Microsoft Copilot lässt sich DSGVO-konform betreiben – aber nur, wenn Unternehmen vorab sieben konkrete Maßnahmen abschließen. Ohne diese Vorbereitungen öffnet Copilot Zugang zu Daten, die eigentlich geschützt sein sollten: falsch vergebene SharePoint-Berechtigungen, fehlende Betriebsvereinbarungen und eine Flex-Routing-Einstellung, die KI-Berechnungen außerhalb der EU ausführt. Der Hessische Beauftragte für Datenschutz bestätigte im November 2025 offiziell, dass Microsoft 365 datenschutzkonform genutzt werden kann – unter der Voraussetzung, dass Unternehmen die richtigen technischen und organisatorischen Maßnahmen umsetzen. Diese Checkliste zeigt, welche sieben Schritte vor dem ersten produktiven Copilot-Einsatz erledigt sein müssen. AURUM GmbH begleitet Mittelstandsunternehmen in Nürnberg und bundesweit bei genau dieser Vorbereitung.
Ist Microsoft Copilot überhaupt DSGVO-konform?
Microsoft Copilot kann DSGVO-konform eingesetzt werden – aber es kommt auf die Konfiguration an. Seit März 2024 ist Copilot Teil von Microsofts EU-Datenboundary-Verpflichtungen: Prompts, Antworten und über Microsoft Graph abgerufene Daten werden innerhalb der EU gespeichert und verarbeitet. Kundendaten werden nicht zum Training der Sprachmodelle genutzt. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) bestätigte im November 2025, dass Microsoft 365 datenschutzkonform nutzbar ist – sofern Unternehmen die erforderlichen Konfigurationen vornehmen.
Zwei Einschränkungen verlangen besondere Aufmerksamkeit: Seit Januar 2026 nutzt Microsoft für bestimmte Copilot-Funktionen Anthropic-Modelle als Subprozessor. Diese fallen außerhalb der EU-Datenboundary-Zusagen. Zusätzlich ermöglicht die Flex-Routing-Funktion, dass KI-Berechnungen bei Lastspitzen in die USA, Kanada oder Australien ausgelagert werden – für neue EU-Tenants war Flex Routing ab dem 25. März 2026 standardmäßig aktiv. Beides muss vor dem Rollout aktiv adressiert werden.
Die 7-Punkte-Checkliste: DSGVO-konformer Microsoft Copilot-Einsatz
Punkt 1: SharePoint-Berechtigungen bereinigen
Copilot greift auf alle Inhalte zu, für die ein Nutzer berechtigt ist – einschließlich SharePoint-Seiten mit historischen „Alle außer externen Benutzern“-Freigaben. Berechtigungen, die vor Jahren großzügig vergeben wurden, werden durch Copilot sichtbar: Der KI-Assistent findet und zitiert Dokumente, die niemand mehr aktiv teilen wollte. Nutzen Sie die Data Access Governance-Berichte in SharePoint Advanced Management (im Copilot-Lizenzpaket enthalten), um Überberechtigungen zu identifizieren. Aktivieren Sie anschließend Restricted Content Discovery für sensible Sites, damit diese nicht in Copilot-Antworten auftauchen.
Punkt 2: Flex Routing prüfen und deaktivieren
Flex Routing erlaubt Microsoft, Copilot-KI-Berechnungen bei Lastspitzen in Rechenzentren außerhalb der EU auszuführen. Das qualifiziert rechtlich als Drittlandübermittlung nach Art. 44 DSGVO. Microsoft beruft sich auf den EU-US Data Privacy Framework und Standardvertragsklauseln – für regulierte Branchen wie Steuerberatung, Gesundheitswesen oder Finanzdienstleistungen kann das nicht ausreichen. Deaktivieren Sie Flex Routing im Microsoft 365 Admin Center: Einstellungen → Copilot → Alle anzeigen → Flex Routing bei Lastspitzen → „Kein Flex Routing zulassen“. Dokumentieren Sie diese Entscheidung schriftlich für Ihren Datenschutzbeauftragten.
Punkt 3: Betriebsvereinbarung vor dem Rollout abschließen
Unternehmen mit Betriebsrat müssen vor dem Copilot-Einsatz eine Betriebsvereinbarung abschließen – ohne Ausnahme. §87 Abs. 1 Nr. 6 BetrVG greift, sobald ein technisches System objektiv geeignet ist, das Verhalten oder die Leistung von Mitarbeitern zu überwachen. Copilot-Funktionen wie Meeting Intelligence, E-Mail-Coaching und die Protokollierung im Copilot Control System erfüllen dieses Kriterium. §90 Abs. 1 Nr. 3 BetrVG verpflichtet den Arbeitgeber zudem, den Betriebsrat bereits in der Planungsphase einzubeziehen. Eine bestehende M365-Betriebsvereinbarung deckt Copilot in der Regel nicht automatisch ab und muss ergänzt werden.
Punkt 4: Datenschutz-Folgenabschätzung durchführen
Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist für den Copilot-Einsatz obligatorisch. Copilot verarbeitet kombiniert E-Mails, Kalender, Chats und Dokumente eines Nutzers – diese Kombination personenbezogener Daten führt bei einer Schwellenwertanalyse fast immer zur DSFA-Pflicht. Microsoft stellt seit November 2025 ein DSGVO-Dokumentationskit mit DSFA-Templates bereit. Beziehen Sie Ihren Datenschutzbeauftragten frühzeitig ein und dokumentieren Sie das Ergebnis der Schwellenwertanalyse, bevor Sie Lizenzen zuweisen.
Punkt 5: Microsoft Purview konfigurieren
Microsoft Purview ist das zentrale Steuerungswerkzeug für datenschutzkonforme Copilot-Nutzung. Zwei Maßnahmen müssen vor dem Rollout umgesetzt werden: Erstens, richten Sie Vertraulichkeitsbezeichnungen (Sensitivity Labels) für alle sensiblen Dokumentklassen ein. Copilot kann nur auf Dokumente zugreifen, für die ein Nutzer Lese- und Extrahierungsrechte besitzt – Labels steuern genau das. Zweitens, aktivieren Sie DLP-Richtlinien für Copilot: Dokumente mit bestimmten Labels werden aus Copilot-Antworten ausgeschlossen. Der Einstieg erfolgt im Purview-Portal unter Datensicherheitsstatusmanagement → „Verhindern von Datenlecks in Microsoft 365 Copilot“. In unseren M365-Projekten dauert eine vollständige Purview-Grundkonfiguration – inklusive Sensitivity Label-Taxonomie, DLP-Richtlinien und initialem Test-Rollout – typischerweise 2 bis 3 Arbeitstage.
Punkt 6: EU AI Act – Mitarbeiterschulung dokumentieren
Art. 4 der EU-KI-Verordnung ist seit dem 2. Februar 2025 in Kraft: Unternehmen müssen sicherstellen, dass Mitarbeiter über ausreichende KI-Kompetenz verfügen. Für den Copilot-Einsatz bedeutet das Schulungen zu effektiver Prompt-Formulierung, zum Verständnis der verarbeiteten Daten und zur Einschätzung, wann KI-Ausgaben manuell geprüft werden müssen. Dokumentieren Sie diese Schulungen. Nutzen Sie Copilot in risikoreichen Bereichen wie HR-Entscheidungen oder Finanzanalysen, gelten ab dem 2. August 2026 zusätzliche Hochrisiko-Anforderungen mit Pflicht zu Dokumentation und Monitoring.
Punkt 7: AVV prüfen und Datenschutzhinweise aktualisieren
Microsofts Data Protection Addendum (DPA) fungiert als Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und umfasst Copilot. Prüfen Sie, ob Ihre aktuell abgeschlossene Version die Copilot-spezifischen Verarbeitungstätigkeiten abdeckt. Aktualisieren Sie außerdem die Datenschutzhinweise gegenüber Mitarbeitern nach Art. 13/14 DSGVO: Welche Daten verarbeitet Copilot, auf welcher Rechtsgrundlage, wie lange werden Copilot-Interaktionen gespeichert? Microsoft speichert Copilot-Interaktionsdaten als Audit-Records in Purview – konfigurieren Sie die Retention aktiv entsprechend Ihrer Löschfristen.
Typische Fehler: Was Unternehmen bei der Copilot-Einführung falsch machen
Der häufigste Fehler ist die umgekehrte Reihenfolge: Lizenzen kaufen, Copilot aktivieren – und danach erst die Compliance-Fragen klären. Das erzeugt sofortigen Handlungsbedarf: Flex Routing muss nachträglich deaktiviert werden, Betriebsräte müssen informiert und unter Zeitdruck in Verhandlungen eingebunden werden, und eine DSFA wird im laufenden Betrieb nachgeholt. Wir erleben regelmäßig, dass Unternehmen Copilot bereits im Einsatz haben, wenn wir mit einer Compliance-Überprüfung beginnen: Lizenzen laufen, erste Nutzer testen – aber Flex Routing wurde nie geprüft, eine DSFA fehlt, und der Betriebsrat wurde nicht eingebunden.
Zweithäufigster Fehler: Sensitivity Labels existieren gar nicht oder sind nicht konsistent über alle Dokumentklassen vergeben. Copilot erbt die Labeling-Struktur, die Sie haben – oder hat keine. Ohne Labels greift Copilot auch auf Dokumente zu, die nur bestimmten Gruppen zugänglich sein sollten.
Dritter Fehler: Governance-Altlasten in SharePoint. „Alle außer externen Benutzern“-Freigaben aus 2018–2022 tauchen durch Copilot plötzlich als Wissensquellen auf. Ohne den Data Access Governance-Bericht weiß die Mehrheit der Unternehmen nicht, wie viele solcher Altlasten existieren. Unser Leitfaden zur Microsoft Copilot-Einführung im Mittelstand beschreibt den anschließenden Rollout-Prozess im Detail.
Was AURUM für Sie übernimmt
AURUM GmbH begleitet Mittelstandsunternehmen in Nürnberg und bundesweit durch alle sieben Schritte dieser Checkliste. Als Microsoft Gold Partner mit ausgewiesener Expertise in Cloud Security und IAM & Active Directory übernehmen wir die technische Vorarbeit, die über Erfolg oder Misserfolg einer Copilot-Einführung entscheidet: SharePoint-Berechtigungsanalyse per Data Access Governance, Flex-Routing-Konfiguration, Purview-Setup mit Sensitivity Labels und DLP-Richtlinien sowie Unterstützung bei DSFA-Dokumentation und Betriebsvereinbarung.
Unsere technische Basis: langjährige Erfahrung aus M365-Rollouts, IAM-Projekten und Cloud Security-Engagements. SharePoint Advanced Management, Purview und Entra ID – die gleichen Werkzeuge, die einen DSGVO-konformen Copilot-Betrieb ermöglichen – konfigurieren wir täglich in Kundenprojekten.
Unser Einstieg ist ein halbtägiger Copilot Readiness Check: Wir zeigen Ihnen, wo Sie aktuell stehen – welche Berechtigungen bereinigt werden müssen, ob Flex Routing aktiv ist und was an Purview-Konfiguration fehlt. Danach wissen Sie genau, was vor dem Rollout noch zu tun ist.
Häufige Fragen zu Microsoft Copilot und DSGVO
Ist Microsoft Copilot standardmäßig DSGVO-konform?
Nicht ohne aktive Konfiguration. Microsoft garantiert EU-Datenspeicherung und kein Modelltraining mit Kundendaten. Aber Flex Routing – das KI-Berechnungen bei Lastspitzen außerhalb der EU erlaubt – war seit März 2026 für neue EU-Tenants standardmäßig aktiv und muss bewusst deaktiviert werden. Zusätzlich sind SharePoint-Berechtigungsbereinigung, Purview-Konfiguration und eine unternehmenseigene DSFA erforderlich.
Brauchen wir eine Betriebsvereinbarung für Microsoft Copilot?
Ja, wenn Sie einen Betriebsrat haben. §87 Abs. 1 Nr. 6 BetrVG greift, weil Copilot objektiv geeignet ist, das Verhalten und die Leistung von Mitarbeitern zu überwachen – etwa über Meeting Intelligence, E-Mail-Coaching und die Protokollierungsfunktionen. Eine bestehende M365-Betriebsvereinbarung schließt Copilot in der Regel nicht ein und muss ergänzt werden.
Was ist Flex Routing und warum ist es für den Datenschutz relevant?
Flex Routing erlaubt Microsoft, Copilot-KI-Berechnungen bei Lastspitzen in Rechenzentren außerhalb der EU auszuführen – unter anderem in den USA, Kanada oder Australien. Das gilt rechtlich als Drittlandübermittlung nach DSGVO Art. 44. Für neue EU-Tenants war es ab dem 25. März 2026 standardmäßig aktiv. Deaktivieren: M365 Admin Center → Copilot → Alle anzeigen → Flex Routing → „Kein Flex Routing zulassen“.
Weitere häufige Fragen zu Microsoft Copilot und DSGVO
Ist eine Datenschutz-Folgenabschätzung für Copilot wirklich Pflicht?
Ja. Copilot verarbeitet kombiniert E-Mails, Kalendereinträge, Chats und Dokumente – eine Kombination, die bei der Schwellenwertanalyse nach Art. 35 DSGVO fast immer zur DSFA-Pflicht führt. Microsoft stellt seit November 2025 ein Dokumentationskit mit DSFA-Templates bereit. Beziehen Sie Ihren Datenschutzbeauftragten frühzeitig ein und dokumentieren Sie das Ergebnis der Schwellenwertanalyse.
Was ändert sich durch den EU AI Act für Unternehmen, die Copilot nutzen?
Art. 4 der EU-KI-Verordnung – die Pflicht zur KI-Kompetenz der Mitarbeiter – ist seit dem 2. Februar 2025 in Kraft und muss dokumentiert sein. Ab dem 2. August 2026 gelten Hochrisiko-Anforderungen, wenn Copilot in HR-Prozessen, Finanzanalysen oder ähnlich sensiblen Bereichen eingesetzt wird: Pflicht zu Risikobewertung, Dokumentation, Monitoring und Protokollierung.
Fazit: DSGVO und Copilot – machbar mit der richtigen Vorbereitung
Microsoft Copilot ist kein Datenschutzrisiko, wenn Ihr Unternehmen die Vorarbeit leistet. Die sieben Schritte dieser Checkliste – von der SharePoint-Bereinigung über die Betriebsvereinbarung bis zur DSFA – schaffen die notwendige Grundlage. Wer jetzt handelt, hat Copilot bis Ende 2026 produktiv im Einsatz: DSGVO-konform, mit nachgewiesener Compliance-Dokumentation und ohne Nachbesserungen unter Zeitdruck.
