Die Nachricht klang zunächst wie ein Befreiungsschlag: Microsoft stellt seinen Copilot nun auch in kostenlosen Versionen von Outlook, Word und weiteren Anwendungen zur Verfügung. Was bislang nur zahlenden Nutzern vorbehalten war, kann nun – zumindest in Teilen – seit Juni 2025 von einer breiten Öffentlichkeit getestet werden. Gerade in Steuerkanzleien, in denen Effizienz, Textqualität und strukturierte Kommunikation täglich gefordert sind, scheint das eine Einladung zur sofortigen Erprobung. Doch so verlockend das neue Angebot auch klingt: Für Berufsgeheimnisträger wie Steuerberater ist äußerste Vorsicht geboten.
Die Einführung der kostenlosen Copilot-Variante erlaubt es Nutzern, einfache Texte zu generieren, E-Mails zusammenzufassen, Präsentationen grob zu entwerfen oder Fragen zu Dokumenteninhalten zu stellen – alles mithilfe der neuesten KI-Technologie aus dem Hause Microsoft. Der Clou: Viele dieser Funktionen sind direkt über den Webbrowser oder mobile Apps nutzbar. Das bedeutet, dass man nicht mehr zwingend ein kostenpflichtiges Microsoft-365-Abonnement mit Copilot-Lizenz benötigt, um mit den grundlegenden Funktionen der KI zu experimentieren.
Doch genau hier liegt das Problem: Diese Variante ist nicht in den Microsoft-365-Tenant der Kanzlei integriert, sie arbeitet nicht auf Grundlage eines individuellen Lizenzmodells mit vertraglich geregelter Auftragsverarbeitung, und sie verarbeitet Eingaben möglicherweise in Umgebungen, deren Datenschutzstandards nicht dem europäischen Niveau entsprechen. Eine datenschutzkonforme Nutzung – insbesondere bei sensiblen Mandantendaten – ist damit faktisch ausgeschlossen.
Wie in meinem Buch „Datenschutzkonformer Einsatz von Microsoft Cloud-Diensten für Steuerberater“ ausführlich analysiert, gelten für Berufsgeheimnisträger wie Steuerberater nicht nur die allgemeinen Anforderungen der Datenschutz-Grundverordnung (DSGVO), sondern auch verschärfte Vorschriften nach § 203 StGB und § 62a StBerG. Diese Normen verpflichten dazu, sämtliche berufsbezogenen Informationen vertraulich zu behandeln – auch und insbesondere bei der Nutzung technischer Systeme. Eine Offenbarung gegenüber Dritten oder nicht weisungsgebundenen Dienstleistern kann unter Umständen strafrechtlich relevant sein.
Die kostenlose Copilot-Variante ist gerade deshalb kritisch zu sehen, weil sie in der Regel keine klare Weisungsgebundenheit im Sinne des Datenschutzrechts bietet. Es gibt keinen individualisierten Auftragsverarbeitungsvertrag mit Microsoft, der die Einhaltung der besonderen Anforderungen nach Art. 28 DSGVO garantieren könnte. Auch sind die Speicher- und Verarbeitungsorte der eingegebenen Inhalte nicht eindeutig nachvollziehbar – was insbesondere angesichts der US-amerikanischen Gesetzgebung (Stichwort CLOUD Act, FISA 702) problematisch ist.
Demgegenüber steht die lizenzpflichtige Version „Copilot for Microsoft 365“, die vollständig in die Desktop- und Webanwendungen von Microsoft integriert ist. Diese Version greift - bei richtiger Konfiguration der M365 Umgebung - datenschutzkonform auf die in Ihrem Tenant gespeicherten E-Mails, Kalenderdaten, SharePoint-Inhalte oder Excel-Dateien zu – und kann kontextbezogen helfen, Schriftsätze vorzubereiten, Tabellen auszuwerten oder Mandantendaten zu analysieren. Bei richtiger Konfiguration ist diese Version auch für Berufsgeheimnisträger nutzbar. Sie basiert auf einem Auftragsverarbeitungsvertrag, verarbeitet die Daten grundsätzlich innerhalb der EU Data Boundary und lässt sich durch Funktionen wie Data Loss Prevention (DLP), Double Key Encryption und Conditional Access weiter absichern.
Entscheidend ist daher: Auch wenn sich die kostenlosen Copilot-Funktionen auf den ersten Blick kaum von der vollwertigen Lizenzversion unterscheiden, so sind die Unterschiede in puncto Datenschutz, Datenverantwortung und rechtlicher Absicherung gravierend. Eine bloße Testnutzung mit anonymisierten Beispielen kann sinnvoll sein, doch für den produktiven Einsatz in der Kanzlei ist ausschließlich die lizenzierte Version geeignet.
In meinem Buch gehe ich detailliert darauf ein, wie Kanzleien Copilot datenschutzkonform nutzen können: Vom Abschluss eines Auftragsverarbeitungsvertrags über die Tenant-Konfiguration bis hin zur Frage, wann eine Datenschutz-Folgenabschätzung notwendig ist. Denn selbst mit der EU Data Boundary – also der Zusicherung Microsofts, Daten innerhalb der EU zu speichern und zu verarbeiten – bleiben Unsicherheiten, die einer Datenschutz-Folgenabschätzung (DSFA) und zusätzlicher Maßnahmen bedürfen.
Mein Fazit lautet daher: Copilot kann ein echtes Effizienzwerkzeug für Steuerkanzleien sein – aber nur, wenn er unter vollständiger Wahrung der berufsrechtlichen und datenschutzrechtlichen Anforderungen eingesetzt wird. Dazu hatten wir in diesem Beitrag schon etwas geschrieben. Die kostenlose Variante eignet sich allenfalls für interne Tests mit neutralen Daten, nicht aber für den Einsatz in Mandatsbeziehungen.
Wenn Sie Ihre Kanzlei vorbereiten möchten, Copilot strategisch und compliant einzusetzen, unterstützen wir Sie gerne bei der technischen Umsetzung, der rechtlichen Bewertung und der Integration in Ihre Arbeitsprozesse.
Mehr Informationen finden in meiner Buchreihe„Digitale Kanzlei – Strategien für moderne Steuerkanzleien“
KI-UND ONLINE STRATEGIEN für moderne Steuerkanzleien
und
DATENSCHUTZKONFORMER EINSATZ VON MICROSOFT CLOUD DIENSTEN in modernen Steuerkanzleien
