Microsoft 365 Copilot verändert die Art, wie Teams in Outlook schreiben, in Teams kommunizieren und in Word dokumentieren. Der Produktivitätsgewinn ist real. Doch gerade für KMU in regulierten Branchen — Pflegedienste, Sozialwirtschaft, Gesundheitsversorgung — stellen sich vor dem Rollout ernste datenschutzrechtliche Fragen. Dieser Leitfaden erklärt, was DSGVO-konformer Copilot-Einsatz in der Praxis bedeutet, worauf Sie beim Flex Routing achten müssen, und welche Schritte vor dem ersten Einsatz zwingend erforderlich sind.
Was ist Microsoft 365 Copilot?
Microsoft 365 Copilot ist ein KI-Assistent, der tief in die bekannten Microsoft-Anwendungen integriert ist: Outlook, Word, Excel, PowerPoint, Teams und SharePoint. Er greift auf die Inhalte zu, die dem jeweiligen Nutzer zugänglich sind — E-Mails, Dokumente, Kalendereinträge, Chat-Verläufe — und beantwortet auf dieser Basis gestellte Fragen, fasst Inhalte zusammen oder erstellt neue Texte.
Technisch basiert Copilot auf großen Sprachmodellen (LLMs), die Microsoft über Azure OpenAI Service betreibt. Der entscheidende Unterschied zu öffentlichen KI-Diensten: Copilot ist in den Microsoft-365-Mandanten des Unternehmens eingebunden und hat Zugriff auf Unternehmensdaten. Das macht ihn leistungsfähig — und datenschutzrechtlich anspruchsvoller als einen generischen Chatbot.
Für KMU, die Copilot einführen wollen, ist es zunächst wichtig zu verstehen, dass Microsoft 365 Copilot eine Enterprise-Lizenz voraussetzt. Die entsprechenden Pläne (z. B. Microsoft 365 Business Premium mit Copilot-Add-on) beinhalten vertraglich geregelte Datenschutz- und Sicherheitszusagen, die sich von den Konditionen kostenloser oder Consumer-Produkte erheblich unterscheiden.
EU Data Boundary: Was bedeutet das für die DSGVO-Praxis?
Microsoft hat mit dem EU Data Boundary-Programm eine verbindliche Zusage eingeführt, die seit dem 1. März 2024 für alle kommerziellen Kunden in der EU gilt: Kundendaten aus Microsoft 365 — einschließlich Prompts, KI-Antworten und Microsoft-Graph-Daten — werden ausschließlich innerhalb der Europäischen Union gespeichert und verarbeitet.
Das bedeutet konkret:
- Inhalte, die Sie Copilot übergeben (Prompts), verbleiben in der EU.
- Die Antworten von Copilot werden in der EU generiert und gespeichert.
- Microsoft verwendet Ihre Unternehmens- oder Kundendaten nicht für das Training von KI-Modellen.
- Auch Telemetrie- und Diagnosedaten werden im EU Data Boundary verarbeitet.
Das EU Data Boundary ist eine wichtige datenschutzrechtliche Grundlage, aber kein Freifahrtschein. Die DSGVO-Konformität hängt nicht allein davon ab, wo Daten gespeichert werden, sondern auch davon, wer Zugriff hat, welche Daten überhaupt in Prompts landen und ob die erforderlichen internen Prozesse — Datenschutzfolgeabschätzung, Betriebsratseinbindung, Verarbeitungsverzeichnis — abgeschlossen wurden.
Flex Routing — die neue Variable seit April 2026
Mit dem 17. April 2026 hat Microsoft eine neue Funktion eingeführt, die für regulierte Branchen besondere Aufmerksamkeit erfordert: Flex Routing. Bei hoher Systemauslastung kann Microsoft die KI-Inferenz — also den Rechenvorgang, der Copilot-Antworten erzeugt — temporär außerhalb der EU abwickeln, konkret in US-amerikanischen oder kanadischen Rechenzentren.
Wichtig zu verstehen: Gespeicherte Daten verbleiben dabei weiterhin in der EU. Flex Routing betrifft ausschließlich den transienten Verarbeitungsvorgang bei der Antwortgenerierung. Dennoch bedeutet das aus DSGVO-Sicht: Personenbezogene Daten, die in einem Prompt enthalten sind, werden zumindest temporär außerhalb des EU Data Boundary verarbeitet. Das ist für Pflegedienste, Gesundheitseinrichtungen und andere regulierte Organisationen in der Regel nicht akzeptabel.
Die Lösung: Flex Routing lässt sich im Microsoft 365 Admin Center explizit deaktivieren. Unter Einstellungen → Organisationseinstellungen → Microsoft 365 Copilot findet sich die entsprechende Option. Für alle Organisationen, die besonders schutzbedürftige Daten verarbeiten — Gesundheitsdaten, Sozialdaten, kirchliche Personaldaten — ist die Deaktivierung vor dem Rollout zwingend empfohlen.
DSGVO-Checkliste vor dem Copilot-Rollout
Die folgenden Schritte sollten vor dem ersten produktiven Einsatz von Microsoft 365 Copilot abgeschlossen sein:
1. Datenschutzfolgeabschätzung (DSFA) nach Art. 35 DSGVO
Der Einsatz von KI-gestützten Systemen, die Zugriff auf E-Mails und Dokumente aller Mitarbeitenden haben, ist ein Verfahren mit voraussichtlich hohem Risiko im Sinne des Art. 35 DSGVO. Eine Datenschutzfolgeabschätzung ist daher in den meisten Fällen verpflichtend. Die DSFA dokumentiert die Art der Verarbeitung, die Risiken für Betroffene (Kunden, Patienten, Mitarbeitende) und die ergriffenen Schutzmaßnahmen.
2. Betriebsrat und Datenschutzbeauftragten einbinden
Copilot überwacht und analysiert die Kommunikation und Arbeitsleistung von Mitarbeitenden — zumindest potenziell. Das macht eine frühzeitige Einbindung des Betriebsrats zwingend erforderlich. Parallel dazu muss der betriebliche oder externe Datenschutzbeauftragte in die Planung einbezogen werden. Ohne diese Einbindung riskieren Sie arbeitsrechtliche Anfechtungen und DSGVO-Verstöße, die den Rollout stoppen können.
3. Flex Routing deaktivieren
Wie beschrieben: Für regulierte Branchen ist die Deaktivierung von Flex Routing im M365 Admin Center vor dem Go-Live unerlässlich. Dokumentieren Sie diese Einstellung und nehmen Sie sie in die DSFA auf.
4. Sensitivity Labels über Microsoft Purview konfigurieren
Microsoft Purview ermöglicht es, Dokumente und E-Mails mit Vertraulichkeitsstufen (Sensitivity Labels) zu kennzeichnen. Copilot respektiert diese Labels: Inhalte, die als „Vertraulich" oder „Streng vertraulich" markiert sind, können durch Richtlinien vom Copilot-Zugriff ausgenommen werden. Konfigurieren Sie Sensitivity Labels vor dem Rollout und schulen Sie Mitarbeitende in deren Anwendung.
5. Berechtigungen in SharePoint und OneDrive bereinigen
Copilot greift auf alle Inhalte zu, für die der jeweilige Nutzer berechtigt ist. In vielen Organisationen sind SharePoint-Bibliotheken und OneDrive-Ordner großzügig freigegeben — oft ohne bewusste Entscheidung. Vor dem Copilot-Rollout sollten alle Berechtigungen überprüft und auf das Mindestmaß beschränkt werden (Least-Privilege-Prinzip). Überberechtigungen sind das größte interne Datenschutzrisiko beim Copilot-Einsatz.
Besondere Anforderungen für Pflegedienste und Sozialwirtschaft
Für kirchliche Träger gilt neben der DSGVO das EKD-Datenschutzgesetz (EKD-DSG). Es stellt in mehreren Punkten strengere Anforderungen als die DSGVO und ist bei der Gestaltung des Auftragsverarbeitungsvertrags mit Microsoft zu berücksichtigen. Insbesondere Regelungen zur Weitergabe von Daten an Dritte und zur Zweckbindung sind sorgfältig zu prüfen.
Der Auftragsverarbeitungsvertrag (AVV) mit Microsoft ist für alle Organisationen verpflichtend. Microsoft stellt einen standardisierten AVV bereit, der im Microsoft 365 Admin Center akzeptiert werden kann. Für spezialisierte Anforderungen — etwa nach EKD-Datenschutzgesetz — sollte dieser AVV durch einen Datenschutzjuristen geprüft werden.
Besonders kritisch: Patientendaten, Pflegedokumentationen und medizinische Informationen dürfen keinesfalls ungeprüft in Copilot-Prompts einfließen. Das gilt unabhängig vom EU Data Boundary. Mitarbeitende müssen geschult werden, welche Daten sie an Copilot übergeben dürfen und welche nicht. Eine klare interne Nutzungsrichtlinie (Acceptable Use Policy) für Copilot ist für Pflegedienste unverzichtbar.
Praktischer Rollout-Plan in drei Phasen
Phase 1: Vorbereitung (4–6 Wochen)
In der Vorbereitungsphase werden die datenschutzrechtlichen und technischen Grundlagen geschaffen: DSFA erstellen, Betriebsrat und Datenschutzbeauftragten einbinden, Flex Routing deaktivieren, Sensitivity Labels konfigurieren, Berechtigungen bereinigen und eine Nutzungsrichtlinie formulieren. Diese Phase endet mit dem formellen Grünes-Licht-Beschluss aller Beteiligten.
Phase 2: Pilotbetrieb (4–8 Wochen)
Ein ausgewähltes Team von 10–20 Mitarbeitenden erprobt Copilot in der Praxis. Dabei werden Nutzungsszenarien dokumentiert, Feedback gesammelt und mögliche datenschutzrelevante Vorfälle identifiziert. Die Pilotgruppe sollte repräsentativ für die Haupteinsatzfälle sein — zum Beispiel Verwaltung, Einsatzplanung und Pflegeleitung.
Phase 3: Breitenrollout mit Schulung
Nach erfolgreichem Pilot wird Copilot schrittweise auf alle lizenzierten Nutzer ausgerollt. Begleitende Schulungen vermitteln sowohl die effektive Nutzung als auch die Datenschutz-Do's und Don'ts. Regelmäßige Auswertungen der Copilot-Nutzungsdaten über das M365 Admin Center ermöglichen ein kontinuierliches Monitoring.
Wie Fürstmann.IT Sie unterstützt
Fürstmann.IT begleitet KMU, Pflegedienste und Sozialeinrichtungen in Brandenburg bei der Microsoft 365-Einführung und -Optimierung — einschließlich Copilot. Wir übernehmen die technische Vorbereitung Ihres M365-Mandanten, konfigurieren Sensitivity Labels und Berechtigungsstrukturen, deaktivieren Flex Routing und unterstützen bei der Dokumentation für Ihre DSFA.
In enger Abstimmung mit Ihrem Datenschutzbeauftragten und ggf. Ihrem Betriebsrat stellen wir sicher, dass der Rollout rechtssicher und reibungslos verläuft. Unser Ziel ist kein theoretisches Compliance-Papier, sondern ein Copilot-Setup, das in der Praxis funktioniert und den tatsächlichen Datenschutzanforderungen Ihrer Organisation entspricht.
Microsoft 365 Copilot ist ein leistungsstarkes Werkzeug — mit den richtigen Vorbereitungen kann es auch in regulierten Branchen DSGVO-konform eingesetzt werden. Die entscheidenden Stellschrauben sind bekannt. Es kommt auf die sorgfältige Umsetzung an.
Was kostet ein DSGVO-konformer Copilot-Rollout?
Diese Frage stellen viele KMU, bevor sie eine Entscheidung treffen. Die Lizenzkosten für Microsoft 365 Copilot liegen für kommerzielle Pläne bei rund 30 Euro pro Nutzer und Monat (Stand 2026). Hinzu kommen einmalige Einrichtungskosten für die DSFA, die Bereinigung von Berechtigungen und die Konfiguration von Sensitivity Labels. Diese Kosten variieren je nach Größe der Organisation und aktuellem Stand der M365-Konfiguration.
Erfahrungsgemäß amortisieren sich die Einführungskosten innerhalb weniger Monate, wenn Copilot konsequent genutzt wird. Zeitersparnisse bei der Erstellung von Berichten, Protokollen und E-Mails summieren sich schnell auf mehrere Stunden pro Mitarbeiter und Woche. Für Pflegedienste, in denen Dokumentationspflichten einen erheblichen Teil der Arbeitszeit binden, ist das Potenzial besonders groß — vorausgesetzt, der Einsatz erfolgt mit klaren Leitplanken für datenschutzsensible Inhalte.