KI im Unternehmen: Chancen, Risiken und klare Regeln

Künstliche Intelligenz ist im Unternehmensalltag angekommen. Von Assistenzfunktionen in Microsoft 365 bis hin zu spezialisierten KI-Anwendungen in Fachbereichen. Richtig eingesetzt kann KI Prozesse beschleunigen, Mitarbeitende entlasten und Produktivität steigern. Gleichzeitig entstehen neue Anforderungen an Datenschutz, Sicherheit und Compliance und den verantwortungsvollen Umgang mit KI. Unternehmen sollten deshalb vor dem Einsatz klare technische, organisatorische und rechtliche Leitplanken definieren.

KI überall: Microsoft Copilot im Fokus

Microsoft hat seinen KI Copilot fest in Word, Excel, PowerPoint, Outlook, Teams und Dynamics 365 integriert.

Der Copilot arbeitet innerhalb der Microsoft-365-Umgebung, nutzt große Sprachmodelle zusammen mit Microsoft Graph und greift auf Inhalte zu, auf die der Nutzer zum aktuellen Zeitpunkt berechtigt zugreifen darf. Also potenziell auf Kalender, E-Mails, Chatverläufe oder Dokumente. Bei dem Vorgehen werden potenziell auch die Cloud-Dienste von Microsoft mit eigebunden. Damit besteht das Risiko, dass sensible Unternehmensdaten unbeabsichtigt verarbeitet oder weitergegeben werden.

Microsoft verweist für Microsoft 365 Copilot auf die bestehenden Datenschutz- und Compliance-Zusagen für Microsoft-365-Geschäftskunden einschließlich der EU Data Boundary. Unternehmen sollten dennoch prüfen, welche Datenflüsse im konkreten Einsatzszenario relevant sind. Des Weiteren gibt der Tech-Gigant aktuell an, dass Prompts, Antworten und über Microsoft Graph abgerufene Daten nicht zum Training der zugrunde liegenden Foundation-Modelle verwendet.

Datenschutz und Mitbestimmung

Da beim Einsatz von Microsoft 365 Copilot regelmäßig personenbezogene Daten verarbeitet werden können, sollte geprüft werden ob die Verarbeitung datenschutzrechtlich wirksam von einem Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgedeckt ist.

Darüber hinaus müssen folgende Punkte beachtet werden:

• Verarbeitungsverzeichnis: Der KI-Einsatz ist zu dokumentieren (siehe Beitrag „Verhältnismäßigkeitsprinzip im Datenschutz“).
• Datenschutz-Folgenabschätzung (DSFA): Vor Einführung bei einem voraussichtlich hohen Risiko für die Rechte und Freiheiten natürlicher Personen erforderlich, um Risiken zu bewerten (mehr dazu hier).
• Rechtekonzept und Datenklassifizierung: Copilot kann auf Inhalte zugreifen, für die der jeweilige Nutzer berechtigt ist. Deshalb müssen Zugriffsrechte, Freigaben und sensible Daten besonders sorgfältig geprüft und angemessen beschränkt werden.
• Mitarbeitervertretung: Besteht ein Betriebsrat, ist frühzeitig zu prüfen ob Mitbestimmungsrechte nach § 87 Abs.1 Nr. 6 oder Nr. 14 BetrVG (je nach Ausgestaltung) betroffen sind, wenn es um die Einführung und Anwendung von Microsoft 365 Copilot geht.

Auch die private Nutzung von E-Mail oder Internet durch Beschäftigte stellt ein Risiko dar, da dabei persönliche Inhalte ohne Rechtsgrundlage verarbeitet werden könnten.

Haftung und Organisationspflichten

Unternehmen haften nach § 831 BGB für Fehler ihrer Mitarbeitenden, wenn sie diese nicht ausreichend unterwiesen, kontrolliert oder angeleitet haben.
Die Nutzung unkontrollierter oder kostenloser KI-Tools kann zu Datenpannen führen, für die das Unternehmen haftet. Um dem vorzubeugen, sollten klare Vorgaben geschaffen werden.

KI-Richtlinie: Kontrolle durch Regeln

Ein zentraler Schritt ist die Einführung einer unternehmensweiten KI-Richtlinie. Sie regelt, welche Systeme verwendet werden dürfen und wie Mitarbeitende mit KI umgehen sollen. Die wichtigsten Punkte:

1. Verbot mit Erlaubnisvorbehalt:
   Nur geprüfte und freigegebene KI-Systeme dürfen genutzt werden. Insbesondere Personalentscheidungen oder automatische Entscheidungen über Personenrechte sollten nicht von einer KI entschieden werden.
2. Menschliche Aufsicht:
   KI-Ergebnisse sind Vorschläge, keine Entscheidungen. Auch die KI-Verordnung der EU verankert diesen Ansatz für Hochrisiko-KI-Systeme ausdrücklich in Art. 14 KI-VO. Mitarbeitende müssen Ergebnisse prüfen – insbesondere auf Logik, Richtigkeit und mögliche Diskriminierungen.
3. Rechtsgrundlagen:
   Jede KI-Verarbeitung braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Befragen Sie hierzu Ihren Datenschutzbeauftragten.
4. Softwareentwicklung:
   Bei selbst entwickelter KI gelten die Prinzipien Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen – jede KI-Funktion muss dokumentiert, geprüft und verhältnismäßig sein.
5. Zulässige Dienste:
   Ihre KI-Richtlinie sollte eine Liste erlaubter KI-Systeme und die richtige Bedienung beinhalten. Das schafft Klarheit und reduziert Risiken.
6. Schulung und Sensibilisierung:
   Mitarbeitende müssen regelmäßig über Funktionsweise, Risiken, Kontrolle und sichere Nutzung von KI informiert werden. Hier gibt auch die KI-Verordnung klare Anforderungen zur sogenannten „KI-Kompetenz“ in Art. 4 KI-VO.

Risikomanagement und Umsetzung

KI-Systeme wie Copilot sollten zunächst in einer Testumgebung erprobt werden, bevor sie in den Produktivbetrieb übergehen. Eine interne Richtlinie sollte festlegen, dass KI-Ergebnisse bei Entscheidungen über Verträge niemals die alleinige Entscheidungsgrundlage sein dürfen. Die Entscheidung muss von einem Menschen getroffen werden, sonst droht ein Verstoß gegen Art. 22 DSGVO. Kommt es zu unberechtigten Datenabflüssen, liegt ein Datenschutzvorfall vor, der meldepflichtig ist.

Auch die KI-Verordnung bringt einige zusätzliche Anforderungen mit. Kommen Sie gerne auf uns zu, wenn Sie Fragen haben.

Quellen

• https://learn.microsoft.com/en-us/copilot/microsoft-365/microsoft-365-copilot-architecture (abgerufen am 31.03.26)
• https://learn.microsoft.com/en-us/copilot/microsoft-365/microsoft-365-copilot-privacy (abgerufen am 31.03.26)
• https://dsgvo-gesetz.de/art-28-dsgvo/
• https://dsgvo-gesetz.de/art-6-dsgvo/
• https://ai-act-law.eu/de/artikel/14/
• https://ai-act-law.eu/de/artikel/4/

Autor

Markus Vatter, Head of Compliance, 16.04.2026