Copilot Microsoft und KI-Verordnung - ist Ihr Unternehmen betroffen?
Microsoft 365 Copilot ist in die Tools tausender französischer Unternehmen integriert. Doch seine Nutzung löst Pflichten nach der KI-Verordnung aus, die je nach Einsatzbereich variieren. Hier erfahren Sie, was Sie jetzt prüfen müssen.
Warum Copilot Sie der KI-Verordnung unterwirft
Microsoft 365 Copilot ist ein generatives KI-Tool, das in Word, Excel oder Outlook integriert ist. Sein Einsatz in Ihrem Unternehmen unterstellt Sie automatisch dem Regelwerk der KI-Verordnung.
Die KI-Verordnung unterscheidet zwei Rollen: den Anbieter (Microsoft) und den Betreiber (Ihr Unternehmen). Als Betreiber tragen Sie die Verantwortung für die Konformität der Nutzung von Copilot. Dazu gehören Risikobewertung, Dokumentation und menschliche Aufsicht - selbst wenn Microsoft das zugrundeliegende Modell bereitstellt.
Artikel 26 der KI-Verordnung besagt, dass der Betreiber sicherstellen muss, dass das System entsprechend seiner ursprünglichen Bestimmung eingesetzt wird. Wenn Sie Copilot für HR- oder Finanzentscheidungen zweckentfremden, tragen Sie die Verantwortung für die Konformität dieser spezifischen Nutzung.
Was Microsoft übernimmt - und was bei Ihnen bleibt
Microsoft als Anbieter des GPAI-Modells (GPT-4) muss sich an die Artikel 51 bis 56 der KI-Verordnung halten. Dies deckt jedoch nicht Ihre internen Nutzungen ab.
- Konformität des GPAI-Modells (Artikel 51-56)
- Technische Dokumentation und Transparenz (AI Transparency Report)
- Management systemischer Risiken
- Risikobewertung nach Nutzung (Artikel 6)
- Dokumentation interner Prozesse (Artikel 26)
- Menschliche Aufsicht und Schulung der Nutzer:innen
- Transparenz gegenüber betroffenen Dritten (Artikel 50)
Microsoft veröffentlicht eine Konformitätsdokumentation zur KI-Verordnung für seine Dienste. Diese Dokumentation ist hilfreich, ersetzt jedoch nicht Ihre eigene Risikobewertung Ihrer spezifischen Nutzungen.
Ihre Pflichten nach Nutzung von Copilot
Die Pflichten variieren je nachdem, ob Copilot für allgemeine Produktivität oder sensible Entscheidungen genutzt wird.
1. Standardnutzung (Produktivität, Texterstellung, Recherche)
In diesem Fall wird Copilot wahrscheinlich als System mit begrenztem Risiko (Artikel 50) eingestuft. Ihre Pflichten sind zwar geringer, aber dennoch relevant:
- Nutzer:innen darüber informieren, dass Copilot ein KI-System ist.
- Interne Nutzungsfälle dokumentieren (z.B. Protokollerstellung).
- Mitarbeiter:innen in verantwortungsvoller Nutzung schulen (z.B. keine sensiblen Daten teilen).
- Prüfen, dass Ausgaben Dritte nicht ohne Transparenz betreffen (z.B. automatisch generierte E-Mails).
2. Sensible Nutzung (HR-Entscheidungen, Kreditvergabe, Leistungsbewertung)
Wenn Copilot für automatisierte Entscheidungen in den in Anhang III der KI-Verordnung aufgeführten Bereichen genutzt wird, kann es als Hochrisiko-KI-System eingestuft werden. Ihre Pflichten werden dann streng:
- Risikobewertung vor Inbetriebnahme (Artikel 9).
- Detaillierte technische Dokumentation (Artikel 11).
- Verpflichtende menschliche Aufsicht (Artikel 14).
- Protokollierung der Aktivitäten (Artikel 12).
- Klare Information betroffener Personen (Artikel 13).
« Ein Unternehmen, das Copilot zur Vorauswahl von Bewerbungen oder zur Bewertung von Kreditanträgen nutzt, wird automatisch zum Anbieter eines Hochrisiko-KI-Systems - selbst wenn es das Modell nicht selbst entwickelt hat. »
Praktische Beispiele, in denen Copilot zum Hochrisiko-System wird
Hier sind konkrete Beispiele, in denen Ihre Nutzung von Copilot in die Hochrisiko-Kategorie fällt.
1. Personalwesen und Personalmanagement
Wenn Copilot genutzt wird für:
- Vorauswahl oder Sortierung von Bewerbungen.
- Generierung von Leistungsbewertungen.
- Vorschläge für Beförderungen oder Gehaltserhöhungen.
Diese Nutzungen fallen unter Anhang III, Punkt 4 der KI-Verordnung (Arbeitsverhältnisse). Sie müssen dann die Pflichten für Hochrisiko-KI-Systeme anwenden - selbst wenn Copilot nicht dafür entwickelt wurde.
2. Kreditvergabe und Finanz-Scoring
Wenn Copilot genutzt wird für:
- Analyse von Kreditanträgen oder Kreditwürdigkeit.
- Bewertung der Bonität von Kund:innen.
- Vorschläge für personalisierte Tarife.
Diese Nutzungen fallen unter Anhang III, Punkt 5 (Zugang zu wesentlichen Dienstleistungen). Auch hier gelten die strengen Pflichten für Hochrisiko-Systeme.
3. Gesundheit und Versicherungen
Wenn Copilot genutzt wird für:
- Analyse von Patientendaten (auch teilweise).
- Vorschläge für personalisierte Versicherungstarife.
Diese Nutzungen fallen unter Anhang III, Punkte 1 und 6. Sie gelten als hochriskant und erfordern strikte Konformität.
Datenhosting: Was Microsoft dazu sagt
Microsoft bietet seit 2023 die Option EU Data Boundary an, die die Speicherung von Kundendaten ausschließlich in europäischen Rechenzentren ermöglicht.
Für Copilot bedeutet dies:
- Daten, die von Copilot verarbeitet werden (Dokumente, E-Mails, Prompts), bleiben in der EU.
- Dies erleichtert die DSGVO-Konformität, ersetzt jedoch nicht die Pflichten der KI-Verordnung.
- Prüfen Sie Ihren Microsoft-365-Vertrag, um die Aktivierung dieser Option zu bestätigen.
Das KI-Büro der EU betont, dass die Speicherung von Daten in der EU ein wichtiger Faktor ist, aber keine vollständige Konformität mit der KI-Verordnung garantiert.
Identifizieren Sie Ihre Pflichten in 3 Minuten
Unser kostenloses Diagnosetool analysiert Ihre Copilot-Nutzung und zeigt Ihnen die nächsten Schritte zur Konformität auf.
Häufige Fragen
Antworten auf die wichtigsten Fragen zu Copilot und der KI-Verordnung.
Microsoft ist als Anbieter des GPAI-Modells (Artikel 51-56) verantwortlich. Ihr Unternehmen trägt jedoch die Verantwortung für die Nutzung von Copilot, insbesondere wenn diese Nutzung als Hochrisiko-System eingestuft wird (Artikel 26).
Prüfen Sie Anhang III der KI-Verordnung. Wenn Copilot für Entscheidungen in den aufgeführten Bereichen (HR, Kredit, Gesundheit etc.) genutzt wird, handelt es sich wahrscheinlich um ein Hochrisiko-System. Eine präzise Diagnose wird empfohlen.
Ja. Artikel 4 der KI-Verordnung verlangt eine KI-Kompetenz (AI literacy) der Nutzer:innen. Dazu gehören Schulungen zu den Grenzen von Copilot, zu Bias-Risiken und zu bewährten Praktiken für konforme Nutzungen.
Sie müssen die Pflichten für Hochrisiko-KI-Systeme (Artikel 9 bis 15) anwenden: Risikobewertung, technische Dokumentation, menschliche Aufsicht, Protokollierung und Information betroffener Personen. Ein Konformitätsaudit wird dringend empfohlen.
Die EU Data Boundary erleichtert die DSGVO-Konformität, indem sie Datenübertragungen außerhalb der EU begrenzt. Sie deckt jedoch nicht alle DSGVO-Anforderungen (z.B. Auskunftsrecht, Berichtigung) oder die spezifischen Pflichten der KI-Verordnung ab. Eine vollständige Prüfung ist erforderlich.
Das hängt vom Zweck ab. Wenn die Analyse zu automatisierten Entscheidungen führt (z.B. Kredit-Scoring), kann dies hochriskant sein. In jedem Fall müssen Sie Kund:innen informieren und die Nutzung dokumentieren (Artikel 50). Vermeiden Sie die Verarbeitung sensibler Daten ohne vorherige Analyse.
Die Sanktionen können bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes betragen (Artikel 99). Für KMU sind die Strafen auf 15 Millionen Euro oder 3 % des Umsatzes begrenzt. Die Aufsichtsbehörden (in Frankreich die CNIL) können zudem Korrekturmaßnahmen anordnen.