Was Ihr IT-Dienstleister bei Copilot nicht abdeckt (und warum das normal ist)
Wenn Copilot in einem Unternehmen eingeführt wird, kümmert sich in den meisten Fällen das IT-Systemhaus darum. Das ist logisch. Das Systemhaus verwaltet die Microsoft-365-Umgebung, kennt den Tenant, hat die Zugangsdaten. Also aktiviert es die Copilot-Lizenzen, konfiguriert die Grundeinstellungen und macht vielleicht einen ersten Test.
Technisch funktioniert Copilot danach. Die Compliance-Seite sieht in der Regel anders aus. Und das ist kein Vorwurf an den IT-Dienstleister. Es liegt an der Natur der Aufgabe.
Was IT-Dienstleister gut machen
Ich arbeite regelmäßig mit IT-Systemhäusern zusammen und ich schätze deren Arbeit. Was sie leisten, ist nicht trivial.
Lizenzbereitstellung und Tenant-Konfiguration. Netzwerkeinrichtung und Endpoint-Management. Benutzer-Onboarding und Identitätsmanagement. Grundlegende Sicherheitseinstellungen: MFA, Conditional Access, Defender-Konfiguration. Exchange, SharePoint, Teams, die ganze Microsoft-365-Administration.
Das ist deren Kernkompetenz. Und für die meisten IT-Anforderungen reicht das vollkommen aus. Ein neuer Server, ein Netzwerkproblem, ein Rollout von Windows 11: Dafür ist das Systemhaus der richtige Ansprechpartner. Und es macht diese Arbeit gut.
Wo die Lücke entsteht
Bei Copilot verschiebt sich etwas. Copilot ist nicht einfach ein weiteres Microsoft-365-Feature, das man aktiviert. Es ist ein KI-System, das auf alle Daten zugreift, auf die der jeweilige Benutzer Zugriff hat. SharePoint, OneDrive, E-Mails, Teams-Chats. Und damit entstehen Anforderungen, die über klassische IT-Administration hinausgehen.
Ich beschreibe hier, was ich in der Praxis sehe. Nicht als Kritik, sondern als Beobachtung.
Fangen wir mit der Datenschutz-Folgenabschätzung an. Art. 35 DSGVO verlangt eine DSFA, wenn ein neues Verarbeitungsverfahren voraussichtlich ein hohes Risiko birgt. Ein KI-System, das potenziell alle Unternehmensdaten durchsucht, fällt in diese Kategorie. Eine DSFA zu erstellen erfordert DSGVO-Expertise. Konkretes Wissen über Rechtsgrundlagen, Verhältnismäßigkeit, technische und organisatorische Maßnahmen. Das ist eine juristische und regulatorische Aufgabe, keine technische.
Dann die Bewertung der Auftragsverarbeitungsbedingungen. Microsoft hat einen AVV für Microsoft 365. Die DSK (Datenschutzkonferenz der deutschen Aufsichtsbehörden) hat diesen AVV in der Vergangenheit als unzureichend bewertet. Die Einschätzung, ob der aktuelle Stand für Ihr Unternehmen tragbar ist, erfordert regulatorisches Fachwissen. Das ist nichts, was ein IT-Techniker nebenbei beurteilen kann. Und es wäre unfair, das von ihm zu erwarten.
Sensitivity Labels sind ein weiteres Thema. In einer Steuerberatungskanzlei oder Anwaltskanzlei gelten besondere Anforderungen nach § 203 StGB. Mandantendaten unterliegen der beruflichen Schweigepflicht. Die Label-Architektur muss diese besonderen Anforderungen abbilden. Das ist mehr als eine technische Konfiguration. Es braucht Verständnis dafür, welche Datenkategorien besonderen Schutz brauchen und warum.
Ähnlich bei DLP-Policies. Data Loss Prevention in Microsoft 365 kann verhindern, dass sensible Daten in falsche Kanäle geraten. Aber die Policies müssen auf branchenspezifische Compliance-Anforderungen abgestimmt sein. Welche Fragen vor einem Copilot-Rollout beantwortet werden müssen, habe ich hier zusammengefasst.
Und schließlich die Mitarbeiterschulung. Art. 4 des EU AI Act verlangt eine KI-Kompetenzpflicht für alle Mitarbeiter, die mit KI-Systemen arbeiten. Die Schulungsinhalte zu entwickeln, zu dokumentieren und nachzuweisen ist eine eigenständige Aufgabe, die Wissen über regulatorische Anforderungen voraussetzt.
Warum das keine Kritik ist
IT-Administration und Compliance-Beratung sind verschiedene Fachgebiete. Das ist so offensichtlich, dass es fast nicht erwähnt werden muss. Aber in der Praxis wird es trotzdem vermischt.
Ein Steuerberater macht nicht seine eigene IT. Ein IT-Systemhaus macht keine DSGVO-Folgenabschätzungen. Beides ist notwendig. Keines ersetzt das andere.
Ich erlebe manchmal, dass Unternehmen vom IT-Dienstleister erwarten, dass er auch die Compliance-Seite abdeckt. Das ist nachvollziehbar, denn es ist der bestehende Ansprechpartner und man kennt sich. Aber es ist eine Erwartung, die in den meisten Fällen nicht erfüllt werden kann. Nicht weil der Dienstleister schlecht ist. Sondern weil es nicht sein Fachgebiet ist.
Wie das zusammenspielt
Der Ansatz, den ich verfolge, setzt genau an dieser Schnittstelle an.
Ich erstelle die Compliance-Architektur. Das bedeutet: DSFA, Sensitivity-Label-Taxonomie, DLP-Regelwerk, Schulungsunterlagen, Dokumentation für das Verarbeitungsverzeichnis. Alles, was die regulatorische Seite betrifft.
Das IT-Systemhaus implementiert die technische Konfiguration. Es setzt die Labels um, konfiguriert die DLP-Policies, passt die SharePoint-Berechtigungen an. Das sind Aufgaben, die in seine Kernkompetenz fallen.
Das Ergebnis für das Unternehmen: Funktionierende Technik und dokumentierte Compliance. Nicht das eine oder das andere.
Ich habe das bei mehreren Kanzleien so umgesetzt. Die Zusammenarbeit mit dem jeweiligen IT-Dienstleister war in jedem Fall unkompliziert, weil die Aufgabenteilung klar war. Kein Kompetenzgerangel, kein Zuständigkeitsstreit. Jeder macht das, was er kann. Wie Oversharing bei Copilot technisch entsteht und was dagegen hilft, habe ich hier erklärt.
Was das für Sie bedeutet
Wenn Ihr IT-Dienstleister Copilot aktiviert hat und Sie sich fragen, ob auf der Compliance-Seite alles abgedeckt ist: Die Antwort ist wahrscheinlich nein. Das heißt nicht, dass Ihr IT-Dienstleister etwas falsch gemacht hat. Es heißt, dass ein Teil der Arbeit noch offen ist.
Die gute Nachricht: Das nachzuholen ist kein Großprojekt. Eine DSFA, eine saubere Label-Struktur und eine Mitarbeiterschulung lassen sich in wenigen Tagen umsetzen. Parallel zum laufenden Betrieb, ohne dass irgendjemand seinen Copilot abschalten muss.
Ich biete eine kostenlose 30-Minuten-Einschätzung an, in der ich mir ansehe, wo Ihre aktuelle Copilot-Konfiguration steht und was auf der Compliance-Seite fehlt. Kein Verkaufsgespräch. Eine ehrliche Bewertung, die Sie auch dann nutzen können, wenn wir danach nicht zusammenarbeiten.
Termin buchen: 30 Minuten KI-Compliance-Einschätzung
Jose Lugo ist CISSP-zertifizierter Berater mit Sitz in Deutschland, spezialisiert auf DSGVO-konforme KI-Implementierung für mittelständische Unternehmen. Mehr unter joselugo.de und unter Leistungen.