EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →

Microsoft Copilot und EU AI Act

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

Microsoft 365 Copilot ist GPT-4-basiert und in Office integriert. Microsoft trägt GPAI-Provider-Pflichten plus eigene Deployer-Verantwortung. Unternehmens-Nutzer sind Sub-Deployer mit Art. 4 und ggf. Art. 50/26 abhängig vom Use-Case.

Microsoft 365 Copilot war 2024 das schnellst-skalierende Enterprise-KI-Tool. EU-Datenschutzbehörden haben es früh ins Visier genommen — Microsoft hat mit "EU Data Boundary" reagiert. Compliance-mässig ist Copilot transparenter als viele Konkurrenten, aber Use-Case-Klassifizierung bleibt Aufgabe des Kunden.

Copilot-Familie

Microsoft 365 Copilot: GPT-4 in Word, Excel, PowerPoint, Outlook, Teams. Datenzugriff über Microsoft Graph (E-Mails, Dokumente, Kalender).

Copilot for Sales: Spezial-Variante mit Salesforce/Dynamics-Integration.

GitHub Copilot: Code-Generation, separates Modell (OpenAI Codex/GPT-4-basiert), separate Lizenz.

Copilot Studio: Low-Code für eigene Bots. Sie werden Provider, wenn Sie Copilot Studio Bots veröffentlichen.

Bing Copilot (Web): Consumer-Tool mit Suchintegration. Für Geschäfts-Use weniger empfohlen.

EU Data Boundary

Microsoft hat 2024 die "EU Data Boundary" angekündigt: Copilot-Daten von EU-Kunden werden ausschliesslich in EU-Rechenzentren verarbeitet und gespeichert. Wichtig: - Gilt für alle Microsoft 365 Copilot Daten (Prompts, Responses, Indexes) - KEIN Training auf Kundendaten - Logs in EU - Mitarbeiter-Zugriff durch EU-Personal (Microsoft hat das ab 2025 angekündigt)

Für DSGVO-Compliance: drittland-Transfer-Risiko reduziert.

Compliance-Schritte für Copilot-Einführung

  1. **Lizenz-Inventar:** Wer hat Copilot, in welchem Lizenz-Tier?
  2. **Data-Governance:** Welche Daten darf Copilot indizieren? Sensitivity-Labels in Microsoft Purview
  3. **DPA mit Microsoft:** Standard-DPA reicht, mit EU-Data-Boundary-Add-on
  4. **KI-Literacy-Schulung:** Pflicht nach Art. 4. Microsoft bietet kostenlose Trainings
  5. **Use-Case-Klassifizierung:** Welche Departments nutzen Copilot wofür?
  6. **Hochrisiko-Use-Cases identifizieren:** Wenn HR Copilot für CV-Bewertung nutzt, ist das Annex III
  7. **Logging-Konfiguration:** Audit-Logs in Microsoft 365 Compliance Center aktivieren

Häufige Fragen

Ist Microsoft 365 Copilot DSGVO-konform?
Mit aktivierter EU Data Boundary und Standard-DPA: ja, im Grundprinzip. Verbleibende Risiken: Microsoft-Mitarbeiter-Zugriff auf Daten (US-Personal Stand 2025 noch teilweise), automatische Indexierung sensibler Dokumente. Sensitivity-Labels und Daten-Governance setzen.
Brauche ich für Copilot eine FRIA?
Nicht für allgemeine Office-Nutzung. Wenn Sie Copilot Studio in einem Hochrisiko-Workflow einsetzen (Recruiting, Kreditprüfung), ja — bei Vorliegen der Art. 27-Voraussetzungen.
Was ist mit Copilot in der Schweiz?
Microsoft hat Schweizer Rechenzentren. Für reine CH-Nutzung optimal. Bei EU-Datenverarbeitung greift EU Data Boundary. Schweizer Datenschutz (revDSG) ist mit Standard-Setup erfüllbar.

Relevante Rechtsgrundlagen

Art. 50 EU AI ActArt. 53 EU AI ActArt. 4 EU AI ActArt. 25 EU AI Act

Klassifizieren Sie Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jedes KI-System.

Kostenloser EU AI Act Quick-Check →
Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle AnbieterQuick-Check