Hintergründe zu dem "Leak" in Microsoft 365 Copilot Chat
In den letzten Wochen wurde viel über ein “Leak” in Copilot gesprochen. Was ist wirklich passiert und wo ist es dokumentiert? Wie hat Microsoft reagiert, wie ist es rechtlich zu bewerten und was ist nun zu tun? Wir klären auf.
Unter anderem hatten Bleeping Computer (18.01.2026) und in Deutschland dann am 19.02.2026 Golem berichtet: "Datenpanne bei Microsoft - Bug lässt Copilot vertrauliche Mails lesen"
So lautete zumindest der Titel bei Golem. Ich würde es beschreiben als "Microsoft 365 Copilot Chat: Fehlerhafte Verarbeitung vertraulich klassifizierter E-Mails trotz aktiver DLP-Richtlinien". Was steckt dahinter?
(Produkt-)Technischer Hintergrund: Purview und DLP
Microsoft 365 (M365) bietet Organisationen die Möglichkeit, Vertraulichkeitsbezeichnungen auf Inhalte anzuwenden. Dies erfolgt über den Microsoft-Service Purview. Wer damit noch nie zu tun hatte: Ausgesprochen wird das etwa "Pöhr"-View, nicht wie ein englisches "Pure"-View.
Purview ist ein Microsoft-Dienst für M365 (sowie Azure und zum Teil auch für On Premise betriebene MS-Dienste), das insbesondere der Data Loss Prevention (DLP) dient. Ein zentrales Element ist dabei die "Klassifizierung" von Dokumenten durch Vertraulichkeitsbezeichnungen (Sensivity Labels).
In Verbindung mit Copilot-spezifischen DLP-Richtlinien lässt sich konfigurieren, dass Copilot auf als vertraulich klassifizierte Inhalte keinen Zugriff erhält und diese nicht in Antworten einbezieht. Dieses Schutzmechanismus soll insbesondere verhindern, dass KI-gestützte Zusammenfassungen oder Antworten auf Basis schutzbedürftiger Inhalte generiert werden.
Was war der Fehler?
Laut der Dokumentation von Microsoft und der weiteren Berichterstattung - darunter ein Microsoft-Statement gegenüber BleepingComputer - lag ein Code-Fehler vor, der dazu führte, dass Copilot Chat im sogenannten Work Tab E-Mails aus den Ordnern „Gesendete Objekte" und „Entwürfe" in Exchange Online verarbeitete, obwohl auf diesen E-Mails ein Sensitivity Label gesetzt und eine Copilot-DLP-Richtlinie aktiv war.
Copilot konnte also nie auf Inhalte zugreifen, die nicht dem jeweiligen User "gehörten" oder zumindest von anderen für ihn freigegeben waren. Es handelte sich "nur" um die Missachtung der DLP-Regelung, wonach Copilot nicht auf Dokumente mit einer bestimmten Vertraulichkeitsstufe hätte zugreifen dürfen.
Nach den Berichten beschränkte sich der Bug auf Exchange Online (also auf die E-Mails, Kalender etc.), und dort auf die Inhalte in den Ordnern "Entwürfe" und "Gesendete Objekte".
„A code issue is allowing items in the sent items and draft folders to be picked up by Copilot even though confidential labels are set in place."
Ich will Primärquellen. Wo ist das dokumentiert?
Der Incident ist mit der Issue ID CW1226324 bei und von Microsoft dokumentiert.
Microsoft betreibt für alle M365-Dienste ein zentrales Service Health Dashboard (SHD), das Administratoren im Microsoft 365 Admin Center über https://status.cloud.microsoft/ zugänglich ist.
Wenn eine Störung oder Beeinträchtigung festgestellt wird, öffnet Microsoft intern einen sogenannten Service Health Incident oder Advisory und weist diesem eine eindeutige alphanumerische Tracking-ID zu. Die Präfix-Buchstaben (hier "CW...") kodieren dabei den betroffenen Dienst oder die Kategorie. Das Präfix „CW" steht für Incidents im Bereich Microsoft 365 Copilot / Copilot Workloads. Weitere bekannte Präfixe sind z.B. „EX" für Exchange Online, „SP" für SharePoint, „TM" für Microsoft Teams. Die Nummern werden von Microsoft intern automatisch vergeben – Kunden können sie nicht selbst erstellen.
Der vorliegende Incident trägt die Kennung CW1226324. Er wurde von Microsoft im Admin Center an betroffene Tenants kommuniziert. Über das Admin-Center kann man auf diese Meldungen und deren Bearbeitungsstände zugreifen - allerdings nur für einen begrenzten Zeitraum. Für die dauerhafte Dokumentation und für Personen, die keinen Zugriff auf das Admin-Center haben, ist hier ein Screenshot:
Incident CW1226324 wurde u.a. durch die Weiterveröffentlichung durch das britische NHS-IT-Supportsystem sowie durch BleepingComputer (siehe oben), The Register und andere. Der direkte Link zur NHS-Dokumentation des Incidents ist: https://support.nhs.net/2025/04/microsoft-365-alert-service-degradation-power-bi-users-email-messages-with-a-confidential-label-applied-are-being-incorrectly-processed-by-microsoft-365-copilot-chat/
Copilot oder Copilot Chat?
Der Bug lag nicht bei der Nutzung des "normalen" Copilot Chat vor (also per Web oder der entsprechenden App), sondern bei der Nutzung in Exchange. Dadurch wurde er zum Teil dem "großen" Microsoft 365 Copilot (ohne "Chat") zugeschrieben.
Es handelte sich aber um die Funktion "WorkTab" innerhalb von M365 Copilot Chat und nicht um den "großen" Copiloten. Das sind die kleinen Copilot-Chat-Varianten, die zB in Exchange, Word und PowerAutomate eingebettet sind und dort kontextabhängig Fragen beantworten. Wer es nicht kennt - so sieht es aus:
Wie hat Microsoft reagiert?
Microsoft hat den Incident veröffentlicht und den Bug behoben - siehe die Dokumentation und Links oben.
Wie ist die rechtliche Bewertung und was muss ich tun?
Rechtlich liegt m.E. keine Verletzung des Schutzes personenbezogener Daten i.S.d. Art. 4 Nr. 12 DSGVO vor, so dass keine Meldung nach Art. 33 DSGVO erfolgen muss. Denn:
Copilot konnte trotz des Bugs nur auf die eigenen Daten zugreifen. Es erfolgte kein Zugriff auf fremde Daten, und erst Recht wurden keine eigenen Daten an Dritte "geleakt".
Der Copilot Chat macht auch in der Work-Tab-Funktion nur Vorschläge. Es obliegt dem User, zu entscheiden, ob er einen vorgeschlagenen Mail-Text wirklich versendet (Human in the Loop).
Gab es eine Rechtsgrundlage für diese DLP-widrige Datenverarbeitung? Die Antwort ist wohl: Streng genommen nein. Sie war außerhalb der via DLP gesetzten Anweisungen. Damit ist sie (wieder: bei strenger, dogmatischer Betrachtung) außerhalb eines Vertrags (Art. 6 (1) (b) DSGVO), und es kann kein berechtigtes Interesse vorliegen. Ganz streng genommen kann es auch als (unbeabsichtigter) Auftragsverarbeiter-Exzess angesehen werden. Aber: Wer es so streng und dogmatisch betrachten will, muss diesen Maßstab bei sämtlichen Bugs anlegen - auch wenn sie in Umgebungen der "digitalen Souveränität" geschehen.
Weitere Fragen können zB im Rahmen des staatlichen Geheimschutzes (SÜG, Verschlusssachen) entstehen.
Damit und auch mit den Einstellungen beschäftigten wir uns im nächsten M365-Club am Mi, 04.03.2026 um 10:00.
