SCHNELLSTART.AI
    Sprache
    Dienstleistungen
    KI-Potenziale erkennenIhre eigene KI-LösungSysteme verbindenTeam fit machen für KI
    Branchen
    Treuhand & FinanzenBau & ImmobilienGesundheitswesenRecht & KanzleienIndustrie & FertigungRetail & E-Commerce
    Ressourcen
    FallstudienRessourcenFAQ
    InsightsÜber uns
    Jetzt starten
    Compliance15. April 202612 min

    Microsoft Copilot FADP-konform einsetzen: Checkliste für Schweizer KMU

    Microsoft Copilot FADP-konform einsetzen: Checkliste für Schweizer KMU
    L
    Lukas Huber

    Lukas Huber

    Contributor

    Microsoft Copilot ist seit Dezember 2025 für KMU verfügbar. So setzen Sie es datenschutzkonform ein – mit Purview, Sensitivity Labels und den richtigen Einstellungen.

    Seit Dezember 2025 ist Microsoft 365 Copilot Business für Unternehmen mit weniger als 300 Mitarbeitenden verfügbar – für rund CHF 21 pro Nutzer und Monat. Das macht KI-gestützte Produktivität erstmals auch für Schweizer KMU zugänglich und bezahlbar. Copilot fasst E-Mails zusammen, erstellt Präsentationen aus Notizen, analysiert Excel-Daten und generiert Texte direkt in Word.

    Doch genau hier liegt das Problem: Copilot durchsucht alles, worauf ein Nutzer Zugriff hat. Wenn Ihre SharePoint-Berechtigungen nicht sauber konfiguriert sind, kann Copilot vertrauliche Dokumente an unbefugte Mitarbeitende «surfacen» – also in Zusammenfassungen oder Vorschlägen anzeigen. Laut Microsoft selbst ist dies der häufigste Fehler bei Copilot-Einführungen.

    Für Schweizer KMU unter dem revDSG (FADP) und potenziell dem EU AI Act bedeutet das: Eine Copilot-Einführung ohne Datenschutz-Vorbereitung ist nicht nur riskant – sie kann teuer werden. Dieser Artikel gibt Ihnen eine konkrete Checkliste, damit Sie Copilot sicher und konform einsetzen können.

    📊 Fakten auf einen Blick:

    • Fakt: Microsoft 365 Copilot Business ist seit 1. Dezember 2025 verfügbar, mit einem Preisnachlass von rund 30% gegenüber der Enterprise-Version. (Quelle: Microsoft, 2025)
    • Fakt: Nur 3,3% des adressierbaren M365-Marktes nutzen bezahlte Copilot-Lizenzen – 15 Mio. Sitze bei 450 Mio. M365-Nutzern weltweit. (Quelle: Microsoft Q2 FY2026)
    • Fakt: 45% der KMU-Führungskräfte sagen, dass die Erweiterung der Team-Fähigkeiten mit digitaler Arbeit Priorität hat. (Quelle: Microsoft SMB Survey, 2026)

    Warum ist Copilot Datenschutz-relevant – und was kann schiefgehen?

    Copilot ist kein harmloses Textgenerierungs-Tool. Es ist ein KI-Agent, der auf Ihre gesamte M365-Umgebung zugreifen kann – E-Mails, Dateien in OneDrive und SharePoint, Teams-Chats, OneNote-Notizbücher, und Kalendereinträge. Es zeigt Ergebnisse basierend auf dem Zugriffsrecht des jeweiligen Nutzers an. Das klingt sicher, ist es aber oft nicht.

    Das häufigste Problem: Oversharing. In vielen KMU haben Mitarbeitende Zugriff auf weit mehr Dateien, als sie für ihre Arbeit benötigen. Solange niemand aktiv danach sucht, fällt das nicht auf. Copilot sucht aber aktiv – und zeigt die Ergebnisse an. Ein Beispiel aus der Praxis:

    • Der Praktikant fragt Copilot: «Fasse die wichtigsten Punkte aus dem letzten Management-Meeting zusammen.» Copilot findet die Notizen auf SharePoint – weil der Praktikant technisch gesehen Lesezugriff auf den Management-Ordner hat – und fasst Gehaltsdiskussionen und Entlassungspläne zusammen.
    • Eine Mitarbeiterin bittet Copilot, eine Kundenpräsentation zu erstellen. Copilot zieht Daten aus einer internen Wettbewerbsanalyse – die nie für Kunden bestimmt war.

    Beide Szenarien sind keine Copilot-Fehler. Copilot tut genau das, wofür es entwickelt wurde. Das Problem sind die Zugriffsrechte.

    Checkliste: Copilot FADP-konform einrichten (vor dem Rollout)

    "Wir dachten, Copilot einfach «einschalten» reicht. Erst nach dem Berechtigungs-Audit haben wir gesehen, was alles schiefgehen kann – und wie einfach die Lösung ist."

    — Geschäftsleiter, KMU Dienstleistungssektor Zürich, Dienstleistung / Beratung

    Copilot sicher einführen?

    Kostenlose Erstberatung buchen →

    Bevor Sie eine einzige Copilot-Lizenz zuweisen, müssen diese 7 Punkte erledigt sein. Die Reihenfolge ist wichtig – jeder Schritt baut auf dem vorherigen auf.

    ✅ 1. SharePoint-Berechtigungen aufräumen

    Das ist der wichtigste Schritt – und der, den die meisten überspringen. Prüfen Sie jeden SharePoint-Site und jede Dokumentenbibliothek: Wer hat Zugriff? Gibt es «Alle Mitarbeiter»-Berechtigungen auf sensiblen Ordnern? Entfernen Sie unnötige Zugriffsrechte. Copilot kann nur anzeigen, worauf ein Nutzer Zugriff hat – also stellen Sie sicher, dass die Zugriffsrechte stimmen.

    Typische Fehler: «Jeder ausser Externe»-Gruppen auf Management-SharePoints. Alte Team-Sites mit globalen Leserechten. Geteilte OneDrive-Ordner, die nie «ent-shared» wurden.

    ✅ 2. Sensitivity Labels konfigurieren

    Microsoft Purview Sensitivity Labels klassifizieren Dokumente nach Vertraulichkeitsstufe. Erstellen Sie mindestens drei Labels:

    Label Anwendung Copilot-Verhalten
    🟢 Öffentlich Marketing-Material, Blog-Entwürfe, allgemeine Dokumente Copilot darf darauf zugreifen und Inhalte vorschlagen
    🟡 Intern Interne Berichte, Projektstatus, Meeting-Notizen Copilot darf darauf zugreifen, aber nur für interne Nutzer
    🔴 Vertraulich Gehaltsdaten, Verträge, Strategiepapiere, Kundendaten Copilot ausgeschlossen – Dokument wird nicht indexiert

    Sensitivity Labels können manuell von Nutzern gesetzt oder automatisch anhand von Inhalten (z.B. AHV-Nummern, IBAN-Nummern) zugewiesen werden.

    ✅ 3. Copilot-Zugriff auf sensible Datenquellen einschränken

    Standardmässig durchsucht Copilot alle M365-Dienste. Sie können und sollten den Zugriff einschränken:

    • SharePoint Restricted Content Discoverability: Markieren Sie Sites, die Copilot nicht indexieren darf
    • Compliance-Barrieren: Definieren Sie «Information Barriers» zwischen Abteilungen (z.B. HR-Daten dürfen nicht in Marketing-Copilot-Antworten erscheinen)
    • Retention Labels: Stellen Sie sicher, dass Copilot keine Daten anzeigt, die bereits zur Löschung markiert sind

    ✅ 4. DLP-Richtlinien für Copilot-Outputs erstellen

    Microsoft Purview DLP (Data Loss Prevention) kann auch auf Copilot-generierte Inhalte angewendet werden. Erstellen Sie Regeln, die verhindern, dass Copilot-Outputs sensible Daten enthalten:

    • Blockieren Sie die Weitergabe von Dokumenten mit AHV-Nummern per E-Mail
    • Warnen Sie, wenn Copilot in einer E-Mail-Antwort Kundendaten einfügt
    • Verhindern Sie den Download von Copilot-generierten Zusammenfassungen mit vertraulichen Inhalten

    ✅ 5. Audit-Logging aktivieren

    Aktivieren Sie das M365 Audit Log für Copilot-Interaktionen. So können Sie nachverfolgen:

    • Welche Nutzer Copilot wofür verwenden
    • Auf welche Datenquellen Copilot zugreift
    • Welche Dokumente in Copilot-Antworten referenziert werden

    Dies ist nicht nur für die Compliance relevant, sondern auch für die Optimierung: Sie sehen, wo Copilot den grössten Nutzen bringt und wo es Probleme gibt.

    ✅ 6. Mitarbeiter schulen

    Die beste technische Konfiguration nützt nichts, wenn Mitarbeitende Copilot falsch nutzen. Schulen Sie mindestens diese Punkte:

    • Was Copilot kann und was nicht: Copilot «erfindet» manchmal Inhalte (Halluzinationen). Kritische Dokumente immer manuell prüfen.
    • Was man nicht in Copilot-Prompts eingeben sollte: Keine Kundendaten in Prompts, die nicht im M365-Kontext bleiben.
    • Sensitivity Labels verwenden: Mitarbeitende müssen wissen, wie sie Dokumente korrekt klassifizieren.

    ✅ 7. Datenschutz-Folgenabschätzung (DSFA) durchführen

    Das revDSG verlangt eine DSFA, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt. Eine Copilot-Einführung, die auf E-Mails, Dateien und Chats zugreift, fällt in der Regel in diese Kategorie. Dokumentieren Sie:

    • Welche Personendaten Copilot verarbeitet
    • Wo die Daten verarbeitet werden (Microsoft EU Data Boundary oder Schweiz)
    • Welche Schutzmassnahmen Sie getroffen haben
    • Warum der Nutzen das Risiko rechtfertigt

    💡 Tipp: Microsoft EU Data Boundary

    Seit Januar 2024 verarbeitet und speichert Microsoft die meisten M365-Daten für europäische Kunden innerhalb der EU-Datengrenzen. Für Schweizer KMU bedeutet das: Copilot-Daten bleiben in Europa (primär in den Azure-Rechenzentren Zürich und Genf). Das ist für die revDSG-Konformität ein wichtiger Punkt – reicht allein aber nicht aus.

    Was kostet eine FADP-konforme Copilot-Einführung?

    Weniger als Sie denken – wenn Sie es richtig angehen.

    Position Kosten (Richtwert) Einmalig / Laufend
    Copilot Business Lizenz CHF 21/Nutzer/Monat Laufend
    SharePoint-Berechtigungs-Audit CHF 500–1'500 Einmalig
    Sensitivity Labels + DLP Setup CHF 1'000–2'500 Einmalig
    DSFA-Dokumentation CHF 500–1'000 Einmalig
    Mitarbeiter-Schulung (halber Tag) CHF 1'000–1'500 Einmalig
    Total (20 Nutzer, erstes Jahr) CHF 8'040–11'540

    Zum Vergleich: Eine einzelne Datenschutzverletzung unter dem revDSG kann Bussen bis CHF 250'000 nach sich ziehen – plus Reputationsschaden, der für ein KMU existenzbedrohend sein kann.

    Microsoft-Stack oder Swiss-hosted – muss man wählen?

    Nein. Die klügste Strategie für Schweizer KMU ist ein Hybrid-Ansatz.

    Nutzen Sie Microsoft Copilot für den täglichen Büroalltag: E-Mail-Zusammenfassungen, Präsentationsentwürfe, Datenanalyse in Excel, Meeting-Protokolle in Teams. Diese Anwendungsfälle sind relativ risikoarm, wenn die Berechtigungen stimmen.

    Für sensible Prozesse – Treuhandarbeit mit Mandantendaten, juristische Dokumente, Gesundheitsdaten, strategische Planungen – evaluieren Sie Swiss-hosted KI-Lösungen. Die Daten verlassen die Schweiz nicht, und Sie haben volle Kontrolle über Verarbeitung und Speicherung.

    Die Positionierung ist nicht «Microsoft oder Schweiz», sondern: «Microsoft für Produktivität, Swiss-hosted für Souveränität – und Governance für beides.»

    Fazit: Copilot ist mächtig – aber nur mit Governance

    Microsoft Copilot ist das produktivste Tool, das je in den Büroalltag eingeführt wurde. Aber Produktivität ohne Governance ist ein Risiko. Für Schweizer KMU bedeutet das: Nicht blind ausrollen, sondern vorbereiten. Die 7-Punkte-Checkliste in diesem Artikel gibt Ihnen einen klaren Fahrplan.

    Die gute Nachricht: Die meisten der benötigten Tools (Purview, Sensitivity Labels, Conditional Access) sind bereits in Ihrer M365-Lizenz enthalten. Sie müssen sie nur aktivieren und konfigurieren. Das ist eine Investition von wenigen Tagen – die Ihr Unternehmen vor erheblichen Risiken schützt.

    Wer jetzt handelt, hat einen doppelten Vorteil: Sichere KI-Nutzung ab Tag 1 und einen Vorsprung gegenüber Wettbewerbern, die Copilot entweder ignorieren oder unkontrolliert einsetzen.

    Häufige Fragen

    Ist Microsoft Copilot FADP-konform?+

    Microsoft Copilot kann FADP-konform eingesetzt werden, wenn die richtigen Massnahmen getroffen werden: SharePoint-Berechtigungen aufräumen, Sensitivity Labels konfigurieren, DLP-Richtlinien erstellen und eine Datenschutz-Folgenabschätzung durchführen. Copilot-Daten werden seit 2024 innerhalb der EU-Datengrenzen verarbeitet, primär in Azure-Rechenzentren in Zürich und Genf.

    Was kostet Microsoft Copilot für KMU in der Schweiz?+

    Microsoft 365 Copilot Business kostet rund CHF 21 pro Nutzer und Monat. Dazu kommen einmalige Setup-Kosten für die datenschutzkonforme Einrichtung (SharePoint-Audit, Sensitivity Labels, DLP, Schulung) von ca. CHF 3'000–6'500. Für ein KMU mit 20 Nutzern liegt das Gesamtbudget im ersten Jahr bei ca. CHF 8'000–11'500.

    Was ist das grösste Risiko bei einer Copilot-Einführung?+

    Das grösste Risiko ist Oversharing: Copilot zeigt Inhalte basierend auf den bestehenden Zugriffsrechten an. Wenn Mitarbeitende Zugriff auf Dateien haben, die nicht für sie bestimmt sind, kann Copilot diese in Zusammenfassungen und Vorschlägen anzeigen. SharePoint-Berechtigungen müssen daher vor dem Copilot-Rollout zwingend aufgeräumt werden.

    Brauche ich eine DSFA für Microsoft Copilot?+

    In den meisten Fällen ja. Das revDSG verlangt eine Datenschutz-Folgenabschätzung (DSFA), wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt. Da Copilot auf E-Mails, Dateien, Chats und Kalendereinträge zugreift und diese verarbeitet, fällt dies in der Regel in diese Kategorie.

    Interested in implementation?

    Sprechen Sie mit uns über Ihren konkreten Use Case. Kostenlose Erstberatung, ehrliche Einschätzung.

    Verwandte Artikel
    Shadow KI: Was Ihre Mitarbeiter wirklich nutzen – und wie Schweizer KMU reagieren müssen
    Compliance

    Shadow KI: Was Ihre Mitarbeiter wirklich nutzen – und wie Schweizer KMU reagieren müssen

    KI-Governance & Compliance: Praxis-Einblicke für Schweizer KMU
    Compliance

    KI-Governance & Compliance: Praxis-Einblicke für Schweizer KMU

    DSGVO + KI-Lösungen für stark regulierte Branchen: Praxisantwort für Schweizer KMU
    Compliance

    DSGVO + KI-Lösungen für stark regulierte Branchen: Praxisantwort für Schweizer KMU

    Newsletter

    Wöchentliches Briefing zu Schweizer AI & Deep Tech.

    Datenschutz

    Wir nutzen Cookies für Analyse und bessere Nutzererfahrung.

    Datenschutz →