Microsoft 365 Copilot DSGVO-Compliance für deutsche Unternehmen
tools

Microsoft 365 Copilot DSGVO? AVV, Betriebsrat & Checkliste

Microsoft 365 Copilot ist DSGVO-konform für deutsche Unternehmen einsetzbar — vorausgesetzt, Sie aktivieren die EU Data Boundary für Ihren Microsoft-365-Tenant, prüfen den Auftragsverarbeitungsvertrag (AVV) mit Microsoft auf Vollständigkeit gemäß Art. 28 DSGVO und schließen vor dem Rollout eine Betriebsvereinbarung nach § 87 BetrVG ab. Ohne diese Maßnahmen entsteht bei der KI-gestützten Verarbeitung von E-Mails, Dokumenten und Chats ein erhebliches Haftungsrisiko. Weitere von Compound Law bewertete KI-Tools finden Sie in unserer Übersicht.

Ist Microsoft 365 Copilot DSGVO-konform?

Ja — mit Bedingungen. Microsoft handelt als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO, wenn Copilot Ihre Microsoft-365-Inhalte verarbeitet. Als Verantwortliche sind Sie verpflichtet:

  • Den bestehenden Microsoft Online Services Data Processing Addendum (AVV) auf Copilot-spezifische Klauseln zu prüfen
  • Die EU Data Boundary für Ihren Tenant zu aktivieren, um Datenverarbeitung innerhalb des EWR sicherzustellen
  • Die Unterauftragsverarbeiterliste von Microsoft zu prüfen, bevor Sie neue Copilot-Funktionen aktivieren
  • Eine geeignete Rechtsgrundlage — in der Regel Art. 6 Abs. 1 lit. b oder lit. f DSGVO — für die KI-gestützte Verarbeitung festzulegen

Microsoft verarbeitet keine Kundendaten zum Training seiner KI-Modelle. Die EU Data Boundary hält primäre Verarbeitungsvorgänge innerhalb Europas — für jeden Copilot-Anwendungsfall sollten Sie jedoch separat prüfen, welche Daten in welchen Rechenzentren verarbeitet werden.

Microsoft 365 Copilot AVV und Datenresidenz

Das Microsoft Online Services Data Processing Addendum deckt Microsoft 365 Copilot ab und enthält die erforderlichen Klauseln gemäß Art. 28 DSGVO sowie die EU-Standardvertragsklauseln (SCCs) für etwaige Drittlandübermittlungen.

Wichtige Prüfpunkte für Ihren AVV:

  • Ist die EU Data Boundary explizit für Ihren Tenant konfiguriert?
  • Welche Copilot-Szenarien (Semantic Index, Connected Experiences) unterliegen ggf. separaten Datenverarbeitungsregeln?
  • Sind Ihre internen Berechtigungsstrukturen so gesetzt, dass Copilot nicht auf übermäßig geteilte Dokumente zugreift?

Copilot respektiert vorhandene Microsoft-365-Berechtigungen vollständig. Das bedeutet: bestehende Over-Sharing-Probleme in SharePoint oder Teams werden durch Copilot sichtbar — aber nicht automatisch behoben. Ein Berechtigungsaudit vor dem Rollout ist daher empfehlenswert.

Betriebsratsanforderungen bei der Copilot-Einführung

Dies ist der kritischste Compliance-Schritt für deutsche Unternehmen. Microsoft 365 Copilot verändert grundlegend, wie Mitarbeitende mit Office-Anwendungen arbeiten, und unterliegt dem Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG (technische Einrichtungen zur Verhaltens- oder Leistungsüberwachung).

Mitbestimmungspflichtige Copilot-Funktionen:

  • Meeting Intelligence (Teams): automatische Zusammenfassungen und Transkripte von Meetings
  • Email Coaching (Outlook): Analyse von Kommunikationsmustern und Tonalität
  • Productivity Scores: Nutzungsanalysen auf Mitarbeiterebene
  • Document Co-Creation (Word/PowerPoint): Sichtbarkeit individueller Beiträge

Ohne eine Betriebsvereinbarung vor dem Rollout riskieren Sie eine Unterlassungsverfügung des Betriebsrats. Microsoft stellt Admin-Kontrollen bereit, mit denen Sie einzelne Funktionen deaktivieren oder einschränken können — nutzen Sie diese, um einen Interessenausgleich zu erzielen. Die rechtlichen Anforderungen für KI-basierte Mitarbeiterüberwachung erläutert unsere Seite zur KI-Mitarbeiterüberwachung Compliance.

AI Act: Betreiberpflichten für Microsoft 365 Copilot

Microsoft erfüllt als GPAI-Anbieter die Anforderungen der EU-KI-Verordnung (EU) 2024/1689. Als Unternehmen, das Copilot einsetzt, übernehmen Sie Betreiberpflichten, deren Umfang vom konkreten Anwendungsfall abhängt:

AnwendungsfallRisikoklasseIhre Pflichten
Allgemeine BürokommunikationMinimalNutzungsrichtlinie, Mitarbeitertransparenz
HR-EntscheidungsunterstützungHochKonformitätsbewertung, Aufsicht, Dokumentation
Kundenberatung (regulierte Branchen)HochKonformitätsbewertung, Human-in-the-Loop
Vertragsanalyse (intern)BegrenztRisikoabwägung, Dokumentation

Für Professional-Services-Unternehmen und HR- und Recruiting-Compliance sind die Hochrisiko-Anwendungsfälle besonders relevant. Weitere Anforderungen für spezifische KI-Einsatzbereiche erläutert unsere Seite zur KI-Planungsoptimierung Compliance.

Compliance-Checkliste: Microsoft 365 Copilot in Deutschland

  1. EU Data Boundary aktivieren — Verifizieren, dass Ihr Tenant auf EU-Rechenzentren beschränkt ist
  2. AVV prüfen — Microsoft Online Services Data Processing Addendum auf Copilot-Abdeckung und aktuelle SCCs prüfen
  3. Berechtigungsaudit durchführen — SharePoint, Teams und Exchange auf Over-Sharing prüfen, bevor Copilot ausgerollt wird
  4. Betriebsrat einbeziehen — Betriebsvereinbarung nach § 87 BetrVG vor dem Rollout verhandeln; Admin-Kontrollen zur Adressierung spezifischer Bedenken nutzen
  5. Anwendungsfälle bewerten — Hochrisiko-Szenarien (HR, Kundenbewertung) identifizieren und AI-Act-Pflichten dokumentieren
  6. Datenschutz-Folgenabschätzung (DSFA) — Bei systematischer Verarbeitung sensibler Mitarbeiterdaten nach Art. 35 DSGVO erforderlich
  7. Nutzungsrichtlinie einführen — Mitarbeitende über Copilot-Funktionen, Nutzungsgrenzen und Datenverarbeitung informieren

Häufig gestellte Fragen

Ist Microsoft 365 Copilot dasselbe wie ChatGPT?

Nein. Copilot ist direkt in Ihre Microsoft-365-Daten integriert — es greift auf Ihre E-Mails, Dokumente, Meetings und Kalender zu, auf die Sie Zugriff haben. Das macht es leistungsstärker als externe KI-Tools, bedeutet aber gleichzeitig, dass Daten-Governance und Berechtigungsstrukturen entscheidend sind.

Trainiert Microsoft Copilot mit unseren Unternehmensdaten?

Nein. Microsoft verwendet Ihre Microsoft-365-Kundendaten nicht zum Training seiner Foundation-Modelle. Dies ist im Data Processing Addendum ausdrücklich ausgeschlossen.

Was gilt für den Betriebsrat bei der Copilot-Einführung?

Copilot unterliegt dem Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG, da es eine technische Einrichtung zur Verhaltens- und Leistungsverfolgung darstellt. Eine Betriebsvereinbarung ist vor dem Rollout obligatorisch — nicht optional.

Müssen wir eine DSFA für Microsoft 365 Copilot durchführen?

In den meisten Fällen ja, wenn Copilot Mitarbeiterdaten systematisch verarbeitet oder wenn besondere Kategorien (Art. 9 DSGVO) betroffen sind. Wir empfehlen eine DSFA auch für große Rollouts in Unternehmen mit mehr als 250 Mitarbeitenden.

Wie hilft Compound Law bei der Copilot-Einführung?

Wir unterstützen bei der Microsoft 365 Copilot Deployment-Bewertung, Betriebsratsverhandlungen für den Copilot-Rollout, der Erstellung von Betriebsvereinbarungen, der Admin-Konfigurationsberatung sowie der laufenden DSGVO- und AI-Act-Compliance.

Weitere Tool-Guides

Claude ZDR Zero Data Retention Leitfaden fuer Anthropic API und Claude Code Enterprise
tools

Claude ZDR: Zero Data Retention fuer Enterprise und Claude Code

Claude ZDR gilt nur auf qualifizierten Anthropic-API- und Claude-Code-Enterprise-Pfaden. Erfahren Sie Scope, Ausschluesse, Retention-Ausnahmen und AVV-Bezug.

DeepL AVV und DSGVO Freigabeleitfaden fuer Unternehmen
tools

DeepL AVV und DSGVO in Deutschland: Freigabeleitfaden

DeepL ist in Deutschland meist nur mit bezahltem Business-Tarif, AVV und dokumentierter Funktionspruefung freigabefaehig. DeepL Free ist nicht freigegeben.

DeepSeek DSGVO-Analyse fuer deutsche Unternehmen
tools

DeepSeek DSGVO-konform? Was deutsche Unternehmen wissen müssen

Hosted DeepSeek bleibt fuer deutsche Unternehmen datenschutz- und beschaffungsrechtlich riskant. Self-Hosting auf EU-Infrastruktur ist gesondert zu bewerten.

Cursor AVV und DSGVO-Prüfung für Teams in Deutschland
tools

Cursor AVV 2026: Wo Sie ihn finden und was er regelt

Der Cursor-AVV steht unter cursor.com/terms/dpa. Für deutsche Teams braucht es trotzdem den richtigen Tarif, Privacy Mode und eine Transferprüfung.

Zapier DSGVO 2026 — AVV, Art. 28, SCCs und EU-Datentransfer fuer deutsche Unternehmen
tools

Zapier DSGVO 2026: AVV, Art. 28 & EU-Datentransfer aktuell

Ist Zapier DSGVO-konform? AVV nach Art. 28, SCCs, EU-Datenhaltung und Datentransfer 2026 — aktueller Compliance-Leitfaden fuer Deutschland.

Claude Code DSGVO-Konformität — AVV, Datenspeicherung und EU-Hosting
tools

Ist Claude Code DSGVO-konform? AVV, Datenspeicherung und Hosting

Claude Code ist per Anthropic-API-AVV DSGVO-konform. AVV, Datenspeicherung, Zero Data Retention, EU-Hosting und Compliance-Checkliste für Unternehmen.

Tool Library

Mehr KI-Tools nach Thema durchsuchen

Vergleichen Sie weitere Tools, Datenschutzfragen und Einsatzszenarien in unserer vollständigen KI-Tool-Bibliothek.

Alle KI-Tools ansehen

Häufige Fragen

Nein. Copilot ist direkt in Ihre Microsoft-365-Daten integriert — es greift auf Ihre E-Mails, Dokumente, Meetings und Kalender zu, auf die Sie Zugriff haben. Das macht es leistungsstärker als externe KI-Tools, bedeutet aber gleichzeitig, dass Daten-Governance und Berechtigungsstrukturen entscheidend sind.

Nein. Microsoft verwendet Ihre Microsoft-365-Kundendaten nicht zum Training seiner Foundation-Modelle. Dies ist im Data Processing Addendum ausdrücklich ausgeschlossen.

Copilot unterliegt dem Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG, da es eine technische Einrichtung zur Verhaltens- und Leistungsverfolgung darstellt. Eine Betriebsvereinbarung ist vor dem Rollout obligatorisch — nicht optional.

In den meisten Fällen ja, wenn Copilot Mitarbeiterdaten systematisch verarbeitet oder wenn besondere Kategorien (Art. 9 DSGVO) betroffen sind. Wir empfehlen eine DSFA auch für große Rollouts in Unternehmen mit mehr als 250 Mitarbeitenden.

Wir unterstützen bei der Microsoft 365 Copilot Deployment-Bewertung, Betriebsratsverhandlungen für den Copilot-Rollout, der Erstellung von Betriebsvereinbarungen, der Admin-Konfigurationsberatung sowie der laufenden DSGVO- und AI-Act-Compliance.

Kostenlos beraten