EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Alle Ratgeber
GPAI

Microsoft Copilot und EU AI Act: Compliance-Leitfaden für M365-Nutzer

Zuletzt aktualisiert: Mai 2026·11 min Lesezeit
TL;DR

Microsoft Copilot ist GPAI mit Art. 50 Transparenzpflicht. Tenant-Isolation und EU-Datenresidenz machen Copilot enterprise-tauglich. M365 Copilot, GitHub Copilot und Copilot Studio haben unterschiedliche Compliance-Profile. Microsoft bietet GDPR-DPA und EU Data Boundary.

Microsoft Copilot ist die KI-Lösung mit der größten Enterprise-Verbreitung in DACH. Über drei Produkt-Linien: 1. Microsoft 365 Copilot — KI in Word, Excel, Outlook, Teams, PowerPoint 2. GitHub Copilot — Code-Assistent für Entwickler 3. Copilot Studio — Low-Code KI-Agenten-Bauplattform

Alle drei sind GPAI-Anwendungen, aber mit unterschiedlichen Compliance-Implikationen.

M365 Copilot — die Enterprise-KI

Architektur:

  • Greift auf deine Microsoft Graph zu (E-Mails, Docs, Kalender, Teams-Chats)
  • Tenant-Isolation: deine Daten verlassen NICHT deinen M365-Tenant für Training
  • EU Data Boundary verfügbar (GA seit Februar 2024) — Daten bleiben in EU-Datacentern
  • Transparency Logs verfügbar

Klassifikation EU AI Act:

  • Microsoft = Provider eines GPAI-Modells (GPT-4-basiert, eigene Anpassungen)
  • Du = Deployer mit Art. 50 Transparenzpflicht
  • KEIN Hochrisiko per se — wird minimal-risk + Art. 50

DSGVO-Profil:

  • DPA inklusive (Microsoft Online Services Terms)
  • SCC für Drittlandtransfer (USA)
  • EU Data Boundary aktivierbar
  • TIA (Transfer Impact Assessment) empfohlen

Geeignete Use Cases:

  • E-Mail-Zusammenfassung
  • Dokumentenerstellung
  • Excel-Analysen
  • Teams-Meeting-Recap
  • Outlook-Reply-Suggestions

NICHT geeignet ohne Zusatzmaßnahmen:

  • Hochrisiko-Workflows (HR-Entscheidungen, Kreditscoring) — selbst wenn die Modell-Inferenz GPAI ist, wird die Anwendung Hochrisiko
  • Patientendaten ohne explizite Einwilligung
  • Mandantendaten ohne Mandantenzustimmung

GitHub Copilot — Code-Assistenz

Architektur:

  • KI-Code-Suggestions auf Basis OpenAI Codex / GPT-4
  • Trained auf öffentlichem Code (Lizenzfragen!)
  • Hosted auf Azure
  • Business und Enterprise Tier mit Tenant-Isolation

Drei Versionen:

VersionTrainingsdatenCode-FilterEmpfehlung
Individual ($10/Mo)Default ONAusPrivat
Business ($19/User/Mo)Default OFFAnUnternehmen OK
Enterprise ($39/User/Mo)Default OFFAn + Custom ModelsSensible Repos

Wichtige Compliance-Punkte:

1. Copyright-Risiko: GitHub Copilot kann Code aus seinem Trainingsset reproduzieren (mit oder ohne Lizenz-Compliance). Code-Filter (an in Business+) blockt direkte Reproduktion. Aber juristisch unklar — class action lawsuits laufen in den USA.

2. Trade-Secret-Risiko: Bei Individual gehen deine Code-Inputs ins Training. Business/Enterprise: nicht.

3. EU-AI-Act: GitHub Copilot ist GPAI. Wenn du es in dein Software-Produkt integrierst, das wiederum Hochrisiko ist (z.B. Krankenhaus-Software), wirst du zum AI-Provider mit voller Hochrisiko-Pflicht.

Copilot Studio — Low-Code KI-Bots

Microsoft Copilot Studio (vormals Power Virtual Agents) lässt dich eigene KI-Agenten bauen. Hier wird's interessant:

Wenn du einen Bot baust:

  • Du wirst zum Provider des Bots
  • Der Bot ist meistens minimal-risk + Art. 50 (Chatbot-Disclosure)
  • ABER: Wenn dein Bot Hochrisiko-Use-Cases erfüllt (z.B. HR-Recruiting-Bot, Versicherungs-Tarifierungs-Bot), bist DU Provider einer Hochrisiko-KI mit allen Pflichten nach Art. 9-15.

Compliance-Muss:

  • Bot-Klassifikation vor Live-Gang (ai-risk-check.com)
  • Art. 50 Disclosure-Banner
  • Bei Hochrisiko: technische Doku, Logging, menschliche Aufsicht
  • Datenfluss-Diagramm
  • DSFA wenn personenbezogen

EU Data Boundary — die wichtigste Microsoft-Funktion für DACH

Microsoft EU Data Boundary (seit Feb 2024 GA, Phase 2 seit Jan 2025) garantiert, dass deine Microsoft-Cloud-Daten in EU-Datacentern verbleiben. Aktivierbar in:

  • M365 Tenant Settings → Data Residency
  • Azure Subscription → Region "Europe"
  • Power Platform → Region

Was bleibt in EU?

  • Customer Data (E-Mails, Docs, Sharepoint)
  • System-generated Logs
  • Pseudonymized data
  • Personal Data
  • KI-Modell-Inferenz für Copilot

Was geht weiterhin global:

  • Threat-Intelligence
  • Telemetry für Service-Reliability
  • Abuse-Detection

Für strikt EU-Daten-resident Anwendungen: GovCloud Europe (für öffentliche Stellen).

Praktische Setup-Checkliste

Phase 1 — Tenant-Setup (1 Tag):

  • [ ] EU Data Boundary aktivieren
  • [ ] Conditional Access Policies für Copilot
  • [ ] DLP (Data Loss Prevention) Regeln
  • [ ] Audit-Logging

Phase 2 — Pilot (2-4 Wochen):

  • [ ] 5-10 Pilot-User (verschiedene Abteilungen)
  • [ ] Feedback-Sammlung
  • [ ] Use-Case-Inventar
  • [ ] Edge-Case-Identifikation

Phase 3 — Rollout (2-3 Monate):

  • [ ] KI-Literacy-Schulung (Art. 4)
  • [ ] KI-Richtlinie kommunizieren
  • [ ] Support-Kanal etablieren
  • [ ] Quartalsweise Compliance-Reviews

Phase 4 — Continuous (laufend):

  • [ ] DSFA-Updates bei neuen Use Cases
  • [ ] Audit-Trail-Reviews
  • [ ] Microsoft-Roadmap-Tracking (Copilot Updates)

DACH-Spezifika

Deutschland: Microsoft Cloud Deutschland (T-Systems Trustee Model) wurde 2018 eingestellt — Standard EU-Cloud verfügbar. Bundesnetzagentur als KI-Marktaufsicht.

Österreich: Standard EU-Cloud + EU Data Boundary. RTR voraussichtlich Marktaufsicht.

Schweiz: Microsoft Switzerland Cloud (Zürich, Genf) seit 2019 verfügbar. Datenresidenz CH garantiert. Für FINMA-regulierte Unternehmen besonders relevant.

Häufig gestellte Fragen

Ist M365 Copilot DSGVO-konform?+

Ja, mit korrektem Setup. Voraussetzungen: aktivierte EU Data Boundary, gültiger DPA (in Microsoft Online Services Terms enthalten), Tenant-Konfiguration mit Conditional Access. Für besondere Daten (Art. 9 DSGVO): zusätzliche DSFA und ggf. explizite Einwilligungen.

Was ist der Unterschied zwischen Copilot und ChatGPT?+

Architektur: ChatGPT ist OpenAI-direkt. Copilot ist Microsoft-Wrapper um GPT-4 mit Microsoft Graph Integration. Copilot greift auf deine M365-Daten zu, ChatGPT nicht. EU-Compliance: Copilot mit EU Data Boundary tendenziell besser für DACH-Unternehmen geeignet. Funktional: ChatGPT generischer, Copilot spezifischer für Office-Workflows.

Macht GitHub Copilot Probleme mit Trade Secrets?+

Bei Individual (Default ON Training): JA — dein Code geht potenziell ins nächste Modell-Update. Bei Business/Enterprise: NEIN — Tenant-Isolation, kein Training. Copyright-Risiko bleibt: GitHub Copilot kann reproduzierten Open-Source-Code suggerieren. Code-Filter (Business+) blockt direkten Match.

Wann werde ich zum Provider durch Copilot Studio?+

Sobald du einen Bot baust und ihn deinen Mitarbeitenden, Kunden oder Dritten zugänglich machst, bist du Provider des Bot-Systems (auch wenn das zugrundeliegende Modell von Microsoft kommt). Wenn der Bot dann Hochrisiko-Use-Cases erfüllt — du hast volle Provider-Pflichten nach Art. 9-15 EU AI Act.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Innopulse Consulting GmbH — EU AI Act Compliance

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Mai 2026

Alle RatgeberWissenshub
Microsoft Copilot EU AI Act — Compliance Guide 2026 | ai-risk-check.com