Fortschritt trifft Verantwortung
Künstliche Intelligenz in einer Steuerkanzlei? Auf den ersten Blick mag das nach einem Widerspruch klingen. Schließlich arbeiten Steuerberater mit hochsensiblen Mandantendaten, die den strengsten Datenschutzauflagen unterliegen. Doch gleichzeitig wächst der Druck, effizienter zu arbeiten und den Kanzleialltag zu optimieren. Microsoft Copilot verspricht genau das: eine digitale Unterstützung, die wiederholende Aufgaben übernimmt, Daten auswertet und wertvolle Einblicke liefert. Doch wie lässt sich dieses Potenzial ausschöpfen, ohne Datenschutzrisiken einzugehen? Die Antwort liegt in einer strukturierten Nutzung von Microsoft 365 und Microsoft Purview.
Herausforderungen beim Einsatz von Microsoft Copilot in Steuerkanzleien
Datenschutz und DSGVO-Konformität
Steuerkanzleien stehen vor einer klaren Herausforderung: Sie verwalten hochsensible Mandantendaten, die insbesondere nach Artikel 28 DSGVO ausschließlich nach Weisung des Verantwortlichen verarbeitet werden dürfen. Eine KI wie Copilot analysiert jedoch automatisch Daten, was die Kontrolle über deren Nutzung erschweren kann. Der Schutz dieser Daten muss also höchste Priorität haben.
Ein zentrales Problem ist auch die Frage, wo und wie Copilot die Daten verarbeitet. Da Microsoft 365 Copilot auf große Sprachmodelle (LLMs) zurückgreift, stellt sich die berechtigte Frage, in welchen Rechenzentren diese Anfragen verarbeitet werden. Dies ist insbesondere für Steuerkanzleien in der Europäischen Union (EU) relevant, da strenge Vorgaben zum internationalen Datenverkehr bestehen.
Zudem könnte das automatische Erstellen von Inhalten durch Copilot unbeabsichtigt dazu führen, dass sensible Informationen zusammengefasst oder verarbeitet werden, ohne dass dies für einen bestimmten Anwendungsfall beabsichtigt war. Die korrekte Steuerung und Begrenzung dieser Verarbeitung ist daher entscheidend, um Datenschutzverletzungen zu vermeiden.
Auftragsverarbeitung und Weisungsgebundenheit
Microsoft Copilot agiert innerhalb der Microsoft-Cloud-Dienste als Auftragsdatenverarbeiter. Das bedeutet, dass Microsoft Daten im Auftrag der Kanzlei verarbeitet. Um die DSGVO-Vorgaben einzuhalten, muss sichergestellt werden, dass Copilot nur innerhalb der vereinbarten Verarbeitungstätigkeiten agiert und keine nicht autorisierte Nutzung stattfindet. Da sich die regulatorischen Anforderungen an KI stetig weiterentwickeln, stellt sich zudem die Frage, ob Microsoft Copilot langfristig alle Datenschutz- und Compliance-Vorgaben erfüllen kann. Unternehmen benötigen hier klare Zusagen zur Sicherheit und langfristigen Anpassungsfähigkeit der Lösung.
Transparenz und Kontrollverlust
Ein weiteres Risiko besteht in der mangelnden Transparenz darüber, welche Daten Copilot verarbeitet. Anders als ein menschlicher Mitarbeiter kann die KI eigenständig Informationen analysieren, auf Basis dieser Erkenntnisse Vorschläge generieren und diese als Antwort auf Nutzeranfragen ausgeben. Ohne geeignete technische und organisatorische Maßnahmen besteht das Risiko, dass geschäftskritische oder personenbezogene Daten unkontrolliert verarbeitet werden.
Potenzielle Lösungen mit Microsoft Purview für eine sichere Nutzung von Copilot
Microsoft kennt diese Problematik. Um die Herausforderungen zu bewältigen, bietet Microsoft Purview eine umfassende Lösungsplattform, die Steuerkanzleien dabei unterstützt, Copilot effizient und DSGVO-konform einzusetzen. Dabei geht es nicht nur um Sicherheit, sondern auch um die Transparenz und Steuerbarkeit der KI-basierten Datennutzung.
Ein entscheidender Faktor ist die Datenkontrolle mit Data Loss Prevention (DLP) und Sensitivity-Labels. Steuerkanzleien müssen verhindern, dass sensible Mandantendaten unkontrolliert weitergegeben werden. Microsoft Purview DLP ermöglicht es, Datenbewegungen innerhalb der Cloud zu analysieren und gezielt zu steuern. Durch die Definition von DLP-Richtlinien kann sichergestellt werden, dass personenbezogene oder steuerlich relevante Informationen nicht in unerwünschte Kanäle gelangen. Welche Informationen diesen besonderen Schutz genießen, kann unter anderem durch den Einsatz von Sensitivity-Labels gesteuert werden. Diese ermöglichen es, sowohl manuell wie auch automatisiert spezifische Dokumente (z. B. Verträge oder Rechnungen) und Informationstypen (z. B. Steuernummern, Kontodaten etc.) besonders zu schützen und von einer Ausgabe durch Copilot auszuschließen.
Die Zugriffskontrolle über Microsoft Entra ID ergänzt diese Schutzmaßnahmen. Nicht jeder Kanzleimitarbeiter benötigt vollen Zugriff auf Copilot, und nicht jedes Dokument sollte von jedem Mitarbeiter für KI-Analysen genutzt werden. Mit Purview lassen sich detaillierte Richtlinien definieren, die steuern, welche Nutzer auf welche Daten zugreifen dürfen. Entra ID ermöglicht es zudem, den Zugriff durch Multi-Faktor-Authentifizierung, rollenbasierte Berechtigungen sowie weitere innovative Mechanismen zusätzlich zu sichern. So bleibt die Nutzung von Copilot auf autorisierte Nutzer und vertrauenswürdige Arbeitsumgebungen beschränkt.
Das Berechtigungsmodell innerhalb eines Microsoft 365 Tenants ergänzt dies weiter und sorgt dafür, dass Daten nicht unbeabsichtigt zwischen Nutzern, Gruppen oder Mandanten durchsickern. Copilot verwendet bei einer Anfrage ausschließlich die Daten, auf die der Nutzer Zugriff hat – basierend auf denselben Mechanismen zur Zugriffskontrolle, die in anderen Microsoft 365-Diensten verwendet werden. Somit ist sichergestellt, dass Ihr bereits bestehendes M365 Berechtigungskonzept weiterhin bestehen bleibt und auch bei Copilot-Anfragen durchgesetzt wird.
Microsoft hat zudem mit dem EU Data Boundary sichergestellt, dass der Datenverkehr europäischer Nutzer auch stets innerhalb der EU verarbeitet wird. Während Copilot-Anfragen von "globalen Nutzern" primär in den nächstgelegenen Rechenzentren verarbeitet werden, kann es bei hoher Auslastung vorkommen, dass Anfragen in andere Regionen weitergeleitet werden. Nicht jedoch für europäische Nutzer, denn hier gelten besondere Schutzmaßnahmen: Ihr Datenverkehr bleibt innerhalb der EU-Grenzen, während weltweit generierter Datenverkehr auch in andere Länder für die Verarbeitung durch das Sprachmodell geleitet werden kann.
Microsoft hat sich außerdem dazu verpflichtet, seine Datenschutz- und Sicherheitsverpflichtungen langfristig einzuhalten. Während sich regulatorische Vorgaben im Bereich KI weiterentwickeln, wird Microsoft Copilot kontinuierlich an neue rechtliche Anforderungen anpassen. Dabei bleibt Copilot vollständig in Microsoft 365 integriert und entspricht den bestehenden Datenschutz-, Sicherheits- und Compliance-Standards für Geschäftskunden.
Trotz der hohen Zuverlässigkeit von Microsoft Copilot bleibt eine wichtige Regel bestehen: Menschliche Überprüfung ist unerlässlich. Kein System ist perfekt, und Microsoft empfiehlt ausdrücklich, alle von Copilot generierten Inhalte vor ihrer Verwendung zu prüfen. Dies hilft nicht nur, potenzielle Fehler zu vermeiden, sondern trägt auch dazu bei, die Genauigkeit und Sicherheit der KI-Modelle zu gewährleisten. Die letzte Entscheidung bleibt stets in menschlicher Hand – ein essenzieller Faktor für den verantwortungsvollen Umgang mit KI.
Fazit: Copilot sicher und DSGVO-konform in der Steuerkanzlei nutzen
Microsoft Copilot kann die Effizienz in Steuerkanzleien erheblich steigern, indem er repetitive Aufgaben automatisiert, Analysen durchführt und Zusammenfassungen erstellt. Doch diese Vorteile lassen sich nur dann sicher nutzen, wenn Datenschutz und Mandantenschutz oberste Priorität haben.
Die Kombination aus Microsoft 365 und Purview bietet die notwendigen Werkzeuge, um Copilot kontrolliert einzusetzen. Durch gezielte DLP-Strategien, intelligente Zugriffskontrollen, umfassende Protokollierung und automatisierte Datenklassifizierung wird Copilot zu einem wertvollen, aber gleichzeitig geschützten Assistenten im Kanzleialltag. Nutzen Sie die Chancen der KI bewusst und kontrolliert – so profitieren Sie von den Vorteilen, ohne Kompromisse bei der Sicherheit einzugehen!
