Microsoft Copilot & der AI Act: Was KMU beachten müssen

Kurz zusammengefasst: Wer Microsoft 365 Copilot nutzt, ist Betreiber eines KI-Systems (Art. 3 Nr. 4 KI-VO). Im Büroeinsatz fällt Copilot in die niedrigen Risikoklassen (minimal/begrenzt). Die KI-Kompetenzpflicht (Art. 4) gilt aber seit dem 02.02.2025 für alle, und bei kundenseitigen Chatbots oder KI-generierten Inhalten greift ab dem 02.08.2026 die Transparenzpflicht (Art. 50). Microsoft liefert als Anbieter Dokumentation – die Betreiberpflichten bleiben bei Ihnen.

Unsicher, was für Sie gilt?

Der kostenlose 5-Minuten-Schnellcheck ermittelt Ihre Rolle, Risikoklasse und Pflichten.

Zum KI-VO-Schnellcheck →

Welche Rolle hat Ihr Unternehmen bei Copilot?

Die KI-Verordnung unterscheidet u. a. zwischen Anbieter und Betreiber (Art. 3 Nr. 3 und Nr. 4). Bei Microsoft Copilot ist Microsoft der Anbieter – das zugrunde liegende Modell ist ein KI-Modell mit allgemeinem Verwendungszweck (GPAI), für das seit dem 02.08.2025 eigene Transparenz- und Dokumentationspflichten gelten [Art. 53, 55 KI-VO]. Ihr Unternehmen ist Betreiber, sobald Sie Copilot unter Ihrer Verantwortung einsetzen – die Betreiberpflichten (Art. 26) liegen dann bei Ihnen, unabhängig davon, dass Microsoft die Technik stellt.

In welche Risikoklasse fällt Copilot?

Copilot ist ein Allzweck-Assistent. Im normalen Büroeinsatz (Texte, Zusammenfassungen, Recherche, Code) fällt er in minimales oder – bei direkter Nutzer-Interaktion bzw. KI-generierten Inhalten – in begrenztes Risiko mit Transparenzpflicht. Hochrisiko wird Copilot erst, wenn Sie ihn für einen sensiblen Zweck einsetzen – etwa über Copilot Studio gebaute Agents, die Entscheidungen in Personalauswahl, Kreditwürdigkeit oder vergleichbaren Bereichen unterstützen. [Art. 6, Anhang III KI-VO]

Faustregel: Copilot zum Schreiben und Recherchieren = niedriges Risiko. Copilot bzw. Agents, die über Menschen entscheiden (Bewerber, Kredite, Leistungen) = potenziell Hochrisiko mit deutlich mehr Pflichten.

Ihre konkreten Pflichten als Copilot-Betreiber

1. KI-Kompetenz schulen (Art. 4) – gilt seit 02.02.2025

Alle Mitarbeitenden, die Copilot nutzen, müssen ein ausreichendes Maß an KI-Kompetenz haben: Grenzen, Risiken (Halluzinationen, Bias), Datenschutz und verantwortungsvoller Umgang. Schulung plus dokumentierter Nachweis. [Art. 4 KI-VO]

2. Copilot ins KI-Inventar aufnehmen

Erfassen Sie Copilot als eingesetztes KI-System – inklusive der oft „versteckten" Copilot-Funktionen in Word, Excel, Outlook und Teams. Je System: Zweck, Anbieter, Rolle, Risikoklasse.

3. Transparenz sicherstellen (Art. 50) – ab 02.08.2026

Wenn Copilot kundenseitig interagiert (z. B. ein über Copilot Studio gebauter Support-Bot) oder Sie KI-generierte Texte und Bilder veröffentlichen, müssen diese als KI erkennbar bzw. gekennzeichnet sein. Die maschinenlesbare Kennzeichnung synthetischer Inhalte folgt am 02.12.2026. [Art. 50 Abs. 1–2 KI-VO]

4. Interne Copilot-Richtlinie

Regeln Sie verbindlich: Welche Daten dürfen in Prompts? Was ist tabu (z. B. personenbezogene oder vertrauliche Daten ohne Freigabe)? Wer ist verantwortlich? [Art. 26 Abs. 7 KI-VO]

Die DSGVO-Schnittstelle nicht vergessen

Copilot verarbeitet Unternehmens- und oft personenbezogene Daten. Neben dem AI Act gilt parallel die DSGVO: Auftragsverarbeitungsvertrag (AVV) mit Microsoft, Prüfung von Datenstandort und Datenfluss und – bei personenbezogenen Prompts – Rechtsgrundlage und Betroffenenrechte. Details dazu im Beitrag DSGVO und AI Act im Zusammenspiel.

Was Microsoft liefert vs. was bei Ihnen bleibt: Microsoft erfüllt als Anbieter die GPAI-Pflichten und stellt Compliance-Dokumentation bereit. Ihre Aufgaben bleiben: Schulung (Art. 4), KI-Inventar, Transparenz im eigenen Einsatz (Art. 50), interne Richtlinie und der DSGVO-Rahmen.

In 5 Schritten Copilot-ready

  1. Copilot-Nutzung erfassen – wer nutzt was, wofür.
  2. Art.-4-Schulung durchführen und dokumentieren.
  3. Risikoklasse je Einsatz bestimmen (Büro vs. entscheidungsunterstützend).
  4. Transparenz bei kundenseitigem Einsatz umsetzen (Art. 50).
  5. Copilot-Richtlinie + AVV/DSGVO-Check abschließen.

Copilot-Compliance in 90 Minuten erledigt

Das AI Act Compliance Kit liefert die fertigen Vorlagen – KI-Inventar (inkl. Copilot), Art.-4-Schulungsnachweis, KI-Richtlinie und 90-Tage-Plan.

Pakete ab 149 € ansehen →

Häufige Fragen zu Microsoft Copilot und dem AI Act

Fällt mein Unternehmen unter den AI Act, nur weil wir Copilot nutzen?

Ja. Mit dem Einsatz von Microsoft Copilot sind Sie Betreiber eines KI-Systems (Art. 3 Nr. 4 KI-VO). Es gilt mindestens die KI-Kompetenzpflicht (Art. 4, seit 02.02.2025); weitere Pflichten hängen vom konkreten Einsatz ab.

Ist Microsoft 365 Copilot ein Hochrisiko-KI-System?

Im normalen Büroeinsatz nein – meist minimales oder begrenztes Risiko. Hochrisiko nach Anhang III wird Copilot erst bei sensiblen Einsatzzwecken wie entscheidungsunterstützenden Agents in Personalauswahl, Kreditwürdigkeit oder ähnlichen Bereichen.

Müssen wir die Copilot-Nutzung gegenüber Kunden kennzeichnen?

Wenn Copilot kundenseitig interagiert (z. B. als Chatbot) oder Sie KI-generierte Inhalte veröffentlichen, gilt ab dem 02.08.2026 die Transparenzpflicht nach Art. 50 KI-VO. Rein intern genutzte Copilot-Funktionen müssen nicht gegenüber Kunden gekennzeichnet werden.

Reicht es, dass Microsoft AI-Act-konform ist?

Nein. Microsoft erfüllt als Anbieter die GPAI-Pflichten. Die Betreiberpflichten – KI-Kompetenz-Schulung, KI-Inventar, Transparenz im eigenen Einsatz und interne Richtlinie – liegen bei Ihrem Unternehmen.

Was ist mit den Daten, die wir in Copilot eingeben?

Das ist primär eine DSGVO-Frage: Auftragsverarbeitungsvertrag mit Microsoft, Datenstandort und Rechtsgrundlage prüfen. Keine personenbezogenen oder vertraulichen Daten ohne Freigabe in Prompts eingeben.

Weiterlesen

Stand: Juni 2026. Dieser Artikel dient der Information und ersetzt keine Rechtsberatung. Maßgeblich ist die Verordnung (EU) 2024/1689 in der jeweils geltenden Fassung (inkl. Digital Omnibus on AI, final vom Rat am 29.06.2026 angenommen). Für spezifische Fragen konsultieren Sie eine auf KI-Recht spezialisierte Beratung.