Lukas Huber
Contributor
Microsoft Copilot has been available for SMEs since December 2025. Here's how to use it FADP-compliantly — with Purview, Sensitivity Labels and the right settings.
Since December 2025, Microsoft 365 Copilot Business has been available for companies with fewer than 300 employees — at approximately CHF 21 per user per month. This makes AI-powered productivity accessible and affordable for Swiss SMEs for the first time. Copilot summarizes emails, creates presentations from notes, analyzes Excel data, and generates text directly in Word.
But here's the problem: Copilot searches everything a user has access to. If your SharePoint permissions aren't properly configured, Copilot can surface confidential documents to unauthorized employees. According to Microsoft themselves, this is the most common mistake in Copilot deployments.
For Swiss SMEs subject to the FADP and potentially the EU AI Act, this means: a Copilot rollout without data protection preparation isn't just risky — it can be expensive.
Why is Copilot data-protection-relevant?
Copilot isn't a harmless text generation tool. It's an AI agent with access to your entire M365 environment — emails, OneDrive and SharePoint files, Teams chats, OneNote notebooks, and calendar entries. The most common problem: Oversharing. Many SMEs give employees access to far more files than they need. Copilot actively searches — and displays the results.
Checklist: Setting up Copilot FADP-compliantly
"Wir dachten, Copilot einfach «einschalten» reicht. Erst nach dem Berechtigungs-Audit haben wir gesehen, was alles schiefgehen kann – und wie einfach die Lösung ist."
Copilot sicher einführen?
Kostenlose Erstberatung buchen →Before assigning a single Copilot license, complete these 7 steps: 1) Clean up SharePoint permissions. 2) Configure Sensitivity Labels (Public/Internal/Confidential). 3) Restrict Copilot access to sensitive data sources. 4) Create DLP policies for Copilot outputs. 5) Enable audit logging. 6) Train employees. 7) Conduct a Data Protection Impact Assessment (DPIA).
Microsoft stack or Swiss-hosted — must you choose?
No. The smartest strategy for Swiss SMEs is a hybrid approach. Use Microsoft Copilot for daily office work. For sensitive processes — fiduciary work, legal documents, health data — evaluate Swiss-hosted AI solutions. The positioning isn't "Microsoft or Swiss" but: "Microsoft for productivity, Swiss-hosted for sovereignty — and governance for both."
Frequently Asked Questions
Ist Microsoft Copilot FADP-konform?+
Microsoft Copilot kann FADP-konform eingesetzt werden, wenn die richtigen Massnahmen getroffen werden: SharePoint-Berechtigungen aufräumen, Sensitivity Labels konfigurieren, DLP-Richtlinien erstellen und eine Datenschutz-Folgenabschätzung durchführen. Copilot-Daten werden seit 2024 innerhalb der EU-Datengrenzen verarbeitet, primär in Azure-Rechenzentren in Zürich und Genf.
Was kostet Microsoft Copilot für KMU in der Schweiz?+
Microsoft 365 Copilot Business kostet rund CHF 21 pro Nutzer und Monat. Dazu kommen einmalige Setup-Kosten für die datenschutzkonforme Einrichtung (SharePoint-Audit, Sensitivity Labels, DLP, Schulung) von ca. CHF 3'000–6'500. Für ein KMU mit 20 Nutzern liegt das Gesamtbudget im ersten Jahr bei ca. CHF 8'000–11'500.
Was ist das grösste Risiko bei einer Copilot-Einführung?+
Das grösste Risiko ist Oversharing: Copilot zeigt Inhalte basierend auf den bestehenden Zugriffsrechten an. Wenn Mitarbeitende Zugriff auf Dateien haben, die nicht für sie bestimmt sind, kann Copilot diese in Zusammenfassungen und Vorschlägen anzeigen. SharePoint-Berechtigungen müssen daher vor dem Copilot-Rollout zwingend aufgeräumt werden.
Brauche ich eine DSFA für Microsoft Copilot?+
In den meisten Fällen ja. Das revDSG verlangt eine Datenschutz-Folgenabschätzung (DSFA), wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt. Da Copilot auf E-Mails, Dateien, Chats und Kalendereinträge zugreift und diese verarbeitet, fällt dies in der Regel in diese Kategorie.
Related Articles
Newsletter
Receive our weekly briefing on Swiss AI & Deep Tech.