10 Tipps für den sicheren Einsatz von Copilot V3.5 in Microsoft 365

Eberhard Häcker • 28. März 2025

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Mitarbeiter bei der Arbeit mit Microsoft Copilot


Microsoft hat Copilot V3.5 in Microsoft 365 freigeschaltet – und plötzlich steht Unternehmen eine mächtige KI zur Verfügung, die Texte in Word, Tabellen in Excel, Präsentationen in PowerPoint und E-Mails in Outlook analysiert, verarbeitet und verbessert.
Klingt nach einer Revolution im Arbeitsalltag? Ist es. Zugleich ist Vorsicht geboten.




Microsoft Copilot Enterprise vs. Version 3.5


Copilot unterstützt die Anwender also in Word, Excel, Power Point und Outlook. Da kann man sich Textvorschläge machen lassen, Mails vorformulieren, Angebote schreiben und vieles mehr. Super bequem in der heutigen Zeit. Her damit, oder?

Was viele nicht wissen: Copilot hat derzeit mehrere Versionen im Einsatz. Da ist zum einen die Version Enterprise, Bestandteil von kostenpflichtigen Abonnements mit grundsätzlich geschützten Daten.


Zum anderen gibt es die Version 3.5 – kostenfrei, mit der Maßgabe, dass die Daten alle ins Training der KI bei Microsoft einfließen. Denn alles, was Copilot sieht, kann Teil seines Trainings werden – und damit kann schon der nächste User, der mit Copilot irgendwo auf dieser Welt arbeitet, das sehen, was Sie gerade eingegeben haben. Das mag unwahrscheinlich sein, aber lässt sich eben leider nicht ausschließen.




Was bedeutet das in der Praxis?


  • Jede bearbeitete Datei, jede getippte E-Mail, jede Tabellenkalkulation kann ins Training einfließen und als Trainingsdaten genutzt werden.

  • Sensible Inhalte landen dadurch außerhalb der Kontrolle des Unternehmens.

  • Rein rechtlich kann eine Verarbeitung durch Copilot als Veröffentlichung gewertet werden.

  • Dann verstoßen Sie auch gegen Verträge mit Kunden, gegen die DSGVO und andere rechtlich verbindliche Vorgaben.


Fakt ist: Wer Copilot V3.5 unkontrolliert nutzt, gibt potenziell vertrauliche Informationen frei – und bemerkt es nicht einmal.



Praxisbeispiel: Die nicht erkannte Datenpanne


Ein Team in einem Unternehmen nutzt Copilot V3.5 in Microsoft 365, um eine Strategiepräsentation in PowerPoint  zu optimieren. Die KI analysiert den Inhalt, schlägt Formulierungen vor und verbessert das Design. Die Präsentation ist in Rekordzeit  fertig. Und sie ist sehr gut geworden. Aber ist das wirklich alles?


Im Hintergrund hat Copilot die Datei verarbeitet, die Inhalte in sein Training übernommen und damit für alle zukünftigen KI-Nutzer gespeichert. Die nächste Version der KI kann damit ähnliche Inhalte generieren – und Fragmente vertraulicher Daten ausgeben. So kann schon der nächste User weltweit plötzlich unsere Informationen bekommen. Ja, das ist unwahrscheinlich. Aber möglich.


Das bedeutet: Ein anderes Unternehmen könnte auf ähnliche Formulierungen oder Geschäftsideen  zugreifen, ohne dass es auffällt. Plötzlich steht nicht nur die Strategie anderen zur Verfügung, auch sensible Informationen sind indirekt öffentlich.


Und jetzt? Ist das wirklich eine Veröffentlichung? Ein Datenleck? Ein DSGVO-Verstoß? Fakt ist: Die Kontrolle über diese Daten ist verloren. Mit allen Konsequenzen.






10 Risiken mit Microsoft Copilot Version 3.5



Die Nutzung von Copilot V3.5 in Microsoft 365 ist ein Risiko für Datenschutz und Sicherheit.


  1. Daten fließen in das KI-Training ein
    Inhalte aus Word, Excel, PowerPoint und Outlook können zur Verbesserung des KI-Modells genutzt werden.

  2. Sensible Unternehmensinformationen werden verarbeitet
    Geschäftsstrategien, Verträge, Kalkulationen oder Kundenlisten könnten unbewusst weitergegeben werden.

  3. Keine Transparenz, wo die Daten gespeichert werden
    Sind die Informationen nur temporär oder dauerhaft in Microsofts Systemen?

  4. DSGVO-Problem unbefugte Verarbeitung durch Dritte
    Unternehmen müssen sicherstellen, dass personenbezogene Daten nicht an Dritte übermittelt werden – das passiert hier, wenn vielleicht auch unbewusst.

  5. Betroffenenrechte können nicht sichergestellt werden
    Aus Sicht des Datenschutzes muss der Verantwortliche stets die Kontrolle über die Daten behalten.

  6. Risiko der Reproduktion
    Copilot könnte aus trainierten Daten Muster generieren und ähnliche Inhalte später erneut ausgeben.

  7. Vertraulichkeitsverletzungen
    Falls E-Mails mit geschützten Inhalten analysiert werden, ist dies eine unkontrollierte Weitergabe und damit eine Offenlegung.

  8. Schwierige rechtliche Einordnung
    Ist eine Verarbeitung durch Copilot bereits eine „Veröffentlichung“? Das wird im Zweifelsfall je nach Kontext so ausgelegt werden. Sie hätten die Daten ja nicht eingeben dürfen.

  9. Keine einfache Rücknahme möglich
    Einmal verarbeitete Daten sind nicht ohne Weiteres wieder löschbar oder zurückholbar.

  10. Damit liegt nach Art. 4 Ziff.12 Verlust von personenbezogenen Daten vor
    – die Kontrolle über die Daten ist nicht mehr gegeben, so die Definition. Die Konsequenz ist die Prüfung, ob eine Meldepflicht bei der Aufsichtsbehörde für den Datenschutz vorliegt.
quote

"Rein rechtlich kann eine Verarbeitung durch Copilot als Veröffentlichung gewertet werden."

Tipp: Unternehmensrichtlinie zu Microsoft Copilot



Haben Sie eine Richtlinie zum Einsatz von Microsoft Copilot? Falls nicht, wird es höchste Zeit! Die KI-Verordnung verlangt klare Regeln – Verstöße können hohe Geldbußen nach sich ziehen.


Wir unterstützen Sie gerne! Unsere Vorlagen für KI-Richtlinien helfen Ihnen, schnell eine rechtskonforme und unternehmensspezifische Regelung zu erstellen.


Die Richtlinien-Vorlagen können Sie jetzt in der Richtlinienmanufaktur bequem online kaufen und downloaden.

Gerne beraten und begleiten wir Sie bei der Umsetzung. Melden Sie sich bei uns!



Zur Richtlinienmanufaktur

Microsoft Copilot und der Datenschutz


Der unkontrollierte Einsatz von Copilot kann zu mehreren Datenschutzverletzungen führen:


  • Verletzung der Vertraulichkeit – Wenn interne oder personenbezogene Daten unbeabsichtigt in das KI-Training einfließen.

  • Verletzung der Integrität – Falls Copilot falsche oder unsichere Inhalte generiert und diese ungeprüft übernommen werden.

  • Verletzung der Verfügbarkeit – Falls Inhalte durch Copilot verändert oder ersetzt werden und Originaldaten nicht mehr abrufbar sind.

  • Schutzverletzung Verlust personenbezogener Daten – die Kontrolle ist wie oben schon beschrieben verloren gegangen.



Hinzu kommt:


  • Unternehmen haften für Datenschutzverletzungen – auch, wenn sie durch KI-Nutzung entstehen.

  • Falls personenbezogene Daten verarbeitet werden, kann eine Meldepflicht nach Art. 33 DSGVO bestehen. Ob sie tatsächlich vorliegt, muss im Einzelfall geprüft werden.

  • Die Grenze zwischen interner Verarbeitung und ungewollter Veröffentlichung ist allerdings nicht mehr vorhanden.




10 Tipps für den sicheren Einsatz von Microsoft Copilot


Damit Copilot nicht der Pilot wird, der den Datenschutz zum Absturz bringt, sollten Unternehmen folgende Tipps umsetzen.


Tipp Nr. 1: Prüfen, welche Copilot-Version verwendet wird


Die Enterprise-Variante speichert keine Daten im KI-Training, V3.5 hingegen schon.

Tipp Nr. 2: Vertrauliche und personenbezogene Daten nicht in Copilot verarbeiten


Keine sensiblen Inhalte mit der KI teilen.

Tipp Nr. 3: Nutzung von Copilot regeln


Vorgaben erstellen und ausrollen, in welchen Bereichen Copilot verwendet werden darf und in welchen nicht.

Tipp Nr. 4: Mitarbeitende sensibilisieren


Aufklären, welche Inhalte sicher verarbeitet werden können und welche nicht.


Tipp Nr. 5: KI-generierte Inhalte stets überprüfen


Die KI kann fehlerhafte oder riskante Vorschläge machen.

Tipp Nr. 6: Datenschutz-Folgenabschätzung (DSFA) durchführen


Ist Copilot ein Risiko für die Einhaltung der DSGVO?

Tipp Nr. 7: Verträge mit Microsoft prüfen


Welche Datenschutzgarantien bietet Microsoft für Copilot-Nutzer?

Tipp Nr. 8: Technische Einschränkungen setzen


Copilot für bestimmte Anwendungen oder Gruppen deaktivieren, falls nötig.

Tipp Nr. 9: Regelmäßige Sicherheitsüberprüfungen durchführen


Evaluieren, ob sich die Nutzung von Copilot mit den Datenschutz- und Sicherheitszielen des Unternehmens deckt.

Tipp Nr. 10: Verbindliche Vorgaben


Verbindliche Vorgaben für den sicheren Umgang mit Copilot prüfen, aktuell halten oder jetzt erstellen!






Und hier der absolut heiße Tipp des Tages


Copilot ist auf dem Rechner. Beim Einsatz in Word, Excel, Power Point und Outlook können Sie ihn aktivieren und deaktivieren.


  1. Öffnen Sie die Anwendung – also Word, Excel, PowerPoint oder Outlook

  2. Klicken Sie auf „Datei“ oben Links im Menü

  3. Wählen Sie „Optionen“ am unteren Rand des Menüs

  4. Navigieren Sie zum Abschnitt „Copilot“ in den Optionen

  5. Deaktivieren oder aktivieren Sie das Kontrollkästchen „Copilot aktivieren“, je nach Wunsch

  6. Klicken Sie auf „OK“ und starten Sie die Anwendung neu, um die Änderungen zu übernehmen

  7. Diese Einstellung gilt nur für die jeweilige Anwendung auf dem aktuellen Gerät. Wenn Sie Copilot in mehreren Anwendungen oder auf mehreren Geräten deaktivieren möchten, müssen Sie diesen Vorgang entsprechend wiederholen.



Alternative: Copilot entfernen


Sie möchten den Copilot aus dem Menüband entfernen? Kein Problem – mit der entsprechenden Anleitung. Wenden Sie sich gerne an Team  Datenschutz oder greifen Sie auf unsere Richtlinien und Prozessanweisungen zum Copilot zurück.

Wir unterstützen Sie gerne!


Kernfragen zu Microsoft Copilot


Bevor Sie KI in Ihrem Unternehmen nutzen, sollten Sie sich diese zentralen Fragen stellen.



  1. Nutzen Sie Copilot sicher – oder könnte Ihre KI Sie unbeabsichtigt verraten?

  2. Sind alle Nutzenden angemessen geschult?

  3. Sind die Regeln für den Einsatz von Copilot per Richtlinie definiert?


Wenn ja: Dann sollten Sie die Richtlinie kennenlernen, prüfen und gegebenenfalls ergänzen.


Wenn nein: Dann haben wir Vorlagen für verbindliche Dokumente wie Richtlinien, Arbeitsanweisungen, Prozessanweisungen und mehr – wir unterstützen Sie bei der Einrichtung und Umsetzung.






Hochwertige Richtlinien für  Microsoft Copilot


In der Richtlinienmanufaktur bieten wir Ihnen professionelle Vorlagen für Richtlinien, Arbeitsanweisungen und Prozesse, die Sie sofort nutzen oder individuell anpassen können. Auf Wunsch unterstützen wir Sie gerne bei der Umsetzung.


Zur Richtlinienmanufaktur



Fazit zu Copilot V3.5 in Microsoft 365

Copilot ist eine enorme Erleichterung – wenn die Risiken unter Kontrolle sind. Wer unbedacht startet, riskiert, dass geschäftskritische oder personenbezogene Daten unkontrolliert gespeichert und verarbeitet werden.
Besser vorher prüfen, als später böse überrascht werden!

Bei Datenschutz-Fragen Team Datenschutz fragen.


Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

Transkription in Videokonferenzen: Datenschutz richtig umsetzen

von Eberhard Häcker 9. April 2025
Transkription im Online-Meeting? Warum das ohne Einwilligung zum Datenschutzproblem wird – und welche Regeln Unternehmen jetzt brauchen.
Laptoptastatur mit leuchtenden Tasten

Webinar-Reihe: IT-Sicherheit & Datenschutz 2025

von Team Datenschutz 4. April 2025
Entdecken Sie unsere Webinar-Reihe 2025 zu IT-Sicherheit & Datenschutz: KI, NIS2 & ISMS verständlich erklärt. Jetzt anmelden & praxisnah profitieren!

Copilot in Edge: Datenschutzrisiken & sichere Nutzung im Unternehmen

von Eberhard Häcker 3. März 2025
Microsoft Copilot in Edge bietet viele Vorteile – birgt aber auch Gefahren für den Datenschutz. Wir zeigen 10 wichtige Risiken beim Einsatz von Copilot in Edge und geben 10 Tipps für mehr Sicherheit.

Spannende Datenschutz-Schulungen mit DATSIPrUse

von Team Datenschutz 17. Februar 2025
Unsere unterhaltsamen Datenschutz-Schulungen bringen Datenschutz mit charmanten Geschichten direkt in Ihr Unternehmen. Der Außerirdische DATSIPrUse und Datenschützer Eberhard erklären Datenschutz spannend und verständlich. Ideal, um Ihr Team spielerisch und praxisnah zu sensibilisieren. Jetzt mehr erfahren!

Der Datenschutz-Adventskalender 2024

von Team Datenschutz 28. November 2024
Die Adventszeit steht vor der Tür! Um die Zeit bis Weihnachten auf unterhaltsame und lehrreiche Weise zu verkürzen, wartet auch in diesem Jahr wieder der Datenschutz-Adventskalender mit brandneuen Abenteuern von DATSIPrUse!

Gelungenes Event: Das war das Datenschutz-Update 2024

von Team Datenschutz 22. November 2024
Auch in diesem Jahr hat das Tagesseminar „Datenschutz-Update“ wieder zahlreiche Interessierte aus Datenschutz und Informationssicherheit zusammengebracht. Mit rund 40 Teilnehmenden fand das virtuelle Event regen Zuspruch und bot spannende Einblicke in die Herausforderungen und Chancen, die 2025 und darüber hinaus auf Unternehmen und Datenschutzbeauftragte zukommen.

Team Datenschutz auf der IDACON 2024

von Team Datenschutz 1. Oktober 2024
Auch in diesem Jahr ist Team Datenschutz wieder bei der 24. IDACON 2024 mit dabei. Vom 5. bis 7. November dreht sich auf dem hybriden Kongress für Datenschutz in München alles um aktuelle Entwicklungen und praxisnahe Lösungen im Datenschutz.
Interieur eines Autos

Sensoren, Aktoren und der Datenschutz

von Eberhard Häcker 23. August 2024
Sensoren und Aktoren stecken in Autos, im Smart Home, in Industrie, Medizintechnik und mehr. Sie sammeln und verarbeiten Daten, die oft mit Menschen in Verbindung stehen. Klarer Fall für den Datenschutz. 10 Tipps, um Datenpannen zu vermeiden.

Netzwerk­topologie verständlich erklärt & Tipps für ein sicheres Netzwerk

von Eberhard Häcker 7. August 2024
Netzwerktopologie bezeichnet, wie Geräte in Computer-Netzwerken miteinander verbunden sind. Die häufigsten Topologien sind Stern, Ring, Bus und Masche. Dabei werden personenbezogene Daten verarbeitet. Umso wichtiger, dass Datenschutzbeauftragte sich des Themas annehmen.
Mehr anzeigen