Copilot Dashboard | Datenexport wird Default-on
Microsoft schaltet den Datenexport im Copilot Dashboard scharf, und zwar ohne dass du etwas dazu tun musst. Der Message-Center-Beitrag MC1173208 (Roadmap ID 500872) erinnert im Update vom 13. Juli 2026 daran, dass die Exportfunktion für alle Dashboard-Nutzer mit vollem Unternehmenszugriff standardmäßig aktiviert ist. Die Public Preview lief seit Dezember 2025, die weltweite Bereitstellung beginnt Anfang August 2026 und soll bis Ende August abgeschlossen sein. Wer den Export nicht will, muss ihn aktiv abschalten.
Der Haken steckt im Wort "de-identifiziert". Microsoft ersetzt Klarnamen durch eine gehashte ID und positioniert den Export damit als unbedenklich. Aus DSGVO-Sicht ist eine stabile Hash-ID aber eine Pseudonymisierung und keine Anonymisierung, wodurch die exportierten Wochenwerte personenbezogene Daten bleiben.
Was Microsoft ausrollt
Die Exportfunktion sitzt im Copilot Dashboard der Viva Insights Web-App. Berechtigte Nutzer sehen dort die Schaltfläche Export data und laden per Klick eine Datei mit den Copilot-Nutzungsmetriken der letzten sechs Monate herunter, aggregiert pro Nutzer und Woche. Der Datensatz aktualisiert sich wöchentlich und endet mit der letzten vollständigen Woche von Sonntag bis Samstag. Anpassen lässt sich der Export nicht, es kommt immer der volle Datensatz.



Voraussetzung sind mindestens 50 zugewiesene Microsoft 365 Copilot- oder Viva Insights-Lizenzen im Tenant. Zugriff hat, wer das Dashboard mit vollem Unternehmenszugriff sieht. Das sind laut Microsoft fünf Gruppen:
- Senior Leader, die Microsoft automatisch aus Entra ID Daten ableitet
- Nutzer, denen ein Admin den unternehmensweiten Zugriff manuell zugewiesen hat
- Delegates dieser Nutzer, die den Export-Zugriff automatisch erben
- Viva Insights Analysten mit globalem Zugriff
- Global Administrators
Gruppenmanager, deren Dashboard-Sicht auf das eigene Team beschränkt ist, bekommen den Export nicht. Kritisch sind die automatische Ableitung der Senior Leader und die Vererbung an Delegates: Der Kreis der Exportberechtigten wächst, ohne dass du als Admin eine einzige Zuweisung vornimmst. Wer im Org-Chart weit genug oben hängt oder von so jemandem als Delegate eingetragen wurde, kann ab August Rohdaten ziehen.
Was in der Export-Datei steckt
Der Export umfasst über 80 Metriken in drei Blöcken. Der erste Block deckt die lizenzierte Copilot-Nutzung ab: eingereichte Prompts und ausgeführte Aktionen je App (Word, Excel, PowerPoint, Outlook, Teams, Loop, OneNote), aktive Nutzungstage pro App, per Intelligent Recap abgerufene Meetings samt Meeting-Stunden, generierte E-Mail-Entwürfe und weitere Einzelaktionen. Der zweite Block erfasst die Copilot-Chat-Nutzung von Beschäftigten ohne Copilot-Lizenz, aufgeschlüsselt nach Edge, Copilot App, Teams, Outlook und den Office-Apps. Der dritte Block liefert Intensitätsmetriken: ob ein Nutzer in aufeinanderfolgenden 7- oder 28-Tage-Fenstern wiederkehrend aktiv war und in wie vielen der letzten vier Wochen er Copilot genutzt hat.
Der zweite Block verdient einen zweiten Blick. Im Export landet jeder im Tenant, der den kostenlosen Copilot Chat anfasst, eine Copilot-Lizenz ist dafür keine Voraussetzung. Die Datenbasis ist damit breiter als dein Lizenzbestand, und deine Datenschutz-Dokumentation darf sich folglich nicht auf die lizenzierten Nutzer beschränken.
Zu jeder Zeile liefert Microsoft zwei HR-Attribute mit: Organization, abgeleitet aus Entra ID oder der hochgeladenen Organisationsdatendatei, und FunctionType, also die Jobfunktion. Letztere stammt ausschließlich aus der Organisationsdatendatei, ohne diese bleibt die Spalte leer.
Warum de-identifiziert nicht anonym heißt
Die gehashte ID bleibt über den gesamten Export stabil, sonst könnte Microsoft keine Wiederkehrer-Metriken über aufeinanderfolgende 28-Tage-Fenster pro Zeile ausweisen. Eine stabile Kennung, die sich einer Person zuordnen lässt, ist nach Art. 4 Nr. 5 DSGVO ein Pseudonym. Erwägungsgrund 26 stellt klar, dass pseudonymisierte Daten als personenbezogen gelten, weil die Zuordnung mit Zusatzwissen möglich bleibt.
Das Zusatzwissen liefert der Export gleich mit. Kombinierst du Organization und Jobfunktion mit dem wöchentlichen Aktivitätsmuster, ist die Re-Identifikation in kleinen Einheiten trivial. Der einzige Senior Consultant in einer achtköpfigen Abteilung ist über die Attributspalten eindeutig, Hash hin oder her. Microsoft räumt das an anderer Stelle selbst ein: Die Learn-Dokumentation zur Preview weist darauf hin, dass das Feature personenbezogene Daten verarbeitet, und verweist auf den Previews-Abschnitt des Data Protection Addendum. Wer den Export intern als anonyme Statistik deklariert, argumentiert an der eigenen Vertragsgrundlage vorbei.
Für dein Unternehmen als Verantwortlichen heißt das: Der Export gehört ins Verzeichnis der Verarbeitungstätigkeiten, die Datenschutz-Folgenabschätzung für Copilot beziehungsweise Viva Insights braucht ein Update, und die Informationspflichten nach Art. 13 DSGVO gegenüber den Beschäftigten greifen.
Mitbestimmung: Wochenwerte pro Kopf
Wochengenaue Nutzungsdaten pro Person über sechs Monate, inklusive aktiver Tage je App und Wiederkehrer-Quoten, sind objektiv geeignet, Verhalten und Leistung von Beschäftigten zu überwachen. Damit greift in Deutschland § 87 Abs. 1 Nr. 6 BetrVG, unabhängig davon, ob jemand die Auswertung beabsichtigt. Auf die Eignung kommt es an, nicht auf die Absicht.
Falls deine Betriebsvereinbarung zu Copilot oder Viva Insights den Export von Rohdaten nicht abdeckt, ist der Default-on-Start im August der falsche Zeitpunkt, um das zu entdecken. Sprich Betriebsrat und Datenschutzbeauftragten vor der allgemeinen Verfügbarkeit an, nicht danach. Wie du die Auswertungswerkzeuge rund um Copilot im Admin Center generell im Griff behältst, liest du im Beitrag zu den Copilot-Einstellungen hier im Blog.
Steuern im Admin Center (VFAM)
Microsoft hängt die Kontrolle an das Viva Feature Access Management. Dort steuerst du den Export als eigenes Feature im Modul Viva Insights, verwalten darf es nur der Global Administrator. Ein Opt-out durch die Nutzer selbst ist für dieses Feature nicht vorgesehen.
Der Weg führt über das Microsoft 365 Admin Center: Einstellungen, dann Viva, im Reiter Einstellungen der Punkt Featurezugriff verwalten. Dort legst du eine neue Richtlinie an, wählst als App Viva Insights und als Feature Copilot Metrics Export, setzt die Zugriffseinstellung auf Aus und wendest sie auf Everyone oder auf gezielte Gruppen an.

Richtlinienänderungen brauchen bis zu 24 Stunden, bis sie in der Web-App greifen. Plane diesen Vorlauf ein, wenn du kurz vor dem GA-Start abschalten willst. Jede Änderung an VFAM-Richtlinien landet im Purview-Audit-Log, wodurch du die Abschaltung revisionssicher nachweisen kannst. Für den ISO-27001- oder NIS2-Nachweis genügt damit ein Audit-Log-Export statt einer Screenshot-Sammlung.
Steuern per PowerShell
Die VFAM-Cmdlets stecken im ExchangeOnlineManagement-Modul ab Version 3.2.0. Weil du Richtlinien sinnvollerweise auf nicht E-Mail-aktivierte Sicherheitsgruppen legst, installierst du direkt mindestens Version 3.5.1.
Install-Module -Name ExchangeOnlineManagement -MinimumVersion 3.5.1
Connect-ExchangeOnline
# Alle steuerbaren Features im Modul Viva Insights samt FeatureId auflisten
Get-VivaModuleFeature -ModuleId VivaInsightsIn der Ausgabe findest du den Eintrag Copilot Metrics Export. Übernimm die FeatureId exakt so, wie sie dort steht, und setze sie in die folgenden Befehle ein (im Beispiel CopilotMetricsExport).
# Export tenantweit deaktivieren
Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId CopilotMetricsExport `
-Name "CopilotExport-Tenant-Off" -IsFeatureEnabled $false -EveryoneWillst du den Export nach der Abstimmung mit dem Betriebsrat für ein definiertes Analystenteam freigeben, legst du eine zweite Richtlinie auf eine Sicherheitsgruppe. Direkt zugewiesene Nutzer- und Gruppenrichtlinien haben Vorrang vor der tenantweiten Richtlinie, wodurch das Muster tenantweit aus, Gruppe an sauber funktioniert:
# Freigabe nur fuer eine definierte Analysten-Gruppe
Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId CopilotMetricsExport `
-Name "CopilotExport-Analysten-On" -IsFeatureEnabled $true `
-GroupIds "sg-copilot-analytics@deinedomain.de"Kontrolle und Rückbau laufen über die übrigen Cmdlets der Familie:
# Bestehende Richtlinien fuer das Feature anzeigen
Get-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId CopilotMetricsExport
# Wirksamen Status fuer einen einzelnen Nutzer pruefen
Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId CopilotMetricsExport `
-Identity max.muster@deinedomain.de
# Richtlinie entfernen (PolicyId liefert Get-VivaModuleFeaturePolicy)
Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId CopilotMetricsExport `
-PolicyId <PolicyId>Beachte die Limits: Pro Feature sind maximal 10 Nutzer- und Gruppenrichtlinien plus eine Everyone-Richtlinie möglich, jede Richtlinie fasst höchstens 20 Nutzer oder Gruppen. Bei Updates per Update-VivaModuleFeaturePolicy überschreiben die Parameter UserIds und GroupIds die bestehende Zuweisung komplett, du musst Bestandsmitglieder also immer mit angeben, sonst fliegen sie aus der Richtlinie.
Stolperfallen
Drei Punkte gehen im Alltag unter. Erstens erben Delegates den Export-Zugriff automatisch, weshalb du bei der Prüfung des Berechtigtenkreises die im Copilot Dashboard eingetragenen Delegationen mit durchgehen musst. Zweitens blendet die Unified Exclusion List in den Viva-Einstellungen einzelne Nutzer aus den Aggregaten von Copilot Dashboard und Viva Insights aus, was als flankierende Maßnahme für besonders schutzwürdige Personengruppen taugt. Drittens steht VFAM in GCC High und DoD nicht zur Verfügung; für deutsche Tenants in der Public Cloud ist das ohne Belang, in Sovereign-Szenarien prüfst du die Verfügbarkeit vorab.
Fazit
Microsoft baut das Copilot Dashboard vom Anzeigewerkzeug zum Ausleitungswerkzeug um, und der Konzern tut das per Default-on. Aus Adoption-Sicht ist der Export nachvollziehbar: Wer Copilot-Lizenzen im großen Stil bezahlt, will Nutzungsdaten in Power BI analysieren, statt Kennzahlen aus dem Dashboard abzutippen. Aus Datenschutz-Sicht verschiebt der Export aber die Qualität der Verarbeitung. Aggregierte Dashboard-Ansichten sind eine andere Kategorie als eine Rohdatendatei mit stabilen Pseudonymen, Wochenauflösung und HR-Attributen, die jeder automatisch erkannte Senior Leader samt seiner Delegates herunterladen kann.
Die Reihenfolge für dich: Prüfe vor Anfang August, wer in deinem Tenant vollen Dashboard-Zugriff hat, inklusive der automatisch erkannten Führungskräfte und ihrer Delegates. Entscheide mit Datenschutzbeauftragtem und Betriebsrat, ob der Export laufen darf, und halte das Ergebnis in der Betriebsvereinbarung und im Verzeichnis der Verarbeitungstätigkeiten fest. Setze anschließend die passende VFAM-Richtlinie: tenantweit aus als sicherer Startpunkt, gezielte Gruppenfreigaben nach der Abstimmung. Die 24-Stunden-Latenz und das Purview-Audit-Log geben dir den zeitlichen Puffer und den Nachweis dazu.
Bleibt die Grundsatzfrage: Ein Feature, das Beschäftigtendaten in Rohform ausleitet, per Default zu aktivieren und die Verantwortung für das Abschalten dem Kunden zu überlassen, ist ein Muster, das sich bei Microsoft wiederholt. Der August-Termin ist nah genug, um jetzt zu handeln, und weit genug weg, um es ordentlich zu machen.
weitere Links
| Quelle | Thema | URL |
| Microsoft 365 Message Center | MC1173208, Stand 13.07.2026 (Timeline, Default-on, Hash-ID) | https://admin.microsoft.com/#/MessageCenter/:/messages/MC1173208 |
| Message Center Archive (Merill) | MC1173208 Versionshistorie und Volltext | https://mc.merill.net/message/MC1173208 |
| Microsoft Learn | Export Copilot metrics (Metrikliste, Zugriffskreis, DPA-Hinweis) | https://learn.microsoft.com/en-us/viva/insights/org-team-insights/export-copilot-metrics |
| Microsoft Learn | Viva Feature Access Management (Feature-Tabelle, Präzedenz) | https://learn.microsoft.com/en-us/viva/feature-access-management |
| Microsoft Learn | VFAM per PowerShell (Cmdlets, Limits, Modulversionen) | https://learn.microsoft.com/en-us/viva/manage-access-policies |
| Microsoft Learn | VFAM im Microsoft 365 Admin Center (Klickpfad) | https://learn.microsoft.com/en-us/viva/control-access-admin-center |
Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.
Kommentar hinterlassen
Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.