Juristische Einzelheiten sind in den Veröffentlichungen unter „Publikationen“ zu finden. Für individuelle Rechtsberatung wenden Sie sich bitte an Anwaltskanzleien. Keine Haftung für Richtigkeit und Aktualität der Angaben. Für Fragen von Studierenden der h_da sind der Autor als Datenschutzbeauftragter bei Datenschutzfragen und die jeweiligen Lehrenden für Fragen des Einsatzes in Prüfungen zuständig.

1.  Woher bezieht Copilot seine Daten und was ist daran rechtlich problematisch?

Die Daten stammen

• aus ChatGPT, welches sich aus Daten aus dem Internet und aus Lizenzdatendatenbanken bedient,
• aus der Suchmaschine Bing,
• aus Microsoft Graph, in welchem die Daten des Copilot-nutzenden Unternehmens und der Nutzenden im Unternehmen gesammelt werden, und damit
• aus dem Unternehmen selbst.

Siehe grafische Übersicht unter https://learn.microsoft.com/en-us/microsoft-sales-copilot/architecture

Zu den Einsatzmöglichkeiten führt Microsoft unter https://learn.microsoft.com/de-de/microsoft-365-copilot/microsoft-365-copilot-privacy aus:

„Microsoft 365 Copilot bietet einen Mehrwert durch die Verbindung von LLMs mit Ihren Organisationsdaten. Microsoft 365 Copilot greift auf Inhalte und Kontext über Microsoft Graph zu. Es kann Antworten generieren, die in Ihren Organisationsdaten verankert sind, wie z. B. Benutzerdokumente, E-Mails, Kalender, Chats, Besprechungen und Kontakte. Microsoft 365 Copilot kombiniert diese Inhalte mit dem Arbeitskontext des Benutzers, z. B. der Besprechung, in der sich ein Benutzer gerade befindet, der E-Mail-Austausch, den der Benutzer zu einem Thema hatte, oder die Chatunterhaltungen, die der Benutzer in der letzten Woche geführt hat. Microsoft 365 Copilot verwendet diese Kombination aus Inhalt und Kontext, um genaue, relevante und kontextbezogene Antworten zu liefern.“

Nicht immer wird klar, aus welcher Quelle eine Information stammt und welche Eingabedaten wie getrackt werden (Microsoft weist explizit darauf hin, dass die Richtlinieneinstellungen, die die Verwendung optionaler verbundener Erfahrungen in Microsoft 365 Apps steuern, nicht für Microsoft 365 Copilot und öffentliche Webinhalte gelten).

Rechtlich problematisch ist daran unter anderem

-> die Qualitätssicherung der Ergebnisse bei multipler Datenbasis,

-> die Kombination von Daten aus allen Office-Programmen, welche den datenschutzrechtlichen Grundsätzen von Datentrennung und Datensparsamkeit (naturgemäß) nicht entspricht,

-> die Planung der Zugriffsberechtigungen und Rollenmodelle,

-> die Sicherung der Vertraulichkeit von Geschäftsgeheimnissen, auch wenn Microsoft über einen „AI Safety Mechanism“ zusichert, Unternehmensdaten nicht zum KI-Training zu verwenden.

-> Bei der Einführung von Copilot sind die entsprechenden rechtlichen Schritte zu prüfen, siehe Details zu den Rechtsgrundlagen in „PROZESS KI-EINFÜHRUNG / EINSATZ VON COPILOT&CO IM UNTERNEHMEN“

-> Klarzustellen ist auch, inwiefern Weisungen an die KI delegiert werden sollen (Selbständige Entscheidungen mit Rechtswirkung sind in der Regel unzulässig, Art. 22 DSGVO).

-> Der Einsatz ist mitbestimmungspflichtig, es empfiehlt sich der Abschluss entsprechender Betriebsvereinbarungen sowie individualarbeitsrechtlich die Klärung der Nutzungsverpflichtung- (§ 106 GewO) und berechtigung.
 

2.  Wer hat ein Urheberrecht an den von Copilot generierten Texten, Bildern, Präsentationen etc.?

Nach deutschem Recht (§ 2 UrhG) ist nur eine MENSCHLICHE Schöpfung urheberrechtlich geschützt, so dass weder Microsoft als Betreiber von Copilot noch der Nutzer als derjenige, der das Ergebnis durch einen sog. „Prompt“ hat erstellen lassen, Urheber der Ergebnisse ist. Dennoch kann Microsoft als Betreiber von Copilot als derjenige, der den Service anbietet, in einem gewissen Rahmen bestimmen, zu welchen Zwecken die Ergebnisse verwendet werden. Microsoft überträgt in seinen Lizenzbedingungen die Rechte an den Ergebnissen an die Lizenznehmenden.

-> Bei der Weitergabe ist zu prüfen, inwiefern nicht versehentlich eigene sensible Daten von Copilot eingebunden werden.

3. Darf man die von Copilot generierten Texte, Bilder und Präsentationen an Dritte weitergeben? Sind damit Risiken verbunden?

Ja, da Microsoft die Ergebnisse von Copilot für alle Lizenznehmenden frei lizenziert. Es ist jedoch nicht ausgeschlossen, dass insbesondere bei der Bild-/Videogenerierung Rechte Dritter verletzt werden, deren Arbeiten in die Trainingsdatenbank von Copilot eingeflossen sind. Sie haben dann jedoch in der Regel einen Anspruch auf Haftungsfreistellung gegen Microsoft.

Daneben sollte darauf geachtet werden, dass in die Ergebnisse nicht Informationen über Geschäftsgeheimnisse oder sensible (ggf. personenbezogene) Daten eingebunden sind, die vertraulich bleiben sollten. Je nach Prompt und Datenbasis kann Copilot auf alle sensiblen Daten zugreifen, welche in den Office-Produkten Ihres Unternehmens gespeichert sind.
 

-> Bei der Weitergabe ist zu prüfen, inwiefern nicht versehentlich eigene sensible Daten von Copilot eingebunden werden.

-> Werden Copilot-Ergebnisse ungeprüft nach außen weitergegeben, kann – insbesondere bei der Verbreitung über Apps / Webseiten eine eigene Haftung nach dem TMG oder den Grundsätzen der Störerhaftung in Betracht kommen.

4. Dürfen Beschäftigte die von Copilot generierten Ergebnisse beruflich verwenden, um Zeit zu ersparen?

Ein solcher Einsatz sollte in jedem Fall dem Arbeitgeber gegenüber offenbart werden. Wird man für die Erstellung dieser Ergebnisse bezahlt, könnte das Verschweigen des Einsatzes von Copilot schlimmstenfalls einen Betrug gegenüber demjenigen darstellen, der für die persönliche Erstellung eines Textes bezahlt hat.

-> In Nutzungsrichtlinien ist klar festzulegen, in welchen Fällen Copilot eingesetzt werden darf und ob und wie die Ergebnisse zu kennzeichnen sind.

5. Ist Copilot datenschutzkonform?

Es muss unterschieden werden zwischen

a) der Beurteilung der generellen Einrichtung von Copilot als einem Microsoft-Tool mit potentieller Datenübertragung in die USA und
b) der anschließenden Nutzung zum Datenmanagement und zur Dateneingabe:

a)    Die reine Nutzung ist wie bei jedem Tool dann nicht datenschutzkonform, wenn Daten über den Nutzer nicht DSGVO-gerecht behandelt werden. Aus den Prompts lassen sich grundsätzlich viele Informationen über den Nutzer (Vorlieben, Erkrankungen, politische Einstellungen etc.) erfahren, die möglicherweise mit anderen Daten (etwa der IP-Adresse des Nutzers) gemeinsam gespeichert werden. Auch ohne Eingabe von Personendaten können sich daher datenschutzrechtliche Fragen stellen. Zu Einzelfragen des Datenschutzes sind die Checklisten -> zum Einsatz LLM-basierter Chatbots der Hamburger Datenschutzaufsicht vom 13.11.2023 und -> zum DSGVO-konformen KI-Einsatz vom 24.01.2024 der bayrischen Datenschutzaufsicht zu beachten.

Notwendige Schritte sind daher unter anderem:

-> Datenschutzkonformität des Tools

-> Datenschutzfolge-abschätzung

-> Einbeziehung DSB

-> Einsatzszenario

-> Klärung der gemeinsamen Verarbeitung (bei unklarer Nutzung der Daten durch Microsoft ist fraglich, ob eine Auftragsverarbeitung vorliegen kann)

-> Klärung Auslandsdatentransfer

b) Wenn Sie in Ihre Prompts Personennamen einbinden, erweitern Sie die Datenbasis von Copilot möglicherweise um personenbezogene Daten Dritter, die dies nicht beeinflussen können. Dies verhält sich ähnlich wie bei Google-Suchanfragen, welche Personen mit bestimmten Eigenschaften kombinieren und dann dazu führen, dass diese in der Autovervollständigung als Ergänzung vorgeschlagen werden (etwa „Wilmer Ferrero Korruption“ oder „Wilmer gemüsesüchtig“), weil sie in der Google-Datenbank gespeichert wurden.

Nach Angaben von Microsoft werden bei einer an Bing weitergeleiteten Anfrage von Beschätigten Daten des Unternehmens weitergeleitet, nicht aber das Konto des Benutzers und seine Mandanten-ID.

In Nutzungsrichtlinien ist klar festzulegen, welche Daten bei Copilot eingegeben werden dürfen und wie mit personenbezogenen Daten umzugehen ist, insbesondere im Hinblick auf

->Rechtsgrundlagen

->Datenkombinationen

->Sensible Daten

-> Datenoffenbarung

-> KI-Entscheidungen / KI-Weisungen

-> Rollenmodelle

 

6. Hinweise und Materialien

a) Datenschutzhinweise

Zu berücksichtigen sind bei der initialen Prüfung abhängig vom Einsatzzweck damit

• Checkliste zum Einsatz LLM-basierter Chatbots der Hamburger Datenschutzaufsicht vom 13.11.2023
• Das Vorgehensmodell KI-Einführung vor dem Einsatz
• Die KI-Gebote beim anschließenden Umgang mit Copilot

b) Materialien zum Einsatz

aa) OpenAI

• Nutzungsrichtlinien
• Enterprise Privacy Rules (Einschließlich API und Model Training FAQ und der Zusage, Customer Data nur mit Einwilligung zum Training zu verwenden)

bb) Microsoft Copilot

• Microsoft Copilot Daten, Datenschutz und Sicherheit
• Verwalten des Zugriffs auf öffentliche Webinhalte in Microsoft Copilot für Microsoft 365 Antworten
• Dokumentation zu Microsoft Copilot für Microsoft 365
• Microsoft Purview-Datenschutz und Complianceschutz für Microsoft Copilot
• Microsoft 365-Leitfaden zur Sicherheitskonformität & Compliance