Copilot in Excel und die DSGVO. Was europäische Unternehmen wissen müssen
Wichtiger Hinweis vor dem Lesen:
Dieser Artikel bietet einen allgemeinen, praktischen Überblick und dient ausschließlich der Orientierung. Er stellt keine Rechtsberatung dar und erhebt keinen Anspruch auf Vollständigkeit. Das Datenschutzrecht ist komplex, ändert sich regelmäßig und hängt von Ihrer konkreten Situation ab. Bevor Sie Entscheidungen darüber treffen, wie Sie personenbezogene Daten verarbeiten, sollten Sie stets einen qualifizierten Datenschutzspezialisten oder Rechtsberater konsultieren. SafeOffice übernimmt keine Haftung für Entscheidungen, die auf der Grundlage dieses Artikels getroffen werden.
FAQ: Welche Fragen werden in diesem Artikel beantwortet?
Q: Bedeutet die Verwendung von Copilot in Excel, dass meine Daten an die Server von Microsoft gesendet werden?
A:Ja, wenn Sie eine Eingabeaufforderung an Copilot senden, werden sowohl Ihre Eingabe als auch alle in Ihrer Arbeitsmappe sichtbaren Daten zur Verarbeitung an die Azure-OpenAI-Infrastruktur von Microsoft übertragen. Auch wenn Microsoft diese Daten nicht speichert oder für Trainingszwecke nutzt, hat die Übertragung bereits stattgefunden. Genau diese Übertragung löst die Verpflichtungen gemäß der DSGVO aus.
Q: Entstehen durch das Speichern einer Excel-Datei in OneDrive ebenfalls Verpflichtungen gemäß der DSGVO?
A: Ja, und dies ist das Risiko, das die meisten Unternehmen übersehen. Jede Excel-Datei, die personenbezogene Daten enthält und in OneDrive gespeichert wird, macht Microsoft zu einem Auftragsverarbeiter im Sinne der DSGVO, selbst wenn Copilot nicht verwendet wird. Sie müssen über eine unterzeichnete Datenverarbeitungsvereinbarung mit Microsoft verfügen, bevor Sie dort personenbezogene Daten speichern.
Q: Unsere Microsoft-365-Daten werden auf Servern in Europa gespeichert. Sind wir im Rahmen der DSGVO vollständig geschützt?
A: Nicht ganz. Microsoft ist ein amerikanisches Unternehmen und unterliegt daher dem US-amerikanischen CLOUD Act. Dieses Gesetz ermöglicht es US-Behörden, Zugriff auf Daten zu verlangen, die sich im Besitz amerikanischer Technologieunternehmen befinden – selbst wenn diese Daten auf Servern in der EU gespeichert sind. Die Datenspeicherung in der EU verringert zwar das Risiko, sie beseitigt jedoch nicht die rechtlichen Risiken, die sich aus der US-amerikanischen Rechtshoheit des Unternehmens ergeben.
Q: Welche Arten von Excel-Daten bergen bei der Nutzung von Cloud-Funktionen das höchste DSGVO-Risiko?
A: Mitarbeitergehälter, Personalakten, Gesundheits- und Abwesenheitsdaten sowie Daten besonderer Kategorien – einschließlich Informationen über Gewerkschaftszugehörigkeit, Religion oder ethnische Herkunft – bergen das höchste Risiko und erfordern größte Sorgfalt. Im Gegensatz dazu bergen anonyme Finanzdaten und aggregierte Statistiken ohne individuelle Identifikatoren nur ein geringes oder gar kein Risiko im Sinne der DSGVO.
Q: Was muss unser Unternehmen mindestens tun, bevor es Copilot oder OneDrive für personenbezogene Daten nutzt?
A: Damit Sie auf der sicheren Seite sind, sollten Sie mindestens folgende Punkte überprüfen:
- Sie sollten sicherstellen, dass eine Datenverarbeitungsvereinbarung mit Microsoft vorliegt.
- Sie sollten Microsoft 365 in Ihr Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 aufnehmen.
- Sie sollten Ihre Datenschutzhinweise für Mitarbeiter und Kunden aktualisieren.
- Sie sollten prüfen, ob die EU-Datenspeicherung konfiguriert ist. Wenn Sie Daten besonderer Kategorien verarbeiten, konsultieren Sie vor der Nutzung von Cloud-KI-Funktionen einen qualifizierten Datenschutzberater.
Excel 365 ist eine leistungsstarke Plattform. Sobald Sie sie jedoch mit Copilot AI verbinden oder Dateien in OneDrive speichern, werden Daten übertragen. Für die meisten Arbeitsmappen ist dies völlig unproblematisch. Enthält Ihre Tabelle jedoch personenbezogene Daten, beispielsweise Mitarbeitergehälter, Kundendaten oder Gesundheitsinformationen, verlangt das europäische Datenschutzrecht, dass Sie sich einige wichtige Fragen stellen, bevor Sie auf die Copilot-Schaltfläche klicken.
In diesem Artikel erfahren Sie, was mit Ihren Daten geschieht, welche Risiken im Rahmen der DSGVO relevant sind und welche praktischen Massnahmen kleine und mittlere europäische Unternehmen ergreifen sollten.
Siehe auch: Excel 365 vs ältere Excel Versionen — Features, ROI, Vergleich und Risikoanalyse
Was passiert eigentlich, wenn Sie Copilot in Excel verwenden?
Wenn Sie in Excel eine Anfrage an Copilot senden, werden Ihre Eingabe sowie die in Ihrer Arbeitsmappe sichtbaren Daten zur Verarbeitung an die Azure-OpenAI-Infrastruktur von Microsoft übertragen. Die Antwort wird anschließend auf Ihrem Bildschirm angezeigt.
Das bedeutet, dass Ihre Daten Ihr Gerät verlassen. Sie werden an Microsoft-Server übertragen, von einem KI-Modell verarbeitet und als Antwort zurückgesendet. Selbst wenn Microsoft Ihre Daten nicht dauerhaft speichert oder zum Trainieren verwendet – wozu sich das Unternehmen in seinen Geschäftsbedingungen standardmäßig verpflichtet –, hat die Übertragung bereits stattgefunden.
Bei einer Arbeitsmappe, die Projektkosten oder anonyme Umsatzzahlen enthält, dürfte dies kaum Bedenken hervorrufen. Bei einer Arbeitsmappe, die jedoch Namen, Gehälter, Abwesenheiten oder Gesundheitsdaten enthält, sieht die Sache ganz anders aus.
OneDrive – das leicht zu übersehende Risiko
Copilot is the visible AI feature, but OneDrive is the more common data transfer risk for most businesses.
Copilot ist die sichtbare KI-Funktion, doch für die meisten Unternehmen stellt OneDrive ein häufigeres Risiko bei der Datenübertragung dar.
Wenn Sie eine Excel-Datei in OneDrive speichern oder die OneDrive-Synchronisierung im Hintergrund läuft, wird Ihre Datei in den Cloud-Speicher von Microsoft hochgeladen. Das bedeutet:
– Ihre Daten werden auf Servern gespeichert, die sich außerhalb Ihrer direkten Kontrolle befinden.
- Microsoft hat im Rahmen der Bereitstellung des Dienstes technischen Zugriff auf Ihre Dateien.
- Wenn diese Dateien personenbezogene Daten enthalten, agiert Microsoft gemäß DSGVO als Auftragsverarbeiter.
Dies gilt auch, wenn Sie Copilot überhaupt nicht nutzen. Jede in OneDrive gespeicherte Excel-Datei, die personenbezogene Daten enthält, löst Verpflichtungen gemäß DSGVO aus – unabhängig davon, ob KI-Funktionen aktiviert sind.
Der CLOUD Act – ein Risiko, das ausschließlich amerikanische Anbieter betrifft
Dies ist ein Aspekt, der in Produktdokumentationen selten erwähnt wird, den jedoch jedes europäische Unternehmen verstehen sollte.
Microsoft ist ein US-amerikanisches Unternehmen und unterliegt somit US-amerikanischem Recht. Der US-amerikanische CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ermöglicht es US-Behörden unter bestimmten rechtlichen Voraussetzungen, Zugriff auf Daten zu beantragen, die sich im Besitz amerikanischer Technologieunternehmen befinden – selbst wenn diese Daten auf Servern in der Europäischen Union gespeichert sind.
Das bedeutet, dass die Datenspeicherung in der EU – also die Speicherung Ihrer Daten auf Servern in Frankfurt oder Amsterdam – keinen vollständigen Schutz vor Zugriffsanfragen der US-Regierung bietet. Die rechtliche Verpflichtung gilt für das Unternehmen, nicht für den Serverstandort.
Für die meisten kleinen Unternehmen, die gewöhnliche Geschäftsdaten verarbeiten, ist dieses Risiko theoretischer Natur. Unternehmen, die sensible personenbezogene Daten, Daten besonderer Kategorien oder Daten, die der beruflichen Schweigepflicht unterliegen (z. B. rechtliche, medizinische oder finanzielle Daten), verarbeiten, müssen dieses Risiko hingegen bewerten und dokumentieren.
Stellen Sie Ihrem Datenschutzberater daher nicht nur die Frage „Wo werden die Daten gespeichert?“, sondern auch „Welchem Rechtssystem unterliegt das Unternehmen, das die Daten speichert?“
Was die DSGVO bei der Nutzung von Cloud-KI-Tools für personenbezogene Daten vorschreibt
Gemäß der Datenschutz-Grundverordnung benötigen Sie für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Verarbeitet ein Drittanbieter-Tool wie Copilot oder OneDrive diese Daten in Ihrem Auftrag, gelten bestimmte zusätzliche Verpflichtungen.
Datenverarbeitungsvereinbarung (DPA)
Bevor Sie personenbezogene Daten über deren Dienste verarbeiten, müssen Sie über eine unterzeichnete Datenverarbeitungsvereinbarung mit Microsoft verfügen. Microsoft stellt diese im Rahmen der Microsoft-Produkt- und Dienstleistungsvereinbarung sowie des Microsoft-Datenschutzzusatzes zur Verfügung. Sie müssen jedoch sicherstellen, dass diese Vereinbarung für Ihre Organisation besteht und dies dokumentieren.
Verzeichnis der Verarbeitungstätigkeiten (Artikel 30)
Das Verzeichnis der Verarbeitungstätigkeiten Ihrer Organisation muss alle Cloud-Tools enthalten, die personenbezogene Daten verarbeiten. Wenn Sie beispielsweise OneDrive zur Speicherung von Personalakten oder Copilot zur Analyse von Kundendaten nutzen, muss dies dokumentiert werden.
Prüfung der Datenübermittlung Werden personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums übermittelt – auch nur vorübergehend im Rahmen der Verarbeitung –, so ist hierfür entweder eine Angemessenheitsentscheidung, Standardvertragsklauseln oder ein anderer gültiger Übermittlungsmechanismus erforderlich. Microsoft stützt sich bei Übermittlungen zwischen der EU und den USA auf Standardvertragsklauseln. Sie müssen jedoch dokumentieren, dass Sie diese geprüft und akzeptiert haben.
Welche Datentypen bergen das höchste Risiko?
Nicht alle Excel-Daten sind im Sinne der DSGVO gleich. Hier ein kurzer Überblick:
| Daten Type | DSGVO Risiko | Beispiel in Excel |
|---|---|---|
| Namen und Gehälter der Mitarbeiter | Hoch | Lohn- und Gehaltsdateien, HR-Dashboards |
| Daten zu Gesundheit oder Abwesenheit | Sehr Hoch — spezielle Kategorie | Erfassung von Krankmeldungen, Krankheitskosten |
| Personenbezogene Daten der Kunden | Hoch | CRM-Exporte, Auftragslisten mit Namen |
| Gewerkschaftszugehörigkeit, Religion, ethnische Zugehörigkeit | Sehr Hoch — Spezielle Kategorie | Jede Personalakte, die diese Felder enthält |
| Anonyme Finanzdaten | Niedrig | Budgetübersichten, Projektkosten |
| Zusammengefasste Statistiken | Keine | Dashboards ohne individuelle Identifikatoren |
Daten besonderer Kategorien – wie Gesundheitsdaten, Religionszugehörigkeit, ethnische Herkunft, Gewerkschaftszugehörigkeit oder biometrische Daten – unterliegen den strengsten Auflagen der DSGVO. Sie sollten niemals ohne ausdrückliche rechtliche Beratung über Copilot verarbeitet werden.
Praktische Tipps für Ihr Unternehmen
Dies sind keine gesetzlichen Vorschriften, sondern praktische Anhaltspunkte für ein Gespräch mit Ihrem Datenschutzbeauftragten.
Bevor Sie Copilot für eine Datei verwenden, stellen Sie sich folgende Fragen:
- Enthält diese Arbeitsmappe Namen, Kontaktdaten oder sonstige Daten, die eine Person identifizieren?
- Enthält sie Angaben zum Gehalt, zur Gesundheit oder andere sensible personenbezogene Daten?
- Falls eine dieser Fragen mit „Ja” beantwortet wird, verwenden Sie Copilot nicht für diese Datei, bis Sie die Auswirkungen geprüft haben.
Für OneDrive:
- Speichern Sie keine Personalakten, Gehaltsdaten oder gesundheitsbezogenen Tabellen auf OneDrive, ohne zuvor Ihre Datenschutzvereinbarung (DPA) zu prüfen und die Auswirkungen der Datenübermittlung zu bewerten.
- Erwägen Sie, Daten besonderer Kategorien ausschließlich auf lokalen oder lokalen Speichersystemen aufzubewahren.
- Wenn Sie OneDrive für personenbezogene Daten nutzen, stellen Sie sicher, dass in Ihren Microsoft-365-Mandanteneinstellungen die Datenaufbewahrung in der EU konfiguriert ist.
Für Ihre interne Dokumentation:
- Fügen Sie Microsoft 365 (einschließlich Copilot und OneDrive) in Ihr Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 ein.
- Notieren Sie, welche Datenkategorien über diese Tools verarbeitet werden.
- Überprüfen und aktualisieren Sie Ihre Datenschutzhinweise für Mitarbeiter und Kunden.
Für Ihren IT- oder Microsoft-365-Administrator:
- Vergewissern Sie sich, dass die EU-Datenspeicherung für Ihren Mandanten aktiviert ist.
- Überprüfen Sie die Copilot-Zugriffseinstellungen und erwägen Sie, den Zugriff auf Copilot für Benutzer einzuschränken, die mit Personal- oder Gesundheitsdaten arbeiten.
- Vergewissern Sie sich, dass der Microsoft-Datenschutzzusatz für Ihre Organisation aktiviert ist.
Für die meisten kleinen Unternehmen gilt
Für die meisten Excel-Anwendungsfälle – wie Projektbudgets, Verkaufsberichte, Bestandsverfolgung und Finanzplanung – dürfte die Nutzung von Copilot und OneDrive keine wesentlichen Bedenken hinsichtlich der DSGVO aufwerfen, sofern eine Datenverarbeitungsvereinbarung mit Microsoft vorliegt.
Es ist entscheidend zu wissen, welche Arbeitsmappen personenbezogene Daten enthalten, und eine klare interne Regel anzuwenden.
- Anonyme oder finanzielle Daten → Copilot und OneDrive sind in der Regel unbedenklich
- Personenbezogene Daten (Namen, Kontakte, Personalwesen) → Vor der Nutzung von Cloud-Funktionen prüfen
- Daten besonderer Kategorien (Gesundheit, Gehälter, Gewerkschaftsmitgliedschaft) → Vor der Nutzung von Cloud-KI-Funktionen einen Spezialisten konsultieren
Excel 365 ist ein seriöses und leistungsstarkes Tool für europäische Unternehmen. Die Auswirkungen der DSGVO sind zwar überschaubar, erfordern jedoch Achtsamkeit, Dokumentation und in manchen Fällen eine professionelle Beratung.
Bei SafeOffice orientiert sich unser Ansatz bei jedem Tool, das wir dokumentieren, sowie bei jedem Workflow, den wir empfehlen, an einem Grundsatz: Precision in data. Protection by Design. Zu wissen, wohin Ihre Daten gelangen, ist keine rechtliche Bürde, sondern bewährte Praxis.
💡 Dieser Artikel dient als Einstieg in das Thema und ersetzt keine rechtliche Beratung. Die datenschutzrechtlichen Anforderungen variieren je nach Land, Branche und Art der verarbeiteten Daten. Bei Entscheidungen, die Ihr Unternehmen betreffen, wenden Sie sich stets an einen qualifizierten Datenschutzbeauftragten oder Rechtsberater.
Was Sie als Nächstes lesen sollten
Siehe auch: Excel 365 vs ältere Excel Versionen — Features, ROI, Vergleich und Risikoanalyse