Microsoft 365 Copilot - Wichtige Neuerungen bei Flex Routing und Agents – Datenschutz und Compliance im Fokus
Microsoft hat in den letzten Monaten neue Funktionen für Microsoft 365 Copilot eingeführt, die erhebliche Auswirkungen auf Datenschutz, Informationssicherheit und Compliance haben können. Besonders relevant sind dabei die Features Flex Routing sowie die Nutzung von Agents – sowohl von Drittanbietern als auch unternehmenseigene Custom Agents.
Flex Routing – KI-Verarbeitung kann außerhalb der EU erfolgen
Die Funktion „Flexible Inferencing During Peak Load Periods“ (Flex Routing) ermöglicht es Microsoft, bei hoher Systemauslastung die Verarbeitung von Copilot-Anfragen (Large Language Model-Inferencing) auf Rechenzentren außerhalb der Europäischen Union auszulagern. Mögliche Verarbeitungsstandorte sind unter anderem die USA, Kanada und Australien. Wichtig zu beachten ist, dass die Speicherung der Microsoft-365-Daten weiterhin ausschließlich innerhalb der für den Mandanten festgelegten Region beziehungsweise der EU Data Boundary erfolgt. Betroffen ist allein die KI-Verarbeitung der Anfragen, nicht jedoch die Datenspeicherung.
Microsoft hat Flex Routing bei vielen Mandanten standardmäßig aktiviert.
Handlungsempfehlung:
Unternehmen mit besonderen Anforderungen an Datenschutz, Vertraulichkeit oder regulatorische Vorgaben sollten sorgfältig prüfen, ob Flex Routing deaktiviert werden sollte. Die Einstellung finden Sie im Microsoft 365 Admin Center unter:
Copilot → Einstellungen → Flexible Inferencing During Peak Load Periods / Empfohlene Konfiguration: „Do not allow flex routing“
Datenschutzrechtliche Bewertung
Bei aktivierter Flex-Routing-Funktion kann die Verarbeitung von Prompts und Kontextinformationen außerhalb der EU erfolgen. Dies muss im Rahmen der Datenschutz-Folgenabschätzung (DSFA), der KI-Governance sowie der Dokumentation gemäß EU AI Act berücksichtigt werden.
Erweiterte Datenzugriffe und Integration externer Dienste:
Microsoft erweitert Copilot kontinuierlich um sogenannte Agents. Diese lassen sich in drei Kategorien unterteilen:
- Microsoft Agents: Von Microsoft bereitgestellte Agenten mit klar definierten Funktionen
- Drittanbieter-Agents: Externe Agenten, die über den Microsoft Marketplace bereitgestellt werden
- Custom Agents: Unternehmensspezifische Agenten, die von Administratorinnen und Administratoren oder Fachbereichen selbst erstellt werden können
Risiken und Herausforderungen
Agents können auf zusätzliche Datenquellen zugreifen, externe Systeme anbinden, Informationen automatisiert verarbeiten und Aktionen in verbundenen Anwendungen ausführen. Daraus ergeben sich erweiterte Anforderungen an:
- Datenschutz
- Berechtigungsmanagement
- Informationssicherheit
- Dokumentationspflichten gemäß EU AI Act
- Governance- und Freigabeprozesse
Handlungsempfehlung:
Es ist ratsam, folgende Punkte zu prüfen:
- Welche Agents im Mandanten zugelassen sind
- Ob Drittanbieter-Agents generell erlaubt werden sollen
- Ob die Erstellung von Custom Agents eingeschränkt werden sollte
- Welche Freigabe- und Prüfprozesse für neue Agents gelten
Copilot → Einstellungen → Agents
Für einen datenschutzkonformen und compliancegerechten Betrieb von Microsoft 365 Copilot empfehlen wir folgende Maßnahmen:
- Prüfung und gegebenenfalls Deaktivierung von Flex Routing
- Einführung eines verbindlichen Freigabeprozesses für Drittanbieter- und Custom Agents
- Aktualisierung der Datenschutz- und KI-Governance-Dokumentation
- Überprüfung vorhandener Datenschutz-Folgenabschätzungen (DSFA) im Kontext neuer Funktionen
- Sensibilisierung der Mitarbeitenden für den verantwortungsvollen Umgang mit Copilot und Agents
- Regelmäßige Überprüfung neuer Microsoft-Copilot-Funktionen
Ein zentraler Freigabeprozess durch IT, Datenschutz und Informationssicherheit wird dringend empfohlen!