10 Tipps für den sicheren Einsatz von Copilot V3.5 in Microsoft 365

Eberhard Häcker • 28. März 2025

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Mitarbeiter bei der Arbeit mit Microsoft Copilot


Microsoft hat Copilot V3.5 in Microsoft 365 freigeschaltet – und plötzlich steht Unternehmen eine mächtige KI zur Verfügung, die Texte in Word, Tabellen in Excel, Präsentationen in PowerPoint und E-Mails in Outlook analysiert, verarbeitet und verbessert.
Klingt nach einer Revolution im Arbeitsalltag? Ist es. Zugleich ist Vorsicht geboten.




Microsoft Copilot Enterprise vs. Version 3.5


Copilot unterstützt die Anwender also in Word, Excel, Power Point und Outlook. Da kann man sich Textvorschläge machen lassen, Mails vorformulieren, Angebote schreiben und vieles mehr. Super bequem in der heutigen Zeit. Her damit, oder?

Was viele nicht wissen: Copilot hat derzeit mehrere Versionen im Einsatz. Da ist zum einen die Version Enterprise, Bestandteil von kostenpflichtigen Abonnements mit grundsätzlich geschützten Daten.


Zum anderen gibt es die Version 3.5 – kostenfrei, mit der Maßgabe, dass die Daten alle ins Training der KI bei Microsoft einfließen. Denn alles, was Copilot sieht, kann Teil seines Trainings werden – und damit kann schon der nächste User, der mit Copilot irgendwo auf dieser Welt arbeitet, das sehen, was Sie gerade eingegeben haben. Das mag unwahrscheinlich sein, aber lässt sich eben leider nicht ausschließen.




Was bedeutet das in der Praxis?


  • Jede bearbeitete Datei, jede getippte E-Mail, jede Tabellenkalkulation kann ins Training einfließen und als Trainingsdaten genutzt werden.

  • Sensible Inhalte landen dadurch außerhalb der Kontrolle des Unternehmens.

  • Rein rechtlich kann eine Verarbeitung durch Copilot als Veröffentlichung gewertet werden.

  • Dann verstoßen Sie auch gegen Verträge mit Kunden, gegen die DSGVO und andere rechtlich verbindliche Vorgaben.


Fakt ist: Wer Copilot V3.5 unkontrolliert nutzt, gibt potenziell vertrauliche Informationen frei – und bemerkt es nicht einmal.



Praxisbeispiel: Die nicht erkannte Datenpanne


Ein Team in einem Unternehmen nutzt Copilot V3.5 in Microsoft 365, um eine Strategiepräsentation in PowerPoint  zu optimieren. Die KI analysiert den Inhalt, schlägt Formulierungen vor und verbessert das Design. Die Präsentation ist in Rekordzeit  fertig. Und sie ist sehr gut geworden. Aber ist das wirklich alles?


Im Hintergrund hat Copilot die Datei verarbeitet, die Inhalte in sein Training übernommen und damit für alle zukünftigen KI-Nutzer gespeichert. Die nächste Version der KI kann damit ähnliche Inhalte generieren – und Fragmente vertraulicher Daten ausgeben. So kann schon der nächste User weltweit plötzlich unsere Informationen bekommen. Ja, das ist unwahrscheinlich. Aber möglich.


Das bedeutet: Ein anderes Unternehmen könnte auf ähnliche Formulierungen oder Geschäftsideen  zugreifen, ohne dass es auffällt. Plötzlich steht nicht nur die Strategie anderen zur Verfügung, auch sensible Informationen sind indirekt öffentlich.


Und jetzt? Ist das wirklich eine Veröffentlichung? Ein Datenleck? Ein DSGVO-Verstoß? Fakt ist: Die Kontrolle über diese Daten ist verloren. Mit allen Konsequenzen.






10 Risiken mit Microsoft Copilot Version 3.5



Die Nutzung von Copilot V3.5 in Microsoft 365 ist ein Risiko für Datenschutz und Sicherheit.


  1. Daten fließen in das KI-Training ein
    Inhalte aus Word, Excel, PowerPoint und Outlook können zur Verbesserung des KI-Modells genutzt werden.

  2. Sensible Unternehmensinformationen werden verarbeitet
    Geschäftsstrategien, Verträge, Kalkulationen oder Kundenlisten könnten unbewusst weitergegeben werden.

  3. Keine Transparenz, wo die Daten gespeichert werden
    Sind die Informationen nur temporär oder dauerhaft in Microsofts Systemen?

  4. DSGVO-Problem unbefugte Verarbeitung durch Dritte
    Unternehmen müssen sicherstellen, dass personenbezogene Daten nicht an Dritte übermittelt werden – das passiert hier, wenn vielleicht auch unbewusst.

  5. Betroffenenrechte können nicht sichergestellt werden
    Aus Sicht des Datenschutzes muss der Verantwortliche stets die Kontrolle über die Daten behalten.

  6. Risiko der Reproduktion
    Copilot könnte aus trainierten Daten Muster generieren und ähnliche Inhalte später erneut ausgeben.

  7. Vertraulichkeitsverletzungen
    Falls E-Mails mit geschützten Inhalten analysiert werden, ist dies eine unkontrollierte Weitergabe und damit eine Offenlegung.

  8. Schwierige rechtliche Einordnung
    Ist eine Verarbeitung durch Copilot bereits eine „Veröffentlichung“? Das wird im Zweifelsfall je nach Kontext so ausgelegt werden. Sie hätten die Daten ja nicht eingeben dürfen.

  9. Keine einfache Rücknahme möglich
    Einmal verarbeitete Daten sind nicht ohne Weiteres wieder löschbar oder zurückholbar.

  10. Damit liegt nach Art. 4 Ziff.12 Verlust von personenbezogenen Daten vor
    – die Kontrolle über die Daten ist nicht mehr gegeben, so die Definition. Die Konsequenz ist die Prüfung, ob eine Meldepflicht bei der Aufsichtsbehörde für den Datenschutz vorliegt.
quote

"Rein rechtlich kann eine Verarbeitung durch Copilot als Veröffentlichung gewertet werden."

Tipp: Unternehmensrichtlinie zu Microsoft Copilot



Haben Sie eine Richtlinie zum Einsatz von Microsoft Copilot? Falls nicht, wird es höchste Zeit! Die KI-Verordnung verlangt klare Regeln – Verstöße können hohe Geldbußen nach sich ziehen.


Wir unterstützen Sie gerne! Unsere Vorlagen für KI-Richtlinien helfen Ihnen, schnell eine rechtskonforme und unternehmensspezifische Regelung zu erstellen.


Die Richtlinien-Vorlagen können Sie jetzt in der Richtlinienmanufaktur bequem online kaufen und downloaden.

Gerne beraten und begleiten wir Sie bei der Umsetzung. Melden Sie sich bei uns!



Zur Richtlinienmanufaktur

Microsoft Copilot und der Datenschutz


Der unkontrollierte Einsatz von Copilot kann zu mehreren Datenschutzverletzungen führen:


  • Verletzung der Vertraulichkeit – Wenn interne oder personenbezogene Daten unbeabsichtigt in das KI-Training einfließen.

  • Verletzung der Integrität – Falls Copilot falsche oder unsichere Inhalte generiert und diese ungeprüft übernommen werden.

  • Verletzung der Verfügbarkeit – Falls Inhalte durch Copilot verändert oder ersetzt werden und Originaldaten nicht mehr abrufbar sind.

  • Schutzverletzung Verlust personenbezogener Daten – die Kontrolle ist wie oben schon beschrieben verloren gegangen.



Hinzu kommt:


  • Unternehmen haften für Datenschutzverletzungen – auch, wenn sie durch KI-Nutzung entstehen.

  • Falls personenbezogene Daten verarbeitet werden, kann eine Meldepflicht nach Art. 33 DSGVO bestehen. Ob sie tatsächlich vorliegt, muss im Einzelfall geprüft werden.

  • Die Grenze zwischen interner Verarbeitung und ungewollter Veröffentlichung ist allerdings nicht mehr vorhanden.




10 Tipps für den sicheren Einsatz von Microsoft Copilot


Damit Copilot nicht der Pilot wird, der den Datenschutz zum Absturz bringt, sollten Unternehmen folgende Tipps umsetzen.


Tipp Nr. 1: Prüfen, welche Copilot-Version verwendet wird


Die Enterprise-Variante speichert keine Daten im KI-Training, V3.5 hingegen schon.

Tipp Nr. 2: Vertrauliche und personenbezogene Daten nicht in Copilot verarbeiten


Keine sensiblen Inhalte mit der KI teilen.

Tipp Nr. 3: Nutzung von Copilot regeln


Vorgaben erstellen und ausrollen, in welchen Bereichen Copilot verwendet werden darf und in welchen nicht.

Tipp Nr. 4: Mitarbeitende sensibilisieren


Aufklären, welche Inhalte sicher verarbeitet werden können und welche nicht.


Tipp Nr. 5: KI-generierte Inhalte stets überprüfen


Die KI kann fehlerhafte oder riskante Vorschläge machen.

Tipp Nr. 6: Datenschutz-Folgenabschätzung (DSFA) durchführen


Ist Copilot ein Risiko für die Einhaltung der DSGVO?

Tipp Nr. 7: Verträge mit Microsoft prüfen


Welche Datenschutzgarantien bietet Microsoft für Copilot-Nutzer?

Tipp Nr. 8: Technische Einschränkungen setzen


Copilot für bestimmte Anwendungen oder Gruppen deaktivieren, falls nötig.

Tipp Nr. 9: Regelmäßige Sicherheitsüberprüfungen durchführen


Evaluieren, ob sich die Nutzung von Copilot mit den Datenschutz- und Sicherheitszielen des Unternehmens deckt.

Tipp Nr. 10: Verbindliche Vorgaben


Verbindliche Vorgaben für den sicheren Umgang mit Copilot prüfen, aktuell halten oder jetzt erstellen!






Und hier der absolut heiße Tipp des Tages


Copilot ist auf dem Rechner. Beim Einsatz in Word, Excel, Power Point und Outlook können Sie ihn aktivieren und deaktivieren.


  1. Öffnen Sie die Anwendung – also Word, Excel, PowerPoint oder Outlook

  2. Klicken Sie auf „Datei“ oben Links im Menü

  3. Wählen Sie „Optionen“ am unteren Rand des Menüs

  4. Navigieren Sie zum Abschnitt „Copilot“ in den Optionen

  5. Deaktivieren oder aktivieren Sie das Kontrollkästchen „Copilot aktivieren“, je nach Wunsch

  6. Klicken Sie auf „OK“ und starten Sie die Anwendung neu, um die Änderungen zu übernehmen

  7. Diese Einstellung gilt nur für die jeweilige Anwendung auf dem aktuellen Gerät. Wenn Sie Copilot in mehreren Anwendungen oder auf mehreren Geräten deaktivieren möchten, müssen Sie diesen Vorgang entsprechend wiederholen.



Alternative: Copilot entfernen


Sie möchten den Copilot aus dem Menüband entfernen? Kein Problem – mit der entsprechenden Anleitung. Wenden Sie sich gerne an Team  Datenschutz oder greifen Sie auf unsere Richtlinien und Prozessanweisungen zum Copilot zurück.

Wir unterstützen Sie gerne!


Kernfragen zu Microsoft Copilot


Bevor Sie KI in Ihrem Unternehmen nutzen, sollten Sie sich diese zentralen Fragen stellen.



  1. Nutzen Sie Copilot sicher – oder könnte Ihre KI Sie unbeabsichtigt verraten?

  2. Sind alle Nutzenden angemessen geschult?

  3. Sind die Regeln für den Einsatz von Copilot per Richtlinie definiert?


Wenn ja: Dann sollten Sie die Richtlinie kennenlernen, prüfen und gegebenenfalls ergänzen.


Wenn nein: Dann haben wir Vorlagen für verbindliche Dokumente wie Richtlinien, Arbeitsanweisungen, Prozessanweisungen und mehr – wir unterstützen Sie bei der Einrichtung und Umsetzung.






Hochwertige Richtlinien für  Microsoft Copilot


In der Richtlinienmanufaktur bieten wir Ihnen professionelle Vorlagen für Richtlinien, Arbeitsanweisungen und Prozesse, die Sie sofort nutzen oder individuell anpassen können. Auf Wunsch unterstützen wir Sie gerne bei der Umsetzung.


Zur Richtlinienmanufaktur



Fazit zu Copilot V3.5 in Microsoft 365

Copilot ist eine enorme Erleichterung – wenn die Risiken unter Kontrolle sind. Wer unbedacht startet, riskiert, dass geschäftskritische oder personenbezogene Daten unkontrolliert gespeichert und verarbeitet werden.
Besser vorher prüfen, als später böse überrascht werden!

Bei Datenschutz-Fragen Team Datenschutz fragen.


Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

15. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 14. Dezember 2025
Dieses Türchen verbindet Alltag, Risiko und Weihnachtszauber und zeigt, warum Datenschutz in Behörden nicht nur Pflicht ist – sondern Menschenschutz.

14. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 13. Dezember 2025
Das heutige Adventskalender-Türchen ist für alle, die wissen wollen, wie Datenschutz auch auf vier Rädern funktioniert.

13. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 12. Dezember 2025
In dieser warm erzählten Adventsgeschichte zeigt ein Fuhrparkleiter, wie man mit Ruhe, Respekt und Know-how eine stille Datenpanne verhindert und gleichzeitig das gesamte Unternehmen verbessert.

12. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 11. Dezember 2025
VPN, Verschlüsselung und richtige Reihenfolge entscheiden, ob ein Angreifer nur bunte Datenpakete sieht oder ob ein echtes Risiko entsteht.

11. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 10. Dezember 2025
Nicht jeder Held trägt einen Umhang. Diese Geschichte erzählt von einem Kollegen, der mehr Sicherheit schafft als jede technische Maßnahme.

10. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 9. Dezember 2025
Was tun, wenn ein externer Partner einen Datenschutzfehler verursacht? Ein spannendes Türchen über Krisenkompetenz, Vertrauen und echtes Projekt-Leadership.

9. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 8. Dezember 2025
Wie gewinnt man Kunden, wenn Budgets wie dünne Eiszapfen wirken? Indem man zeigt, dass Datenschutz nicht nur Ressourcen kostet, sondern sich auszahlen kann.

8. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 7. Dezember 2025
Das 8. Türchen zeigt humorvoll, wie ein unscheinbarer Router zum Risiko wird und wie ein IT-Kollege mit viel Fachkenntnis (und etwas Übermut) eine kritische Situation sichtbar macht.

7. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 6. Dezember 2025
Was passiert, wenn ein Team erkennt, dass ein Kollege unterzugehen droht? In dieser warmen Adventsgeschichte wird aus Stress eine stille, liebevolle Rettungsaktion.
Mehr anzeigen