Microsoft Copilot Bug: Vertrauliche E‑Mails trotz Schutzmaßnahmen erfasst

Die Inte­gra­ti­on von Künst­li­cher Intel­li­genz in den Arbeits­all­tag ver­spricht enor­me Effi­zi­enz­ge­win­ne. Mit Micro­soft Copi­lot hat eine der mäch­tigs­ten KI-Lösun­gen Ein­zug in die Office-Umge­bung gehal­ten. Doch ein aktu­el­ler Vor­fall wirft einen Schat­ten auf die tech­no­lo­gi­sche Eupho­rie: Ein Soft­ware­feh­ler führ­te dazu, dass der Micro­soft Copi­lot ver­trau­li­che E‑Mails erfasst hat, obwohl die­se expli­zit durch Schutz­maß­nah­men und Ver­trau­lich­keits­be­zeich­nun­gen (Sen­si­ti­vi­ty Labels) gesi­chert waren. Für Unter­neh­men und Betriebs­rä­te stellt dies ein erheb­li­ches Risi­ko dar, da sen­si­ble Geschäfts­ge­heim­nis­se oder per­so­nen­be­zo­ge­ne Daten unkon­trol­liert ver­ar­bei­tet wer­den könn­ten. In die­sem Arti­kel ana­ly­sie­ren wir die tech­ni­schen Ursa­chen die­ses „Micro­soft Copi­lot Bug“, unter­su­chen die daten­schutz­recht­li­chen Kon­se­quen­zen und zei­gen auf, wel­che Kon­troll­me­cha­nis­men für die Mit­be­stim­mung der Arbeit­neh­mer­ver­tre­ter nun ent­schei­dend sind. Wie sicher ist die auto­ma­ti­sier­te Daten­ver­ar­bei­tung wirk­lich, wenn selbst eta­blier­te Sicher­heits­fil­ter ver­sa­gen?

Analyse des Vorfalls: Der Microsoft Copilot Bug und seine Auswirkungen

Der Kern des Vor­falls liegt in einer feh­ler­haf­ten Ver­ar­bei­tung von Zugriffs­be­rech­ti­gun­gen inner­halb der Micro­soft-365-Umge­bung. Micro­soft Copi­lot fun­giert als Schnitt­stel­le, die auf Basis des Micro­soft Graph arbei­tet, um Doku­men­te, E‑Mails und Kalen­der­da­ten zu indi­zie­ren und für den Nut­zer auf­zu­be­rei­ten. Ein kri­ti­scher Pro­gram­mier­feh­ler führ­te dazu, dass die KI-Schnitt­stel­le Zugriff auf Inhal­te erhielt, die auf­grund ihrer Ein­stu­fung als „ver­trau­lich“ eigent­lich für die auto­ma­ti­sier­te Ver­ar­bei­tung gesperrt sein soll­ten.

Kon­kret bedeu­tet dies: Nut­zer konn­ten den Copi­lot anwei­sen, Zusam­men­fas­sun­gen von E‑Mail-Kor­re­spon­den­zen zu erstel­len, auf die die KI nach den gel­ten­den Sicher­heits­richt­li­ni­en kei­nen Zugriff hät­te haben dür­fen. Berich­te ver­deut­li­chen, dass der Bug die logi­sche Tren­nung zwi­schen geschütz­ten Daten und der KI-Ver­ar­bei­tung umging. Dies hebelt das Prin­zip der Daten­spar­sam­keit und des zweck­ge­bun­de­nen Zugriffs aus.

Die Aus­wir­kun­gen für die IT-Sicher­heit sind gra­vie­rend. Wenn eine KI-Lösung Infor­ma­tio­nen ein­liest, die als „streng ver­trau­lich“ klas­si­fi­ziert sind, besteht die Gefahr, dass die­se Infor­ma­tio­nen in Ant­wor­ten für ande­re Nut­zer ein­flie­ßen oder in der Cloud-Infra­struk­tur auf eine Wei­se ver­ar­bei­tet wer­den, die nicht mehr dem ursprüng­li­chen Schutz­ni­veau ent­spricht. Ein sol­ches Daten­leck ist beson­ders kri­tisch, wenn es um sen­si­ble Ver­hand­lun­gen, Per­so­nal­da­ten oder stra­te­gi­sche Pla­nun­gen geht, die einem beson­de­ren Schutz unter­lie­gen.

Schwachstelle Schutzmaßnahmen: Warum Vertraulichkeitsfilter versagten

Das Ver­sa­gen der Schutz­me­cha­nis­men ist eng mit der Funk­ti­ons­wei­se von Micro­soft Pur­view ver­knüpft. Pur­view ist das zen­tra­le Tool zur Daten-Gover­nan­ce, mit dem Unter­neh­men Sen­si­ti­vi­ty Labels defi­nie­ren. Die­se Labels sol­len sicher­stel­len, dass Doku­men­te ver­schlüs­selt blei­ben und nur von auto­ri­sier­ten Per­so­nen sowie Anwen­dun­gen ein­ge­se­hen wer­den kön­nen.

Der Bug zeig­te jedoch eine Schwach­stel­le in der Kom­mu­ni­ka­ti­on zwi­schen dem Semi-Annu­al Enter­pri­se Chan­nel von Office und den Pur­view-Diens­ten auf. In den archi­vier­ten Ver­si­ons­hin­wei­sen doku­men­tiert Micro­soft Feh­ler­be­he­bun­gen, die bele­gen, dass Ver­trau­lich­keits­be­zeich­nun­gen teil­wei­se nicht kor­rekt ange­zeigt oder von den Hin­ter­grund­pro­zes­sen der KI igno­riert wur­den.

In kom­ple­xen Cloud-Infra­struk­tu­ren hän­gen Sicher­heits­me­cha­nis­men von einer feh­ler­frei­en Syn­chro­ni­sa­ti­on zahl­rei­cher Teil­sys­te­me ab. Wenn die KI-Kom­po­nen­te (Copi­lot) Meta­da­ten wie das Sen­si­ti­vi­ty Label nicht kor­rekt inter­pre­tiert, behan­delt sie das geschütz­te Doku­ment wie eine gewöhn­li­che, offe­ne Datei. Dies ver­deut­licht das Risi­ko einer zu star­ken Abhän­gig­keit von auto­ma­ti­sier­ten Fil­tern: Ein ein­zi­ger Feh­ler im Code-Update kann die gesam­te Gover­nan­ce-Struk­tur eines Unter­neh­mens unter­wan­dern. Für Unter­neh­men bedeu­tet dies, dass tech­ni­sche Schutz­maß­nah­men zwar not­wen­dig, aber nie­mals als abso­lut feh­ler­frei betrach­tet wer­den dür­fen. Die IT-Infra­struk­tur muss daher durch orga­ni­sa­to­ri­sche Maß­nah­men und regel­mä­ßi­ge Audits ergänzt wer­den.

Compliance und DSGVO: Rechtliche Risiken für Arbeitgeber und Betriebsräte

Der Vor­fall rückt die daten­schutz­recht­li­che Ver­ant­wort­lich­keit unmit­tel­bar in das Zen­trum der betrieb­li­chen IT-Gover­nan­ce. Wenn ein KI-Sys­tem wie Micro­soft Copi­lot Schutz­me­cha­nis­men umgeht und Zugriff auf als ver­trau­lich klas­si­fi­zier­te Daten erhält, liegt ein poten­zi­el­ler Ver­stoß gegen die Daten­schutz-Grund­ver­ord­nung (DSGVO) vor. Ins­be­son­de­re die Grund­sät­ze der Inte­gri­tät und Ver­trau­lich­keit (Art. 5 Abs. 1 lit. f DSGVO) sowie die Sicher­heit der Ver­ar­bei­tung (Art. 32 DSGVO) sind hier­bei tan­giert. Ein sol­cher „Bug“ kann eine Mel­de­pflicht gegen­über den Auf­sichts­be­hör­den nach Art. 33 DSGVO aus­lö­sen, da ein Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen – etwa bei der Ver­ar­bei­tung von Per­so­nal­da­ten in E‑Mails – nicht aus­ge­schlos­sen wer­den kann.

Für den Betriebs­rat ergibt sich aus die­sem Vor­fall eine neue Bewer­tungs­grund­la­ge hin­sicht­lich der Mit­be­stim­mungs­rech­te nach § 87 Abs. 1 Nr. 6 BetrVG. Die Ein­füh­rung und Anwen­dung von tech­ni­schen Ein­rich­tun­gen, die dazu bestimmt sind, das Ver­hal­ten oder die Leis­tung der Arbeit­neh­mer zu über­wa­chen, unter­liegt der zwin­gen­den Mit­be­stim­mung. Da Micro­soft Copi­lot durch die Ana­ly­se von E‑Mails und Doku­men­ten tief­grei­fen­de Ein­bli­cke in Arbeits­ab­läu­fe und Kom­mu­ni­ka­ti­ons­struk­tu­ren erhält, ist die Über­wa­chungs­qua­li­tät imma­nent. Ein tech­ni­scher Feh­ler, der Ver­trau­lich­keits­stu­fen igno­riert, ent­zieht der ursprüng­li­chen Gefähr­dungs­be­ur­tei­lung die Grund­la­ge.

Arbeit­ge­ber und Betriebs­rä­te müs­sen daher die bestehen­den Betriebs­ver­ein­ba­run­gen zur KI-Nut­zung und die Daten­schutz-Fol­gen­ab­schät­zung (DSFA) gemäß Art. 35 DSGVO kri­tisch prü­fen. Wenn tech­ni­sche Fil­ter ver­sa­gen, auf deren Wirk­sam­keit die Risi­ko­be­wer­tung basier­te, muss der Ein­satz des Tools unter Umstän­den tem­po­rär ein­ge­schränkt oder durch zusätz­li­che Kon­troll­in­stan­zen flan­kiert wer­den. Die Haf­tung für Daten­schutz­ver­stö­ße ver­bleibt beim ver­ant­wort­li­chen Unter­neh­men; die Beru­fung auf einen Soft­ware­feh­ler des Her­stel­lers ent­bin­det den Arbeit­ge­ber nicht von sei­ner Sorg­falts­pflicht gegen­über den Beschäf­tig­ten.

Prävention und Kontrolle: Strategien zur Absicherung der KI-Nutzung

Um das Risi­ko tech­ni­scher Fehl­funk­tio­nen zu mini­mie­ren, ist eine pro­ak­ti­ve Gover­nan­ce-Stra­te­gie uner­läss­lich. Unter­neh­men dür­fen sich nicht allein auf die Stan­dard­ein­stel­lun­gen der Soft­ware­her­stel­ler ver­las­sen. Ein zen­tra­ler Bau­stein ist hier­bei der Ein­satz von Micro­soft Pur­view, das als über­grei­fen­de Com­pli­ance-Lösung dient. Durch Pur­view las­sen sich Daten­flüs­se inner­halb der Cloud-Infra­struk­tur trans­pa­ren­ter gestal­ten und die Durch­set­zung von Richt­li­ni­en zen­tral über­wa­chen.

Eine effek­ti­ve Prä­ven­ti­on setzt an drei Hebeln an:

1. Strik­tes Berech­ti­gungs­ma­nage­ment (Least Pri­vi­le­ge): Unab­hän­gig von KI-Funk­tio­nen müs­sen Zugriffs­be­rech­ti­gun­gen auf das abso­lut not­wen­di­ge Mini­mum redu­ziert wer­den. Wenn ein Nut­zer gar kei­nen Zugriff auf eine Datei hat, kann auch der Copi­lot in des­sen Kon­text die­se Daten nicht ver­ar­bei­ten – selbst wenn ein Bug in den Sen­si­ti­vi­ty Labels vor­liegt.
2. Kon­ti­nu­ier­li­ches Moni­to­ring und Audits: Die Nut­zung von KI-Schnitt­stel­len muss pro­to­kol­liert wer­den. Durch regel­mä­ßi­ge Stich­pro­ben und auto­ma­ti­sier­te Audits inner­halb von Micro­soft Pur­view lässt sich fest­stel­len, ob die KI auf unzu­läs­si­ge Daten­quel­len zugreift.
3. Gover­nan­ce-Richt­li­ni­en und Schu­lung: Mit­ar­bei­ter müs­sen sen­si­bi­li­siert wer­den, wel­che Daten für die Ver­ar­bei­tung durch KI-Tools geeig­net sind. Die blo­ße Kenn­zeich­nung durch Labels reicht nicht aus, wenn das tech­ni­sche Ver­ständ­nis für deren Wir­kungs­wei­se fehlt.

Die IT-Sicher­heit muss als dyna­mi­scher Pro­zess ver­stan­den wer­den. Da Cloud-Diens­te kon­ti­nu­ier­lich durch Updates ver­än­dert wer­den, ist eine dau­er­haf­te Über­wa­chung der Release-Notes und Sicher­heits­bul­le­tins durch die IT-Abtei­lung zwin­gend. Nur durch die enge Ver­zah­nung von tech­ni­scher Kon­trol­le, orga­ni­sa­to­ri­schen Vor­ga­ben und der Ein­bin­dung der Arbeit­neh­mer­ver­tre­ter kann ein Schutz­ni­veau erreicht wer­den, das auch unvor­her­ge­se­he­nen Soft­ware­feh­lern stand­hält.

Fazit

Der Vor­fall um den Micro­soft Copi­lot ver­deut­licht, dass die tech­no­lo­gi­sche Eupho­rie im Bereich der Künst­li­chen Intel­li­genz (KI) stets durch eine kri­ti­sche Gover­nan­ce-Struk­tur flan­kiert wer­den muss. Ein Soft­ware­feh­ler, der eta­blier­te Ver­trau­lich­keits­fil­ter wie Sen­si­ti­vi­ty Labels umgeht, stellt nicht nur ein tech­ni­sches Pro­blem dar, son­dern erschüt­tert das Fun­da­ment des digi­ta­len Ver­trau­ens im Unter­neh­men. Für Arbeit­ge­ber bedeu­tet dies, dass die blo­ße Imple­men­tie­rung von Stan­dard­lö­sun­gen nicht aus­reicht, um den stren­gen Anfor­de­run­gen der DSGVO und den Sorg­falts­pflich­ten gegen­über Geschäfts­ge­heim­nis­sen gerecht zu wer­den.

Für den Betriebs­rat unter­streicht die­ser Bug die Not­wen­dig­keit, bei der Aus­ge­stal­tung von Betriebs­ver­ein­ba­run­gen zur KI-Nut­zung auf dyna­mi­sche Kon­troll­rech­te zu bestehen. Star­re Regel­wer­ke genü­gen nicht, wenn Cloud-Sys­te­me durch kon­ti­nu­ier­li­che Updates ihre Funk­ti­ons­wei­se und damit ihr Risi­ko­pro­fil ver­än­dern. Die Mit­be­stim­mung nach § 87 Abs. 1 Nr. 6 BetrVG muss daher als fort­lau­fen­der Pro­zess ver­stan­den wer­den, der regel­mä­ßi­ge Audits und tech­ni­sche Eva­lua­tio­nen ein­schließt.

Zukünf­tig wird der siche­re Ein­satz von KI-Sys­te­men nur gelin­gen, wenn IT-Abtei­lung, Daten­schutz­be­auf­trag­te und Arbeit­neh­mer­ver­tre­ter eng ver­zahnt zusam­men­ar­bei­ten. Die Leh­re aus dem Copi­lot-Bug ist klar: Tech­nik ist eine Unter­stüt­zung, kei­ne fina­le Instanz für Sicher­heit. Ein resi­li­en­tes Risi­ko­ma­nage­ment muss stets davon aus­ge­hen, dass auto­ma­ti­sier­te Fil­ter ver­sa­gen kön­nen, und ent­spre­chen­de orga­ni­sa­to­ri­sche Rück­fal­l­e­be­nen – wie das Prin­zip des Least Pri­vi­le­ge und regel­mä­ßi­ge Sen­si­bi­li­sie­run­gen der Beleg­schaft – eta­blie­ren. Nur so lässt sich das Poten­zi­al der KI nut­zen, ohne die Inte­gri­tät sen­si­bler Unter­neh­mens- und Mit­ar­bei­ter­da­ten preis­zu­ge­ben.

Weiterführende Quellen

• Häu­fig gestell­te Fra­gen zum Daten­schutz für Micro­soft Copi­lot
• Micro­soft Copi­lot sam­mel­te ver­trau­li­che Mails ein, obwohl er das nicht soll­te
• Archi­vier­te Ver­si­ons­hin­wei­se für Semi-Annu­al Enter­pri­se Chan­nel
• Beschrei­bung des Micro­soft Pur­view-Diensts – Ser­vice Descrip­ti­ons
• Nut­zer­be­rich­te zur E‑Mail-Zusam­men­fas­sung durch Copi­lot (Red­dit-Dis­kus­si­on)