Ein interdisziplinäres Team, ein Thema das alle beschäftigt, eine Frage nach dem richtigen Werkzeug. Die Organisation, welche hier ungenannt bleiben soll, hatte sich eine klare Linie gezogen: Microsoft Copilot für nichts was Firmen-IP berührt. Das Microsoft-Paket gäbe das nicht her.
"Aber das ist doch das Gleiche wie zu sagen, wir trauen Outlook nicht." — hörte ich mich selbst sagen.
Ich meinte das als Relativierung. Als Argument, dass die Bedenken übertrieben seien.
Zumindest bis ich einen Moment später realisierte: Ja. Vielleicht kann man Outlook nicht trauen.
Outlook?
Outlook ist so vertraut, dass die Frage sich absurd anfühlt. Natürlich vertrauen wir Outlook. Wir haben immer Outlook benutzt.
Das ist eine Gewohnheit. Naja und Hassliebe.
Das "New Outlook" — die Version, die Microsoft seit 2023 als Standard durchsetzt — ist eine Cloud-Applikation, die auf Microsoft-Servern läuft. Ein Tool eines Unternehmens, das dem CLOUD Act der USA unterliegt. Nach diesem Gesetz haben US-Behörden das Recht, amerikanische Service-Provider zur Herausgabe von Daten zu verpflichten, unabhängig davon, wo diese Daten physisch gespeichert sind. In Frankfurt. In Dublin. Auf einem Server mit dem Label "Europe".
Ja. Das wissen wir irgendwie alle und ist eben so. Snowden liegt lang zurück — what could go wrong?
"The New Outlook" synchronisiert externe Konten ausschließlich über Microsoft-Server. Wer ein Gmail-, GMX- oder eigenes Unternehmenspostfach in New Outlook einbindet, übergibt seine Zugangsdaten an Microsoft und lässt seine E-Mails durch Microsoft-Infrastruktur synchronisieren.
Hm. Auch noch so klar? Ich würde mal sagen wer "Outlook" benutzt denkt eine Applikation zu benutzen, die lokal auf dem Rechner läuft — es ist aber Cloud-Infrastruktur für Konten, die nie Microsoft-Konten waren.
Niemand hat sich beschwert. Weil niemand nachgeschaut hat. Weil es "Outlook" heißt, und Outlook kennen wir.
Vertrautheit ist kein Sicherheitsmerkmal. Es ist das Gegenteil davon: Vertrautheit ist der Zustand, in dem wir aufgehört haben zu fragen.
Die Copilot-Frage ist ehrlicher
Und das ist das Paradoxe an dem, was die Organisation getan hat. Sie hat Copilot abgelehnt — und damit, ohne es zu wissen, die richtige Frage gestellt. Nur an das falsche Werkzeug.
Microsoft formuliert für Enterprise-Kunden (M365 E3/E5 mit Copilot-Lizenz) eine klare Zusicherung: Your data isn't used to train foundation models. Das ist ein vertragliches Versprechen, und es steht unter dem Microsoft Data Protection Addendum.
Drei Dinge stimmen trotzdem:
Erstens gilt es nur für die richtigen Tiers. Wer nicht das Enterprise-Paket hat — und das ist für viele Unternehmen und ihren Gerätezoo aus Business-Basic- und Professional-Accounts nicht trivial zu klären — steht unter anderen Bedingungen. Die freie Copilot-Version trägt den offiziellen Microsoft-Hinweis: Never add sensitive or proprietary work information in a prompt. Das steht da. Nicht im Kleingedruckten. Auf der Produktseite.
Zweitens hebt das Versprechen den CLOUD Act nicht auf. Das sind zwei verschiedene Schichten. Das eine betrifft Microsofts eigene Nutzung der Daten. Das andere betrifft den Zugriff durch US-Behörden auf gesetzliche Anforderung. Für Outlook gilt dasselbe. Für SharePoint. Für Teams. Für alles, was auf Microsoft-Servern liegt.
Drittens ist ein vertragliches Versprechen kein technisches Hindernis. Es ist ein Versprechen. Ob es gehalten wird, ist technisch nicht nachprüfbar. Ob es in fünf Jahren noch so lautet, hängt von Geschäftsentscheidungen ab, die Microsoft ohne Vorankündigung treffen kann.
Die Organisation hatte instinktiv Recht. Nur die Grenze war falsch gezogen.
GitHub Copilot und das Tier-Problem
Wer das für eine abstrakte Debatte hält, sollte sich GitHub Copilot anschauen.
Seit April 2025 verwendet GitHub Copilot für Individual-Nutzer (Free, Pro, Pro+) die Interaktionsdaten — Inputs, Outputs, Code-Snippets, Kontext — für Modelltraining, sofern kein Opt-Out erfolgt. Diese Daten können mit "GitHub affiliates" geteilt werden. GitHub ist eine Microsoft-Tochter.
Für Business- und Enterprise-Accounts gilt das nicht. Da steht das Versprechen, diese Daten nicht zu verwenden.
Das klingt nach einer klaren Trennung. In der Praxis? Nun zumindest bei Kunden habe ich vieles gesehen. Personal-Accounts mit allen Projekten, allen Code-Snippets, allem was je getippt wurde, existieren parallel zum Corporate-Account für die bezahlte Lizenz. Was liegt wo? Was ist aktiv? Die Grenzen verlaufen fließend. Selbiges gilt natürlich als Dienstleister, der mehrere GitHub-Accounts unterschiedlicher Kunden aktiv hat. Obacht.
Das Muster
Es lohnt sich, einen Schritt zurückzutreten und das Muster zu betrachten.
Das freie Internet wurde in den letzten zwanzig Jahren nach einem einfachen Prinzip aufgebaut: Die Infrastruktur ist kostenlos, das Geschäftsmodell ist Daten. Journalisten, Blogger, Autoren, Verlage haben Inhalte erstellt. Suchmaschinen haben sie indexiert. Modelle wurden auf dem Ergebnis trainiert. Das destillierte Wissen wird jetzt verkauft — ohne Kompensation der Quellen und Urheber. Uff.
Die New York Times hat OpenAI dafür verklagt. Das Landgericht München hat im November 2025 — in einem Verfahren der GEMA gegen OpenAI — festgestellt, dass die Einbettung urheberrechtlich geschützter Texte in Modellgewichte eine Vervielfältigung darstellt, die nicht automatisch durch die Datamining-Ausnahme gedeckt ist. Das Urteil ist noch nicht rechtskräftig — OpenAI hat Berufung angekündigt.
Was hat das mit Enterprise-Software zu tun?
Die Mechanik ist dieselbe, die Verpackung ist anders. Beim Internet war es offensichtlich, dass man Content in ein System eingibt, das man nicht kontrolliert. Hell, das war das große Versprechen des freien Datenaustauschs in einer liberalen Weltgesellschaft. So viel Utopie muss noch drin sein!
Bei einem Unternehmens-E-Mail-Client oder einem Code-Editor ist es nicht offensichtlich. Das Tool ist so vertraut und selbstverständlich, so alt, dass die infrastrukturelle Realität dahinter unsichtbar geworden ist.
Und die Infrastruktur akkumuliert Wissen. Durch tausende Interaktionen, über Jahre, über Unternehmen, über Branchen. Was dabei entsteht, ist wertvoll — und es entsteht auf den Servern eines anderen.
There is no free lunch. Wenn etwas sehr günstig wirkt, bist du oder deine Daten vermutlich das Produkt. Das ist das Internetprinzip. Es gilt jetzt auch für die Werkzeuge, mit denen Unternehmen ihre Prozesse bauen.
Die Einkaufswagen-Geschichte
Ist das jetzt so neu? Nun, ich würde sagen die Skalierung ist es.
Anekdoten-Zeit:
Ich war einmal auf einem Projekt bei einem Hersteller von Einkaufswagen. Das Unternehmen war nicht sonderlich gut im Production Cost Controlling. Das war schon eigentlich wichtig, aber nie wichtig genug ums zu fixen — so weit so vorhersehbar. Walmart war einer ihrer größten Kunden. Und Walmart war sehr gut im Einkaufscontrolling.
Über die Jahre hatten sich Angebote akkumuliert. Quervergleiche zu maßgeblichen Preistreibern — in diesem Fall Rohstoffpreise, Stahl, Metall, alles öffentlich zugänglich. Irgendwann konnte Walmart dem Hersteller sagen: Das ist euer Preis an uns. Das ist die Marge, die wir euch zugestehen. Wir wissen, für wie viel ihr produziert. Wir wissen, was es kosten könnte.
Das war vor KI. Keine Modelle, keine Embeddings, keine Inference. Nur ein systematischer Prozess, akkumulierte Daten, öffentliche Rohstoffindizes und ein Einkaufsteam das verstand, wie man daraus Produktionskosten rekonstruiert.
Trotz oberflächlicher Informationsasymmetrie: Woher sollte Walmart die tatsächlichen Produktionskosten kennen, wenn der Hersteller sie selbst erst sechs Monate post mortem errechnen konnte?
Weil es ihnen wichtig genug war. Walmart ist ja berühmt berüchtigt fürs Drücken der Einkaufs- und Erzeugungspreise. Am Ende hat der Lieferant kaum mehr verhandelt, wurde Preisnehmer.
Was früher ein Einkaufsteam über Jahre akkumulierte, repliziert ein Foundation Model über tausend Lieferanten gleichzeitig. Jedes Angebot, das ein Kunde heute in ein KI-System lädt, ist ein Datenpunkt. Aggregiert über Zeit und Wettbewerber entsteht dasselbe Bild: Eure Kostenstruktur, eure Margenspielräume, eure Verhandlungsgrenzen. Sogar ohne Diebstahl. Einfach weil ihr normale Geschäftsdokumente produziert habt, die jetzt KI-lesbar sind.
Was davon schon in Weltmodellen steckt
In derselben Besprechung vom Einstieg kam die Gegenfrage: Ist das, was die Firma als IP versteht, überhaupt noch IP? Oder steckt das längst in den Modellen?
Ich habe den Test gemacht. Einen öffentlich zugänglichen Produktkatalog, einen selbst entworfenen agentic Quotation Workflow, Claude Opus — und ein Angebot erstellt. Das Ergebnis war nicht kundenreif. Aber es war erschreckend gut, wenn man die Qualität und Dichte der Eingabedaten betrachtet.
Was das zeigt: Ein erheblicher Teil dessen, was Unternehmen als proprietäres Wissen betrachten, ist in Dokumenten externalisiert — in Handbüchern, Produktkatalogen, Prozessbeschreibungen, öffentlichen Präsentationen. Das ist genau das Material, auf dem Modelle trainiert wurden. Wer ein Angebot ausfüllt, einen Prozess dokumentiert, eine Leistungsbeschreibung schreibt, gibt dieses Wissen in eine Form, die lesbar und lernbar ist.
Was wirklich nicht replizierbar ist, ist das implizite Wissen. Die nicht verschriftlichten Urteile, die Erfahrungen, die in keinem Dokument stehen, die Beziehungen. Das ist die echte Defensivposition. Aber das ist auch nicht das, was ein NDA typischerweise schützt.
Und nu?
Und dann kommt die Frage, die am schwersten zu beantworten ist.
Selbst wenn ein Unternehmen intern alles richtig macht — souveräne Infrastruktur, kein Copilot, keine Daten auf fremden Servern — schickt es irgendwann ein Angebot raus. Das Angebot geht zum Kunden. Der Kunde hat das gute Recht, es mit seinem KI-Tool zu öffnen, zu analysieren, mit Wettbewerbsangeboten zu vergleichen, Preistreiber herauszurechnen.
Das ist Normalgeschäft. Das Dokument gehört dem Kunden.
Man kann das nicht verhindern. Was man verhindern kann, ist, wie viel man selbst aktiv beschleunigt. Wer seine eigenen Prozesse auf fremder Infrastruktur baut, beiträgt zur Wissensakkumulation von Systemen, die anderen gehören — mit jedem Prompt, jedem Workflow, jeder Interaktion. Wer das nicht tut, hat wenigstens die eigene Seite der Gleichung unter Kontrolle.
Was bleibt
Die Organisation, die Copilot abgelehnt hat, hatte die Intuition richtig. Sie hat die Grenze falsch gezogen — bei Copilot statt bei der Infrastruktur. Aber die Frage, die dahinter stand, war die richtige: Wo läuft unser Wissen? Wessen System verarbeitet es? Was passiert damit?
Diese Fragen werden selten gestellt, weil die Antworten unbequem sind und weil die Werkzeuge, die sie aufwerfen, so vertraut sind. Outlook ist dreißig Jahre alt. Natürlich ist es sicher. Natürlich vertrauen wir ihm.
Vertrautheit ist keine Sicherheitsgarantie. Sie ist das, was entsteht, wenn man lange genug aufgehört hat zu fragen.
Ich habe in jener Besprechung aufgehört zu fragen. Ich habe einen Satz gesagt, der als Relativierung gedacht war, und dann selbst gemerkt, dass er als Frage funktioniert.
Vertraut ihr Outlook?