Was ist Microsoft 365 Copilot?

Microsoft 365 Copilot ist ein KI-gestütztes Tool, das in die Microsoft 365 Umgebung integriert ist und Benutzern hilft, ihre Informationen effizienter zu verwalten und zu verarbeiten.

Wie geht Microsoft 365 Copilot mit Daten um?

Der Copilot verarbeitet nur die Daten, auf die der Benutzer Zugriff hat, und speichert keine Kundendaten zur Verbesserung des Modells.

Muss ich eine separate Datenschutzvereinbarung für Copilot abschließen?

Nein, der Microsoft 365 Copilot ist im Rahmen der bestehenden Datenschutzvereinbarung abgedeckt.

Wie werden personenbezogene Daten im Copilot verarbeitet?

Personenbezogene Daten werden nur verarbeitet, wenn der Benutzer Zugriff darauf hat, und sie verlassen nicht die Tenant-Boundary.

Was passiert mit den Daten, wenn ein Benutzer ausscheidet?

Die Daten in der Mailbox des Benutzers werden gemäß den vertraglichen Löschfristen gelöscht.

Wie kann ich sicherstellen, dass meine Daten geschützt sind?

Unternehmen sollten ein effektives Rechtemanagement und Klassifizierungssystem implementieren, um den Zugriff auf sensible Daten zu steuern.

Kann ich die Nutzung von Copilot überwachen?

Ja, Unternehmen können Policies definieren, um unerwünschte Prompts zu erkennen und zu überwachen.

Wie oft wird der Index aktualisiert?

Der Index wird automatisch aktualisiert, wenn Änderungen an den zugrunde liegenden Daten vorgenommen werden.

Was ist die Rolle von Klassifizierung im Datenschutz?

Klassifizierung hilft, sensible Daten zu identifizieren und den Zugriff darauf zu steuern.

Wie wird die Nutzung von KI im Unternehmen reguliert?

Unternehmen sollten klare Richtlinien und Betriebsvereinbarungen zur Nutzung von KI-Systemen aufstellen.

Der M365 Copilot und Datenschutz - Friedhelm Peplowski im Datenschutz Talk

00:51:40

https://www.youtube.com/watch?v=Vl2sPSgiZeU

Sintesi

TLDRIn dieser Episode des Podcasts "Datenschutztalkalk" wird das Thema Microsoft 365 Copilot behandelt, insbesondere die datenschutzrechtlichen Aspekte. Friedhelm Lowski, ein Experte für Microsoft 365, erklärt die Funktionen des Copiloten und wie er in die Microsoft-Umgebung integriert ist. Es wird diskutiert, wie der Copilot mit Unternehmensdaten umgeht, welche Rechte und Zugriffsmechanismen bestehen und wie Unternehmen sicherstellen können, dass ihre Daten geschützt sind. Zudem werden Fragen zur Nutzung von KI im Unternehmen und zur Notwendigkeit von Datenschutzvereinbarungen behandelt.

Punti di forza

🎙️ Microsoft 365 Copilot ist ein KI-Tool zur Datenverarbeitung.
🔒 Der Copilot verarbeitet nur Daten, auf die der Benutzer Zugriff hat.
📄 Keine separate Datenschutzvereinbarung für Copilot erforderlich.
🛡️ Rechtemanagement ist entscheidend für den Datenschutz.
📊 Klassifizierung hilft, sensible Daten zu identifizieren.
🔍 Unternehmen können die Nutzung von Copilot überwachen.
📅 Der Index wird automatisch aktualisiert.
🚫 Unerwünschte Prompts können erkannt werden.
👥 Datenschutzrichtlinien sollten klar definiert sein.
🌍 Microsoft garantiert die Datenverarbeitung in Europa.

Linea temporale

00:00:00 - 00:05:00
In der Einleitung des Podcasts wird das Thema Datenschutz und Informationssicherheit angesprochen, insbesondere im Kontext von Microsoft 365 Copilot. Der Gast Friedhelm Lowski, ein Experte für Datenschutz und Microsoft 365, wird vorgestellt und es wird auf seine umfangreiche Erfahrung im Bereich Datenschutz hingewiesen.
00:05:00 - 00:10:00
Friedhelm erklärt, dass Microsoft 365 Copilot eine Vielzahl von Funktionen bietet, die für Unternehmen von Bedeutung sind. Er hebt hervor, dass der Copilot den Benutzern hilft, ihre Informationen effizient zu verwalten und zu verarbeiten, was die tägliche Arbeit erleichtert.
00:10:00 - 00:15:00
Es wird diskutiert, wie der Copilot auf Daten zugreift, die in der Microsoft 365 Umgebung gespeichert sind. Friedhelm betont, dass der Zugriff auf Daten, die der Benutzer berechtigt ist, wichtig ist und dass die Daten nicht für das Training des Modells verwendet werden.
00:15:00 - 00:20:00
Friedhelm erläutert die technischen Aspekte des Copiloten, einschließlich der Verwendung von Connectors und Plugins, um externe Datenquellen anzubinden. Er erklärt, dass die Daten in einem Index gespeichert werden, der für die Suche verwendet wird, jedoch nicht für das Training des Modells.
00:20:00 - 00:25:00
Es wird auf die Bedeutung des Datenschutzes eingegangen, insbesondere darauf, dass personenbezogene Daten nicht ohne Zustimmung verarbeitet werden dürfen. Friedhelm betont, dass Microsoft sicherstellt, dass die Verarbeitung in Europa erfolgt und dass die Daten nicht außerhalb der Tenant-Grenzen gespeichert werden.
00:25:00 - 00:30:00
Die Diskussion geht weiter auf die Speicherung von Prompts und Antworten im Zusammenhang mit dem Copilot ein. Friedhelm erklärt, dass diese Informationen in der Mailbox des Benutzers gespeichert werden und dass Unternehmen die Aufbewahrungsfristen steuern können.
00:30:00 - 00:35:00
Es wird auf die Herausforderungen des Rechtemanagements eingegangen, insbesondere darauf, dass Benutzer möglicherweise mehr Zugriffsrechte haben, als sie sollten. Friedhelm betont die Notwendigkeit, das Rechtemanagement regelmäßig zu überprüfen und anzupassen.
00:35:00 - 00:40:00
Friedhelm spricht über die Klassifizierung von Dokumenten und die Notwendigkeit, sensible Informationen zu schützen. Er hebt hervor, dass Unternehmen sicherstellen müssen, dass vertrauliche Informationen nicht unbefugt verarbeitet werden können.
00:40:00 - 00:45:00
Die Diskussion umfasst auch die Notwendigkeit, Mitarbeiter über die Verwendung von KI-Systemen zu informieren und die rechtlichen Rahmenbedingungen zu beachten. Friedhelm betont, dass Unternehmen klare Richtlinien für die Nutzung von KI festlegen sollten.
00:45:00 - 00:51:40
Abschließend wird das Thema der Datenschutz-Folgenabschätzung (DSFA) angesprochen. Friedhelm erklärt, dass Unternehmen bei der Nutzung von KI-Systemen eine DSFA durchführen sollten, um die Risiken zu identifizieren und geeignete Maßnahmen zu ergreifen.

Mostra di più

Mappa mentale

Video Domande e Risposte

Was ist Microsoft 365 Copilot?
Microsoft 365 Copilot ist ein KI-gestütztes Tool, das in die Microsoft 365 Umgebung integriert ist und Benutzern hilft, ihre Informationen effizienter zu verwalten und zu verarbeiten.
Wie geht Microsoft 365 Copilot mit Daten um?
Der Copilot verarbeitet nur die Daten, auf die der Benutzer Zugriff hat, und speichert keine Kundendaten zur Verbesserung des Modells.
Muss ich eine separate Datenschutzvereinbarung für Copilot abschließen?
Nein, der Microsoft 365 Copilot ist im Rahmen der bestehenden Datenschutzvereinbarung abgedeckt.
Wie werden personenbezogene Daten im Copilot verarbeitet?
Personenbezogene Daten werden nur verarbeitet, wenn der Benutzer Zugriff darauf hat, und sie verlassen nicht die Tenant-Boundary.
Was passiert mit den Daten, wenn ein Benutzer ausscheidet?
Die Daten in der Mailbox des Benutzers werden gemäß den vertraglichen Löschfristen gelöscht.
Wie kann ich sicherstellen, dass meine Daten geschützt sind?
Unternehmen sollten ein effektives Rechtemanagement und Klassifizierungssystem implementieren, um den Zugriff auf sensible Daten zu steuern.
Kann ich die Nutzung von Copilot überwachen?
Ja, Unternehmen können Policies definieren, um unerwünschte Prompts zu erkennen und zu überwachen.
Wie oft wird der Index aktualisiert?
Der Index wird automatisch aktualisiert, wenn Änderungen an den zugrunde liegenden Daten vorgenommen werden.
Was ist die Rolle von Klassifizierung im Datenschutz?
Klassifizierung hilft, sensible Daten zu identifizieren und den Zugriff darauf zu steuern.
Wie wird die Nutzung von KI im Unternehmen reguliert?
Unternehmen sollten klare Richtlinien und Betriebsvereinbarungen zur Nutzung von KI-Systemen aufstellen.

Visualizza altre sintesi video

Ottenete l'accesso immediato ai riassunti gratuiti dei video di YouTube grazie all'intelligenza artificiale!

Sottotitoli

Scorrimento automatico:

00:00:00
[Musik]
00:00:01
herzlich willkommen zum datenschutzt
00:00:03
talkalk eurem Podcast für Datenschutz
00:00:05
und
00:00:09
[Musik]
00:00:15
Informationssicherheit nach längerer
00:00:17
Pause haben wir heute mal wieder eine
00:00:18
themenfolge und die sogar in einem ganz
00:00:21
besonderen Format denn heute nehmen wir
00:00:24
mit Live Publikum auf ein ein echtes
00:00:26
Novum und das Thema heute ist Microsoft
00:00:29
Co Pilot für
00:00:31
m365 und wir schauen heute auf alles das
00:00:34
was datenschutzrechtlich dabei besonders
00:00:37
wichtig
00:00:38
ist als Gast ja einen Gast den wir schon
00:00:41
mal bei uns auch mehrfach hatten im
00:00:43
datenschutzt talkalk freue ich mich ganz
00:00:45
besonders heute dass wir friedhelmlowski
00:00:47
wieder für uns gewinnen konnten heute
00:00:49
auch in in Präsenz einmal Friedhelm ist
00:00:53
modern work global Black Belt für m365
00:00:56
Copilot da kannst du un sicher g noch
00:00:58
einen Satz zu sagen was es genau
00:00:59
bedeutet du bist seit über dre Jahren
00:01:01
ist bei Microsoft aber das Wesentliche
00:01:03
glaube ich und das macht's halt auch für
00:01:05
uns natürlich so wertvoll du warst auch
00:01:07
vorher schon im Datenschutz unterwegs
00:01:09
und als Auditor und Datenschützer glaube
00:01:11
ich lange Berufserfahrung das ist
00:01:13
natürlich gerade wenn wir halt über
00:01:14
diese Themen sprechen ganz besonders
00:01:16
wertvoll weil wir halt wissen auf der
00:01:18
anderen Seite ist halt auch jemand der
00:01:20
versteht was unsere Fragen sind und du
00:01:23
hast mir im Vorfeld gesagt du wirst
00:01:24
immer dann gerufen wenn es nicht mehr
00:01:26
weitergeht genau wenn es
00:01:28
brennt ja ist natürlich ich ist erstmal
00:01:30
vielen Dank und auch von meiner Seite
00:01:33
herzlich willkommen
00:01:35
ja es stimmt ich werde immer dann
00:01:37
gerufen wenn die normale Salesforce oder
00:01:40
auch von der Technik nicht unbedingt
00:01:42
weiterweiß oder auch wenn wenn
00:01:43
Aufgabenstellung ich will jetzt nicht
00:01:44
sagen Problem aber in Aufgabenstellung
00:01:46
da sind Anforderung von Kundenseite die
00:01:49
nicht unbedingt einfach zu beantworten
00:01:50
sind hängt auch ein bisschen damit da
00:01:52
von der Historie was schon gesagt ich
00:01:54
war auch mal Datenschützer
00:01:56
datenschutzauditor Rede sehr viel mit
00:01:58
Betriebsräten und äh habe auch eine
00:02:00
relativ lange Erfahrung in Bereich
00:02:04
Compliance damit beste Voraussetzungen
00:02:07
für für unser Thema heute jetzt ist es
00:02:10
ja so dass Microsoft eine einen ganzen
00:02:12
zo an coopilots hat ich glaub sagt es
00:02:15
irgendwann mal sind sogar über 70lerwe
00:02:18
mittlerweile von daher vielleicht mal so
00:02:21
ganz kurz was sind die wesentlichen und
00:02:24
über welche sprechen wir jetzt heute
00:02:25
konkret die die
00:02:27
wesentlichen cilot Funktion itäten die
00:02:30
wir haben ist natürlich in Verbindung
00:02:31
mit der Microsoft 365 Umgebung dann was
00:02:35
jetzt in letzter Zeit auch umgeändert
00:02:37
wurde des xbingchat enterprise in
00:02:39
Microsoft Copilot und natürlich dann als
00:02:42
Hauptthema so sales Copilot und die
00:02:45
Möglichkeit über Copilot Studio auch als
00:02:47
Unternehmungen eigenen Kopilot eine
00:02:50
eigene KI Anwendung chatpot oder
00:02:52
ähnliches aufbauen zu
00:02:54
können wenn wir jetzt heute über den
00:02:56
m365 ciloten in erster Linie sprechen
00:03:00
ich glaube das ist auch der der
00:03:01
wahrscheinlich für die meisten
00:03:03
Unternehmen der der Einstiegspunkt
00:03:04
vielleicht sein wird oder der vielleicht
00:03:07
die größte
00:03:09
Breite sozusagen adressiert in seinen
00:03:11
Funktionalitäten jetzt weiß ich
00:03:13
natürlich nicht vonsem Publikum und auch
00:03:14
nicht vonsen Zuhörern wer da wirklich
00:03:16
schon konkret eigene Erfahrung mit
00:03:18
gesammelt hat vielleicht was sind so ein
00:03:20
zwei Use Cases wo du sagst die sind
00:03:22
eigentlich so für die unternehmensarbeit
00:03:24
eigentlich besonders wertvoll das sind
00:03:26
tolle Sachen die man damit machen kann
00:03:27
was ist sozusagen das das Kernfeature wo
00:03:29
du sagst da da sollte man auf jeden Fall
00:03:31
hingucken ja vielleicht noch mal ein
00:03:33
zwei Schritte vorweg
00:03:35
äh was was häufig passiert ist oder was
00:03:37
häufig gemacht wird in Unternehmen man
00:03:39
setzt sich mit KI auseinander nach dann
00:03:42
nutzt dann vielleicht schon den ein oder
00:03:43
anderen KI gestützten chatpot oder
00:03:46
ähnliches oder als Unternehmensplattform
00:03:48
was aber immer gefehlt hat oder was
00:03:50
nicht ganz so einfach umzusetzen ist
00:03:51
miten den ganzen Informationen die ich
00:03:53
als Benutzer äh in der Verwaltung hab
00:03:55
sei es mein Dokument meine PowerPoint
00:03:57
Präsentation E-Mail Teams Nachrichten da
00:04:01
stellt sich natürlich unweigerlich die
00:04:02
Frage was kann man damit anstellen und
00:04:04
hier kommt dann der Copilot für
00:04:05
Microsoft 365 Spiel um den Benutzer in
00:04:09
die Lage zu versetzen seine
00:04:11
Informationen wo er Zugriff hat und das
00:04:12
auch wichtig da weren wir vielleicht
00:04:13
nachher noch das eine oder andere zu
00:04:15
zähl zu erzählen ist wichtig dass das
00:04:18
was der Benutzer im Zugriff hat dann
00:04:20
auch mit KI verarbeitet werden kann es
00:04:22
gibt da so ein paar Klassiker z.B was
00:04:25
ich häufig gerne mache äh fast jeden
00:04:27
Morgen fast jeden Abend mittlerweile
00:04:29
auch automatis t weil man das über ein
00:04:30
Scheduler dann auch starten kann ich
00:04:33
frage den Copilot immer jeden Morgen und
00:04:35
jeden Abend welche E-Mails sind für mich
00:04:37
wichtig und welche habe ich vielleicht
00:04:40
noch nicht beantwortet so dass ich dann
00:04:42
immer relativ schnell auch einen
00:04:43
Überblick dazu bekomme und auch was
00:04:45
Termine angeht aber es ist natürlich
00:04:47
immer die Frage wie mein
00:04:49
Arbeitsverhältnis ist was ich mache was
00:04:51
meine Verarbeitung ist und an der Stelle
00:04:53
ist es dann schon wichtig für Benutzer
00:04:55
dann mehr aus den Informationen
00:04:57
rausziehen zu können und dann vielleicht
00:04:59
auch die ein oder andere ich sag mal
00:05:01
tägliche Arbeit die immer wiederholt
00:05:03
werden muss über Copilot über KI zu
00:05:06
vereinfachen Zusammenfassen von Meetings
00:05:08
z.B wer hat welche Aufgaben
00:05:11
das macht das Leben dann viel viel
00:05:15
einfacher jetzt wenn wir jetzt ähm
00:05:20
erstmal
00:05:21
Copilot technisch einsortieren dann ist
00:05:24
es ein ein large language Model so wie
00:05:27
wir das von Chat GPT äh z.B
00:05:30
wahrscheinlich alle
00:05:32
kennen jetzt ist es aber ja bei chatgpt
00:05:35
z.B so da arbeite ich mit den sy mit den
00:05:38
Informationen die die KI gelernt hat sei
00:05:41
es aus dem Weltwissen oder sei es halt
00:05:44
aus Benutzereingaben aber es greift in
00:05:47
der Regel ja nicht auf meine eigenen
00:05:49
Daten zu jetzt hast du gerade schon
00:05:52
angedeutet du fragst natürlich danach äh
00:05:54
welche E-Mails sind eingegangen das
00:05:56
heißt bei coPilot ist es halt so da habe
00:05:58
ich schon ein direkten Zugriff auch auf
00:06:00
die Daten die in meinem Unternehmen sind
00:06:04
auf die ich auch zugriffsberechtigt bin
00:06:06
die werden sozusagen angebunden betrifft
00:06:09
das Daten die sowieso in der Microsoft
00:06:11
Cloud liegen wie halt im Exchange
00:06:13
Postfach im Outlook Postfach oder
00:06:15
vielleicht auch im im onedrive oder geht
00:06:18
das auch mit Daten die ich vielleicht
00:06:20
Lokal in meinem Unternehmen gespeichert
00:06:21
habe kommt natürlich immer drauf an was
00:06:24
ich machen möchte also primär ist der
00:06:26
Gedanke bei dem Microsoft 365 Copilot
00:06:28
erstmal die Daten zu nutzen die in der
00:06:30
Microsoft 365 Umgebung auch sind weil
00:06:33
das ist für uns natürlich von der
00:06:34
Architektur am einfachsten zu händeln
00:06:36
wir kennen die Zugriffsrechte wir kennen
00:06:38
vielleicht Label andere
00:06:41
Schutzmechanismen die schon in in use
00:06:43
sind und wir wissen immer ganz genau wer
00:06:45
hat auf was Zugriff so dass wir genau
00:06:47
regeln können dass nur die Information
00:06:48
wo der Benutzer auch Zugriff drauf hat
00:06:50
dafür genutzt werden es besteht aber
00:06:52
über das sogenannte coperate Extensions
00:06:56
auch externe Quellen anzuschließen das
00:06:58
natürlich dann interessant
00:07:00
vom usecase das zu betrachten das geht
00:07:02
zum einen über cononnektoren aber auch
00:07:04
über Plugins dann ist natürlich immer
00:07:07
die Frage was nutzt man dafür da gibt's
00:07:09
eine kleine Faustformel man sagt okay
00:07:11
ich habe jetzt Daten die sich nicht
00:07:13
permanent verändern wenn ich das welch
00:07:15
eine Wissensdatenbank habe wir haben z.B
00:07:18
bei airindia die machen über Extensions
00:07:20
mit einem Connector stellen die den
00:07:22
Mitarbeitern das ganze
00:07:23
Vielfliegerprogramm und alle internen
00:07:25
Dokumente zur Verfügung wo vielleicht
00:07:27
nicht jeder drauf Zugriff hat und sowas
00:07:29
das kann man dann mit entsprechenden
00:07:31
Konnektoren machen weil was passiert
00:07:33
wenn ich ein Konnektor nehme dann werde
00:07:35
diese in diese Information auch in den
00:07:37
Index überführt auch in den semantischen
00:07:39
Index und bei ein Plugin das ist eher
00:07:41
für sich ständig änderen änderbare Daten
00:07:44
z.B Datenbanken oder ähnliches
00:07:47
mhm was passiert jetzt wenn ich so ein
00:07:50
Connector oder ein Plugin habe was was
00:07:52
passiert dann mit den Daten also werden
00:07:54
die jetzt
00:07:55
sozusagen zum Training dann von dem
00:07:57
Modell genutzt oder wird das sozusagen
00:08:01
nur im Zugriff gehalten wie sieht das
00:08:03
technisch aus technisch sieht es so aus
00:08:05
erstmal generell wir nutzen keine Daten
00:08:08
um ein Modell weiter zu trainieren und
00:08:10
das lar language Modell weiter zu
00:08:12
trainieren das ist immer statisch und
00:08:14
wird niemals mit Kundendaten weiter
00:08:15
trainiert wenn ich allerdings jetzt
00:08:17
Daten über ein connektor anbinde landen
00:08:21
diese in Anführungszeichen auch im
00:08:23
Extrakt das heißt für die Suche für
00:08:25
Keywordsuche für den semantischen Index
00:08:28
auch in der sogenannten boundary aber
00:08:30
nicht irgendwo in der Microsoft Umgebung
00:08:32
sondern nur in der Umgebung die
00:08:33
ausschließlich den Kunden gehört also
00:08:36
ich
00:08:38
übersetzt jetzt mal für mich ich habe
00:08:40
also Mandanten innerhalb von der
00:08:42
Microsoft 365 Umgebung die ich als
00:08:45
Unternehmen typischerweise habe sobald
00:08:47
ich halt unternehmensvertrag mache und
00:08:49
und alles einrichte mit meiner Domain
00:08:51
und so weiter und das heißt alles was
00:08:54
sozusagen der Copilot dann braucht um
00:08:57
seine Arbeit zu machen das wir wird in
00:09:00
diesem Mandanten gespeichert
00:09:03
in welcher also nicht eins zu eins habe
00:09:05
ich jetzt rausgehört ne also es wird
00:09:06
halt ein Extrakt gebildet das heißt also
00:09:08
es wird sozusagen ein ein ein Index oder
00:09:10
was eine
00:09:11
Art Katalog gebildet wo was zu finden
00:09:14
ist und von da aus kann ich dann in dem
00:09:17
Moment wo ich eine Abfrage starte wird
00:09:20
dann im Hintergrund anhand des Katalogs
00:09:22
geguckt welche Informationen dafür
00:09:23
genutzt werden genau so so ist es vom
00:09:26
vom Grundprinzip her so dass wir
00:09:28
sicherstellen können D das
00:09:29
Kundeninformation oder Kundendaten nie
00:09:32
die sogenannte tenant boundary verlassen
00:09:34
und das auch wichtig
00:09:36
wenn man sich die Architektur ein
00:09:38
bisschen genauer anschaut als Microsoft
00:09:39
wir sind ein typischer hyperscaler das
00:09:41
heißt wir haben immer geschärte
00:09:43
Infrastrukturen das heißt mein
00:09:44
SharePoint Server mein Team sererver der
00:09:46
Exchange Online Server sind alles
00:09:48
gescherte Infrastrukturen aber wenn es
00:09:50
auf Basis der Kundendaten geht das ist
00:09:52
immer isoliert in der sogenannten Tennis
00:09:54
antenant boundary der Rest läuft in der
00:09:56
sogenannten Service boundary so das W
00:09:59
sich stellen können dass die
00:10:00
Zugriffsrechte immer nur
00:10:02
so vergeben werden dass auch Kundendaten
00:10:04
nur im Bereich der kundeninfrastruktur
00:10:06
dann gespeichert und dann noch abgerufen
00:10:08
werden können okay das heißt wenn wir
00:10:11
jetzt mal davon ausgehen ich habe jetzt
00:10:13
so eine Extension mit der binde ich
00:10:15
meine eigenen Datenbestand an und da
00:10:18
sind vielleicht Kundendaten mit dabei da
00:10:20
sind vielleicht auch Mitarbeiterdaten
00:10:22
dabei die würden zumindest teilweise
00:10:25
auch als Extrakt dann in diesem in
00:10:27
diesem Index landen also da kann kan ich
00:10:29
wahrscheinlich nicht ganz ausschließen
00:10:30
dass auch personbezogene Daten bei sind
00:10:32
oder mus mache ja okay über ein Plugin
00:10:36
kann ich das umgehen weil dann wird
00:10:37
immer nur live abgefragt dann ist
00:10:39
natürlich immer die Frage über welche
00:10:40
Information über welche Verarbeitung wir
00:10:42
reden natürlich insbesondere aus
00:10:44
datenschutzrechtlicher Sicht interessant
00:10:46
nicht nur die eigentliche
00:10:47
Datenverarbeitung zu betrachten sondern
00:10:49
auch die verarbeitungstätigkeit an sich
00:10:51
und je nachdem was das für Informationen
00:10:54
sind wenn es z.B besonders
00:10:55
schützenswerte Informationen sind wo ich
00:10:57
auch als als Kunde jetzt sagen als
00:10:59
Datenschützer hm in der Cloud hätten wir
00:11:02
die gerne nicht aber in Verbindung mit
00:11:03
Copilot würden wir Sie gerne nutzen
00:11:04
wollen dann wäre ein Plugin dafür das
00:11:08
optimale Thema dann bleiben die
00:11:10
Originaldaten immer da wo sie heute sind
00:11:12
und sie werden dann nur für die
00:11:13
Transaktion des Einzelnen promptes
00:11:15
angefragt aber nicht in den Index
00:11:17
überführt okay also da kann ich drüber
00:11:19
steuern was dann nachher wirklich im
00:11:21
Index drin ist wobei man auf der anderen
00:11:23
Seite auch sagen muss wenn ich eine
00:11:24
Datenbank habe dann habe ich in der
00:11:26
Regel auch äh irgendeine Art von Index
00:11:27
oder wenn ich äh meinen lokalen
00:11:30
Datenbestand indexieren lasse um die
00:11:32
Suche zu beschleunigen dann kann ich das
00:11:34
halt auch an der Stelle natürlich nicht
00:11:36
ausschließen dass auch personbezogene
00:11:37
Daten drin drin landen also ich sag mal
00:11:39
es ist vielleicht ein bisschen
00:11:41
umfassender aber am Ende ist es auch
00:11:43
nicht
00:11:44
neu also nicht ganz neu zumindest ist
00:11:46
ist natürlich immer die die Frage wie
00:11:47
ich das von der von der Verarbeitung her
00:11:49
betrachte was aus aus meiner Sicht aus
00:11:52
datenschutzrechtlicher Sicht noch
00:11:53
interessant ist wo dann auch die
00:11:55
Verarbeitung stattfindet und hier gehen
00:11:57
wir als Microsoft ein gesondert weg was
00:11:59
das Thema KI angeht wir garantieren für
00:12:02
unsere Kunden in Europa dass die
00:12:04
Verarbeitung und Speicherung der
00:12:06
Informationen ausschließlich in Europa
00:12:08
stattfindet auch wenn ich
00:12:10
Infrastrukturen habe die normalerweise
00:12:12
multio sind also über mehrere Länder
00:12:15
auch verteilt sein können dann
00:12:17
garantieren wir trotzdem für die
00:12:19
europäischen Mitarbeiter also da wo die
00:12:21
prefer data Location richtig ausgewählt
00:12:23
wurde auch genau die
00:12:26
verarbeit das bedeutet aber dass ich
00:12:29
sobald ich den Copiloten nutze ich
00:12:32
sozusagen immer auch die die Online
00:12:34
Verbindung brauche also das heißt ein
00:12:36
Teil der Datenverarbeitung in dem Moment
00:12:38
findet auch online statt ich kann es
00:12:40
jetzt nicht rein Lokal nutzen also ich
00:12:42
kann jetzt nicht sagen ich möchte gerne
00:12:43
den Copiloten nutzen aber ich mache das
00:12:46
rein Lokal ohne dass ich da irgendwie
00:12:48
einen cloudsice für brauche im im Moment
00:12:51
nein es gibt paar Entwicklungen auch auf
00:12:53
Hardwarebasis aber das glaube ich heute
00:12:55
den Podcast komplett springen aber alles
00:12:58
das was du den den den nennen wir ihn
00:13:00
mal Standard Microsoft Ansatz an ansieht
00:13:03
in der Microsoft 365 Umgebung ist es
00:13:05
immer online
00:13:07
ja jetzt kennen wir das vielleicht von
00:13:09
auch anderen large language Models man
00:13:12
hat dann dieses berühmte prompting wo er
00:13:14
mittlerweile auch mittlerweile sehr viel
00:13:17
drüber diskutiert wird und und auch sehr
00:13:20
viel Schulungsangebote bestehen ich
00:13:21
glaube das ist wahrscheinlich hier auch
00:13:22
nicht anders dass man da
00:13:24
auch gewisse gewisse Erfahrung
00:13:26
wahrscheinlich sammeln muss erweise ist
00:13:29
aber ja das was ich dort eingebe ist ja
00:13:33
etwas was jetzt bei anderen auch oft
00:13:35
dann in so einer Chronologie erhalten
00:13:37
bleibt und auch das was wieder
00:13:38
ausgegeben wird von der KI oder jetzt in
00:13:40
dem Fall von Copilot das wird dann auch
00:13:43
historisiert das ist ist so
00:13:45
wahrscheinlich und wo wird sowas dann
00:13:47
gespeichert also ist das halt auch was
00:13:49
was ich lokal habe oder was in der Cloud
00:13:52
liegt und wenn ja wo bei dem Microsoft
00:13:55
365 coPilot ist es so dass jeder prompt
00:13:58
und jede Antwort immer auch in der
00:14:00
Mailbox also in dem Exchange Online
00:14:02
Mailbox des Benutzers landet und zwar in
00:14:05
dem versteckten Ordner wo wir auch heute
00:14:07
schon teamsnachrichten ablegen was wir
00:14:09
ja gemacht haben im Bereich Copilot wir
00:14:11
haben die Technologie Z Nutzung gemacht
00:14:12
die wir für Teams haben um dann auch die
00:14:15
Proms und auch die Antworten dort
00:14:16
ablegen zu können ist natürlich
00:14:18
interessant weil zum einen habe ich dann
00:14:20
die Möglichkeit das für recherchezwecke
00:14:22
wieder zu nutzen weil ein prompt und der
00:14:24
Antwort könnte ja unter Umständen auch
00:14:26
durchaus relevant sein für eine
00:14:27
Anbahnung von ein Rechtsgeschäft und
00:14:29
damit wäre ich auch in der ja in der
00:14:32
Notwendigkeit
00:14:33
diese Information auch länger
00:14:34
vorzuhalten nichtdestotrotz kann man die
00:14:38
die Proms und auch die Antworten zu
00:14:39
jederzeit löschen wenn man das will es
00:14:41
gibt auch eine Historie die Historie die
00:14:43
kann man immer löschen wenn man will
00:14:45
aber das hat keine Auswirkung auf die
00:14:47
gespeicherten Informationen die in der
00:14:50
Mailbox des Benutzers liegen das kann
00:14:52
ich aber auch zentral steuern also ich
00:14:54
kann dann auch da retention time also
00:14:57
Aufbewahrungsfristen und auch
00:14:58
Löschfristen hinterlegen als Unternehmen
00:15:00
okay ja du hast es angesprochen die
00:15:04
Speicherung in der lokalen Mailbox ist
00:15:06
oder in der Mailbox des Users so ähm das
00:15:08
hatten wir auch in der teamsfolge schon
00:15:10
gemacht auf die kann ich an der Stelle
00:15:12
auf jeden Fall noch mal verweisen ich
00:15:13
glaube da hast du es auch sehr gut
00:15:14
erklärt wie letztendlich die
00:15:16
Datenspeicherung dann pass passiert und
00:15:18
ich vermute jetzt mal es ist dann
00:15:20
genauso wie wie wir das da auch hatten
00:15:21
also in dem Moment wo ein Mitarbeiter
00:15:22
z.B ausscheidet und ich seine Mailbox
00:15:25
lösche sind halt auch all diese
00:15:26
Informationen die darin gespeichert
00:15:28
waren auch ebenfalls gelöscht genau das
00:15:30
unterliegt den ganz normalen
00:15:32
Löschfristen die wir auch vertraglich
00:15:34
Zusagen zu unseren Kunden also ist auch
00:15:35
im dpa geregelt in Verbindung mit den
00:15:38
Product und Service terms sind je
00:15:40
nachdem wie das Setup ist welchen Weg
00:15:42
ich wähle wenn ich ein Benutzer lösche
00:15:45
das geht in da regell los bei 90 Tage
00:15:47
ist abhängig von dem Setup ja okay jetzt
00:15:50
haben wir noch den Index eben
00:15:52
angesprochen und gesagt da kann auch
00:15:54
nicht ausgeschlossen werden dass da auch
00:15:55
personenbezogene Daten drin sind ähm der
00:15:58
Index ist aber natürlich etwas was ja im
00:16:01
Zweifelsfall dann auch irgendwie
00:16:03
gelöscht werden muss wenn ich jetzt
00:16:05
vielleicht die Originaldaten lösche
00:16:07
gibt's da eine gewisse also wie wie
00:16:09
häufig wird der aktualisiert ist das
00:16:11
etwas was sehr zeitnah passiert oder
00:16:12
muss ich da jetzt noch mal extra
00:16:14
hingucken und sagen na ja wenn ich jetzt
00:16:15
meine Originaldaten lösche dann muss ich
00:16:17
den Index irgendwie separat noch mal was
00:16:19
was veranlassen
00:16:21
ähm nein ich muss hier nichts noch mal
00:16:23
veranlassen das passiert alles voll
00:16:26
automatisiert man muss natürlich ein
00:16:27
bisschen genauer drauf schauen
00:16:29
ich mache jetzt mal ein Beispiel ich
00:16:30
hatte letztens ein Termin und dann hat
00:16:32
mich ein Datenschützer gefragt ich habe
00:16:34
jetzt ja ein Dokument was ich an den
00:16:35
Herrn Müller geschickt habe und ich
00:16:38
lösche das für mich als als
00:16:39
Datenschützer was passiert denn die
00:16:41
Antwort daruf ist relativ einfach nichts
00:16:44
weil der Herr Müller ist ja noch da und
00:16:46
er hat ja noch das Objekt das heißt hier
00:16:48
bleibt dann die Information noch im
00:16:51
Index bestehen aber sollte der Herr
00:16:53
Müller das Dokument löschen dann wird es
00:16:56
auch aus dem Index entfernt heißt
00:16:58
solange ein Dokument von einem
00:17:00
Mitarbeiter also von einem Benutzer in
00:17:03
use ist bleibt der Index bestehen und
00:17:05
sobald der letzte dann das Objekt
00:17:07
gelöscht hat dann wird auch der intrag
00:17:08
der Eintrag aus dem Index gelöscht was
00:17:10
allerdings sofort Auswirkung hat wenn
00:17:14
ich das Dokument jetzt lösche für mich
00:17:16
selber habe ich über den Index und auch
00:17:18
über das Thema Copilot keine
00:17:20
Möglichkeit das Dokument mit Copilot
00:17:22
noch weiter zu nutzen also ich
00:17:23
persönlich der Herr Müller sehr
00:17:26
wohl damit gute Brücke zum Thema
00:17:30
rechteemanagement wir haben ja in der
00:17:32
Vergangenheit gab es auch schon minedien
00:17:35
Fälle wo behauptet oder gesagt wurde
00:17:38
oder berichtet wurde dass halt über
00:17:40
Copilot z.B dann
00:17:43
mitarbeiterden sehen konnten oder
00:17:45
Informationen zumindest gewinnen konnten
00:17:48
die sie halt typischerweise eigentlich
00:17:50
nicht im Zugriff hatten oder hätten
00:17:52
haben
00:17:54
sollen vielleicht kannst du da mal was
00:17:56
zu sagen ist das also wie ist das
00:17:58
entstanden ist es Fehler in Copilot
00:18:00
gewesen ist es ein Fehler in der
00:18:01
Konfiguration gewesen ist ist ein Frage
00:18:03
des rechtemanagements und wenn ja worauf
00:18:06
sollte man da halt auch besonders achten
00:18:08
also generell ist es so dass über den
00:18:12
Copilot das rechteanagement nicht
00:18:14
ausgehebelt werden kann das heißt ich
00:18:16
kann nicht über die Grenzen auf das was
00:18:17
ich zugff habe zugreifen was hier in den
00:18:20
Fällen mit Sicherheit passiert ist man
00:18:23
hat ein prompt abgesetzt hat dann ein
00:18:25
Dokument als Referenz bekommen wo man
00:18:28
nicht wusste dass es existiert man aber
00:18:30
schon lange Zugriff drauf hatte
00:18:32
und das ist auch das das Hauptthema was
00:18:34
wir bei allen Projekten sehen in
00:18:36
Verbindung mit mit KI die erste Frage
00:18:39
die man sich stellen muss habe ich mein
00:18:41
Rechte Management im Griff Ja oder Nein
00:18:43
Z Beispiel der
00:18:47
intern der hat in der Regel immer sehr
00:18:50
viele Zugriffsrechte weil da kommt dann
00:18:52
irgendwann an fängt mit der Poststelle
00:18:53
an dann hat er die Zugriffe von der von
00:18:55
der Poststelle nach drei Wochen sagt mal
00:18:57
J hat er gut gemacht jetzt geht er
00:18:59
Richtung sales was macht man die Rechte
00:19:02
von der Poststelle nimmt man natürlich
00:19:03
nicht weg sondern man gibt dem die von
00:19:04
der von der salesabteilung und so geht's
00:19:07
dann weiter dann irgendwann landet da
00:19:08
bei H und Entwicklung und nach 6 Monaten
00:19:11
hat er mehr Zugriff wie z.B CEO aber das
00:19:15
ist kein Problem der KI sondern habe ich
00:19:18
mein Rechte Management im
00:19:20
Griff ich glaube das das ist eine ganz
00:19:23
wichtige Botschaft weil natürlich wie du
00:19:26
sagst entweder werden Rechte nicht
00:19:28
entzogen oder aber auch das kennen wir
00:19:30
natürlich aus der Praxis wir haben sehr
00:19:33
große Ordnerstrukturen und
00:19:35
Dateistrukturen ablagestrukturen die
00:19:37
dann auch letztendlich manchmal einfach
00:19:39
gar nicht so gut durchdrungen sind wie
00:19:41
die Berechtigungen am Ende wirklich
00:19:43
aussehen und das ist halt das Risiko was
00:19:46
man halt hat dass dann mit Copilot
00:19:47
Information natürlich sehr viel besser
00:19:50
zusammengesammelt werden und dann halt
00:19:52
auch der Eindruck entsteht ich habe
00:19:53
plötzlich Zugriff drauf aber in
00:19:54
Wirklichkeit wie du schon sagst hat er
00:19:56
halt vorher bestanden ich habe es halt
00:19:58
nur nicht gewusst oder nicht
00:19:59
rausgefunden weil sind den Tiefen der
00:20:01
Dateistrukturen einfach gar nicht
00:20:02
auffindbar war
00:20:05
das ist auch das Thema was wir immer
00:20:06
wieder sehen man muss halt ja auch
00:20:08
schauen
00:20:10
wenn ich jetzt ein gutes rechanagement
00:20:12
habe sag ich habe mein SharePoint Online
00:20:14
ich habe das super im Griff ich habe
00:20:15
meine teamsgruppen super im Griff die
00:20:17
Frage ist natürlich immer was ist mit
00:20:19
dem Objekt was da drin liegt in der
00:20:20
SharePoint Library ma jetzt ein Beispiel
00:20:23
jetzt sagen wir HR die haben ihre
00:20:24
SharePoint Library da darf nur h drauf
00:20:27
zugreifen dann haben wir man Prozess
00:20:29
dann wird kommt eine Bewerbung rein die
00:20:31
Unterlagen kommen rein was macht man
00:20:34
vielleicht eine teamsgruppe generieren
00:20:35
dann nimmt der HR Mitarbeiter ein
00:20:37
Dokument und kopiert das in die
00:20:39
teamsgruppe rein so das heißt hier habe
00:20:41
ich jetzt zwar mein rechteemanagement
00:20:43
auf H Basis geregelt aber aufgrund der
00:20:46
Tatsache dass das Objekt sich verschiebt
00:20:48
kann es durchaus dann wieder in andere
00:20:50
Berechtigungen reinschauen oder
00:20:52
reinrutschen deswegen ist es immer
00:20:53
empfehlenswert nicht nur die die Quelle
00:20:56
sich anzuschauen von dem Rechte
00:20:57
management sondern insbesondere bei
00:20:59
kritischen Dokumente das Dokument selber
00:21:01
das heißt kann ich Schutzmechanismen an
00:21:04
das Dokument Heften selbst wenn es
00:21:06
kopiert wird wenn es irgendwo anders hin
00:21:07
transferiert wird oder per E-Mail
00:21:09
gesendet wird
00:21:10
wie sieht das dann mit der
00:21:11
rechtesstruktur aus und da gibt es viele
00:21:13
Möglichkeiten das zu tun über
00:21:15
Rechtemanagement über über Label über
00:21:17
Verschlüsselungen und so weiter also
00:21:19
Stichwort Klassifizierung ist ist hier
00:21:22
glaube ich das was natürlich
00:21:24
auch das sehen wir wir haben natürlich
00:21:26
im Bereich Managementsysteme wenn es um
00:21:28
27001 geht gibt das halt natürlich als
00:21:31
Anforderung dass ich eine
00:21:32
Klassifizierung haben muss aber in der
00:21:34
Praxis ist es halt in sehr vielen
00:21:36
Unternehmen auch immer noch ich sag mal
00:21:38
sehr begrenzt ja und man hat halt
00:21:41
letztendlich das Thema also man muss es
00:21:43
halt irgendwie technisch Labeln und
00:21:45
klassifizieren damit dann eine KI ist
00:21:47
halt auch vernünftig auswerten bzw
00:21:49
berücksichtigen kann aber das das
00:21:51
verstehe ich also ich kann halt über
00:21:53
Klassifizierung über eine entsprechende
00:21:56
Kenntlichmachung was sind vertrauliche
00:21:58
Dokumente was sind interne Dokumente was
00:22:00
sind öffentliche Dokumente darüber kann
00:22:01
ich auch steuern was Copilot verarbeiten
00:22:05
darf ausgeben darf und was
00:22:07
gegebenenfalls auch nicht ja gut nicht
00:22:10
unbedingt was Copilot herausgeben darf
00:22:12
sondern man muss das von der anderen
00:22:14
Seite betrachten was kann im Rahmen von
00:22:16
Copilot genutzt werden um zu der
00:22:18
Entscheidung zu kommen
00:22:20
das heißt in dem gesamten Prozess wenn
00:22:21
ich den Datenfluss mir anschaue äh in
00:22:24
dem Moment wo die wo der ja der der
00:22:27
Copilot Orchestrator mit den internen
00:22:29
Modulen zu der Entscheidung kommt ein
00:22:30
Dokument kann oder Inhalte von einem
00:22:32
Dokument können relevant sein für eine
00:22:34
Antwort dann muss natürlich unweigerlich
00:22:37
an der Stelle gefragt wird darf der
00:22:38
Benutzer auf diese Information zugreifen
00:22:40
und das ist im Prinzip der der Schlüssel
00:22:43
wenn an der Stelle der Zugriff nicht
00:22:45
möglich ist über Rechtevergabe
00:22:47
Klassifizierung über das
00:22:48
Rechtemanagement was ich z.B mit Label
00:22:51
machen kann oder andere Mechanismen dann
00:22:53
kann ich dadurch auch den Zugriff
00:22:54
steuern das ist auch das was viele
00:22:56
Kunden fragen wie kann man einzelneen
00:22:58
Objekte einzelne Dokumente aus der
00:23:01
Nutzung von KI
00:23:02
fernhalten jetzt nehmen wir mal den Fall
00:23:05
wir haben festgestellt wir hatten unser
00:23:07
Rechte Management nicht im Griff und
00:23:10
jetzt ist halt der Fall eingetreten
00:23:11
Mitarbeiter haben plötzlich Information
00:23:14
die sie gar nicht haben sollten wenn ich
00:23:16
jetzt aber hingehe und rechte entziehe
00:23:19
wie lange dauert das dann bis das dann
00:23:20
auch bei cilot angekommen ist und diese
00:23:23
Information dann auch nicht wieder
00:23:24
weiter verarbeitet werden sofort sofort
00:23:27
ja hä damit zusammen wenn wir den Index
00:23:31
erstellen der wird natürlich auch
00:23:33
zentrisch für den User erstellt das
00:23:35
heißt den den Index den wir an sich
00:23:37
entstellen selbst wenn ich Änderungen
00:23:38
durchführe kann das in der Regel
00:23:41
passiert das sofort aber wenn jetzt
00:23:43
größere Änderungen stattfinden jetzt hab
00:23:45
ich z.B wir haben das mit dem Rechte
00:23:46
Management wir haben z be einem Kunden
00:23:49
der hat 100.000 SharePoint Library jetzt
00:23:51
stellt man fest UPS 500 User dürfen auf
00:23:53
die Hälfte gar nicht zugreifen dann
00:23:55
ändere ich das ab dann kann ich das im
00:23:57
Index gar nicht so schnell nach ziehen
00:23:58
das heißt die die Veränderung oder die
00:24:00
die Latenzzeit bis die Änderung eintritt
00:24:02
wäd zu groß und das auch der Grund warum
00:24:05
wir
00:24:06
immer point in time überprüfen habe ich
00:24:09
Zugriff auf ein Dokument deswegen
00:24:11
unabhängig was der Index intern zur
00:24:13
Verfügung stellt ist die Nutzung des
00:24:16
Dokuments durch die Änderung sofort
00:24:19
aktiv dass ich das Dokument dann in der
00:24:21
in der Verbindung mit Copilot nicht mehr
00:24:23
nutzen kann heißt auch dass ich damit
00:24:26
sicherstelle dass immer der AK Inhalt
00:24:28
auch herangezogen wird also selbst wenn
00:24:30
Dokument sich geändert hat ja jainin
00:24:34
okay ganz klares Jain ja g hängt
00:24:36
natürlich damit zusammen wenn ich das
00:24:37
aktuelle Dokument
00:24:39
ja ist natürlich auch immer die Frage
00:24:42
wie lege ich das Dokument ab wenn ich
00:24:43
natürlich nur mich auf Änderung beziehe
00:24:46
das Dokument einfach speichert dann weiß
00:24:47
ich dann habe ich immer das aktuelle
00:24:49
Dokument wenn ich allerdings aktiv
00:24:51
Versionen Speicher dann muss ich
00:24:53
natürlich für das Thema Copilot wissen
00:24:55
dass dann auch die Versionen die ich
00:24:57
physisch Speicher also nicht das was
00:24:58
SharePoint generiert sondern das was ich
00:24:59
physisch generiere dann auch im Zugriff
00:25:02
wieder in Verbindung mit Copilot wäre
00:25:04
und damit kann ich auch veraltete
00:25:06
Informationen dann wieder ja okay aber
00:25:10
wichtig oder interessant ich sehe immer
00:25:14
welche Dokumente der Copilot
00:25:16
referenziert das heißt wenn ich die
00:25:18
Antwort sehe dann sehe ich auch immer
00:25:20
auf welche Dokumente hat der Copilot
00:25:21
sich referenziert wenn ich natürlich
00:25:23
dann zwei drei Dokumente habe mit dem
00:25:25
gleichen Namen dann sollte man sich die
00:25:28
am liebsten noch mal anschauen jetzt ist
00:25:31
ja wenn wir über den Einsatz von
00:25:35
überhaupt KI-System im Unternehmen mal
00:25:37
ganz allgemein sprechen ist ja immer
00:25:39
auch natürlich eine große Sorge dass
00:25:41
darüber Mitarbeiter Auswertungen
00:25:43
passieren können dass darüber Daten
00:25:46
analysiert werden können die vielleicht
00:25:48
wie gesagt ich sonst nicht analysiere
00:25:52
weil ich vielleicht den Aufwand dafür
00:25:54
scheue oder med die KI das vielleicht
00:25:56
sogar anbietet wie wie wie ist es da
00:25:59
geregelt also gibt's da
00:26:00
Schutzmechanismen kann ich bestimmte z.B
00:26:03
promptfilter setzen kann ich irgendwie
00:26:06
technisch irgendwas unterbinden oder
00:26:07
muss ich das organisatorisch Regeln ist
00:26:10
vielschichtig ist eine Kombination aus
00:26:12
Allem also zum einen organisatorisch
00:26:14
dann was wir machen mit contentfilter
00:26:17
und dann am Ende noch reaktive
00:26:20
Information aber ich würde das einmal
00:26:21
kurz ein bisschen beleuchten was ich
00:26:23
natürlich machen muss und das habe ich
00:26:25
auch immer mit den Gesprächen mit den
00:26:26
Betriebsräten auch mit dem ein od
00:26:27
anderen Schützer
00:26:29
äh und macht sich dann über eine eine
00:26:31
Betriebsvereinbarung Gedanken wie ist
00:26:33
die Nutzung für KI zugelassen was darf
00:26:35
ich was darf nicht z.B
00:26:36
Mitarbeiterüberwachung und ähnliches ist
00:26:38
normalerweise immer sofort per se
00:26:40
verboten auch im Bereich der
00:26:42
Betriebsvereinbarung wir als Microsoft
00:26:44
haben
00:26:46
das responsible ai wo wir uns schon sehr
00:26:49
lange mit beschäftigen was die wenigsten
00:26:51
wissen
00:26:52
für fehle ist es so wir haben mit
00:26:53
Copilot angefangen dann haben wir auch
00:26:55
responsible ai so war es aber nicht
00:26:57
bereits se 2000
00:26:59
arbeiten wir im Hintergrund daran
00:27:01
und zwar über das responsible ey haben
00:27:03
wir als Microsoft so ein paar
00:27:05
Spielregeln wenn man das so sagen darf
00:27:07
festgelegt
00:27:08
über contentfilter dass bestimmte promts
00:27:11
und Antworten auch nicht zugelassen
00:27:13
werden da gehört natürlich unter anderem
00:27:15
auch Bewertungen dazu
00:27:18
alles was offensichtlich auch in in
00:27:20
kriminellen Charakter wie kann ich eine
00:27:22
Bombe bauen oder wie kann ich eine
00:27:23
Pistole bauen oder ähnliches solche
00:27:25
Sachen werden dann generell unterbunden
00:27:28
aber
00:27:29
nichtdestotrotz kann man offen drüber
00:27:30
reden man wird nicht jeden prompt
00:27:32
unterbinden können das ist nahezu
00:27:34
unmöglich wir sind schon ofem guten Weg
00:27:36
auch in anderen Bereichen aber man wird
00:27:39
nicht jeden prompt unterbinden können
00:27:41
aber was ich als Unternehmen habe ich
00:27:43
kann immer noch definieren für mich
00:27:45
selber was sind den prompts die ich
00:27:47
nicht zulassen will die ich aber auch
00:27:48
dann in der Betriebsvereinbarung schon
00:27:50
so definiert habe oder auch in dem
00:27:51
Prozess definiert habe und über ein
00:27:54
Modul in der Microsoft 365 Umgebung
00:27:56
communication compliance kann ich meine
00:27:58
eigenen policies definieren und genau
00:28:01
diese nicht erwünschten Proms auch zu
00:28:03
erkennen wir können sie nicht verhindern
00:28:06
also werden nicht abgeblockt aber man
00:28:08
kann sie erkennen und auch die Antworten
00:28:09
da draus werden erkannt und H habe ich
00:28:11
dann die Möglichkeit im Nachhinein mir
00:28:13
das anzuschauen das ist natürlich ideal
00:28:15
für recherchezwecke oder wenn schon
00:28:18
kritische Sachen dabei sind das kann
00:28:20
natürlich auch muss jetzt nicht
00:28:22
unbedingt immer aus Sicht von
00:28:23
Betriebsrat sein das kann ja auch ein
00:28:26
ein geheimes Projekt rein wo man dran
00:28:28
arbeitet mit
00:28:30
Deckmantel irgendein Namen dem man sich
00:28:32
ausdenken dann baut man eine Policy die
00:28:34
genau nach diesem Namen sucht oder das
00:28:36
immer aufhängt und in dem Moment wo dann
00:28:38
einer Copilot in Verbindung mit diesem
00:28:40
Namen nutzen will wird ein Alert
00:28:43
generiert und ein Benutzer oder ein
00:28:46
Administrator der die Zugriffsrechte
00:28:47
drauf hat kann das dann entsprechend
00:28:49
überprüfen also man ist nicht komplett
00:28:52
auf Blindflug aber man sollte schon
00:28:54
überlegen was man machen möchte und wie
00:28:55
man die Information dann auch
00:28:57
verarbeiten nutzen will ja wobei da
00:29:00
natürlich auch wieder
00:29:01
datenschutzrechtlich sozusagen einmal
00:29:03
sauber durchgeprüft werden soll ähm wie
00:29:06
mache ich das gibt's dafür sousagen auch
00:29:08
eine erforderlichkeitsäh grrenze
00:29:10
Notwendigkeit damit wir das datensrech
00:29:12
auch legitimieren können und wie du
00:29:14
schon sagst es brauchen dann auch
00:29:15
spezielle Leute die Berechtigungen dann
00:29:17
auch da und auch Prozesse ne also ich
00:29:19
glaube das ist halt auch wichtig dass
00:29:20
man die Prozesse hat wie geht man damit
00:29:22
um damit halt auch nicht eine
00:29:23
Mitarbeiterüberwachung über den Weg
00:29:25
wieder stattfindet was war natürlich
00:29:27
auch am Ende nicht wollen und auch
00:29:28
betriebsrät typiserweise nicht wollen
00:29:30
korrekt ist so da wird man auch nie von
00:29:34
von losgesprochen oder freigesprochen
00:29:36
werden ich muss mir Gedanken darüber
00:29:38
machen wie die Nutzung an sich schon
00:29:41
eingesetzt werden kann und dann auch die
00:29:42
entsprechenden Prozesse beschreiben hat
00:29:45
es eben schon angesprochen viele Firmen
00:29:46
haben das Thema Klassifizierung
00:29:49
nicht unbedingt
00:29:51
umgesetzt was ich sehe aus meiner
00:29:53
Erfahrung also ich habe bis jetzt noch
00:29:56
keine Firma gefunden die die sich nicht
00:29:58
damit beschäftigt
00:30:00
hat viele haben ein ein Konzept wie die
00:30:04
Klassifizierung aussehen soll meistens
00:30:05
so drei vier verschiedene fünf
00:30:07
verschiedene Klassen aber sehr häufig
00:30:09
liegt das Konzept in der
00:30:11
Schublade me für archivierungszwecke
00:30:14
liegt's dort gut aber es wäre schön wenn
00:30:17
man es auch umsetzen
00:30:18
würde ja da gebe ich dir völlig Recht
00:30:21
wie gesagt der Praxis sieht man es oft
00:30:24
manchmal findet man halt schon Ansätze
00:30:26
wie man sagt okay das alles was halt
00:30:28
kein Label hat ist halt irgendwie intern
00:30:30
und dann werden besonders vertrauliche
00:30:32
Dokumente noch klassifiziert aber dann
00:30:33
gibt's halt oft auch so regeln die sagen
00:30:35
alle Personaldaten sind grundsätzlich
00:30:38
als vertraulich Hand zu haben das
00:30:40
funktioniert organisatorisch aber das
00:30:41
funktioniert natürlich nicht für eine KI
00:30:43
erstmal wenn man das in dieser
00:30:44
Pauschalität definiert oder ja ja kommt
00:30:47
drauf an also aus meiner Sicht würde es
00:30:50
funktionieren äh kann man schon umsetzen
00:30:52
ist natürlich immer die Frage wo ich
00:30:53
ansetze und wie man es umsetzen will
00:30:56
weil gerade was das Thema klass erung
00:30:58
angeht sehe ich immer bei den Projekten
00:30:59
wo ich auch mit unterwegs bin das
00:31:01
Hauptproblem ist man es sieht so man
00:31:04
steht vor dem Mount Everest und sagt
00:31:05
okay wie komme ich jetzt da hoch mein
00:31:08
Ansatz wärden viel einfacher gut ich bin
00:31:10
jetzt kein Bergsteig aber was ich nehmen
00:31:11
würde ich würde den Hubschrauber nehmen
00:31:13
nach oben fliegen und mich um das obere
00:31:14
Drittel kümmern weil das ist das was
00:31:17
wichtig ist das was das was weh tut das
00:31:19
heißt die Informationen zu erkennen die
00:31:23
die weh tun am Ende des Tages die
00:31:25
kritisch sind und genau an der Stelle
00:31:28
mit der Klassifizierung anfangen weil
00:31:29
das ist immer das Hauptproblem was ich
00:31:30
sehe man man sieht oh Klassifizierung
00:31:32
wir müssen jetzt public private online
00:31:36
confidential highly confidential die
00:31:39
ersten drei die kann ich was das Thema
00:31:41
Copilot angeht erstmal unter Umständen
00:31:44
nicht vergessen aber erstmal an Seite
00:31:47
schieben und mich nur um confidential
00:31:48
und hly confidential kümmern dann hat
00:31:51
man schon sehr viel gewonnen ja ja das
00:31:53
ist risikoorientiert genau der richtige
00:31:55
Ansatz weil ich muss erstmal die hohen
00:31:57
Risiken mitigieren bevor ich mich dann
00:31:59
um die etwas mittleren und kleineren
00:32:01
vielleicht kümmere
00:32:03
ja weil jetzt als
00:32:06
datenschutzperspektive gedacht wenn ich
00:32:08
jetzt so ein System Copilot Copilot habe
00:32:12
kann ich das auch auch als Datenschützer
00:32:14
z.B nutzen um jetzt vielleicht wenn ich
00:32:16
eine Betroffenen Anfrage auch Auskunft
00:32:18
Artikel 15 habe um mir sowas auch
00:32:21
zusammenstellen zu lassen oder scheitere
00:32:23
ich dann sozusagen wiederum genau an an
00:32:25
diesen
00:32:26
berechtigungsfragen wenn also von der
00:32:28
Theorie her da muss man schon sehr viel
00:32:30
kreativ theoretisch denken wenn ich
00:32:33
Zugriff auf alles habe dann ja aber von
00:32:36
der Praxis nein die Antwort meine
00:32:38
Antwort da drauf als als global Black
00:32:40
Belt für kupl nein nein okay weil der
00:32:43
Risikofaktor dahinter der wäre viel zu
00:32:45
groß ich müsste den Datenschützer
00:32:47
Zugriff auf alles gewähren aber davon
00:32:50
abgesehen coPilot ist nicht dafür
00:32:52
vorgesehen genauusowas zu tun weil das
00:32:54
wird er auch nicht können weil der kommt
00:32:57
das ist auch was viele erst noch lernen
00:32:59
müssen viele setzen Kopilot oder KI auch
00:33:02
ein Stück weit mit einer besseren
00:33:04
Suchmaschine gleich davon muss man sich
00:33:06
verabschieden weil die künstliche
00:33:09
Intelligenz ist keine Suchmaschine und
00:33:13
steroids sondern die gibt mir
00:33:16
Informationen die von wert sind wo ich
00:33:19
auch wieder neue Entscheidung drauf
00:33:20
treffen kann weil ansonsten kann ich
00:33:22
ganz normal mit dem Index
00:33:24
weiterarbeiten okay dann hast du eben
00:33:28
eingangs auch schon mal angesprochen das
00:33:29
Thema DPE also datenschutzvereinbarung
00:33:31
datenschutzvertrag mit Microsoft muss
00:33:34
ich jetzt wenn ich als Unternehmen
00:33:36
Copilot einsetzen möchte muss ich dann
00:33:38
noch mal ein separates dpa abschließen
00:33:41
ist das durch das Standard dpa abgedeckt
00:33:44
und ist sozusagen alles abgebildet ist
00:33:46
aber nicht extra erwähnt cilot oder ist
00:33:48
es ein extra Punkt da drin nein im dpa
00:33:52
sind eh keine Produkte abgebildet
00:33:54
sondern das das data privacy adendum was
00:33:56
wir haben ist immer das
00:33:58
data privacy Framework was wir haben für
00:34:00
alle Produkte die die Wahrheit was die
00:34:04
Produkte ang angeht sind in den
00:34:06
sogenannten product und Service terms
00:34:07
und da sieht man dass der Microsoft 365
00:34:11
cilot ein Core Service aus der Microsoft
00:34:14
365 Umgebung ist was natürlich aus
00:34:16
datenschutzrechtlicher Sicht jetzt
00:34:18
interessant wird weil ich weiß aha in
00:34:20
dem Moment wo der Microsoft 365 Copilot
00:34:23
ein Core Services von der Microsoft 365
00:34:25
Umgebung ist es keine komplett neue
00:34:28
Infrastruktur keine komplett neue
00:34:29
Verarbeitung sondern wenn ich jetzt
00:34:31
meine datenschutzfolgabschätzung für die
00:34:33
Microsoft 365 Umgebung gemacht habe kann
00:34:37
ich hier ich will jetzt nicht sagen
00:34:39
vieles abkürzen aber vereinfachen weil
00:34:41
ich viele von meinen Hausaufgaben schon
00:34:43
gemacht habe und dann im Rahmen der
00:34:46
Verarbeitung nur noch das Thema KI
00:34:48
betrachten muss kommen wir gleich noch
00:34:50
mal drauf W wir das dpa jetzt noch mal
00:34:53
nehmen dass wir auch in der
00:34:55
Vergangenheit von den aufs auch wieder
00:34:58
beanstandet wurde die habt da immer
00:34:59
wieder auch auch sozusagen ja dann drauf
00:35:02
reagiert und das wieder versucht auch
00:35:04
nachzubessern
00:35:06
das ist ist aber schon so dass du auch
00:35:08
sagst da ist auch jetzt im Moment so der
00:35:10
Stand mit den Aufsichtsbehörden so dass
00:35:13
wir haben ja vereinzel aufsichtsbürden
00:35:15
auch sagen nee man kann das jetzt auch
00:35:16
so
00:35:17
einsetzen Niedersachsen z.B glaube ich
00:35:20
hat sich da ja auch sehr positiv
00:35:21
geäußert das hat sich auch durch Copilot
00:35:23
nicht geändert also das ist jetzt auch
00:35:24
nicht so dass dass da jetzt irgendwie
00:35:26
noch mal extra Kritik kommt das ist
00:35:28
irgendwo fehlt nein aus aus meiner Sicht
00:35:31
nicht also W haben jetzt auch bis jetzt
00:35:32
da nichts gehört in der Richtung
00:35:34
weil hängt damit natürlich zusammen weil
00:35:36
der Microsoft 365 Copilot genau die
00:35:39
gleiche Infrastruktur ist wie die
00:35:41
Microsoft 365 Umgebung weil das
00:35:43
interessante war ja die Verarbeitung und
00:35:46
Speicherung von Informationen das wurde
00:35:48
ja von den landesdatenschützern so in
00:35:50
der Art und Weise nicht kritisiert
00:35:52
sondern in der Regel immer nur das was
00:35:54
das Thema Diagnosedaten angeht und das
00:35:57
verwenden zu in Anführungszeichen
00:35:59
verwenden zu eigenen Zwecken z.B
00:36:02
Abrechnungsdaten oder ähnliches da haben
00:36:04
wir was das Wording angeht äh einiges
00:36:08
verändert ä dass es auch ein bisschen
00:36:10
transparenter wird
00:36:12
was Diagnosedaten angeht und gerade die
00:36:14
die Informationen die
00:36:16
für Abrechnungszwecke geht
00:36:18
sind mittlerweile auch im Bereich der
00:36:19
eata boundary so dass wir hier viele
00:36:22
Fragen äh beantworten konnten die mit
00:36:25
unter vor Jahren noch äh beanstandet
00:36:28
wurden aber heute eher weniger okay
00:36:31
jetzt haben wir ja einige
00:36:32
Aufsichtsbehörden noch die so eine
00:36:35
pauschalannahme Treffen zum Thema
00:36:37
Datenschutz Folgenabschätzung beim
00:36:39
Einsatz von KI wenn es um personbezogene
00:36:41
Daten geht das KI paper von der DSK
00:36:45
glaube ich ist da ein bisschen ein
00:36:47
bisschen offener sagt das nicht mehr mit
00:36:48
dieser Pauschalität aber grundsätzlich
00:36:51
wenn ich jetzt das Unternehmen meine ich
00:36:54
bin da vielleicht zu angehalten weil ich
00:36:57
das halt vielleicht auch von den
00:36:58
Datenarten die ich verarbeite oder von
00:37:00
den Mengen her für für angeraten sehe
00:37:03
gibt es da von eurer Seite Informationen
00:37:07
auf die ich mich da stützen kann gibt es
00:37:09
Hilfestellungen die ich halt heranziehen
00:37:12
kann um dann so eine dsfa durchzuführen
00:37:14
ja ja auf jeden Fall
00:37:17
ich habe natürlich immer wieder
00:37:18
Gespräche auch mit dem einen oder
00:37:20
anderen landesdatenschützer letzt mal
00:37:22
saßen wir zusammen und dann war
00:37:23
natürlich die Frage können wir eine
00:37:25
musterdatenschutz folgeabschätzung z zur
00:37:27
Verfügung stellen theoretisch könnten
00:37:29
wir das macht aber wenig Sinn weil ich
00:37:32
ja nie weiß oder wir als Microsoft nie
00:37:34
wissen wie ist denn die Verarbeitung
00:37:36
geplant wie will ich meine KI nutzen
00:37:38
weil hier ist dann immer entscheidend
00:37:40
die Verarbeitung als erstes zu
00:37:42
betrachten was die ganze Technologie
00:37:44
Verarbeitung und auch zusätzliche
00:37:46
Informationen angeht da stehen wir immer
00:37:48
mit Rat und Tat zur Seite und was
00:37:50
natürlich die Verarbeitung angeht und
00:37:52
auch was die Rechtsgrundlage angeht das
00:37:53
muss immer auch von der Kundenseite dann
00:37:55
entschieden werden okay
00:37:58
wir werden aber ein paar Links auch in
00:38:01
die Show nototes packen wo man noch
00:38:03
weitere Informationen auch findet gerade
00:38:05
auch wenn es um um das Thema geht aber
00:38:07
ich gebbe dir natürlich völlig recht
00:38:09
Risiken müssen natürlich
00:38:10
unternehmenspezifisch aufgrund der Daten
00:38:13
und der betroffenen Gruppen
00:38:14
identifiziert werden und natürlich auch
00:38:17
wie wir es eben schon gesehen haben wir
00:38:18
können natürlich auch viel Maßnahmen
00:38:20
ergreifen sei es Klassifizierung sei es
00:38:23
Einschränkung von Rechten also da sind
00:38:25
natürlich dann die Dinge die halt auch
00:38:26
in jedem Unterneh
00:38:28
konfiguriert werden müssen ich glaube
00:38:29
das ist auch noch mal ein ganz
00:38:31
entscheidender Punkt also so wie wir es
00:38:33
bei m365 ja insgesamt haben und am Ende
00:38:36
muss man ja auch sagen bei jeder anderen
00:38:38
Anwendung auch ich muss mich halt mit
00:38:41
der Konfiguration auseinandersetzen und
00:38:43
die halt vernünftig machen und gucken
00:38:45
was ist halt notwendig und sei
00:38:47
Datensparsamkeit datenminimierung sei
00:38:49
Zugriffsrechte privacy bei Design das
00:38:51
sind halt die Dinge die ich halt im
00:38:53
Unternehmen auf jeden Fall tun muss und
00:38:55
die dann auch in so eine dsfa natürlich
00:38:56
reinfließen auf jeden Fall was
00:38:58
interessant ist was gerade ein Stichwort
00:39:00
gesagt mit der Datensparsamkeit
00:39:02
datenminimierung
00:39:04
ähm ich tausch mich nach wie vor noch
00:39:07
mit externen Datenschützern aus ich sage
00:39:09
immer schätzhaft auch weil ich bei
00:39:10
Microsoft bin sie reden immer noch mit
00:39:12
mir da wir in der Regel immer die Bösen
00:39:14
sind
00:39:15
ich sehe das ein bisschen anders aber
00:39:16
gut ist ein anderes Thema aber auch hier
00:39:19
tausche ich mich immer wieder mit
00:39:20
Datenschützern aus und da ist z.B auch
00:39:23
der eine oder andere geht auch den Weg
00:39:24
dass man sagt in Verbindung mit Copilot
00:39:27
kann ich das Thema der Datensparsamkeit
00:39:30
datenminimierung auch mit forsieren weil
00:39:33
ich mir an der Stelle dann
00:39:34
unterumständen auch erkennen kann dass
00:39:37
ein Dokument drei oder vier Mal
00:39:38
auftaucht um dann daraus wieder
00:39:42
entsprechend dann Schlüssel zu
00:39:44
ziehen okay das klingt tatsächlich
00:39:46
interessant also wenn ich darüber
00:39:48
natürlich dann mehrfach Datenhaltung
00:39:50
sozusagen identifizieren kann dann kann
00:39:53
ich darüber natürlich wie du schon sagst
00:39:55
Datensparsamkeit wiederum auch auch
00:39:57
versuchen anzuschreben und vor
00:39:58
alleningen auch Konsistenz also ich
00:39:59
meine das ist ja auch das Thema was wir
00:40:01
haben wenn wir Daten mehrfach halten
00:40:03
dass wir dann oft mehrere Wahrheiten
00:40:05
haben aber wie gesagt in der Regel ist
00:40:07
nur eine die echte Wahrheit und die ja
00:40:10
verstehe
00:40:12
ich gibt es sonst noch Punkte die du
00:40:16
jetzt aus deiner Beratungserfahrung im
00:40:18
Bereich Datenschutz siehst wo du sagst D
00:40:21
jetzt noch gar nicht drüber gesprochen
00:40:22
werden aber sind häufig gestellte Fragen
00:40:24
sind vielleicht auch auch wichtige
00:40:26
Punkte gut was in letzter Zeit häufiger
00:40:28
immer wieder gekommen ist gerade wenn
00:40:29
wir über Copilot reden weil Microsoft
00:40:32
wir haben halt immer die Intention auch
00:40:34
unter Umständen verschiedene gr produkte
00:40:36
mit dem gleichen Namen zu versehen die
00:40:38
dann auch vielleicht ein bisschen anders
00:40:39
von der Ausrichtung waren das war das
00:40:41
exbingchat Enterprise was Richtung
00:40:44
Microsoft Copilot dann umbenannt wurde h
00:40:47
an der Stelle war eine ganze Zeit lang
00:40:49
haben D konnten sich immer wieder
00:40:51
beschwert warum fällt der Microsoft
00:40:53
Copilot nicht unter das dpa weil es
00:40:56
nicht in den Product und Service war der
00:40:58
Hintergrund dafür war recht einfach so
00:41:00
wie die Infrastruktur vorher war war
00:41:02
Microsoft an der Stelle offiziell der
00:41:04
Controller und damit war keine
00:41:06
Möglichkeit gegeben das mit ins dpa
00:41:07
reinzuführen weil ich muss dann weil ich
00:41:10
der Controller bin die die Privacy
00:41:12
Vereinbarung mit dem Endbenutzer
00:41:14
realisieren was wir dann über die
00:41:16
entsprechenden Links über die
00:41:17
mitittilungen die wir auch dann
00:41:18
publizieren dann auch entsprechend
00:41:21
absichern das wurde jetzt verändert
00:41:24
Mitte letzten Monat wurde der der mosoft
00:41:27
Kopilot also exbingchet enterprise in
00:41:29
die
00:41:30
Infrastruktur des Microsoft 365 Copilot
00:41:33
jetzt nicht komplett integriert aber wir
00:41:34
gehen hier exakt den gleichen Weg das
00:41:38
heißt der gesamte KI Teil ist jetzt
00:41:41
mittlerweile über das dpa geregelt auch
00:41:43
über die product und Service terms der
00:41:45
Microsoft Copilot taucht auch in den
00:41:47
Product und Service terms als eigenes
00:41:49
Produkt auf damit habe ich natürlich aus
00:41:52
datenschutzrechtlicher Sicht jetzt
00:41:53
wieder einen eine Verbesserung weil das
00:41:56
Unternehmen weiß ich wenn ich den
00:41:58
Microsoft Copilot zulasse dann ist die
00:42:01
KI Nutzung dafür zu 100% über das dpa
00:42:04
mit abgedeckt das webgrounding bleibt so
00:42:07
wie es ist weil das das kann man nicht
00:42:09
verändern weil in dem Moment wo wir das
00:42:11
webgrounding machen das heißt wo
00:42:12
Anfragen in den Richtung Web auch
00:42:14
übergeben werden sind wir wieder der
00:42:16
Controller da ist dann wieder die
00:42:17
individuelle privacy Vereinbarung aber
00:42:20
in der Art und Weise dass wir auch hier
00:42:21
nach wie vor die Zusage haben dass und
00:42:24
doch die Garantie haben dass wir die
00:42:25
Informationen nicht dafür nutzen den
00:42:27
Service zu verbessern oder Modelle zu
00:42:29
trainieren oder ähnliches das bleibt
00:42:31
davon komplett
00:42:33
unangetastet okay das ist ja durchaus
00:42:36
auch eine Verbesserung dann für die für
00:42:38
die Anwender zu wissen dass es halt
00:42:40
nicht wieder also das auch da nicht fürs
00:42:41
Training genutzt wird das jamer doch
00:42:44
eine große Sorge wenn ich halt bestimmte
00:42:46
Daten eingebe und wenn ich es halt dann
00:42:47
im dpa drin habe dann kann ich halt wie
00:42:49
gesagt
00:42:50
auch natürlich ein bisschen mehr
00:42:52
vielleicht das
00:42:53
Nutzen Rat ist natürlich trotzdem dafür
00:42:57
Lini im Unternehmen zu schaffen
00:42:58
entsprechenden Rahmen zu schaffen wofür
00:43:01
nutzen wir auch dann den Microsoft
00:43:03
coopilot auch für den m365 Copilot
00:43:06
glaube ich bietet es sich an natürlich
00:43:08
entsprechende Vorgaben zu machen Rahmen
00:43:11
Leitplanken zu setzen damit man halt
00:43:13
neben allen technischen Schranken die
00:43:14
wir vielleicht konfigurieren können
00:43:16
unterm Strich aber trotzdem noch auch
00:43:18
organisatorische Rahmenbedingungen haben
00:43:20
und die Mitarbeiter auch nicht aus der
00:43:21
Pflicht lassen zu überlegen was sie da
00:43:23
tun weil auch da das werden wir jetzt
00:43:26
heute in äh der Kürze der Zeit natürlich
00:43:29
nicht mehr vertiefen können vielleicht
00:43:30
machen wir dazu noch mal eine eigene
00:43:31
Folge ist das Thema ganze Thema
00:43:33
Rechtsgrundlagen also in wie weit nutze
00:43:36
ich halt diese Systeme diese
00:43:38
Funktionalitäten eigentlich für den
00:43:39
originären Zweck oder sind es halt
00:43:41
eigene Zwecke die ich legitimieren muss
00:43:44
ich glaube das sind halt fragen die die
00:43:45
werden wir dann noch mal noch mal
00:43:46
gesondert klären ich möchte aber gerne
00:43:49
die Gelegenheit natürlich nutzen dass
00:43:51
wir heute Publikum haben und
00:43:53
auf die Gefahr hin jetzt vielleicht eine
00:43:55
wichtige Frage noch übersehen zu haben
00:43:57
aber gibt's aus unserem Publikum heute
00:44:00
Fragen gibt's noch jemanden der sich
00:44:02
hier noch nicht ausreichend informiert
00:44:04
fühlt noch irgendwas vielleicht auch ein
00:44:06
Detail wissen wissen möchte was wir
00:44:09
heute hier mit friedowski nutzen können
00:44:13
und zu beantworten nemen sie gerne die
00:44:16
Hand die Kollegin kommt dann mitm
00:44:18
Mikrofon die Frage war W man ich
00:44:21
wiederhool sie dann haben wir sie
00:44:22
nachher auf auf dem Tape
00:44:23
drauf wenn man Copilot verwendet muss
00:44:26
man das kennze muss man das sozusagen
00:44:28
bekannt machen dass man es verwendet
00:44:30
oder läuft das sozusagen unter den
00:44:33
wahrscheinlich normalen Datenschutz
00:44:34
hinweisen die man die man hat
00:44:36
letztendlich dann mit drunter ja ist
00:44:38
natürlich die Frage immer in dem
00:44:40
Zusammenhang in dem in dem normalen
00:44:41
Office Umfeld ist natürlich abhängig
00:44:44
davon was man als Unternehmen als als
00:44:47
Richtlinie vorgibt Z ob ich jetzt eine
00:44:50
E-Mail per Copilot schreiben lasse dann
00:44:52
muss ich jetzt nicht unbedingt da
00:44:53
drunter schreiben erstellt mit KI wo es
00:44:56
natürlich interessanter ist wenn ich
00:44:57
jetzt mit Bildern arbeite oder mit
00:45:00
Audiomaterial was der Copilot aber nicht
00:45:02
kann sondern der Copilot ist nur für
00:45:05
reine Textinformation steht der zur
00:45:06
Verfügung also ja man kann es machen
00:45:10
aus meiner Sicht aus rechtlicher Sicht
00:45:11
nicht unbedingt zwingend erforderlich
00:45:14
aber wenn ich s Unternehmen als als
00:45:16
Richtlinie so vorgegeben habe dann
00:45:19
müsste man es da hinzufügen
00:45:22
auch hier als als Randinformation es
00:45:25
gibt ein Konsortium mal überwiegend in
00:45:28
den USA mit mit den großen Firmen da
00:45:29
gehört auch eine Microsoft dazu und wir
00:45:32
beschäftigen uns auch mit den Themen wie
00:45:33
kann man
00:45:35
im Bereich der
00:45:37
KI festlegen oder feststellen dass ein
00:45:41
ein Bildmaterial in Video oder auch
00:45:45
andere Informationen also jetzt nicht
00:45:46
rein Text dass man im Nachhinein
00:45:49
nachvollziehen kann unwiederbringlich
00:45:51
nachführend nachvollziehen kann dass es
00:45:53
mit KI generiert wurde und da arbeiten
00:45:55
wir dran wird an dem Standard gearbeitet
00:45:58
dass das Fest mit dem Objekt verbunden
00:46:00
werden kann und die Metadaten auch nicht
00:46:02
entfernt werden können und sowas wird
00:46:05
kommen in Zukunft ja ergänzend dazu ich
00:46:08
glaube es hängt auch sehr stark davon ab
00:46:10
was ich halt mache ne in dem Moment wo
00:46:12
ich natürlich kisysteme ich sag jetzt
00:46:15
mal ein bisschen allgemeiner natürlich
00:46:16
einsetze um
00:46:19
letztendlich Daten von Beschäftigten z.B
00:46:23
äh auswerte und darauf basierend äh
00:46:27
Einzelfallentscheidungen vielleicht
00:46:28
treffe ich glaube dann ist es sind wir
00:46:30
auf jeden Fall da dass man das halt in
00:46:32
irgendeiner Form kennlich machen muss
00:46:33
weil wir dann der automatisierten
00:46:34
Einzelfallentscheidung sind und
00:46:36
ansonsten glaube ich ist es auch sehr
00:46:37
stark vom Zweck abhängig ne wenn wir
00:46:39
natürlich nachher feststellen wie
00:46:41
vielleicht noch mal in der separaten
00:46:43
Folge wir haben den gleichen Zweck zu
00:46:46
dem wir die Daten eigentlich auch
00:46:47
erhoben haben der uns halt nur durch
00:46:48
Copilot vielleicht leichter von der Hand
00:46:50
geht ja also Dinge die wir halt sowieso
00:46:52
tun aber mit coparet vielleicht einfach
00:46:54
nur ein bisschen effizienter tun m ich
00:46:57
glaube da kann man auch am Ende
00:46:58
vertreten dass das gar keine neue
00:47:00
Verarbeitung ist sondern dass wir hier
00:47:02
eher im Bereich der gleichen
00:47:04
Verarbeitungszwecke sind zu dem wir die
00:47:06
Daten ursprünglich erhoben haben wenn
00:47:08
ich natürlich andere kiysteme vielleicht
00:47:10
auch nutze die jetzt ganz neue Dinge
00:47:12
machen oder und da wird's dann sehr
00:47:14
spannend wenn ich natürlich
00:47:15
personbezogene Daten zum Training nutzen
00:47:17
möchte was du ja gesagt hast macht ihr
00:47:18
jetzt da nicht aber kann ja vielleicht
00:47:20
auch in anderen Konstellationen dann mal
00:47:23
der Fall sein da sprechen wir nürlich
00:47:25
über Zweckänderungen geebenenfalls die
00:47:27
gegebenfalls auch
00:47:29
Datenschutzinformationen nach sich
00:47:30
ziehen
00:47:31
müssten beantwortte das die Frage
00:47:35
soweit mal gibt's noch weitere
00:47:40
Fragen dann würde ich vielleicht noch
00:47:43
zum Schluss ein Thema kurz anreißen es
00:47:46
ist kein reines datenschutztha aber es
00:47:48
beschäftigt uns dieser Tage natürlich
00:47:49
auch sehr ist der AI Act od die KI
00:47:52
Verordnung die wir jetzt seit kurzem
00:47:54
haben gibt's da von eurer Seite
00:47:57
irgendwas was ihr den Unternehmen mit an
00:47:59
die Hand gebt worauf Sie achten sollen
00:48:01
oder wo sie sich vielleicht auch keine
00:48:03
Sorgen drum machen
00:48:06
müssen ist nicht ganz so einfach zu
00:48:08
beantworten hat natürlich verschiedene
00:48:10
Gründe hier würde ich jetzt sagen da bin
00:48:12
ich vielleicht doch Anwalt kommt drauf
00:48:14
an nein Spaß bei Seite von der von dem
00:48:18
ai Act wir beschäftigen und intensiv mit
00:48:21
dem ganzen Thema man sieht das auch in
00:48:23
der Entwicklung einige Sachen oder
00:48:25
einige Entwicklungen die wir momentan
00:48:27
vorantreiben gerade was so
00:48:29
gefühlsanalysen angeht und ähnliches
00:48:31
geht schon so ein bisschen in die
00:48:33
Richtung aus der vertraglichen Seite ist
00:48:35
es aus meiner Sicht relativ einfach zu
00:48:38
beantworten das heißt wenn man einen
00:48:40
Vertrag mit Microsoft hat über das dpa
00:48:43
da verpflichten wir uns die
00:48:44
entsprechenden gesetzlichen Regelungen
00:48:46
einzuhalten die in den Regionen auch
00:48:48
gelten heißt hier im im Umkehrschluss
00:48:51
was den EEK angeht werden wir die
00:48:54
rechtlichen Anforderungen erfüllen im
00:48:56
Moment gibt es aber die die die
00:48:58
Situation dass in vielen Bereichen noch
00:49:01
gar nicht richtig definiert ist was
00:49:03
heißt das überhaupt das heißt was was
00:49:06
sind die die Messkriterien was sind
00:49:08
vielleicht die die notwendigen
00:49:10
Konsequenzen daraus es gibt jetzt das
00:49:12
Framework und im Moment laufen auch auf
00:49:14
eu- Basis noch sehr viele Gespräche was
00:49:17
heißt es denn wirklich in der Praxis und
00:49:19
sbald solche Sachen geklärt sind werden
00:49:21
wir uns dem auch sofort annehmen um das
00:49:24
dann auch sofort umsetzen zu können
00:49:26
proaktiv tief machen wir auch immer von
00:49:28
unserer Seite auch aus aus Sachen
00:49:31
wir haben
00:49:32
momentan haben wir Technologien in der
00:49:36
Entwicklung die z.B wenn ich ein
00:49:37
transcription habe eine Performance
00:49:40
Überwachung od der gefühlsanalyse nahzu
00:49:41
unmöglich
00:49:42
machen das machen das machen wir heute
00:49:45
schon aber wir sind da dran da wird es
00:49:48
auch Updates geben in den nächsten
00:49:50
Wochen und Monaten ist natürlich immer
00:49:52
die Frage wie viel Informationen
00:49:53
bekommen wir zurück äh wir sind bei
00:49:56
einigen Gesprächen auf Ebene der
00:49:58
EU-Kommission auch mit involviert so
00:50:01
dass man hier auch die die Informationen
00:50:04
aus aus erster Hand bekommt um das auch
00:50:07
vielleicht den ein oder anderen denkstoß
00:50:09
zu geben weil von der von der reinen
00:50:11
Verordnung und was nachher technologig
00:50:12
dahinter steckt kann ja durchaus sein
00:50:14
dass das zwei verschiedene parchuhe sein
00:50:16
weil theoretisch kann ich mir immer sehr
00:50:18
viel vorstellen
00:50:20
dann ist natürlich immer die Frage kann
00:50:21
ich das überhaupt ansetzen oder was hat
00:50:23
das am Ende des Tages auch für eine
00:50:25
Konsequenz Z Folge aber long story short
00:50:28
wir arbeiten dran und alles das was als
00:50:31
rechtliche Vorgabe herangetragen wird
00:50:33
werden wir auch
00:50:35
erfüllen wunderbar ich glaube das Thema
00:50:38
a ist wahrscheinlich ein was man zu
00:50:39
späterer Zeit wahrscheinlich D mal ein
00:50:41
bisschen auseinander nehmen kann was für
00:50:44
eventuell auch Pflichten geben sich für
00:50:47
z.B dann auch die Kunden aber das wird
00:50:49
heute den Rahmen sprengen von daher sage
00:50:51
ich ganz herzlichen Dank Friedhelm es
00:50:53
war mir eine Freude und vor allen Dingen
00:50:55
vielen Dank für deinen wertvollen Input
00:50:57
ich glaube da können wir alle auch
00:50:58
unsere Zuhörer viel dusus mitnehmen und
00:51:01
ich hoffe das ein oder andere damit auch
00:51:03
beleuchtet zu haben was vielleicht bis
00:51:05
dem bei dem ein anderen vielleicht auch
00:51:06
bisher einfach nur Fragezeichen war
00:51:08
vielen vielen herzlichen Dank ja ich
00:51:09
möchte mich auch bedanken hat wie immer
00:51:11
viel Spaß gemacht ja Ihnen hier im Saal
00:51:14
auch ganz herzlichen Dank unseren
00:51:15
Zuhörern die uns als Podcast hören
00:51:19
natürlich auch ganz herzlichen Dank
00:51:20
bleiben Sie uns gewogen und auf bald
00:51:32
[Musik]

Tag

Microsoft 365
Copilot
Datenschutz
KI
Informationssicherheit
Datenverarbeitung
Rechtemanagement
Klassifizierung
Datenschutzvereinbarung
Compliance