Copilot und der Datenschutz

Datenschutz-Folgenabschätzung ist zwingend erforderlich

Regelmäßig erfordert der Einsatz von Microsoft Copilot die Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (Datenschutz-Folgenabschätzung, DSFA). 

Diese beinhaltet die systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge, eine Bewertung der Rechte und Freiheiten der betroffenen Personen sowie eine Identifizierung von geplanten Abhilfemaßnahmen zur Risikobewertung. Um eine DSFA zielführend durchführen zu können, bedarf es demnach auch einer ausführlichen Betrachtung der aktuellen Rechtslage, der Vertragswerke sowie der geplanten Verarbeitung personenbezogener Daten durch den Einsatz von Copilot. Primär sollen durch eine DSFA Risiken beim Einsatz erkannt und umfangreiche Maßnahmen zur Minimierung dieser Risiken identifiziert werden. 

Diese Maßnahmen setzen sich regelmäßig zusammen aus:

• technischen Maßnahmen wie dem Einsatz von Verschlüsselungslösungen
• organisatorischen Maßnahmen wie der Beschränkung der in Copilot verarbeiteten Daten
• vertraglichen Maßnahmen wie der Beschränkung der Offenlegung von personenbezogenen Daten

Anschließend erfolgt im Rahmen der Datenschutz-Folgenabschätzung eine Bewertung des Restrisikos bei vollständiger Implementierung der identifizierten Maßnahmen.
Um einen möglichst datenschutzkonformen Einsatz von Copilot zu gewährleisten, ist nach Ansicht von Datenschutzexpertinnen und -experten und den zuständigen Aufsichtsbehörden die Umsetzung umfangreicher Maßnahmen unerlässlich.

Undurchsichtige Rechtslage

Ableitung des KRITIS-IT-Schutzbedarfs aus den KRITIS-Schutzzielen

Da es sich bei Copilot um ein US-amerikanisches Produkt handelt, muss im Rahmen der Datenschutz-Folgenabschätzung vor allem die Rechtslage in den USA bewertet und der Rechtsrahmen für den Drittlandtransfer betrachtet werden. Aktuell stehen dabei das Data Privacy Framework und die sogenannten Standardvertragsklauseln im Fokus.
Eine signifikante Rolle spielt hierbei auch die rechtliche Entwicklung der vergangenen Jahre – insbesondere in Hinblick auf die Urteile des EuGH „Schrems I“ und „Schrems II“ – sowie eine Zukunftsbetrachtung. In die Zukunftsbetrachtung fließen unter anderem aktuelle politische Entwicklungen sowie neueste gerichtliche Entscheidungen, wie beispielsweise das Urteil des EuG in der Rechtssache Latombe / Kommission, ein. Die Datenschutzbeauftragten der ITEBO-Unternehmensgruppe nehmen daher im Rahmen der rechtlichen Vorbetrachtung für die DSFA auch eine Abschätzung der Risiken und Auswirkungen bei einem Wegfall des Data Privacy Frameworks vor. Für einen solchen Fall werden bereits an dieser Stelle umfangreiche Maßnahmen definiert, sodass die Kommune unabhängig der Beständigkeit des Data Privacy Frameworks rechtssicher aufgestellt ist.

„In diesem Zusammenhang bewerten wir neben den vertraglichen und datenschutzrechtlichen Regelungen im Rahmen eines sogenannten Transfer Impact Assessments (TIA) auch, wie hoch das Risiko einer Herausgabepflicht Microsofts gegenüber den US-Strafverfolgungsbehörden tatsächlich ist“, gibt Eric Josua Themann, Jurist und Senior Datenschutzberater bei der ITEBO, Einblick in seine Arbeit.

„Dazu prüfen wir die Law Enforcement Request Reports von Microsoft und analysieren, wie viele Offenlegungsanfragen bei Microsoft eingegangen sind und wie diesen seitens Microsoft nachgekommen wurde.“ Diese Ergebnisse fließen dann in die Risikobewertung und die Verhältnismäßigkeitsprüfung für den Einsatz von Copilot ein.

DSFA steht erst am Ende der Analyse

Zentrales Dokument der Datenschutz-Folgenabschätzung ist der sogenannte DSFA-Bericht. Hier werden beispielsweise die geplanten Verarbeitungstätigkeiten ausführlich beschrieben, mögliche Alternativen zu Copilot betrachtet, Rechtsgrundlagen aufgeführt und über die Erfüllung der datenschutzrechtlichen Verpflichtungen (beispielsweise die Erfüllung von Betroffenenrechten, Informationspflichten und der Rechenschaftspflicht) berichtet.

Unter Berücksichtigung der genannten Rahmenbedingungen wird hier zudem eine Risikoabschätzung vorgenommen. Dem identifizierten Risiko werden dann – wie oben beschrieben – umfangreiche Maßnahmen zur Risikominimierung entgegengestellt. Am Ende der Datenschutz-Folgenabschätzung steht die Prüfung des Restrisikos sowie der Verhältnismäßigkeit des Einsatzes von Copilot.

Ausblick

Die Datenschutzbeauftragten der ITEBO-Unternehmensgruppe haben sich bereits intensiv mit der Ausgangslage beschäftigt. Im Rahmen der Erstellung einer unabhängigen datenschutzrechtlichen Stellungnahme zu Copilot wurde eine erneute Zusammenarbeit mit dem Niedersächsischen Datenschutzzentrum (NDZ) initiiert – insbesondere mit Prof. Dr. Volker Lüdemann, dem wissenschaftlichen Leiter des NDZ.

Mit der Unterstützung des NDZ an der Hochschule Osnabrück wurde durch die ITEBO für Copilot bereits ein Vorgehen entwickelt, um die Kunden bei der Einführung zielsicher zu beraten. Hierzu zählt insbesondere die Überprüfung der datenschutzrechtlichen Rahmenbedingungen sowie die Erstellung von Datenschutz-Folgenabschätzungen, Datentransfer-Folgenabschätzung als auch die Ausarbeitung geeigneter Abhilfemaßnahmen.

„Um den datenschutzrechtlichen Anforderungen angemessen zu begegnen, sollte der betriebliche Datenschutzbeauftragte dringend von Beginn an in den Implementierungsprozess von Copilot einbezogen werden“, so Eric-Josua Themann. „Gerade im Zusammenhang mit der Einführung von KI-gestützten Anwendungen wie Copilot ist die Datenschutz-Folgenabschätzung sehr komplex. Bei der Projektplanung für Copilot sollten daher auch unbedingt Ressourcen für den Datenschutz eingeplant werden.“

Was wir mitnehmen

• Frühzeitig den Datenschutzbeauftragten einbinden
• DSFA ist ein MUSS