Microsoft Copilot ist eine auf künstlicher Intelligenz (KI) basierende Funktion, die in verschiedene Produkte des Unternehmens integriert ist und die Benutzer durch die Automatisierung von Aufgaben bei ihrer Arbeit unterstützen soll. Microsoft selbst beschreibt Copilot als digitalen Assistenten, der Routineaufgaben wie das Erstellen von Berichten, das Zusammenfassen von Dokumenten, das Schreiben von E-Mails oder das Analysieren von Daten automatisiert übernehmen und kontextbezogene Vorschläge machen kann. Für Unternehmen ist der Einsatz von Copilot interessant, weil sich repetitive Tätigkeiten, die auf erprobtem Wissen basieren, durch KI leicht automatisieren lassen. Doch so verlockend der Einsatz von KI im Hinblick auf mögliche Zeiteinsparungen sein mag, es gibt auch rechtliche Herausforderungen in den Bereichen Datenschutz, Cybersicherheit und Schutz des geistigen Eigentums.
Datenschutzcompliance als Gretchenfrage
Für die Beurteilung der datenschutzrechtlichen Herausforderungen ist es zunächst wichtig, zwischen den verschiedenen Varianten von Copilot zu unterscheiden. Beim kostenpflichtigen B2B-Abonnement von Copilot für Microsoft 365 wird der Schutz personenbezogener Daten durch das Microsoft Data Protection Addendum (kurz: DPA) und die Product Terms des Unternehmens geregelt. Die drei darin enthaltenen und im Zusammenhang mit KI besonders wichtigen Kernversprechen sind, dass die verwendeten Daten nicht in das Training der KI einfließen und Chatprotokolle weder gespeichert noch eingesehen werden können. Für Nutzer aus der Europäischen Union werden darüber hinaus zusätzliche Sicherheitsvorkehrungen angeboten. Microsoft verpflichtet sich etwa zu seinem EU-Boundary-Programm und der Verarbeitung von personenbezogenen Daten in der EU.
Im Gegensatz zur Verbrauchervariante erfolgt die Datenverarbeitung bei der Nutzung von Copilot für Microsoft 365 im Wege der Auftragsverarbeitung. Das Microsoft DPA fungiert insoweit als Auftragsverarbeitungsvertrag. Nachdem das DPA in der Vergangenheit mehrfach von den Datenschutzaufsichtsbehörden kritisiert worden war, ist es kontinuierlich angepasst worden, um einen datenschutzkonformen Einsatz zu gewährleisten. In diesem Zusammenhang teilte das Land Niedersachsen zuletzt mit, dass auf der Grundlage weiterer einzelner Nachbesserungen des DPA die datenschutzrechtlich kritischen Punkte mit dem Anbieterunternehmen geklärt und damit die Bedenken der niedersächsischen Datenschutzaufsichtsbehörde ausgeräumt werden konnten. Die erzielten Ergebnisse sollen als Blaupause für den Einsatz von Microsoft 365 durch öffentliche Stellen in Deutschland dienen. Voraussetzung für die Datenschutzkonformität – darauf weist auch die niedersächsische Datenschutzaufsichtsbehörde hin – bleibt jedoch die Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Eine DSFA ist erforderlich, wenn die Verarbeitung personenbezogener Daten, insbesondere bei Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat. Der Mindestinhalt einer DSFA umfasst eine systematische Beschreibung aller geplanten Verarbeitungsvorgänge und deren Zwecke, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die geplanten Maßnahmen zur Gewährleistung des Datenschutzes.
Auch KI-Anwendungen arbeiten nicht fehlerfrei. Falsche Informationen können schwerwiegende Nachteile für die Betroffenen haben. Die Datenschutz-Grundverordnung (DSGVO) verlangt daher grundsätzlich, dass nur sachlich richtige personenbezogene Daten verarbeitet werden dürfen. Insbesondere bei dem Tool Copilot, das dem menschlichen Nutzer kontextbezogene Vorschläge unterbreitet, ist zusätzlich das Verbot der automatisierten Einzelfallentscheidung zu beachten. Die Ergebnisse von KI-Systemen werden häufig genutzt, um vorbereitende Entscheidungsgrundlagen zu erstellen. Wird das Tool beispielsweise zur Vorsortierung von Bewerbungen eingesetzt, ist besondere Vorsicht geboten. Denn die fehlende Nachvollziehbarkeit des Entscheidungsprozesses rückt die KI-Anwendung in die Nähe eines Scoring-Systems à la SCHUFA. Nach dem SCHUFA-Urteil (EuGH, Urteil vom 07.12.2023 – C-634/21) müssen solche KI-gestützten Bewertungen mit einer menschlichen Bewertung verknüpft werden. Wenn also ein KI-gestützter Chatbot Vorschläge unterbreitet, die von Mitarbeitenden angenommen werden, müssen diese darauf achten, dass ihnen tatsächlich ein Entscheidungsspielraum verbleibt und die Entscheidung nicht maßgeblich auf der automatisierten Verarbeitung beruht.
Neue Anforderungen aus der KI-Verordnung
Nicht nur Microsoft als Anbieter von KI unterliegt einem umfangreichen Pflichtenkatalog nach der KI-Verordnung (KI-VO). Auch Unternehmen, die Copilot einsetzen, müssen sich mit den zusätzlichen Anforderungen der KI-VO auseinandersetzen. So kann der Einsatz von Copilot je nach Einsatzzweck im Unternehmen als Hochrisiko-KI eingestuft werden. Für Betreiber, das heißt nach Art. 3 Nr. 4 KI-VO „eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet“, gelten dann zusätzliche Pflichten in Bezug auf den Einsatz. Die KI-Verordnung ist bereits in Kraft getreten. Der Geltungsbeginn richtet sich jedoch nach den konkreten Pflichten und beginnt bereits im Februar 2025.
Häufig übersehen: Cybersicherheit
Die Anforderungen an die Cybersicherheit von Unternehmen ergeben sich aus verschiedenen Rechtsakten. Den Kern bilden die NIS2-Richtlinie, der geplante Cyber Resilience Act (kurz: CRA) und die KI-VO. In Bezug auf die Cybersicherheit zielen die Rechtsakte darauf ab, private und öffentliche Stellen zu mehr Cybersicherheit zu verpflichten, um das Funktionieren des Binnenmarkts zu gewährleisten. Dabei kann die NIS2-Richtlinie grob als unternehmensbezogene und der CRA sowie die KI-Verordnung als produktbezogene Verpflichtungen kategorisiert werden. Der Einsatz von Copilot birgt in diesem Zusammenhang naturgemäß ein gewisses Risiko, nicht zuletzt aufgrund der weitreichenden Vernetzung von Informationen in Unternehmen. Ausgangspunkt der Pflichten ist eine Risikobewertung, auf deren Grundlage die erforderlichen Risikomanagementmaßnahmen festzulegen sind.
Drohen Risiken beim geistigen Eigentum?
Urheber können nur Menschen sein. Ausnahmsweise kann ein KI-Output urheberrechtlichen Schutz genießen, wenn ein Mensch das KI-System lediglich als Werkzeug verwendet. Durch eine hinreichend kreative Bearbeitung des Outputs kann ein eigenständiges Werk entstehen und ein Urheberrecht „heranwachsen“. Daher ist es wichtig, bestehende Urheberrechte zu schützen. Diese können zum Beispiel durch die Eingabe von Daten in das KI-System mit der Bitte um Zusammenfassung verletzt werden, da diese Daten bei der Speicherung auf dem Server des Anbieters vervielfältigt werden. Auch urheberrechtsverletzende Trainingsdaten des KI-Systems, die sich im Output widerspiegeln, sollten nicht vervielfältigt werden. Auch der Schutz von Geschäftsgeheimnissen ist zu beachten, insbesondere vor dem Hintergrund, dass Copilot auf alle Daten wie Benutzerdokumente, E-Mails, Kalender, Chats, Besprechungen und Kontakte zugreifen kann, die in den Office-Produkten des Unternehmens gespeichert sind. In diesem Zusammenhang ist auch die Veröffentlichung des „Costumer Copyright Commitment“ durch Microsoft erwähnenswert. Danach wird das Unternehmen Geschäftskunden, die wegen der Nutzung von Copilot aufgrund einer Urheberrechtsverletzung verklagt werden, verteidigen und ihnen den aus dem Rechtsstreit entstehenden Schaden ersetzen.
Praktische Umsetzung – Den Copilot startklar machen
Unternehmen sollten sich von den bestehenden rechtlichen Herausforderungen keinesfalls abschrecken lassen und den Einsatz von Copilot nicht vorschnell verwerfen. Wer KI-Anwendungen von Microsoft einsetzen möchte, sollte sich vielmehr intensiv mit dem Einsatzszenario auseinandersetzen und mögliche Risiken im Rahmen einer KI-Strategie bewerten. Zur Berücksichtigung und Umsetzung datenschutzrechtlicher Anforderungen ist die Durchführung einer DSFA empfehlenswert und bei hohen Risiken sogar gesetzlich vorgeschrieben. Zum Schutz ihres geistigen Eigentums sollten Unternehmen im Einzelfall prüfen, ob Urheberrechtsschutz besteht, und sowohl den Einsatz von KI, die verwendeten Prompts als auch die vorgenommenen Verarbeitungen dokumentieren. In den Nutzungsrichtlinien sollte zudem klar geregelt werden, welche Daten in Copilot eingegeben werden dürfen und wie mit personenbezogenen Daten umgegangen wird.
Autor
Stefan Hessel, LL.M.
reuschlaw, Saarbrücken
Rechtsanwalt, Salary Partner, Head of Digital Business