Microsofts Copilot-Strategie verunsichert europäische Unternehmen

Die Verknüpfung von KI-Modellen mit der Office-Marke schafft rechtliche Grauzonen für den Datenschutz. Microsoft hat mit einer Doppelstrategie für Verwirrung gesorgt: Während die Office-App in “Microsoft 365 Copilot” umbenannt wurde, integrierte der Konzern heimlich ein neues KI-Modell mit fragwürdiger EU-Datenlokalität.

Marketing oder Compliance-Trick? Der Fall der Office-App

Die Verunsicherung begann mit einem scheinbar simplen Rebranding. Nutzer entdeckten diese Woche auf Microsofts Website, dass die zentrale Office-App nun als “Microsoft 365 Copilot app (formerly Office)” beworben wird. Obwohl Word, Excel und PowerPoint ihre Namen behalten, ist das Portal zu allen Dokumenten jetzt ein “Copilot”.

Für Datenschützer ist das mehr als Kosmetik. “Die Grenze zwischen einem neutralen Textverarbeitungsprogramm und einem KI-gesteuerten Analysewerkzeug verschwimmt”, erklärt ein Compliance-Analyst. Öffnet ein Mitarbeiter in einer deutschen Firma das “Copilot”-Dashboard, um einen vertraulichen Bericht zu schreiben, könnte er unwissentlich KI-Funktionen aktivieren, die sensible Daten verarbeiten. Die klare Trennung, die für die Einhaltung der DSGVO und den Schutz von Geschäftsgeheimnissen essenziell ist, geht verloren.

Der stille Wechsel: Anthropic als neuer Datenverarbeiter

Während die Namensänderung für Aufsehen sorgte, vollzog sich im Hintergrund eine weitaus folgenreichere Änderung. Seit dem 7. Januar 2026 ist Anthropic, der Entwickler der Claude-KI, als standardmäßiger Subunternehmer für viele kommerzielle Microsoft-365-Copilot-Kunden aktiv.

Dass Microsoft Anthropic als Subunternehmer einsetzt, zeigt, wie schnell Auftragsverarbeitungs-Regeln akut werden können. Unser kostenloses E‑Book erklärt in klaren Schritten, wie Sie Auftragsverarbeitungsverträge prüfen, Verantwortlichkeiten klären und Datenübermittlungen in Drittländer rechtssicher verhindern. Enthalten sind fertige Musterverträge, Checklisten nach Art. 28 DSGVO und eine Schritt‑für‑Schritt-Anleitung für IT- und Datenschutzverantwortliche. Jetzt kostenlosen Auftragsverarbeitungs-Guide herunterladen

Das Problem der strukturellen Undurchsichtigkeit

Die Gleichzeitigkeit dieser Entwicklungen erzeugt, was Experten als “strukturelle Opazität” bezeichnen. “Copilot” ist zum Sammelbegriff für ein sich ständig wandelndes Netzwerk aus Modellen und Datenflüssen geworden”, so ein Datengovernance-Experte. Bleibt der Markenname gleich, wechselt im Hintergrund aber das KI-Modell mit anderen datenschutzrechtlichen Bedingungen, verschleiert die Marke das eigentliche Compliance-Risiko.

Diese Intransparenz ist besonders unter dem neuen EU-KI-Gesetz problematisch, das hohe Transparenzanforderungen für KI-Systeme in Unternehmen vorschreibt. Kann ein Unternehmen nicht mehr klar nachvollziehen, welches Modell welche Ausgabe erzeugt hat, wird die gesetzlich geforderte Dokumentation nahezu unmöglich.

Was europäische Unternehmen jetzt tun müssen

Die Reaktionen aus der Wirtschaft sind gespalten. Investoren sehen in der Modell-Vielfalt eine kluge Strategie, um unabhängiger von OpenAI zu werden. Für IT-Administratoren bedeutet es jedoch akuten Handlungsbedarf.

Unternehmen in Deutschland und der EU wird dringend geraten, umgehend ihre Microsoft-365-Admin-Center zu prüfen. Sie müssen klären, ob die Anthropic-Integration standardmäßig aktiviert wurde und ob ihre bestehenden Datenschutzhinweise diesen neuen Datenverarbeiter überhaupt abdecken. Der Name “Copilot” mag derselbe sein wie letzte Woche – die Technologie und die damit verbundenen rechtlichen Fallstricke haben sich jedoch grundlegend geändert.