TL;DR
- Copilot ist nicht Plug-and-Play. Der Agent erbt sofort sämtliche Berechtigungen des jeweiligen Nutzers – inklusive aller historischen Fehlkonfigurationen.
- Fünf Readiness-Domänen entscheiden: SharePoint-Berechtigungen, Identität, Endgeräte, Compliance und Menschen.
- Realistischer Aufwand für ein 50-Personen-KMU: 4 bis 8 Wochen Vorbereitung, 30 bis 80 interne Stunden.
- DSGVO und Betriebsrat vor dem Rollout klären, nicht nachträglich.
- Startet immer mit einer Pilotgruppe von 10 bis 20 Personen. Flächendeckende Aktivierung ohne Pilot ist der häufigste Fehler.
Microsoft verkauft Copilot als „aktivieren und loslegen“. In der Realität ist das gefährlich. Sobald ein Nutzer Copilot startet, hat der KI-Agent denselben Zugriff wie der Nutzer selbst – auf jede Mail, jedes SharePoint-Dokument, jede Teams-Nachricht und jeden OneDrive-Ordner, den dieser Nutzer sehen darf.
Das Problem: in den meisten KMU dürfen Nutzer Sachen sehen, die sie eigentlich nicht sehen sollten. Eine SharePoint-Site mit Gehaltslisten aus 2019, die nie geschlossen wurde. Ein Teams-Kanal mit Personalakten, breit freigegeben „für alle aus dem Vertrieb“. Ein versehentliches „Jeder mit dem Link kann lesen“ auf einem M&A-Dokument. In normaler Nutzung fallen diese Fehlberechtigungen nicht auf, weil niemand aktiv danach sucht.
Copilot sucht aktiv. Wenn die HR-Praktikantin fragt „Was war das letzte Gehalts-Update?“, durchsucht der Agent alle ihr zugänglichen Dokumente – und findet die offene Gehaltsliste. Das ist kein hypothetisches Szenario, es ist der häufigste Befund in jedem Readiness-Audit.
Genau deshalb existiert der Begriff Copilot Readiness. Es ist die Vorbereitung der Microsoft-365-Umgebung darauf, dass ein KI-Agent ab Tag 1 genau das tun wird, was Sie Mitarbeitern theoretisch verbieten, aber praktisch ermöglichen: durch alles durchsuchen, was Sie nicht versperrt haben.
Was bedeutet Copilot Readiness konkret?
Copilot Readiness ist der Zustand, in dem eine Microsoft-365-Umgebung sicher und compliance-konform mit Microsoft 365 Copilot betrieben werden kann. Sie umfasst fünf Domänen:
Daten & SharePoint Governance
Die größte Baustelle. Copilot durchsucht alles, was der Nutzer sehen darf. Berechtigungen, externe Freigaben, vergessene Sites.
Identität & Zugriff
Entra ID, Conditional Access, MFA für alle Copilot-Nutzer. Wer den Zugang hat und unter welchen Bedingungen.
Endgeräte & Apps
Intune-Compliance, Defender, App-Updates. Copilot läuft auf den Geräten und ist nur so sicher wie diese.
Compliance & DSGVO
Verzeichnis der Verarbeitungstätigkeiten, Datenstandort, Betriebsrat, Mitarbeiterinformation. Nicht nachträglich, sondern vorher.
Menschen & Change
Pilotgruppe, Schulung, Use-Case-Liste, Feedback-Loop. Ohne Adoption ist die teuerste KI-Lizenz nutzlos.
Daten & SharePoint Governance
Diese Domäne ist der mit Abstand größte Block, häufig 60 bis 70 Prozent des gesamten Readiness-Aufwands. In typischen KMU-Umgebungen finden sich SharePoint-Sites aus Projekten, die nie offiziell abgeschlossen wurden, externe Freigaben auf Dokumente, deren Empfänger längst nicht mehr im Unternehmen sind, und Massen-Berechtigungen auf Ordner, die historisch gewachsen sind.
Prüfschritte:
- Vollständige Inventur aller SharePoint-Sites: Wem gehört welche Site, wer hat aktiven Zugriff, wann zuletzt benutzt? Sites ohne Owner oder ohne Aktivität in 12+ Monaten werden archiviert.
- Berechtigungen pro Site auditieren: „Jeder außer externe Nutzer“ und „Jeder mit dem Link“ sind in 99 % der Fälle Fehler. Beide entfernen, individuelle Berechtigungen setzen.
- Externe Freigaben prüfen: Microsoft Purview oder Defender for Cloud Apps zeigt alle externen Shares. Alte und unklare Shares ablaufen lassen.
- Sensitivity Labels einführen: Mindestens drei Stufen (Intern, Vertraulich, Streng vertraulich). Auto-Labeling für sensible Inhalte aktivieren.
- Restricted SharePoint Search konfigurieren: Welche Sites darf der Copilot-Index überhaupt durchsuchen? Für sensible Sites kann der Index ausgeschlossen werden.
- DLP-Policies setzen: Data Loss Prevention für Kontonummern, Personalnummern, Gesundheitsdaten und unternehmenseigene Patterns.
Realität in KMU
15–30 % der SharePoint-Sites sind fehlkonfiguriert. Berechtigungen wurden „mal eben“ gesetzt und nie wieder geprüft.
Ziel-Zustand
Jede Site hat einen klaren Owner, eine dokumentierte Berechtigungslogik und ein Sensitivity Label.
Identität & Zugriff
Copilot ist nur so sicher wie die Anmeldung, mit der er gestartet wird. Eine kompromittierte Identität bedeutet einen kompromittierten Copilot – mit Lesezugriff auf alle Daten dieses Nutzers.
- MFA für alle Copilot-Nutzer verpflichtend, idealerweise per Microsoft Authenticator oder Hardware-Token. SMS-MFA ist nicht ausreichend.
- Conditional Access Policies prüfen: Copilot-Zugriff nur aus vertrauenswürdigen Ländern, von compliant devices, in unverdächtigen Sign-in-Szenarien.
- Risk-based Sign-in Policies aktivieren: Bei verdächtigen Anmeldungen automatische Re-Authentifizierung oder Blockierung.
- Privileged Identity Management für alle Admin-Rollen: keine ständigen Admin-Rechte, nur Just-in-Time-Aktivierung.
- Gast-Nutzer separat betrachten: Externe sollten Copilot nicht nutzen können, ausser explizit gewollt und dokumentiert.
Endgeräte & Apps
Copilot läuft in Microsoft 365 Apps – Word, Excel, Outlook, Teams. Die Sicherheit dieser Apps und der Geräte, auf denen sie laufen, definiert die Angriffsfläche.
- Intune-Compliance-Policies: Nur compliant Devices (verschlüsselt, aktuelle Patches, Defender aktiv) dürfen Copilot nutzen.
- Microsoft 365 Apps auf der Current Channel oder Monthly Enterprise Channel halten – ältere Versionen erhalten Copilot-Features verzögert oder gar nicht.
- Defender for Endpoint auf allen Copilot-Geräten aktiv, idealerweise mit EDR-in-block-mode.
- App Protection Policies für mobile Geräte: Copilot in Outlook und Teams Mobile darf nicht in private Backup-Lösungen exportieren.
Compliance & DSGVO
Nicht nachträglich klären
Compliance-Themen vor dem Rollout zu lösen ist deutlich schneller, als sie nachträglich zu reparieren. Wenn der Betriebsrat erst nach der flächendeckenden Aktivierung gefragt wird, riskiert das gesamte Vorhaben.
- Verzeichnis der Verarbeitungstätigkeiten ergänzen: Copilot als Verarbeitung mit Zweck, Rechtsgrundlage, Datenkategorien und Aufbewahrungsdauer eintragen.
- Datenstandort EU konfigurieren: Multi-Geo oder EU Data Boundary, je nach Lizenzpaket. Standardmäßig sollten alle Inhalte in der EU verbleiben.
- Auftragsverarbeitungsvertrag: Im Microsoft-Volumenvertrag oder MCA enthalten, prüfen ob aktuell.
- Betriebsrat einbinden: Mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 6 BetrVG. Betriebsvereinbarung oder Zustimmungserklärung vor Pilot.
- Mitarbeiter-Information vorbereiten: Klare Kommunikation, was Copilot tut, welche Daten verarbeitet werden, wie Mitarbeiter widersprechen können.
- Datenschutz-Folgenabschätzung (DSFA) prüfen: In den meisten KMU-Szenarien nicht zwingend, aber empfohlen wenn besondere Kategorien personenbezogener Daten verarbeitet werden.
Menschen & Change Management
Die teuerste KI-Lizenz ist die, die niemand benutzt. Adoption ist kein Nebenthema, sondern der ROI-Hebel. Microsoft selbst dokumentiert, dass über 40 % der Copilot-Lizenzen in den ersten drei Monaten nur sporadisch genutzt werden, wenn keine strukturierte Einführung erfolgt.
- Pilotgruppe definieren: 10 bis 20 Personen, gemischt aus verschiedenen Rollen (Geschäftsführung, Vertrieb, HR, IT, Backoffice). Power-User dabei, aber auch Skeptiker.
- Use-Case-Liste erarbeiten: Pro Rolle 3 bis 5 konkrete Anwendungsfälle, die in den ersten Wochen ausprobiert werden. Ohne konkrete Anwendungsfälle versanden Pilotprojekte.
- Schulung am eigenen Stack: Microsoft-Lernvideos taugen als Ergänzung, ersetzen aber keine Einführung am eigenen Material. Beispiele aus eurem SharePoint, eurer Outlook-Inbox, eurem Teams.
- Feedback-Loop einrichten: Wöchentliche 30-Minuten-Runde mit der Pilotgruppe. Was funktioniert, was nicht, wo entstehen Sicherheitsbedenken?
- Rollout-Phasen: Pilot (4–6 Wochen) → Wave 1 (Abteilung, 4 Wochen) → Wave 2 (gesamtes Unternehmen). Niemals Big Bang.
Fünf häufige Fehler, die Copilot-Rollouts in KMU scheitern lassen
Diese Fehler tauchen in fast jedem Audit nach einem misslungenen Rollout auf. Wer sie kennt, vermeidet die größten Stolperfallen.
Falsch
Wir aktivieren Copilot für alle ab Tag 1.
Richtig
Pilot mit 10–20 Personen aus unterschiedlichen Rollen. 4–6 Wochen testen, dann ausrollen.
Falsch
Die Berechtigungen sind eh sauber.
Richtig
Ohne Audit immer falsch. Im Schnitt sind 15–30 % der SharePoint-Sites in KMU-Umgebungen fehlkonfiguriert.
Falsch
DSGVO und Betriebsrat klären wir später.
Richtig
Vorab klären. Mitbestimmungspflichtige Tools im Nachhinein zu legitimieren ist deutlich aufwändiger.
Falsch
Schulung machen wir mit den Microsoft-Lernvideos.
Richtig
Funktioniert nicht für KMU. Schulung muss konkret an euren Prozessen, eurem Stack, euren Beispielen aufgebaut sein.
Falsch
Wir lassen Copilot frei auf alle SharePoints zugreifen.
Richtig
Sensitivity Labels und Restricted SharePoint Search definieren, was der Index sehen darf und was nicht.
Realistische Kosten und Zeitplan
Die Zahlen schwanken stark nach Größe und Hygienestand der bestehenden Microsoft-365-Umgebung. Die folgenden Richtwerte beziehen sich auf ein KMU mit 30 bis 80 Mitarbeitenden und einer durchschnittlich gepflegten Umgebung.
Lizenzkosten
Microsoft 365 Copilot: ca. 30 € / Nutzer / Monat. Zusätzlich zur bestehenden M365-Lizenz (E3, E5 oder Business Premium).
Readiness-Aufwand
30 bis 80 interne Stunden über 4 bis 8 Wochen, je nach Hygienestand. Externe Beratung typischerweise 5.000 bis 25.000 €.
Pilot
4 bis 6 Wochen mit 10 bis 20 Personen. Feedback sammeln, Schulung verfeinern, Use Cases dokumentieren.
Vollrollout
8 bis 12 Wochen nach Pilot, in Wellen pro Abteilung oder Standort. Keine flächendeckende Aktivierung an einem Tag.
Eine ehrliche Faustregel: Wer in der Lizenzbestellung noch einen ungeklärten Readiness-Punkt hat, hat die Lizenzen drei Monate zu früh bestellt. Lizenzen verfallen, Vorbereitung nicht.
Häufige Fragen zu Copilot Readiness
Wie lange dauert eine Copilot-Readiness-Vorbereitung in einem KMU?+
Für eine durchschnittliche Microsoft-365-Umgebung mit 30 bis 80 Nutzern liegt der Aufwand bei 30 bis 80 Stunden über 4 bis 8 Wochen. Der größte Block ist die SharePoint- und Berechtigungsbereinigung. Identität, Endgeräte und DSGVO laufen parallel und sind in der Regel schneller erledigt, wenn die Microsoft-365-Basis ohnehin schon gepflegt ist.
Was kostet Microsoft Copilot pro Nutzer?+
Microsoft 365 Copilot kostet aktuell rund 30 Euro pro Nutzer und Monat, zusätzlich zur bestehenden Microsoft-365-Lizenz (E3, E5 oder Business Premium). Hinzu kommen die einmaligen Vorbereitungskosten für Readiness und Rollout, die je nach Größe und Hygienestand der Umgebung von 5.000 bis 25.000 Euro reichen.
Brauche ich Microsoft 365 E5 für Copilot?+
Nein. Copilot funktioniert mit Microsoft 365 E3, E5 oder Business Premium. Für sensible Daten und ernsthafte Governance ist E5 wegen der enthaltenen Sensitivity Labels, Defender for Cloud Apps und erweiterten Compliance-Funktionen aber deutlich angenehmer. KMU mit Business Premium können starten und gezielt einzelne E5-Add-ons nachlizenzieren.
Was passiert, wenn ich Copilot ohne Readiness aktiviere?+
Der Agent erhält denselben Zugriff wie der jeweilige Nutzer, inklusive aller falsch gesetzten Berechtigungen in SharePoint, Teams und OneDrive. In den meisten KMU bedeutet das, dass vertrauliche Inhalte – Gehaltslisten, Personalakten, Vertragsdokumente – plötzlich über die Copilot-Suche auffindbar werden. Compliance-Verstöße entstehen nicht durch Copilot, sondern werden durch Copilot sichtbar.
Ist Microsoft Copilot DSGVO-konform?+
Microsoft Copilot kann DSGVO-konform betrieben werden, wenn Datenstandort EU gewählt, der Auftragsverarbeitungsvertrag im Microsoft-Volumenvertrag aktiv und das Verzeichnis der Verarbeitungstätigkeiten entsprechend ergänzt ist. Eingaben werden nicht für das Training der Foundation Models verwendet. Der eigentliche Risikofaktor ist nicht Microsoft, sondern unsaubere interne Berechtigungen.
Muss der Betriebsrat zustimmen?+
In Unternehmen mit Betriebsrat ist Copilot mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 6 BetrVG, weil das Tool potenziell zur Verhaltens- und Leistungskontrolle geeignet ist. Ohne Betriebsvereinbarung oder Zustimmungserklärung ist eine flächendeckende Aktivierung nicht zulässig. In KMU ohne Betriebsrat reicht eine schriftliche Mitarbeiter-Information.
Fazit: Vorbereitung schlägt Geschwindigkeit
Microsoft Copilot ist eines der mächtigsten Produktivitäts-Tools, die je in ein KMU einziehen werden – wenn die Vorbereitung stimmt. Wer flächendeckend aktiviert, bevor SharePoint aufgeräumt, Berechtigungen sauber, DSGVO geklärt und Schulung vorbereitet ist, riskiert Datenpannen, Compliance-Vorfälle und enttäuschte Mitarbeitende, die nach drei Wochen wieder ohne Copilot arbeiten.
Wer dagegen vier bis acht Wochen in saubere Readiness investiert und mit einer Pilotgruppe startet, hat innerhalb von drei Monaten messbare Produktivitätsgewinne und eine ruhige, kontrollierte Einführung.
Die gute Nachricht: Copilot Readiness ist kein Hexenwerk. Es ist disziplinierte Vorarbeit – Microsoft 365 Hygiene auf einem Niveau, das viele KMU ohnehin längst hätten haben sollen.