Microsoft 365 Copilot: Ist der KI-Kollege eine Datenkrake?

Microsoft-CEO Satya Nadella macht keinen Hehl aus seinem Glauben in die umfassende Monetarisierbarkeit von künstlicher Intelligenz in seinem Unternehmen. "Offensichtlich wird mit der Zeit aus jeder App eine KI-App werden", sagte er Ende Januar im Investorenbriefing anlässlich der aktuellen Quartalsergebnisse.

Gerade im Bereich der Produktivitätssoftware, spezifisch der Microsoft-365-Suite mit Word, Excel, Powerpoint und Konsorten, ist das Potenzial zur Umsatzsteigerung groß. Laut Firmenangaben hat Microsoft 365 derzeit zwischen 350 und 400 Millionen "paid seats", wobei die Anzahl der aktiven Nutzer darunter liegen dürfte.

Copilot und Datenschutz: Fragen über Fragen

Dass mit der Einführung von Copilot einem in der Cloud rechnenden Large Language Model Echtzeitzugriff auf sensible Unternehmensdaten wie Chatverläufe, E-Mails, Kalendereinträge und Dokumente sowie sämtliche Datensätze aus Microsoft Graph gewährt werden soll, wirft Fragen auf. Wird garantiert, dass die Serverinstanzen, auf denen die KI läuft und mit denen sie im Austausch steht, in Ländern mit angemessenem Datenschutzniveau sitzen?

Wie und in welchem Umfang werden diese zum Training des zugrundeliegenden Modells genutzt? Wird ein etwaiges Opt-out-Verfahren transparent genug gestaltet werden? Wie steht es um das Urheberrecht bei synthetisierten Dokumenten, Stichwort Github-Copilot-Kontroverse? Und: Ist das alles umfassend mit den Einzelaspekten der DSGVO und europäischem Recht vereinbar?

Stand jetzt schweigt sich Microsoft zu Detailfragen aus und betont die Vorteile und die Effizienzsteigerung durch die KI-Integration und den auf Teams zugeschnittenen Assistenten Business Chat. Copilot befindet sich derzeit in einer geschlossenen Testphase mit ausgewählten Kunden in den USA. Wie genau der KI-Helfer in anderen Regionen eingesetzt werden können wird, ist unklar.

Ist Microsoft 365 datenschutzkonform? "Grundlegend glauben wir, dass die Daten der Kunden ihre Daten sind. Die bestehenden Microsoft-Garantien, die wir immer für Unternehmens- und kommerzielle Daten gegeben haben, bleiben bestehen und werden fortgesetzt", teilt die Microsoft-Pressestelle auf Anfrage von Golem.de mit. "Microsoft wird Kundendaten nur für die Erbringung der vereinbarten Dienste verwenden und für Zwecke, die mit der Bereitstellung dieser Dienste vereinbar sind."

In der Vergangenheit fiel besonders Microsoft 365 aus der Sicht deutscher Datenschutzbehörden nicht gerade durch die komplett datenschutzkonforme Verwendung eben dieser Kundendaten auf. "Keine substanziellen Verbesserungen", "unzureichend eingegrenzte Rechte", "keine signifikanten Nachbesserungen": Microsoft habe laut des Endergebnisses der Gespräche mit dem Arbeitskreis Microsoft-Onlinedienste der deutschen Datenschutzkonferenz von Ende 2022 noch Aufholbedarf, was die klare Kommunikation der Vorgänge bei der Übertragung von Daten in Drittländer und die USA zur Auftragsverarbeitung angeht.

Zwar arbeitet die EU gerade am sogenannten EU-U.S. Data Privacy Framework, das der USA ein angemessenes Datenschutzniveau bescheinigen und Bedenken zerstreuen soll. Experten gehen allerdings davon aus, dass dieses wie auch die vergangenen Beschlüsse vor dem Europäischen Gerichtshof angefochten werden wird.

Anpassungsbedürftig sind laut Gutachten des Europäischen Datenschutzausschusses unter anderem "Vorschriften zur Massendatenerfassung von aus der EU stammenden Daten durch US-Geheimdienste, die auch nach dem Abkommen wahl- und unterschiedslos sowie ohne Richtervorbehalt möglich bleiben soll."

Datenstandort EU – mit Ausnahmen

Seit dem 1. Januar 2023 können Kunden von Azure, Microsoft 365, Power Platform und Dynamics ihre Daten theoretisch DSGVO-konform in Rechenzentren in der EU speichern lassen. Dazu gehören Anlagen in Österreich, Deutschland, Polen oder Schweden, für deren Aufbau Microsoft 2021 und 2022 rund 12 Milliarden US-Dollar ausgegeben haben will.

Die Liste der Einzelteile der Dienste, für die Ausnahmen gelten, darunter Teile von Azure Active Directory oder Sharepoint, ist derzeit allerdings noch lang. Im Rahmen von Professional Services ausgetauschte Daten liegen beispielsweise in den USA, Support erfolgt tendenziell auch über EU-Grenzen hinweg. Und wer mit der Multi-Geo-Option Microsoft 365 in mehreren geografischen Regionen nutzt, auf den trifft die EU-Datengrenze laut Aussage von Microsoft ebenfalls nicht zu.

Untätig ist Microsoft hinsichtlich der Bemühungen, Kundendaten datenschutzkonform zu speichern und zu verarbeiten, nicht. Ob das bei derart sensiblen Daten und vor allem der zukünftigen Integration von KI und damit einer weiteren Unbekannten ausreicht, ist laut deutschen Datenschutzexperten derzeit noch offen.

Bei Inanspruchnahme solcher Lösungen sei allerdings höhere Vorsicht als sonst geboten. "Je höher das Schädigungspotenzial einer künstlichen Intelligenz oder eines algorithmischen Systems ist, desto strenger müssten die Anforderungen an seinen Einsatz sein", sagt Christof Stein, Pressesprecher des Bundesbeauftragten für Datenschutz und Informationsfreiheit. "Es empfiehlt sich für alle, die künstliche Intelligenz im Kontext mit Beschäftigten einsetzen, sich intensiv mit den datenschutzrechtlichen Herausforderungen auseinanderzusetzen."