Mit „Copilot für Microsoft 365” läutet Microsoft eine neue Ära der digitalen Assistenz ein. Der intelligente Assistent soll im Alltag Zeit sparen, Abläufe vereinfachen und sogar Texte oder Tabellen nahezu eigenständig erstellen können. Was im Büro der Zukunft wie ein Gewinn klingt, wirft aus Sicht des Datenschutzes allerdings einige ernstzunehmende Fragen auf. Gerade für kleine und mittlere Handwerksbetriebe, die sich im Spannungsfeld zwischen Digitalisierung, begrenzten Ressourcen und rechtlichen Anforderungen bewegen, lohnt sich ein genauerer Blick auf diese Technologie.
Copilot ist eine KI-basierte Anwendung, die auf den Werkzeugen von Microsoft 365, also Word, Excel, Outlook, Teams und weiteren aufsetzt. Grundlage der Funktion sind sogenannte große Sprachmodelle wie GPT-4, die auf Basis vorhandener Daten Vorschläge machen und Texte erzeugen können. Damit Copilot sinnvoll arbeiten kann, benötigt er Zugriff auf die gespeicherten Inhalte des Unternehmens, wie zum Beispiel E-Mails, Dateien, Kalendereinträge, Kontakte oder Chatverläufe. Genau hier beginnt das datenschutzrechtliche Risiko. Denn je mehr Zugriffsmöglichkeiten Copilot erhält, desto größer wird die Gefahr, dass auch vertrauliche oder personenbezogene Daten unbeabsichtigt mitverarbeitet oder gar offenbart werden.
Berechtigungskonzept beachten
Ein besonders kritischer Punkt ist das sogenannte Berechtigungskonzept. Copilot orientiert sich an den Nutzerrechten innerhalb des Unternehmens. Das heißt, hat ein Mitarbeiter Zugriff auf bestimmte Informationen, kann auch Copilot mit diesen Daten arbeiten. Was aber, wenn ein Kollege durch Fehlkonfiguration versehentlich auf sensible Daten zugreifen kann? Dann könnte die KI unter Umständen sogar interne Informationen in Textvorschlägen einbauen, ohne dass der Nutzer das beabsichtigt hat. Hinzu kommt, dass bei aktivierter Websuche Teile der Daten an Microsoft-Server außerhalb Europas gesendet werden, was rechtlich problematisch sein kann.
Auch die sogenannte „Connected Experience“ von Microsoft, also die Verbindung mit Cloud-Diensten und Plugins, birgt Risiken. Je nachdem, welche Einstellungen aktiv sind, können dabei personenbezogene Daten an Drittanbieter fließen, oft ohne, dass dies für die Nutzenden klar ersichtlich ist. Für Handwerksbetriebe, die beispielsweise mit Kundenlisten, Angebotsdaten oder interner Mitarbeiterkommunikation arbeiten, ist das eine ernsthafte Herausforderung. Denn wer personenbezogene Daten verarbeitet, trägt laut DSGVO auch die Verantwortung für deren Schutz.
Was also tun?
Der erste Schritt sollte eine sorgfältige Abwägung sein, ob und in welchem Umfang Copilot im eigenen Betrieb wirklich eingesetzt werden soll. Wer sich für die Einführung entscheidet, sollte zunächst mit einer Testphase beginnen. Idealerweise in einem geschlossenen Rahmen und mit klar definierten Anwendungsfällen. So lassen sich mögliche Schwachstellen frühzeitig erkennen. Zudem ist ein konsequent organisiertes Berechtigungskonzept unerlässlich. Jeder Mitarbeitende sollte nur Zugriff auf die Daten haben, die er oder sie tatsächlich benötigt. Das sogenannte Need-to-know-Prinzip hilft, den Kreis der möglichen Datenzugriffe klein zu halten.
Technisch kann der Einsatz von Microsoft Purview unterstützen, einem Werkzeug zur automatischen Klassifikation und zum Schutz sensibler Daten. So lassen sich etwa bestimmte Informationen mit einem internen Label versehen, das ihre Weitergabe einschränkt. Und nicht zuletzt sind Schulungen wichtig. Mitarbeitende müssen verstehen, wie Copilot funktioniert, welche Daten er nutzt und worauf im Umgang zu achten ist. Denn nur wer die Technik versteht, kann auch sicher mit ihr arbeiten. „Copilot für Microsoft 365 bietet auch für das Handwerk spannende Möglichkeiten. Doch der Einsatz sollte wohlüberlegt erfolgen. Datenschutz ist keine Bremse, sondern die Voraussetzung für den sicheren und erfolgreichen Umgang mit neuen Technologien“, sagt Alexander Petto, Beauftragter für Innovation und Technologie mit dem Themenschwerpunkt Digitalisierung (Digi-BIT) bei der HWK. „Wer die Risiken kennt und verantwortungsvoll handelt, kann aber auch im Handwerk von künstlicher Intelligenz profitieren, ohne das Vertrauen von Kunden und Mitarbeitenden zu gefährden.“
Ansprechpartner
Alexander Petto
Beauftragter für Innovation und Technologie Themenschwerpunkt Digitalisierung (DIGI–BIT)
Telefon 0681 5809-141
a.petto@hwk-saarland.de