Copilot & Outlook-Kontakte: Datenschutz im Büro sicher gestalten 

Digitalisierung trifft Verantwortung

Künstliche Intelligenz wie Microsoft 365 Copilot verspricht Effizienzgewinne im Büroalltag: Sie unterstützt beim Formulieren von E-Mails, beim Zusammenfassen von Informationen und bei der Analyse von Daten. Doch sobald KI-Assistenten auch auf Outlook-Kontakte und persönliche Daten zugreifen, stellen sich grundlegende Datenschutzfragen.

Sind diese Systeme überhaupt DSGVO-konform einsetzbar? Wie funktionieren Berechtigungen? Und wie können Sie als Office-Professional sicherstellen, dass Sie und Ihr Unternehmen rechtskonform handeln?

In diesem Beitrag erläutere ich Ihnen, wie Microsoft Copilot technisch und rechtlich mit Outlook-Daten umgeht und welche Voraussetzungen Sie beachten müssen.

Was Microsoft Copilot technisch macht

Microsoft selbst beschreibt Copilot als Teil der Microsoft-365-Infrastruktur. Er kombiniert große Sprachmodelle (LLMs) mit Organisationsdaten, die über Microsoft Graph abgerufen werden – darunter auch Kontakte, E-Mails und Kalenderdaten, wenn der Nutzer entsprechende Berechtigungen besitzt.

Das bedeutet:

Copilot nutzt die gleichen Berechtigungen wie der angemeldete Nutzer – er erhält keine zusätzlichen Rechte über Outlook-Kontakte hinaus.
Copilot kann nur Daten lesen, die der jeweilige Nutzer selbst sehen dürfte.
Eingaben, Antworten und über Microsoft Graph abgefragte Daten werden nicht für das Training der zugrundeliegenden KI-Modelle verwendet.

Damit ist die Technologie so gestaltet, dass sie zwar leistungsfähig ist, aber technisch innerhalb der bestehenden Microsoft-Berechtigungs- und Sicherheitsstruktur arbeitet. (Quelle)

Datenschutz und DSGVO – rechtliche Grundlinien

Microsoft erklärt, dass Microsoft 365 Copilot den bestehenden Datenschutz-, Sicherheits- und Compliance-Verpflichtungen gegenüber kommerziellen Microsoft-365-Kunden entspricht, darunter auch der Datenschutz-Grundverordnung (DSGVO) und der EU-Datengrenze.

Was das konkret bedeutet:

• Daten werden innerhalb des Microsoft-365-Mandanten verarbeitet und verbleiben dort.

• Copilot nutzt dieselben Zugriffs- und Berechtigungskontrollen wie andere Microsoft-Dienste.

• Sicherheit und Compliance sind in die Architektur eingebettet. (Quelle)

Das heißt aber nicht, dass Copilot automatisch datenschutzkonform genutzt wird. Der technologische Standard allein reicht nicht aus. Rechtliche Konformität hängt entscheidend davon ab, wie Ihr Unternehmen Copilot einsetzt, welche Daten freigegeben werden und wie Sie organisatorisch damit umgehen. Das gilt insbesondere dann, wenn personenbezogene Daten wie Outlook-Kontakte betroffen sind.

Praxis für Outlook-Kontakte: Was bedeutet das für Sie konkret?

1. Berechtigungen definieren

Copilot hat nur Zugriff auf Daten, die der angemeldete Nutzer selbst sehen darf. Das betont Microsoft ausdrücklich: Copilot „zeigt nur Organisationsdaten an, für die einzelne Nutzer mindestens die Berechtigung zur Ansicht haben“.

Das bedeutet für Ihren Büroalltag:

• Prüfen Sie, wer Zugang zu welchen Kontaktlisten hat.

• Vermeiden Sie unnötige Freigaben.

• Sensible Kontaktdaten sollten nur minimal und gezielt einsehbar sein.

In KMU ist das oft ein blinder Fleck: Viele Mitarbeitende haben zu breite Berechtigungen, die weit über das nötigste Maß hinausgehen.

2. DSGVO-Pflichten ernst nehmen

Auch wenn Microsoft Copilot technisch DSGVO-Standards einhält, verlangt die DSGVO von Ihnen als Verantwortliche(n):

• eine Datenschutz-Folgenabschätzung (DSFA), wenn Risiken für Betroffene bestehen (z. B. bei KI-Datenverarbeitung).

• eine Dokumentation der Verarbeitungstätigkeiten gegenüber Aufsichtsbehörden.

• eine klare Rechtsgrundlage für die Verarbeitung personenbezogener Daten.

Unternehmen müssen also selbst aktiv werden – Datenschutz ist keine Einstellungssache in einer App, sondern eine organisatorische Pflicht.

3. Datenhoheit und Datenfluss verstehen

Copilot verarbeitet Eingaben und die darauf basierenden Antworten innerhalb Ihrer Microsoft-Tenant-Grenze. Das heißt:

• Prompt-Eingaben und Antworten werden gespeichert, aber nicht außerhalb des Unternehmens-Tenants zum KI-Training genutzt.

• Bei Funktionen wie Copilot Chat werden zwar Daten gecacht, aber auch das geschieht innerhalb der Microsoft-365-Kontrollen und kann auditierbar gemacht werden.

Sie behalten also grundsätzlich die Kontrolle über Ihre eigenen Daten – aber nur, wenn Berechtigungen und Compliance-Maßnahmen sauber definiert sind.

Herausforderung: Verantwortungsgefühl statt Blindflug

Hier trifft Technik auf Haltung: Nicht die KI selbst entscheidet über Datenschutz, sondern Ihr Unternehmen und Ihre Prozesse.

Daten dürfen nur verarbeitet werden, wenn ein rechtlich zulässiger Zweck besteht. Die bloße technische Möglichkeit – also der Zugriff durch Copilot – ist keine Rechtsgrundlage. Wenn personenbezogene Daten verarbeitet werden, braucht es eine Rechtsgrundlage nach Art. 6 DSGVO (z. B. Einwilligung oder berechtigtes Interesse unter Abwägung mit Betroffenenrechten).

Gerade in Outlook-Kontakten steckt oft mehr als Name und E-Mail: Funktionen, Projektzuordnungen, interne Notizen. Diese Daten dürfen nicht pauschal KI-Systemen überlassen werden, sondern brauchen Bewusstsein, Regeln und Kontrolle.

Konkrete Handlungsschritte für Sie

Damit Sie Copilot rechtskonform und verantwortungsbewusst einsetzen können, empfehle ich Ihnen folgende pragmatische Maßnahmen:

1. Berechtigungscheck durchführen

Analysieren Sie, wer welche Kontakte sehen kann, und reduzieren Sie Zugriffe auf das notwendige Minimum.

2. Datenschutzdokumentation vervollständigen

Ergänzen Sie Ihre Verarbeitungsverzeichnisse um Copilot-Funktionen und führen ggf. eine DSFA durch. Microsoft bietet dafür sogar Vorlagen und Hilfsmittel an, z. B. Musterdokumente für die DSGVO-Dokumentation. (Quelle)

3. Schulungen für Mitarbeitende

Sensibilisieren Sie Ihre Teammitglieder für Datenklassifikation, Berechtigungen und den sachgerechten Einsatz von Copilot.

4. Datenpflege stärken

Genaue, gepflegte Kontaktinformationen helfen nicht nur der KI, sondern schützen auch personenbezogene Daten vor unbeabsichtigter Verarbeitung.

Schlussgedanke – Technologie benötigt Haltung

Microsoft 365 Copilot ist technisch so gestaltet, dass er:

innerhalb Ihrer Berechtigungen auf Daten zugreift,
Daten nicht zum Training externer KI-Modelle nutzt,
DSGVO-Standards respektiert, wenn er innerhalb einer DSGVO-konformen Umgebung eingesetzt wird.

Aber: Rechtliche Sicherheit entsteht nicht durch Technologie allein.
Sie entsteht durch:

• klare Berechtigungsregeln,
• dokumentierte Verarbeitung,
• Sensibilisierung der Mitarbeitenden,
• Anpassung bestehender Datenschutzprozesse.

Wenn Sie diese Verantwortung ernst nehmen, nutzen Sie Copilot nicht nur effizient – Sie nutzen ihn datenschutzbewusst und rechtskonform. Und das ist genau die Haltung, die ein modernes Sekretariat heute auszeichnet.