169 Seiten Datenschutz-Folgenabschätzung für Microsoft 365 Copilot

Bild: Papierstapel (KI-generiert)

Das Information Commissioner’s Office (ICO), die Datenschutz-Aufsichtsbehörde im Vereinigten Königreich, möchte den KI-Dienst CoPilot 365 für rund 30 Nutzer einsetzen.

Das Ergebnis ist ein Data Protection Impact Assessment (DPIA) bzw. eine Datenschutz-Folgenabschätzung (DSFA) im Umfang von 169 Seiten – jedenfalls als Entwurf in der Version 0.1.

Im Vereinigten Königreich gilt durch den Brexit nicht mehr die europäische Datenschutz-Grundverordnung (DSGVO), aber deren Klon, die UK GDPR. Insofern müsste eine DSFA gemäss DSGVO vergleichbar ausfallen.

Das aufschlussreiche Dokument hat der deutsche Anwaltskollege Thomas Helbing bei LinkedIn mit folgendem Kommentar veröffentlicht:

«Die UK Datenschutzbehörde hat […] eine Datenschutzfolgenabschätzung zu Microsoft Copilot aus dem Ärmel gezaubert. Kurz, knapp und reduziert auf das Wesentliche auf nur 169 Seiten.

Jetzt bitte nicht in Datenschutz-Bürokratie-Nörgelei verfallen! So ein kleines Gutachten ist doch flux erstellt, auch für die 2-Mann Eventagentur um die Ecke schnell gemacht.

Ein bißchen Doku muss halt sein. […] »

Die eigentliche DSFA ist 53 Seiten lang. Die restlichen Seiten bestehen aus Anhängen mit kopierten Dokumenten und Texten von Microsoft.

Auffällig ist, dass beim «Risk Assessment» ab Seite 26 die Massnahmen zur «Risk Mitigation» geschwärzt sind.

Geschwärzt sind ebenfalls viele Empfehlungen des Data Protection Officers (DPO) bzw. des Datenschutz-Beauftragten der Aufsichtsbehörde unter «Consult the DPO» ab Seite 36.

Dokument: Data Protection Impact Assessment (DPIA) for Microsoft CoPilot 365 (Auszug)

Geschwärzt sind auch weitere Stellen im Dokument, zum Beispiel die Antwort, mit welchem Ergebnis das «Security Assessment» durch das «Cyber Security Team» abgeschlossen wurde.

Die Schwärzung dieser Antwort ist kurios, denn die Frage, ob ein solches «Security Assessment» abgeschlossen wurde, wird mit «No» beantwortet …

Wer ausserdem Wert auf Genauigkeit legt, wird feststellen, dass der beurteilte KI-Dienst eigentlich «Microsoft 365 Copilot» und nicht «Microsoft CoPilot 365» heisst.

Mit dieser Kritik beginnt auch die Beurteilung von Marco Farina, ebenfalls bei LinkedIn. Sein Fazit lautet wie folgt:

«Ultimately, the assessment lacks any real added value because it starts with a misaligned analysis that misses the core issues, followed by copied Microsoft documents with no meaningful evaluation or critical insights. This approach lacks a thorough technical evaluation of the data implications associated with Microsoft 365 Copilot.»

Marco Farina ist CEO der Logol AG, deren Sales Director Clement Quessette mir gerade erst bei LinkedIn ihre interessante KI-basierte Anwaltssoftware ELLE verkaufen wollte.

ELLE basiert im Wesentlichen auf Microsoft-Infrastruktur wie insbesondere Exchange und Outlook, weshalb die Software aktuell für unsere Anwaltskanzlei nicht in Frage kommt.

Im Austausch mit Quessette sprach ich unter anderem die bekannten und gravierenden Probleme rund um die Sicherheit bei Microsoft an. Für seine Antworten setzte Quessette sichtbar und unsorgfältig auf KI-Unterstützung, allenfalls sogar auf Copilot. Die Antworten waren jedenfalls falsch und unpassend.

Die Anwaltskollegen von MLL, die Referenzkundin von ELLE sind, haben die verwendete Microsoft-Infrastruktur anscheinend für sicher befunden («[…] hat eine sehr detaillierte Analyse der Microsoft-Sicherheitsbedingungen durchgeführt […]»).

Mit Blick auf die vielen Sicherheitsprobleme bei Microsoft wäre es spannend, die entsprechenden Datenschutz-Folgenabschätzungen von Logol und MLL zu sehen. Auch Copilot sorgt immer wieder für Schlagzeilen, zuletzt beispielsweise «Copilot lässt Mitarbeiter die E-Mails ihres Chefs lesen».

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.