Leistungen Über mich KI-Check Blog Kontakt English Erstgespräch buchen
Für Unternehmen mit Microsoft 365

Copilot ist da.
Ist Ihr Datenschutz bereit?

Microsoft 365 Copilot verändert die Arbeit Ihres Teams. Ich kümmere mich um die DSGVO-Seite: Datenschutz-Folgenabschätzung, Sensitivity Labels, Berechtigungsarchitektur. Damit Copilot konform läuft, nicht nur funktioniert.

Kostenloses Erstgespräch buchen
CISSP M365 Endpoint Admin Security+ Daten bleiben in der EU
Das Problem

Copilot ist leistungsfähig. Aber die Compliance-Lücken sind real.

Copilot verarbeitet alles, worauf Ihre Mitarbeiter Zugriff haben. Ohne DSFA, ohne Sensitivity Labels, ohne Berechtigungsaudit wird das Werkzeug zum Risiko.

Keine DSFA

Ihr Unternehmen hat Microsoft 365. Die Copilot-Lizenzen stehen bereit oder sind bereits aktiv. Aber hat jemand eine DSFA erstellt? DSGVO Art. 35 verlangt eine Datenschutz-Folgenabschätzung für KI-gestützte Verarbeitung. Microsoft ist Auftragsverarbeiter. Die Pflicht liegt beim Verantwortlichen.

Offene Berechtigungen

Ihre SharePoint-Berechtigungen wurden vor Jahren eingerichtet. Seitdem hat sich die Teamstruktur mehrfach geändert, aber die Zugriffsrechte nicht. Copilot zeigt Mitarbeitern alles, worauf sie Zugriff haben. Auch Dateien, die sie nicht sehen sollten.

DSK-Kritik

Microsoft sagt, Copilot sei konform. Die Datenschutzkonferenz sagt, Microsofts Auftragsverarbeitungsbedingungen reichen nicht aus. Die Verantwortung liegt bei Ihnen als Verantwortlicher, unabhängig davon, was Microsoft zusichert.

§ 203 StGB

Steuerberater, Anwälte, Ärzte: Berufsgeheimnisträger haben eine strafrechtliche Geheimhaltungspflicht. Wenn sensible Mandantendaten ohne passende Architektur durch Copilot fließen, riskieren Sie einen Verstoß. Das ist kein Bußgeld. Das ist Strafrecht. Für Kanzleien, die ChatGPT bereits im Einsatz haben: Was Steuerberater beim ChatGPT-Einsatz beachten müssen.

Leistungen

Drei Leistungen für drei Situationen

Copilot-Compliance-Audit

Sie haben Copilot. Ich prüfe, ob es konform ist.

  • DSFA nach DSGVO Art. 35. Das Dokument, das die BaFin oder Ihre Aufsichtsbehörde jederzeit anfordern kann.
  • SharePoint-Berechtigungen, Sensitivity Labels und DLP-Richtlinien im Audit. Wo Oversharing passiert, wird es sichtbar.
  • § 203 StGB-Analyse für Berufsgeheimnisträger: Steuerberater, Anwälte, Ärzte.
DSFA inklusive 2 Wochen

Compliant Copilot Deployment

Sie wollen Copilot einführen. Ich sorge dafür, dass es von Tag eins richtig läuft.

  • Sensitivity-Label-Taxonomie, Auto-Labeling-Regeln und DLP-Richtlinien. Alles konfiguriert, bevor Copilot aktiviert wird.
  • SharePoint-Berechtigungsstruktur, die Oversharing von Anfang an verhindert. Nicht nachträglich repariert.
  • Mitarbeiterschulung und Zusammenarbeit mit Ihrem IT-Dienstleister bei der Umsetzung. Ich ersetze niemanden, ich ergänze.
Schlüsselfertige Architektur 3-4 Wochen

Managed Compliance Service

Compliance endet nicht nach dem Audit. Ich bleibe dran.

  • Vierteljährliche DSFA-Überprüfung. Microsoft ändert Subunternehmer regelmäßig, zuletzt Anthropic im Januar 2026. Ihre DSFA muss das abbilden.
  • Sensitivity-Label-Monitoring und Incident Response bei Vorfällen. Labels hatten in den letzten 8 Monaten zwei dokumentierte Schwachstellen.
  • Audit-Vorbereitung für BaFin und Datenschutzbehörden. Wenn die Anfrage kommt, ist alles dokumentiert.
Laufende Betreuung Quartalsweise
Copilot einschalten reicht nicht

Copilot gehört zu den leistungsfähigsten KI-Werkzeugen auf dem Markt. Die Frage ist nicht, ob Sie es nutzen sollten. Die Frage ist, ob Ihre Umgebung dafür bereit ist.

So läuft es ab
1

Compliance-Bewertung

30 Minuten, kostenlos. Ich frage nach Ihrer M365-Umgebung, dem Copilot-Status, den Datentypen und der bestehenden DSB-Struktur. Danach wissen wir beide, welcher Weg passt.

2

Audit oder Architektur

Entweder prüfe ich eine bestehende Copilot-Installation (2 Wochen) oder ich entwerfe die Compliance-Architektur für eine neue Einführung (3-4 Wochen). Am Ende haben Sie eine fertige DSFA, ein Sensitivity-Label-Design und geschulte Mitarbeiter.

3

Laufende Compliance

Copilot verändert sich ständig. Microsoft ergänzt Subunternehmer, aktualisiert Funktionen, Labels versagen. Ich überwache die Änderungen und halte Ihr Unternehmen Quartal für Quartal konform.

Häufige Fragen

Copilot & Compliance: was Sie wissen müssen

Brauche ich eine DSFA für Copilot?
Ja. DSGVO Art. 35 verlangt eine Datenschutz-Folgenabschätzung für Verarbeitungen mit hohem Risiko. KI-gestützte Dokumentenverarbeitung fällt darunter. Microsoft stellt eine Vorlage bereit, weist aber ausdrücklich darauf hin, dass der Verantwortliche seine eigene DSFA erstellen muss. Die meisten Unternehmen haben das bisher nicht getan.
Ist Microsoft 365 Copilot DSGVO-konform?
Teilweise. Microsoft hat Compliance-Zertifizierungen. Aber die DSK (Datenschutzkonferenz) hat die Auftragsverarbeitungsbedingungen als unzureichend eingestuft. Das Unternehmen bleibt als Verantwortlicher in der Pflicht, unabhängig davon, was Microsoft zusichert.
Was ist mit § 203 StGB?
Die strafrechtliche Geheimhaltungspflicht gilt für Steuerberater, Anwälte und Ärzte. Copilot verarbeitet Dokumentinhalte. Wenn sensible Mandantendaten ohne passende Architektur durch Copilot fließen (fehlende Sensitivity Labels, zu breiter Zugriff), riskiert die Kanzlei einen Verstoß. Architektur ist Pflicht, nicht Kür.
Was sind Sensitivity Labels und warum brauche ich sie?
Sensitivity Labels sind Microsofts Werkzeug zur Klassifizierung und zum Schutz von Dokumenten. Sie steuern, worauf Copilot zugreifen darf. Ohne korrekt konfigurierte Labels behandelt Copilot alle Inhalte gleich. Vertrauliche Mandantenakten bekommen dieselbe Behandlung wie die Speisekarte der Betriebskantine.
Kann mein IT-Dienstleister das nicht machen?
Ihr IT-Systemhaus kümmert sich um Infrastruktur. Lizenzen, Netzwerk, Berechtigungen. Copilot-Compliance erfordert darüber hinaus DSGVO-Expertise: eine DSFA, die Bewertung von Microsofts Auftragsverarbeitungsbedingungen, Sensitivity-Label-Architekturen, die zum Berufsgeheimnis passen. Ich bringe beides mit. Ich arbeite mit Ihrem IT-Dienstleister zusammen, nicht gegen ihn.
Was kostet das?
Die Kosten richten sich nach Ihrer Ausgangslage: ob Copilot bereits im Einsatz ist, neu eingeführt wird oder laufende Betreuung benötigt. Im kostenlosen 30-Minuten-Erstgespräch bewerte ich Ihre Situation und erstelle ein konkretes Angebot. Keine langfristigen Verträge, keine versteckten Kosten.
Was passiert, wenn Microsoft die Lücken schließt?
Einige Lücken werden geschlossen. Microsoft hat Datenverarbeitung im Inland und stabilere Labels angekündigt. Andere Lücken sind strukturell und dauerhaft: Die DSFA-Pflicht ist Gesetz, kein Feature. SharePoint-Berechtigungen sind bei jeder Firma einzigartig. Die § 203-Architektur liegt in der Verantwortung der Kanzlei, unabhängig davon, was Microsoft tut.
Über mich

Jose Lugo. CISSP-zertifiziert.
12 Jahre U.S. Army Intelligence.

Ich bin Amerikaner, lebe in Deutschland und mache KI-Deployments konform. Mein Hintergrund liegt im Schutz sensibler Daten in Umgebungen, in denen Fehler keine Option waren. Heute bringe ich dieselbe Sorgfalt in die Copilot-Compliance für Unternehmen ein, die mit Mandanten- und Kundendaten arbeiten.

Ich baue keine Slide Decks. Ich baue die Compliance-Architektur. Ich konfiguriere Ihr System selbst. Sensitivity Labels, DLP-Richtlinien, SharePoint-Berechtigungen: Ich logge mich ein und richte es ein. Meine Arbeit ist quelloffen und auf GitHub prüfbar.

CISSP · Security+ · M365 Endpoint Administrator

Jose Lugo, CISSP-zertifizierter KI-Compliance-Berater
Was Sie erwarten können

DSFA erstellt und dokumentiert

Sensitivity Labels konfiguriert

SharePoint-Berechtigungen geprüft

§ 203 StGB-Architektur berücksichtigt

Laufende Überwachung durch Managed Service

Copilot-Readiness-Check

Ist Ihre M365-Umgebung bereit für Copilot?

7 Fragen, 2 Minuten. Finden Sie heraus, ob Ihr Unternehmen Copilot DSGVO-konform einsetzen kann.

Zum Copilot-Check

Bereit, Copilot sicher einzusetzen?

Buchen Sie ein kostenloses 30-Minuten-Gespräch. Keine Verkaufsgespräche, nur eine ehrliche Einschätzung Ihrer Compliance-Situation.

Oder haben Sie zuerst eine Frage?

Kontaktieren Sie mich

LinkedIn · GitHub