Datenschutz und Schutzmaßnahmen

  • Artikel

Gewerblicher Datenschutz

Wenn Organisationen und Mitarbeiter generative KI-Dienste verwenden, ist es wichtig zu verstehen, wie diese Dienste mit Benutzer- und Chatdaten umgehen. Da Mitarbeiterchats vertrauliche Daten enthalten können, ist darauf ausgelegt, Copilot diese Informationen zu schützen, wie hier dargestellt:

Diagramm der Copilot-Architektur.

Kommerzieller Datenschutz in Copilot: Funktioniert wie folgt:

  • Copilotverwendet Microsoft Entra ID (früher als Azure Active Directory bezeichnet) für die Authentifizierung und ermöglicht Benutzern nur den Zugriff Copilot mit kommerziellem Datenschutz über ihr Geschäftskonto.
  • Der Mandanten und die Benutzerinformationen eines Entra ID-Benutzers werden zu Beginn einer Chatsitzung aus den Chatdaten entfernt. Diese Informationen werden nur verwendet, um festzustellen, ob der Benutzer für kommerziellen Datenschutz berechtigt ist. Search Abfragen, die durch Aufforderungen eines Entra-ID-Benutzers ausgelöst werden, nicht mit Benutzern oder Organisationen durch Bing verknüpft sind.
  • Microsoft behält keine Eingabeaufforderungen oder Antworten von Entra ID-Benutzern bei, wenn verwendet wird Copilot. Eingabeaufforderungen und Antworten werden für einen kurzen Zwischenspeicherungszeitraum zur Laufzeit beibehalten. Nach dem Schließen des Browsers, dem Zurücksetzen des Chatthemas oder einem Sitzungstimeout verwirft Microsoft Aufforderungen und Antworten.
  • Chatdaten, die mit kommerziellem Datenschutz gesendet werden, Copilot werden während der Übertragung mit einem Transport Layer Security-Protokoll (TLS 1.2+) und im Ruhezustand mit dem Advanced Encryption Standard (AES-128) verschlüsselt. Microsoft hat keinen "Augen"-Zugriff darauf.
  • Da Microsoft Keine Eingabeaufforderungen und Antworten beibehält, können sie nicht als Teil eines Trainingssatzes für das zugrunde liegende große Sprachmodell verwendet werden.
  • Werbung, die entra ID-Benutzern angezeigt wird, wird nicht basierend auf der Arbeitsplatzidentität oder dem Chatverlauf ausgerichtet.

Diese Datenschutzfunktionen erstrecken sich auf berechtigte Entra ID-Benutzerchats in Copilotcopilot.microsoft.com und in Bing, Edge und Windows. Sie erstrecken sich auch auf Copilot Chats in den Copilotmobilen Apps , Bing, Edge, Microsoft Start oder Microsoft 365.

Chatverlauf und Berichterstellung

Wenn kommerzieller Datenschutz aktiviert ist, Copilot unterstützt das Chatverlaufsfeature nicht. Chataufforderungen oder -antworten werden nicht beibehalten.

Es bietet auch keine Nutzungsberichts- oder Überwachungsfunktionen für Organisationen. CopilotBenutzer können jedoch anderen Arten von Überwachung unterliegen, die IT-Administratoren in ihren organization zur Verfügung stehen. Sie können z. B. internen Protokollierungen, Geräte- oder Netzwerkprotokollen oder anderen Überwachungsmethoden in ihrem Unternehmensnetzwerk oder auf geräten unterliegen.

Copilot wird in Übereinstimmung mit unseren Prinzipien der verantwortungsvollen KI verwaltet, was bedeutet, dass wir Maßnahmen ergreifen, um Missbrauch oder schädliches Verhalten und Inhalte zu mindern.

Organisationsdaten

Copilot ist ein generativer KI-Dienst, der nur im Bing-Suchindex auf Daten aus dem öffentlichen Web basiert. Es hat keinen Zugriff auf Organisationsressourcen oder Inhalte in Microsoft 365, z. B. Dokumente in OneDrive, E-Mails oder andere Daten in Microsoft 365 Graph.

Copilotfür Microsoft 365 ist erforderlich, wenn Ihr organization eine Chaterfahrung wünschen, die auf Arbeitsdaten innerhalb Ihrer Mandantengrenze basiert.

Copilot kann nur dann auf Organisationsinhalte im Chat zugreifen, wenn Benutzer sie aktiv bereitstellen. Benutzer können den Zugriff auf ihre Organisationsinhalte auf eine von drei Arten zulassen Copilot :

  1. Benutzer geben diese Informationen explizit ein oder fügen sie direkt in den Chat ein.
  2. Benutzer laden eine Datei hoch, indem sie das Büroklammersymbol in der unteren linken Ecke des Chatfelds auswählen. Sie können auch eine Datei in das Chatfeld ziehen und ablegen. Die Dateiuploadfunktion befindet sich derzeit in der Vorschauphase. Weitere Informationen zum Hochladen von Dateien finden Sie hier.
  3. Benutzer geben in Edge eine Eingabeaufforderung Copilot ein, nachdem sie die Einstellung "Zugriff auf beliebige Webseiten oder PDF-Dateien zulassen" aktiviert haben, und eine Intranetseite ist im Browser geöffnet. In diesem Szenario kann dieser Inhalt verwendet werden, Copilot um Fragen zu beantworten.

In allen Fällen behält keine dieser Daten bei, wenn kommerzielle Daten aktiviert sind, Copilot nachdem die Chatsitzung beendet ist. Auch werden die Organisationsdaten nicht zum Trainieren des zugrunde liegenden Modells verwendet.

Microsoft als Datenverantwortlicher

Copilot ist ein verbundener Dienst, bei dem Microsoft der Datenverantwortliche ist. Benutzeraufforderungen verlassen die Microsoft 365-Mandantengrenze Ihres organization, um den Copilot Dienst zu erreichen. Wenn kommerzieller Datenschutz aktiviert ist, speichert Microsoft diese Daten nicht über einen kurzen Zwischenspeicherungszeitraum für Laufzeitzwecke hinaus. Nach dem Schließen des Browsers, dem Zurücksetzen des Chatthemas oder einem Sitzungstimeout verwirft Microsoft alle Prompts und Antworten.

Um Chatantworten bereitzustellen, Copilot verwendet globale Rechenzentren für die Verarbeitung und kann Daten im USA verarbeiten. Optionale, von Bing unterstützte verbundene Erfahrungen fallen nicht unter die EuDB-Verpflichtung (EU Data Boundary) von Microsoft. Weitere Informationen: Fortlaufende Datenübertragungen, die für alle EU-Datenbegrenzungsdienste gelten. Sie fallen auch nicht unter die Bedingungen des Datenschutz-Nachtrags (Data Protection Addendum, DPA), der erfordert, dass Unternehmensdaten innerhalb geografischer oder Mandantengrenzen verbleiben.

Zur Erinnerung: Copilot Hat keinen Zugriff auf Organisationsdaten innerhalb Ihrer Mandantengrenze, und Chatunterhaltungen werden nicht gespeichert oder zum Trainieren der zugrunde liegenden Modelle verwendet.

Organisationen mit strengen Anforderungen, dass Daten innerhalb von Mandanten- oder geografischen Grenzen verbleiben müssen, sollten stattdessen erwägen Copilot , dass Microsoft 365 oder Azure Open AI generative KI-Dienste bereitstellen. Copilot mit kommerziellem Datenschutz ist eine sicherere Alternative für Organisationen als die Verwendung verbraucherorientierter generativer KI-Dienste.

Weitere Informationen finden Sie unter Microsoft 365 Data Residency und in den Datenschutzbestimmungen von Microsoft.

Authentifizierung und Autorisierung

Kommerzieller Datenschutz ist nur verfügbar, wenn Sie sich mit derselben Entra-ID anmelden, die für den Zugriff auf Microsoft 365-Dienste wie SharePoint oder Outlook verwendet wird.

DSGVO

Der Blogbeitrag von Microsoft vom 21. Mai 2018 beschreibt unsere Verpflichtung zur Einhaltung der DSGVO und wie Microsoft Unternehmen und anderen Organisationen hilft, ihre eigenen DSGVO-Verpflichtungen zu erfüllen. Weitere Informationen finden Sie in den häufig gestellten Fragen zum Microsoft Trust Center.

Copilot entspricht den DSGVO-Grundsätzen. Kunden, die ein Recht auf Vergessenwerden beantragen möchten, Informationen aus dem Bing-Suchindex zu entfernen, können dies hier tun: Bing - Anforderungsformular zum Blockieren von Search Ergebnissen in Europa

Werbung

Copilot zeigt gelegentlich Werbung als Teil von Chatantworten an. Eine Anzeige, die in einer Chatantwort angezeigt wird, wird durch alle Abfragen ausgelöst, die von der Eingabeaufforderung des Benutzers generiert werden, nicht durch seine Arbeitsplatzidentität.

Werbung für Entra ID-Benutzer ist nicht zielführend, was bedeutet, dass keine Informationen aus der Arbeitsplatzidentität des Benutzers verwendet werden, um die angezeigte Anzeige zu bestimmen. Entra ID-Benutzer werden nicht durch Anzeigen, mit denen sie zuvor in Copilot interagiert haben, neu zugewiesen.