Blogartikel unserer Fachexperten

Microsoft Copilot – Game-Changer für den Arbeitsalltag in Steuer- und Rechtsanwaltskanzleien? 

Geschrieben von Nina Böttrich | 27.03.2024 16:07:31

Die Nutzung von KI verspricht den Arbeitsalltag zu erleichtern und die Produktivität steigern. Doch der Einsatz von Ki im Unternehmen gestaltet sich vielfältig und komplex. Im Folgenden wird sich damit auseinandergesetzt, welche Vorteile und Nachteile die Nutzung des Microsoft Copilot im Arbeitsalltag mit sich bringt und welche datenschutzrechtlichen Anforderungen Sie dabei beachten müssen. 

Was ist der Microsoft Copilot? 

Bei dem Microsoft Copiloten handelt es sich um ein KI-gestütztes Tool. Microsoft verspricht dem Nutzer bei Verwendung des Microsoft Copilot einige Vorteile: 

  • Effizienzsteigerung: Copilot kann Entwicklern helfen, schneller zu programmieren, indem es Codevorschläge macht und repetitiven Code automatisiert. 
  • Qualitätsverbesserung: Durch die Bereitstellung von kontextbezogenen Codevorschlägen kann Copilot dazu beitragen, Fehler zu vermeiden und die Codequalität zu verbessern. 
  • Lernfähigkeit: Copilot lernt kontinuierlich aus dem Code, mit dem er arbeitet, und kann so im Laufe der Zeit besser werden, indem er Muster erkennt und optimale Lösungen vorschlägt. 
  • Entlastung von Routineaufgaben: Entwickler können sich auf anspruchsvollere Aufgaben konzentrieren, da Copilot einfache und repetitive Aufgaben übernehmen kann. 
  • Erleichterung der Zusammenarbeit: Copilot kann als nützliches Werkzeug für Teams dienen, indem es Codevorschläge und Kontext für verschiedene Entwicklungsprojekte bereitstellt. 
  • Einfachere Einarbeitung: Neue Entwickler können vom Copilot profitieren, indem sie Codebeispiele und Erklärungen erhalten, die ihnen helfen, sich schneller in neue Projekte einzuarbeiten. 

Welche Daten werden durch den Microsoft Copilot verarbeitet? 

Der Microsoft Copilot verarbeitet eine Vielzahl von Daten, um seine Funktionen auszuführen.  

Dabei handelt es sich hauptsächlich um Codes und die damit verbundene Metadaten, wie beispielsweise Codezeilen, Kommentare und Dokumentationen. Diese Daten sind größtenteils öffentlich zugänglich und enthalten normalerweise keine personenbezogenen Informationen. Es werden auch keine persönlichen oder sensiblen Daten der Entwickler verarbeitet, es sei denn, diese werden absichtlich im Code integriert.  

Zudem hat der Copilot Zugriff auf alle Inhalte, die ein Nutzer durch die Verwendung von Microsoft 365 eingibt. Sprich, durch Verwendung des Copilots, hat Microsoft Zugriff auf sämtliche Organisationsdaten innerhalb des Microsoft-Tenants.  

Microsoft versucht nach eigenen Angaben, Risken in der Verarbeitungstätigkeit zu minimieren, indem einzelne Kundeninhalte innerhalb der Mandanten der Organisation logisch getrennt werden. Die Vertraulichkeit und Integrität der Kundendaten sollen zudem durch strenge physische Sicherheitsmaßnahmen, Hintergrundprüfungen und eine mehrschichtige Verschlüsselung sichergestellt werden. 

Nähere Informationen finden Sie direkt bei Microsoft unter: https://learn.microsoft.com/de-de/microsoft-365-copilot/microsoft-365-copilot-privacy

Datenschutz und Microsoft Copilot 

Neben den oben bereits genannten Vorteilen kann es jedoch auch zu erheblichen Nachteilen bei der Nutzung des Copilots kommen.  

  • Unerwünschte Offenlegung von sensiblen Informationen: Da der Copilot auf öffentlich verfügbaren Code zugreift und diesen analysiert, könnten sensible oder vertrauliche Informationen im Code enthalten sein, die versehentlich offengelegt werden. 
  • Fehlende Kontrolle über Code-Übertragung: Entwickler haben möglicherweise Bedenken hinsichtlich der Übertragung ihres Codes an Microsoft und der damit verbundenen Datensicherheit, insbesondere wenn es um proprietäre oder sensible Projekte geht. 
  • Abhängigkeit von externen Diensten: Die Nutzung des Copiloten bedeutet eine Abhängigkeit von einem externen Dienstleister (Microsoft), was Bedenken hinsichtlich der Kontrolle über den eigenen Entwicklungsprozess und potenzieller Auswirkungen auf die Projektsicherheit und -integrität aufwerfen kann. 
  • Fehlende Transparenz über Datenverarbeitung: Einige Nutzer äußern Bedenken über die mangelnde Transparenz bezüglich der genauen Art und Weise, wie der Copilot Daten verarbeitet, analysiert und speichert, sowie darüber, wie lange diese Daten aufbewahrt werden. 
  • Risiko von Datenschutzverletzungen: Trotz Bemühungen von Microsoft, die Privatsphäre zu schützen, besteht immer ein gewisses Risiko von Datenschutzverletzungen oder unbefugtem Zugriff auf die verarbeiteten Daten. 

Microsoft ist zwar bestrebt, die Datenschutz- und Sicherheitsbedenken zu berücksichtigen und den Copiloten im Einklang mit den geltenden Datenschutzbestimmungen zu betreiben. Diese Zusicherungen finden sich jedoch weder schriftlich festgehalten in den Supplemental Terms noch im Auftragsverarbeitungsvertrag von Microsoft.  

Problemtisch ist der für den Copilot geltenden Auftragsverarbeitungsvertrag selbst, da hier der Passus enthalten ist, dass Microsoft das Recht hat, zumindest Diagnose- und Metadaten zu eigenen Zwecken zu verarbeiten (vgl. Microsoft DPA, S. 7).  

Zumindest die Möglichkeit, dass Microsoft die Daten für eigene Zwecke nutzt, kann somit nicht ausgeschlossen werden, da es an einer vertraglichen Grundlage für dieser Zusicherung mangelt. Daher ist es ratsam, dass Nutzer sich bewusst sind, welche Daten sie mit dem Copiloten teilen, und gegebenenfalls zusätzliche Schutzmaßnahmen ergreifen. 

Microsoft Copilot – DS-GVO konform nutzbar? 

Die Frage, ob Microsoft Copilot DSGVO-konform genutzt werden kann, ist nicht mit einem einfachen „Ja“ oder „Nein“ zu beantworten. Die Antwort hängt von verschiedenen Faktoren ab. Die DS-GVO (https://dsgvo-gesetz.de/) regelt den Datenschutz und den Umgang mit personenbezogenen Daten innerhalb der Europäischen Union. Bei der Nutzung von Diensten wie Microsoft Copilot müssen verschiedene Aspekte berücksichtigt werden: 

  • Datenverarbeitung: Microsoft Copilot verarbeitet Daten, darunter möglicherweise auch personenbezogene Daten wie Code, der personenbezogene Informationen enthalten könnte. Es ist wichtig sicherzustellen, dass die Verarbeitung dieser Daten den Anforderungen der DSGVO entspricht, insbesondere was die Rechtmäßigkeit, Fairness und Transparenz der Verarbeitung betrifft. 
  • Datensicherheit: Gemäß der DSGVO müssen angemessene Maßnahmen ergriffen werden, um die Sicherheit personenbezogener Daten zu gewährleisten. Microsoft muss sicherstellen, dass angemessene Sicherheitsmaßnahmen implementiert sind, um die Daten vor unbefugtem Zugriff, Verlust oder Diebstahl zu schützen. 
  • Informationspflichten: Gemäß der DSGVO müssen Benutzer über die Verarbeitung ihrer Daten informiert werden, einschließlich darüber, welche Daten verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage dies geschieht. Microsoft muss sicherstellen, dass Benutzer angemessen informiert werden und ihre Zustimmung gegebenenfalls einholen, wenn dies erforderlich ist. 
  • Datenübermittlung: Wenn personenbezogene Daten außerhalb der Europäischen Union übertragen werden, gelten besondere Anforderungen gemäß der DSGVO. Microsoft muss sicherstellen, dass angemessene rechtliche Mechanismen vorhanden sind, um die Übermittlung personenbezogener Daten in Länder außerhalb der EU zu legitimieren. 

Benutzer sollten sich bewusst sein, dass die Nutzung von Diensten wie dem Copiloten auch ihre eigenen Pflichten als datenschutzrechtlich Verantwortlicher mit sich bringt, insbesondere dann, wenn personenbezogene Daten im Unternehmen verarbeitet werden. Der Verantwortliche Unternehmer bestimmt selbst den Zweck, zu dem er den Copiloten verwenden will. Auch sollte nicht übersehen werden, Mitarbeiter genau zu informieren und die Nutzung des Copilots durch Festlegung eines Berechtigungskonzeptes zu begrenzen. 

Verantwortlichen ist zu raten, sich über die Datenschutzbestimmungen und -praktiken von Microsoft zu informieren und sich gegebenenfalls rechtlichen Rat einzuholen, bevor Sie mit der Umsetzung im Unternehmen beginnen. Nur so kann sichergestellt werden, dass die Nutzung des Copiloten den geltenden Datenschutzgesetzen entspricht. 

Hilfe für die Integration von KI finden Sie beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) in der veröffentlichten Checkliste für die datenschutzkonforme Nutzung von künstlicher Intelligenz unter: https://www.lda.bayern.de/media/ki_checkliste.pdf

Datenschutzfolgeabschätzung (DSFA) 

Bevor Sie sich für die Nutzung des Copilots entscheiden, sollten Sie zunächst prüfen, ob die KI, die Sie einsetzen wollen, die Erstellung einer Datenschutzfolgeabschätzung (DSFA) erforderlich macht. In der Bayerischen Blacklist (erstellt durch den Bayerischen Landesbeauftragten für Datenschutz) werden Fallgruppen aufgeführt, in welchen eine Datenschutzfolgenabschätzung erforderlich ist. Ob Sie für die von Ihnen ausgewählte KI tatsächlich eine Datenschutzfolgeabschätzung durchführen müssen, hängt maßgeblich von dem Zweck ab, für den Sie die KI nutzen möchten. Die Bayerische Blacklist finden Sie unter folgendem Link: https://www.datenschutz-bayern.de/datenschutzreform2018/DSFA_Blacklist.pdf

Im Rahmen der Datenschutzfolgeabschätzung werden die möglichen Risiken ermittelt und diesen mit geeigneten Maßnahmen zu begegnen. Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäß Artikel 35 Absatz 1 der Datenschutzgrundverordnung (DS-GVO) immer dann erforderlich, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. 

Die Nutzung des Microsoft Copiloten ist wie bereits dargestellt, komplex und kann gegebenenfalls ein erhebliches Risiko für die Rechte und Freiheiten der Betroffenen darstellen. Die hängt aber wie bereits erwähnt von dem Zweck ab, für die Sie den Copilot im Unternehmen nutzen möchten. 

Nähere Informationen zur Datenschutzfolgeabschätzung finden Sie im Kurzpapier Nr. 5 der DSK (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf

Warum Microsoft Copilot für Steuer- und Rechtsanwaltskanzleien in Deutschland ein Game-Changer sein könnte 

In der heutigen digitalen Ära sind Effizienz und Innovation die Schlüssel zum Erfolg. Dies gilt auch für Steuer- und Rechtsanwaltskanzleien. Mit der Einführung von Microsoft Copilot, einer fortschrittlichen künstlichen Intelligenz (KI), die speziell für Geschäftsanwendungen entwickelt wurde, eröffnen sich neue Horizonte für Kanzleien in Deutschland. Trotz derzeitiger Kritik kann der Microsoft Copilot für Steuer- und Rechtsanwaltskanzleien von Interesse sein, um den Arbeitsalltag zu erleichtern und effizienter zu gestalten. Im Folgenden zeigen wir einige praktische Beispiele für den Einsatz in Excel, Teams und Word. 

  • Excel: Automatisierte Datenanalyse und Berichterstattung 

Sie könnten komplexe Finanzdaten mit einfachen Sprachbefehlen analysieren und visualisieren. Microsoft Copilot macht dies möglich, indem es die Erstellung von Berichten, die Analyse von Trends und sogar die Vorhersage zukünftiger Finanzentwicklungen vereinfacht. Steuerberater könnten Copilot beispielsweise bitten, „eine Prognose für die Umsatzentwicklung im nächsten Quartal basierend auf den letzten drei Jahren zu erstellen“, und innerhalb weniger Sekunden würde eine detaillierte Analyse direkt in Excel generiert. 

  • Teams: Effiziente Kommunikation und Projektmanagement 

In Teams könnte Copilot als digitaler Assistent dienen, der Besprechungen zusammenfasst, Aufgaben zuweist und Fristen überwacht. Nach einer Teams-Besprechung könnte Copilot automatisch eine Zusammenfassung der besprochenen Punkte erstellen und die nächsten Schritte für jedes Teammitglied festlegen, wodurch die Produktivität gesteigert und Kommunikationslücken geschlossen werden. 

  • Word: Schnelle Erstellung von Dokumenten 

Für Steuerkanzleien, die regelmäßig komplexe Berichte, Steuererklärungen oder Informationsbriefe erstellen, kann Copilot eine enorme Zeitersparnis bedeuten. Durch einfache Anweisungen kann Copilot Entwürfe erstellen, die den neuesten Steuervorschriften entsprechen, oder spezifische Steuerberatungsbriefe generieren, die nur noch einer finalen Überprüfung bedürfen. 

Die Nutzung von KI bietet Steuer- und Rechtsanwaltskanzleien in Deutschland die Möglichkeit, ihre Arbeitsprozesse zu revolutionieren, die Effizienz zu steigern und ihren Klienten einen Mehrwert zu bieten. Durch die Automatisierung routinemäßiger Aufgaben können Steuerberater mehr Zeit für hochwertige Beratung und strategische Planung aufwenden. Gleichzeitig müssen jedoch die datenschutzrechtlichen Aspekte sorgfältig berücksichtigt werden, um den Schutz personenbezogener Daten zu gewährleisten und regulatorische Anforderungen zu erfüllen. Mit der richtigen Vorbereitung und den geeigneten Maßnahmen, lassen sich KI wie der Microsoft Copilot im Arbeitsalltag integrieren. 

Fazit 

Die Entscheidung, den Microsoft Copiloten trotz datenschutzrechtlicher Bedenken zu nutzen, hängt von verschiedenen Faktoren ab und sollte sorgfältig abgewogen werden: 

  • Überprüfen Sie den Nutzen des Dienstes im Vergleich zu den potenziellen Datenschutzrisiken 
  • Bewerten Sie die Sensibilität der Daten, die Sie teilen möchten 
  • Prüfen Sie die Datenschutzpraktiken des Anbieters 
  • Erwägen Sie alternative Optionen, die Ihre Anforderungen erfüllen könnten 
  • Stellen Sie sicher, dass die Nutzung des Copiloten mit den Compliance-Anforderungen Ihrer Organisation übereinstimmt (ggf. Anpassung Ihrer TOMs ua.) 
  • Erstellen Sie ein Berechtigungskonzept und beschränken Sie die Zugriffe 
  • Erstellen Sie eine Datenschutzfolgeabschätzung (DSFA), falls die Nutzung ein Hohes Risiko für die Rechte und Freiheiten der betroffenen Personen beinhalten kann 
  • Schulen Sie die Mitarbeiter, die Zugriff auf den Copiloten haben sollen im Umgang mit dem Copiloten 
  • Einbeziehung Ihres Datenschutzbeauftragten 

Letztendlich liegt die Entscheidung bei Ihnen und sollte auf einer umfassenden Bewertung der Risiken und Vorteile basieren. Es kann auch hilfreich sein, mit Ihrem Datenschutzbeauftragten /- Berater oder rechtlichen Beratern (z.B. uns) zu sprechen, um eine fundierte Entscheidung zu treffen. Wir bieten eine umfassende Beratung für den datenschutzkonformen Einsatz von Microsoft-Produkten im Kanzlei- und Unternehmensumfeld.