Kostenlos beraten
Microsoft 365 Copilot DSGVO-Compliance für deutsche Unternehmen
tools

Microsoft 365 Copilot DSGVO? AVV, Betriebsrat & Checkliste

Microsoft 365 Copilot ist DSGVO-konform für deutsche Unternehmen einsetzbar — vorausgesetzt, Sie aktivieren die EU Data Boundary für Ihren Microsoft-365-Tenant, prüfen den Auftragsverarbeitungsvertrag (AVV) mit Microsoft auf Vollständigkeit gemäß Art. 28 DSGVO und schließen vor dem Rollout eine Betriebsvereinbarung nach § 87 BetrVG ab. Ohne diese Maßnahmen entsteht bei der KI-gestützten Verarbeitung von E-Mails, Dokumenten und Chats ein erhebliches Haftungsrisiko. Weitere von Compound Law bewertete KI-Tools finden Sie in unserer Übersicht.

Ist Microsoft 365 Copilot DSGVO-konform?

Ja — mit Bedingungen. Microsoft handelt als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO, wenn Copilot Ihre Microsoft-365-Inhalte verarbeitet. Als Verantwortliche sind Sie verpflichtet:

  • Den bestehenden Microsoft Online Services Data Processing Addendum (AVV) auf Copilot-spezifische Klauseln zu prüfen
  • Die EU Data Boundary für Ihren Tenant zu aktivieren, um Datenverarbeitung innerhalb des EWR sicherzustellen
  • Die Unterauftragsverarbeiterliste von Microsoft zu prüfen, bevor Sie neue Copilot-Funktionen aktivieren
  • Eine geeignete Rechtsgrundlage — in der Regel Art. 6 Abs. 1 lit. b oder lit. f DSGVO — für die KI-gestützte Verarbeitung festzulegen

Microsoft verarbeitet keine Kundendaten zum Training seiner KI-Modelle. Die EU Data Boundary hält primäre Verarbeitungsvorgänge innerhalb Europas — für jeden Copilot-Anwendungsfall sollten Sie jedoch separat prüfen, welche Daten in welchen Rechenzentren verarbeitet werden.

Microsoft 365 Copilot AVV und Datenresidenz

Das Microsoft Online Services Data Processing Addendum deckt Microsoft 365 Copilot ab und enthält die erforderlichen Klauseln gemäß Art. 28 DSGVO sowie die EU-Standardvertragsklauseln (SCCs) für etwaige Drittlandübermittlungen.

Wichtige Prüfpunkte für Ihren AVV:

  • Ist die EU Data Boundary explizit für Ihren Tenant konfiguriert?
  • Welche Copilot-Szenarien (Semantic Index, Connected Experiences) unterliegen ggf. separaten Datenverarbeitungsregeln?
  • Sind Ihre internen Berechtigungsstrukturen so gesetzt, dass Copilot nicht auf übermäßig geteilte Dokumente zugreift?

Copilot respektiert vorhandene Microsoft-365-Berechtigungen vollständig. Das bedeutet: bestehende Over-Sharing-Probleme in SharePoint oder Teams werden durch Copilot sichtbar — aber nicht automatisch behoben. Ein Berechtigungsaudit vor dem Rollout ist daher empfehlenswert.

Betriebsratsanforderungen bei der Copilot-Einführung

Dies ist der kritischste Compliance-Schritt für deutsche Unternehmen. Microsoft 365 Copilot verändert grundlegend, wie Mitarbeitende mit Office-Anwendungen arbeiten, und unterliegt dem Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG (technische Einrichtungen zur Verhaltens- oder Leistungsüberwachung).

Mitbestimmungspflichtige Copilot-Funktionen:

  • Meeting Intelligence (Teams): automatische Zusammenfassungen und Transkripte von Meetings
  • Email Coaching (Outlook): Analyse von Kommunikationsmustern und Tonalität
  • Productivity Scores: Nutzungsanalysen auf Mitarbeiterebene
  • Document Co-Creation (Word/PowerPoint): Sichtbarkeit individueller Beiträge

Ohne eine Betriebsvereinbarung vor dem Rollout riskieren Sie eine Unterlassungsverfügung des Betriebsrats. Microsoft stellt Admin-Kontrollen bereit, mit denen Sie einzelne Funktionen deaktivieren oder einschränken können — nutzen Sie diese, um einen Interessenausgleich zu erzielen. Die rechtlichen Anforderungen für KI-basierte Mitarbeiterüberwachung erläutert unsere Seite zur KI-Mitarbeiterüberwachung Compliance.

AI Act: Betreiberpflichten für Microsoft 365 Copilot

Microsoft erfüllt als GPAI-Anbieter die Anforderungen der EU-KI-Verordnung (EU) 2024/1689. Als Unternehmen, das Copilot einsetzt, übernehmen Sie Betreiberpflichten, deren Umfang vom konkreten Anwendungsfall abhängt:

AnwendungsfallRisikoklasseIhre Pflichten
Allgemeine BürokommunikationMinimalNutzungsrichtlinie, Mitarbeitertransparenz
HR-EntscheidungsunterstützungHochKonformitätsbewertung, Aufsicht, Dokumentation
Kundenberatung (regulierte Branchen)HochKonformitätsbewertung, Human-in-the-Loop
Vertragsanalyse (intern)BegrenztRisikoabwägung, Dokumentation

Für Professional-Services-Unternehmen und HR- und Recruiting-Compliance sind die Hochrisiko-Anwendungsfälle besonders relevant. Weitere Anforderungen für spezifische KI-Einsatzbereiche erläutert unsere Seite zur KI-Planungsoptimierung Compliance.

Compliance-Checkliste: Microsoft 365 Copilot in Deutschland

  1. EU Data Boundary aktivieren — Verifizieren, dass Ihr Tenant auf EU-Rechenzentren beschränkt ist
  2. AVV prüfen — Microsoft Online Services Data Processing Addendum auf Copilot-Abdeckung und aktuelle SCCs prüfen
  3. Berechtigungsaudit durchführen — SharePoint, Teams und Exchange auf Over-Sharing prüfen, bevor Copilot ausgerollt wird
  4. Betriebsrat einbeziehen — Betriebsvereinbarung nach § 87 BetrVG vor dem Rollout verhandeln; Admin-Kontrollen zur Adressierung spezifischer Bedenken nutzen
  5. Anwendungsfälle bewerten — Hochrisiko-Szenarien (HR, Kundenbewertung) identifizieren und AI-Act-Pflichten dokumentieren
  6. Datenschutz-Folgenabschätzung (DSFA) — Bei systematischer Verarbeitung sensibler Mitarbeiterdaten nach Art. 35 DSGVO erforderlich
  7. Nutzungsrichtlinie einführen — Mitarbeitende über Copilot-Funktionen, Nutzungsgrenzen und Datenverarbeitung informieren

Häufig gestellte Fragen

Ist Microsoft 365 Copilot dasselbe wie ChatGPT?

Nein. Copilot ist direkt in Ihre Microsoft-365-Daten integriert — es greift auf Ihre E-Mails, Dokumente, Meetings und Kalender zu, auf die Sie Zugriff haben. Das macht es leistungsstärker als externe KI-Tools, bedeutet aber gleichzeitig, dass Daten-Governance und Berechtigungsstrukturen entscheidend sind.

Trainiert Microsoft Copilot mit unseren Unternehmensdaten?

Nein. Microsoft verwendet Ihre Microsoft-365-Kundendaten nicht zum Training seiner Foundation-Modelle. Dies ist im Data Processing Addendum ausdrücklich ausgeschlossen.

Was gilt für den Betriebsrat bei der Copilot-Einführung?

Copilot unterliegt dem Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG, da es eine technische Einrichtung zur Verhaltens- und Leistungsverfolgung darstellt. Eine Betriebsvereinbarung ist vor dem Rollout obligatorisch — nicht optional.

Müssen wir eine DSFA für Microsoft 365 Copilot durchführen?

In den meisten Fällen ja, wenn Copilot Mitarbeiterdaten systematisch verarbeitet oder wenn besondere Kategorien (Art. 9 DSGVO) betroffen sind. Wir empfehlen eine DSFA auch für große Rollouts in Unternehmen mit mehr als 250 Mitarbeitenden.

Wie hilft Compound Law bei der Copilot-Einführung?

Wir unterstützen bei der Microsoft 365 Copilot Deployment-Bewertung, Betriebsratsverhandlungen für den Copilot-Rollout, der Erstellung von Betriebsvereinbarungen, der Admin-Konfigurationsberatung sowie der laufenden DSGVO- und AI-Act-Compliance.

Weitere Tool-Guides

GitHub Copilot AVV DSGVO Datenschutz Leitfaden für deutsche Unternehmen
tools

GitHub Copilot AVV und DSGVO: Leitfaden für deutsche Unternehmen

GitHub Copilot enthält einen AVV über Microsofts Standard-DPA. Leitfaden zu Datenschutz, EU-Datenhaltung, DSGVO und BetrVG für Deutschland.
Notion AVV und DSGVO-Konformität für deutsche Unternehmen
tools

Notion AVV & DSGVO: Können deutsche Unternehmen Notion rechtssicher nutzen?

Notion AVV, DSGVO-Konformität, EU-Datenhaltung und Anforderungen für deutsche Unternehmen. Praxisleitfaden für Legal-, Datenschutz- und IT-Teams.
KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.
HubSpot Breeze AI DSGVO-konform nutzen: Leitfaden für deutsche Unternehmen
tools

HubSpot Breeze AI und DSGVO: Was deutsche Unternehmen wissen müssen

HubSpot Breeze AI DSGVO-konform nutzen: Pflichten bei Art. 22, Datenanreicherung und KI-Unterauftragsverarbeitern für deutsche Unternehmen.

Mehr KI-Tools durchsuchen

Häufige Fragen

Ist Microsoft 365 Copilot dasselbe wie ChatGPT?

Nein. Copilot ist direkt in Ihre Microsoft-365-Daten integriert — es greift auf Ihre E-Mails, Dokumente, Meetings und Kalender zu, auf die Sie Zugriff haben. Das macht es leistungsstärker als externe KI-Tools, bedeutet aber gleichzeitig, dass Daten-Governance und Berechtigungsstrukturen entscheidend sind.

Trainiert Microsoft Copilot mit unseren Unternehmensdaten?

Nein. Microsoft verwendet Ihre Microsoft-365-Kundendaten nicht zum Training seiner Foundation-Modelle. Dies ist im Data Processing Addendum ausdrücklich ausgeschlossen.

Was gilt für den Betriebsrat bei der Copilot-Einführung?

Copilot unterliegt dem Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG, da es eine technische Einrichtung zur Verhaltens- und Leistungsverfolgung darstellt. Eine Betriebsvereinbarung ist vor dem Rollout obligatorisch — nicht optional.

Müssen wir eine DSFA für Microsoft 365 Copilot durchführen?

In den meisten Fällen ja, wenn Copilot Mitarbeiterdaten systematisch verarbeitet oder wenn besondere Kategorien (Art. 9 DSGVO) betroffen sind. Wir empfehlen eine DSFA auch für große Rollouts in Unternehmen mit mehr als 250 Mitarbeitenden.

Wie hilft Compound Law bei der Copilot-Einführung?

Wir unterstützen bei der Microsoft 365 Copilot Deployment-Bewertung, Betriebsratsverhandlungen für den Copilot-Rollout, der Erstellung von Betriebsvereinbarungen, der Admin-Konfigurationsberatung sowie der laufenden DSGVO- und AI-Act-Compliance.

Kostenlos beraten