Setzen Sie Microsoft 365 Copilot im Unternehmen ein? Dann sollten Sie diesen aktuellen Vorfall kennen: Zwischen Ende Januar und dem 19. Februar 2026 konnte der KI-Assistent vertrauliche E-Mails lesen und zusammenfassen, obwohl genau das durch technische Schutzmaßnahmen hätte verhindert werden sollen.
Das ist passiert
Microsoft hat einen Codefehler in der Chat-Funktion von Microsoft 365 Copilot bestätigt. Dieser Fehler ermöglichte es der KI-Anwendung, E-Mails aus den Ordnern „Gesendete Elemente“ und „Entwürfe“ zu verarbeiten und zusammenzufassen, obwohl sogenannte Data-Loss-Prevention-Richtlinien (DLP) den KI-Zugriff eigentlich hätten verhindern sollen. Der Codefehler führte dazu, dass Copilot diese Richtlinien ignorierte.
Erste Beschwerden gingen bereits am 21. Januar 2026 bei Microsoft ein. Das Unternehmen bestätigte das Problem offiziell erst am 4. Februar und begann dann schrittweise mit der Bereitstellung eines Fixes. Das Update wurde in der Nacht vom 19. Februar 2026 weltweit ausgerollt.
Microsoft betonte, dass Copilot ausschließlich im Kontext des jeweiligen Nutzerpostfachs agiert habe. Betroffene hätten also nur Inhalte gesehen, auf die sie ohnehin Zugriffsrechte besessen. Das ändert aber nichts an der Tatsache, dass der KI-Zugriff auf diese als vertraulich markierten Inhalte schlicht nicht genehmigt war.
Das sollten Unternehmen jetzt tun
Wenn Sie Microsoft 365 Copilot einsetzen, empfehlen wir folgende Schritte:
- Prüfen Sie, ob Ihr Unternehmen betroffen war und der Fix bestätigt wurde. Rufen Sie dafür im Microsoft 365 Admin Center den Service-Hinweis CW1226324 auf.
- Lassen Sie prüfen, ob im konkreten Fall eine Meldepflicht nach Art. 33 DSGVO besteht. Das hängt von den verarbeiteten Inhalten und den Umständen im Einzelfall ab und lässt sich nicht pauschal beantworten.
- Unternehmen, die über Copilot sensible personenbezogene Daten verarbeiten – etwa in der Personalabteilung – sollten den KI-Einsatz in diesem Bereich neu bewerten.
Fazit: Der KI-Einsatz braucht eine datenschutzrechtliche Begleitung
Dieser Vorfall zeigt exemplarisch, was passieren kann, wenn KI-Systeme tief in Unternehmensprozesse integriert werden. Die technischen Schutzmaßnahmen waren konfiguriert und haben trotzdem versagt. Das ist kein Einzelfall, sondern ein strukturelles Risiko, das bei jeder KI-Einführung bedacht werden muss. Sie sollten sich also nicht blind auf die Sicherheitsversprechen der Anbieter verlassen.
In unserer Beratungspraxis begleiten wir Unternehmen bei der datenschutzkonformen Einführung von KI-Tools – von der datenschutzrechtlichen Einordnung über die Erstellung notwendiger Dokumentation bis zur Prüfung bestehender Auftragsverarbeitungsverträge. Haben Sie Fragen zu diesem Vorfall oder möchten Sie Ihren KI-Einsatz datenschutzrechtlich überprüfen lassen? Vereinbaren Sie einen unverbindlichen Termin.