Microsoft 365 Copilot und EU AI Act: Compliance-Leitfaden

Microsoft 365 Copilot basiert auf GPT-4 und wird als GPAI-Anwendung in Microsoft-Produkten (Word, Excel, Teams, Outlook) eingesetzt. Als Betreiber sind Sie für den Einsatz verantwortlich, während Microsoft als Anbieter die GPAI-Anforderungen erfüllen muss. Microsoft hat zugesagt, die EU AI Act-Anforderungen zu erfüllen und veröffentlicht entsprechende Dokumentation im Microsoft Trust Center. Für die Mehrheit der Standard-Office-Anwendungen ist Copilot als System mit minimalem oder begrenztem Risiko einzustufen.

Kritisch wird es bei spezifischen Einsatzszenarien: HR-Anwendungen (Copilot für Stellenausschreibungen, Bewerbungsscreening oder Leistungsbeurteilungen) können Hochrisiko-Anforderungen auslösen. Einsatz in regulierten Branchen wie Finanzdienstleistungen, Gesundheitswesen oder öffentliche Verwaltung erfordert besondere Sorgfalt. Microsoft Copilot für Security (Cybersecurity-Analyse) und spezifische Branchenlösungen müssen gesondert geprüft werden. Führen Sie für jeden Copilot-Einsatzfall eine eigenständige Risikoklassifikation durch.

Microsoft bietet für 365 Copilot einen Datenverarbeitungsvertrag (DPA) und hat EU-Datenhaltung implementiert. Wesentliche Datenschutzaspekte: Copilot greift auf Microsoft 365-Inhalte des Mandanten zu – stellen Sie sicher, dass Berechtigungskonzepte korrekt konfiguriert sind. Audit-Logs für Copilot-Aktivitäten sollten aktiviert sein. Microsoft Purview ermöglicht Datenschutz-Kontrollen speziell für Copilot-Interaktionen. Prüfen Sie, ob Microsoft als Auftragsverarbeiter oder eigenständiger Verantwortlicher agiert – dies ist je nach Dienst unterschiedlich.

Für den EU AI Act-konformen Copilot-Einsatz benötigen Sie: Schulung aller Copilot-Nutzer zu Möglichkeiten, Grenzen und Risiken, interne Richtlinie zum Copilot-Einsatz mit klaren Verboten und Erlaubnissen, Prozess für Fehlerberichte und KI-Incidents, Klare Regelung, wer KI-generierte Outputs vor Veröffentlichung prüft. Microsoft bietet Schulungsmaterialien und Copilot Lab für Mitarbeiterschulungen an. Art. 4 EU AI Act schreibt KI-Kompetenzanforderungen für Mitarbeitende vor – Copilot-Schulungen erfüllen diesen Anspruch.

Implementieren Sie eine Copilot-Governance-Struktur: Benennen Sie einen KI-Verantwortlichen für den Copilot-Einsatz, führen Sie ein Protokoll der Copilot-Einsatzfälle im Rahmen Ihres KI-Inventars, überprüfen Sie regelmäßig neue Copilot-Funktionen auf Compliance-Relevanz, richten Sie einen Feedback-Kanal für Mitarbeitende ein. Microsoft aktualisiert Copilot kontinuierlich – was heute minimal risikoreich ist, kann durch neue Features risikoreicher werden. Planen Sie quartalsweise Überprüfungen ein.