konfigurationen beeinflussen sich gegenseitig. Der Code of Conduct und die Content Safety sollten stets beachtet werden, um die zugesicherten Microsoft-Schutzmechanismen nicht zu verlieren.