Microsoft Copilot las wochenlang vertrauliche E-Mails

... was der Vorfall für den Datenschutz bedeutet.

Ein Softwarefehler in Microsoft 365 Copilot hat über Wochen hinweg Vertraulichkeitskennzeichnungen und DLP-Richtlinien ausgehebelt. Der KI-Assistent konnte E-Mails verarbeiten, die explizit als vertraulich eingestuft waren. Der Vorfall wirft fundamentale Fragen zur Rolle von Microsoft als Auftragsverarbeiter auf und zeigt, warum Datenschutzbeauftragte jetzt handeln müssen.

Was ist passiert?

Mitte Februar 2026 wurde unter der internen Kennung CW1226324 ein schwerwiegender Fehler im Microsoft 365 Copilot Chat bekannt. Ein Codefehler in der sogenannten „Work Tab"-Funktion führte dazu, dass Copilot E-Mails aus den Ordnern „Gesendete Elemente" und „Entwürfe" lesen und zusammenfassen konnte – und zwar auch dann, wenn diese Nachrichten mit Vertraulichkeitslabels versehen waren und DLP-Richtlinien (Data Loss Prevention) den Zugriff hätten blockieren sollen.

Betroffen waren potenziell alle Arten sensibler Unternehmenskommunikation: Geschäftsvereinbarungen, juristische Korrespondenz, Anfragen von Behörden und möglicherweise auch geschützte Gesundheitsinformationen. Microsoft begann zwar Anfang Februar 2026 mit der Verteilung eines Patches, konnte aber über Wochen hinweg nicht bestätigen, dass der Fix bei allen Mandanten angekommen war. Wie viele Organisationen konkret betroffen sind, hat Microsoft bis heute nicht offengelegt.

Der architektonische Kern des Problems

Der entscheidende Punkt dieses Vorfalls ist nicht der Bug an sich, Softwarefehler kommen immer vor. Der entscheidende Punkt ist ein strukturelles Problem:

Wenn die KI und die Governance-Kontrollen, die diese KI überwachen sollen, auf derselben Plattform laufen, kann ein einzelner Fehler sämtliche Schutzmechanismen gleichzeitig aushebeln.

Die Vertraulichkeitslabels waren korrekt konfiguriert. Die DLP-Richtlinien waren aktiv. Die Unternehmen in ihrer datenschutzrechtlichen Rolle als Verantwortlicher haben nichts falsch gemacht. Trotzdem hat Copilot die geschützten Inhalte verarbeitet. Es gab kein unabhängiges Audit-Trail, das den unautorisierten Zugriff protokolliert hätte. Keine Anomalie-Erkennung hat ungewöhnliche Verarbeitungsmuster erkannt. Kein Echtzeit-Alert wurde ausgelöst, als die KI plötzlich E-Mails zusammenfasste, auf die sie keinen Zugriff haben sollte.

Das einzige Signal war eine Service-Mitteilung von Microsoft veröffentlicht im Nachhinein.

Microsoft als Auftragsverarbeiter: Wo liegt die Verantwortung?

Für den Datenschutz ist die Rollenverteilung klar definiert: Unternehmen, die Microsoft 365 Copilot einsetzen, sind die Verantwortlichen im Sinne der DSGVO. Microsoft agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Das bedeutet:

Microsoft verarbeitet personenbezogene Daten im Auftrag und nach Weisung der jeweiligen Organisation.

Doch genau diese Konstruktion wird durch den Copilot-Bug auf eine harte Probe gestellt.

Die Problemlage im Detail

Unzureichende Auftragsverarbeitungsvereinbarung: Bereits 2022 hat die Datenschutzkonferenz (DSK) in ihrem Abschlussbericht festgestellt, dass Microsofts Data Protection Addendum (DPA), also der Auftragsverarbeitungsvertrag, nicht den Anforderungen von Art. 28 Abs. 3 DSGVO genügt. Die zentralen Kritikpunkte: mangelnde Transparenz darüber, welche Daten Microsoft als Auftragsverarbeiter und welche für eigene Zwecke verarbeitet, unklare Rechtsgrundlagen für die eigene Verarbeitung durch Microsoft, sowie unzureichende Regelungen zur Löschung und Rückgabe von Daten. Diese Kritik hat sich durch die Integration von Copilot verschärft, nicht entschärft.

• Verarbeitung zu eigenen Zwecken: Microsoft behält sich im DPA weiterhin das Recht vor, zumindest Diagnose- und Metadaten zu eigenen Zwecken zu verarbeiten. Welche Zwecke das konkret sind, bleibt unklar. Bei einer KI-gestützten Verarbeitung, die auf das gesamte Microsoft-365-Ökosystem zugreift, ist das ein extremes Transparenzdefizit.
• Fehlende unabhängige Kontrolle: Als Auftragsverarbeiter ist Microsoft verpflichtet, die vertraglich zugesicherten technischen und organisatorischen Maßnahmen einzuhalten, einschließlich der Durchsetzung von Vertraulichkeitslabels und DLP-Richtlinien. Wenn genau diese Schutzmaßnahmen durch einen Fehler im eigenen Code über Wochen ausfallen, ohne dass der Auftragsverarbeiter dies erkennt und unverzüglich meldet, stellt sich die Frage: Hat Microsoft seine Pflichten als Auftragsverarbeiter verletzt?
• Meldepflicht nach Art. 33 DSGVO: Enthielten die betroffenen E-Mails personenbezogene Daten, bei Geschäftsvereinbarungen, juristischer Korrespondenz und Behördenanfragen ist das wohl sehr wahrscheinlich, könnte ein meldepflichtiger Datenschutzvorfall vorliegen. Die 72-Stunden-Frist für die Meldung an die Aufsichtsbehörde läuft ab Kenntnisnahme der Verletzung. Der Bug wurde am 21. Januar 2026 entdeckt. Wann wurden die betroffenen Verantwortlichen informiert? Und reicht Microsofts interne Service-Mitteilung als „Kenntnis" im Sinne von Art. 33?
• Rechenschaftspflicht der Verantwortlichen: Nach Art. 5 Abs. 2 DSGVO müssen Verantwortliche die Einhaltung der Datenschutzgrundsätze nachweisen können. Wenn die einzigen verfügbaren Protokolle, also die Microsoft Logs, die belegen sollen, dass die KI keinen unautorisierten Zugriff hatte, vom selben Anbieter stammen, bei dem der Fehler lag, fehlt es an unabhängiger Dokumentation.

Das Datenschutzrisiko: Warum dieser Vorfall anders ist

Dieser Vorfall ist kein gewöhnlicher Software-Bug. Er offenbart ein systemisches Risiko, das jede Organisation betrifft, die KI-gestützte Tools in ihrer Dateninfrastruktur einsetzt:

• Kontrollverlust durch Plattformabhängigkeit: Wenn KI-Governance-Kontrollen und die KI selbst auf derselben Plattform laufen, entsteht ein Single Point of Failure. Genau das ist hier passiert. Die Kontrollen waren konfiguriert aber wirkungslos, weil sie Teil desselben Systems waren, das den Fehler hatte.
• Unsichtbare Datenverarbeitung: Die betroffenen Organisationen hatten keine Möglichkeit, eigenständig zu erkennen was los ist. Sie erfuhren erst durch Microsofts nachträgliche Mitteilung davon. Das ist ein fundamentales Problem für die Informationssicherheit.

Copilot hat über Wochen hinweg Daten verarbeitet, die es nicht hätte verarbeiten dürfen.

• Unklarer Betroffenenkreis: Neben den Beschäftigten sind potenziell auch Kunden, Lieferanten, Behördenvertreter und andere Personen betroffen, deren Daten in den verarbeiteten E-Mails enthalten waren. Der Kreis der Betroffenen lässt sich ohne vollständige Protokolle nicht eingrenzen.

Reaktion des EU-Parlaments

Bezeichnend ist, dass der IT-Dienst des Europäischen Parlaments die KI-Funktionen auf Dienstgeräten inzwischen blockiert hat. Aus Sorge, dass vertrauliche Kommunikation ungewollt in KI-Prozesse gelangen könnte. Ein deutliches Signal.

Was Datenschutzbeauftragte jetzt tun sollten

Der Copilot-Bug ist kein theoretisches Szenario, sondern ein konkreter Vorfall, der Handlungsbedarf auslöst. Folgende Schritte sind zu empfehlen:

1. Bestandsaufnahme durchführen

Prüfen, ob die eigene Organisation Microsoft 365 Copilot im relevanten Zeitraum (ab 21. Januar 2026) eingesetzt hat. Die Benachrichtigungen im Microsoft 365 Admin Center und die Copilot-Nutzungsprotokolle auswerten. Metadaten aller vertraulichen E-Mails in „Gesendete Elemente" und „Entwürfe" für diesen Zeitraum exportieren. Falls Microsoft keine Zugriffsprotokolle bereitstellen kann, die zeigen, was Copilot tatsächlich verarbeitet hat, ist diese Lücke formell zu dokumentieren.

2. Meldepflichten prüfen

Enthielten vertrauliche E-Mails personenbezogene Daten (insbesondere besondere Kategorien nach Art. 9 DSGVO), ist eine rechtliche Bewertung der Meldepflicht nach Art. 33 DSGVO erforderlich.

Man darf sich nicht darauf verlassen, dass Microsofts Darstellung des Vorfalls die eigenen Compliance-Pflichten erledigt.

3. Auftragsverarbeitungsvertrag überprüfen

Das bestehende Data Protection Addendum mit Microsoft kritisch prüfen. Deckt es Copilot explizit ab? Sind die Pflichten bei Sicherheitsvorfällen klar geregelt? Entspricht es den Anforderungen der Art. 28 DSGVO? Die Handreichung der Datenschutzaufsichtsbehörden (LfD Niedersachsen, LDI NRW und weitere) kann als Prüfgrundlage dienen.

4. Datenschutz-Folgenabschätzung aktualisieren

Wer Copilot einsetzt, muss eine DSFA nach Art. 35 DSGVO durchführen bzw. die bestehende aktualisieren.

Das Risiko, dass konfigurierte Schutzmechanismen durch Plattformfehler ausgehebelt werden, muss als konkretes Risikoszenario in der DSFA berücksichtigt werden.

5. Unabhängige Governance implementieren

Die zentrale Lehre aus diesem Vorfall: KI-Governance-Kontrollen müssen unabhängig von der KI-Plattform operieren. Das bedeutet konkret: unabhängige Audit-Trails, die nicht vom gleichen Anbieter stammen; Monitoring, das Anomalien in der Datenverarbeitung erkennt; Zugriffskontrollen auf Daten-Ebene, die auch dann greifen, wenn Plattform-Kontrollen versagen.

6. Mitarbeitende sensibilisieren

Beschäftigte müssen darüber informiert werden, dass KI-Assistenten möglicherweise auf vertrauliche Inhalte zugreifen, auch entgegen der konfigurierten Richtlinien. Die Letztverantwortung für die Überprüfung von Copilot-generierten Inhalten liegt bei den Nutzenden.

7. Verarbeitungsverzeichnis aktualisieren

Die Verarbeitung personenbezogener Daten durch Copilot muss im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO vollständig dokumentiert sein, einschließlich der betroffenen Personenkategorien, Datenkategorien und Rechtsgrundlagen.

Fazit

Der Microsoft-Copilot-Vorfall ist ein Weckruf. Er zeigt, dass selbst korrekt konfigurierte Sicherheitsmaßnahmen wirkungslos werden können, wenn die KI und ihre Kontrollen auf derselben Plattform laufen. Für Verantwortliche bedeutet das: Wer KI-Tools im Unternehmensumfeld einsetzt, braucht unabhängige Kontrollmechanismen, nicht nur Vertrauen in die Compliance-Versprechen des Anbieters.

Microsoft hat als Auftragsverarbeiter eine klare Verantwortung für die Sicherheit der Datenverarbeitung.

Wenn technische Schutzmaßnahmen über Wochen versagen, ohne dass betroffene Organisationen zeitnah und vollständig informiert werden, ist das ein Problem, das über einen einzelnen Bug hinausgeht. Es betrifft die Grundlage des Vertrauens in die Auftragsverarbeitung.

Datenschutzbeauftragte sollten diesen Vorfall zum Anlass nehmen, die eigene KI-Governance grundlegend zu überprüfen. Der Experte Dr. Ilia Kolochenko (CEO von ImmuniWeb und Mitglied bei Europol) prognostiziert, dass Vorfälle dieser Art 2026 stark zunehmen werden. Wer jetzt nicht handelt, wird es unter Druck tun müssen.

Quellen und weiterführende Informationen:

• Kiteworks: „Microsoft Copilot konnte wochenlang Ihre vertraulichen E-Mails lesen" (Februar 2026)
• t3n: „Copilot-Bug: KI liest ohne Erlaubnis vertrauliche E-Mails" (Februar 2026)
• Microsoft Learn: „Daten, Datenschutz und Sicherheit für Microsoft 365 Copilot"