Microsoft Copilot Studio ist eine grafische Low-Code-Plattform zum Erstellen, Anpassen, Veröffentlichen und Verwalten von KI-Agenten und Agent Flows.
Die Agenten können auf Geschäftsdaten zugreifen, Wissen aus SharePoint, Websites, Dataverse oder Enterprise-Connectors nutzen, Aufgaben per Flows/Prompts/APIs ausführen und in Microsoft 365, Teams, Websites, Apps oder weitere Kanäle veröffentlicht werden
MS Copilot Studio
KI-Agenten mühelos erstellen, anpassen und starten
Standort: USA ⓘ Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA.
Zielgruppe
Microsoft Copilot Studio richtet sich vor allem an Unternehmen, die eigene KI-Agenten für Mitarbeiter oder Kunden bereitstellen möchten. Typische Nutzer sind IT-Teams, Power-Platform-Verantwortliche, Fachbereiche wie HR, Finance, Legal und Customer Service sowie technisch orientierte Business-Anwender, die ohne klassisches Entwicklerteam agentische Prozesse aufbauen wollen. Microsoft adressiert dabei sowohl einfache Low-Code-Szenarien als auch komplexere Enterprise-Architekturen mit Connectors, Agent Flows, APIs und Governance.
Herausragende Funktionen
Besonders stark ist die Kombination aus Low-Code-Agentenbau, generativer Orchestrierung, Wissensanbindung, Aktionen über Flows/Prompts/APIs, Multi-Agent-Architektur und Multi-Channel-Deployment. Agenten lassen sich mit SharePoint, Dataverse, Websites und Enterprise-Datenquellen verbinden; bei bestimmten Quellen wird nur Wissen ausgegeben, auf das der jeweilige Nutzer auch wirklich zugreifen darf. Zusätzlich bietet Microsoft Vorlagen wie Employee Self-Service oder IT Helpdesk, was die Time-to-Value für interne Support- und Serviceprozesse senkt.
Wichtigste Anwendungsfelder
Die klarsten Einsatzfelder sind interne Self-Service-Agenten für HR/IT/Operations, Customer-Service- und Chatbot-Szenarien, wissensgestützte Agenten für interne Suche und Support, Workflow- und Prozessautomatisierung sowie bereichsspezifische Agenten für Finance, Legal oder Sales-nahe Aufgaben. Microsoft nennt selbst Beispiele wie Bilanzabstimmung, Recruiting, Cross-Selling/Upselling, IT-Support und automatisierte Vertragsprüfung. Dazu kommt die Veröffentlichung auf Websites, in Apps, in Teams oder in Microsoft 365 Copilot.
Nutzung & Hinweise
Für einen ersten Test genügt die Trial, produktiv veröffentlichen kann man damit aber nicht. Wer externe Kanäle, Premium-Connectoren, Flows oder fortgeschrittene Funktionen nutzen möchte, braucht das eigenständige Copilot-Studio-Modell und ein Azure-Abonnement. Bei der Einführung sollte man die Sicherheits- und Datenschutzkonfiguration ernst nehmen: Authentifizierung, Kanalwahl, DLP, Environment Routing, Datenregion, Wissensquellen und Connector-Berechtigungen beeinflussen maßgeblich, wie sicher und DSGVO-tauglich der Agent am Ende ist. Bei externer Bereitstellung ohne Authentifizierung weist Microsoft ausdrücklich darauf hin, dass jeder mit dem Link mit dem Agenten interagieren kann.
| Für wen geeignet? | Einschätzung & Begründung |
|---|---|
| Privatpersonen | Eher nicht geeignet – Copilot Studio ist kein klassisches Endnutzer-Chattool, sondern eine Plattform zum Erstellen, Testen, Veröffentlichen und Verwalten von Agenten. Für Privatnutzer ist Microsoft Copilot oder ChatGPT meist passender. |
| Selbstständige / Freelancer | Bedingt geeignet – sinnvoll für technisch versierte Freelancer, Berater oder Automatisierungsdienstleister, die Kunden-Chatbots, interne Assistenten oder Workflows bauen. Für einfache Alltags-KI ist es zu komplex. |
| KMU | Sehr geeignet, wenn Microsoft 365, Teams, Power Platform oder Dynamics bereits genutzt werden. Copilot Studio kann Agenten mit Datenquellen, Services und Workflows verbinden und über mehrere Kanäle veröffentlichen. (Microsoft) |
| Großunternehmen | Sehr geeignet – besonders für organisationsweite Agenten, Governance, DLP-Richtlinien, Rollen-/Rechtekonzepte, ALM-Prozesse, Connector-Kontrolle und Integration in Microsoft 365 Copilot. (Microsoft Learn) |
| IT-, Automatisierungs- und Fachbereichsteams | Sehr geeignet – Copilot Studio erlaubt Low-Code-/No-Code-Agenten, Agent Flows, API-/Connector-Anbindungen und Automatisierungen. Das passt besonders zu Automatisierungen / Workflows, Kundenservice / Chatbots, API-Anbindung, Wissensmanagement / interne Suche und Datenanalyse. (Microsoft Learn) |
Hosting & Daten
1) On-Prem / lokales Hosting
Bedeutung: Die Firma betreibt die Lösung auf eigener Hardware oder in der eigenen Infrastruktur. Im strengsten Sinn läuft dabei nicht nur die Anwendung, sondern idealerweise auch das Modell lokal.
2) Private Cloud / RZ
Bedeutung: Die Lösung läuft in einer dedizierten oder stärker abgegrenzten Cloud-Umgebung, oft bei einem Hosting-Anbieter oder Hyperscaler, aber in einem deutschen Rechenzentrum oder in einer besonders kontrollierten Umgebung.
3) EU-SaaS / Managed
Bedeutung: Der Anbieter betreibt die Lösung selbst als Dienst. Die Firma nutzt das Tool als fertigen Cloud-Service, idealerweise mit EU-Datenresidenz.
4) Hybrid
Bedeutung: Ein Teil der Verarbeitung bleibt intern / lokal / in privater Cloud, ein anderer Teil läuft in einer externen Cloud oder EU-SaaS.
5) AVV / DPA
Bedeutung: Das ist der Auftragsverarbeitungsvertrag bzw. Data Processing Addendum.
Er regelt, dass der Anbieter personenbezogene Daten im Auftrag verarbeitet und an die Weisungen des Kunden gebunden ist.
6) Kein Training
Bedeutung: Der Anbieter nutzt deine Prompts, Uploads, Anhänge, Chatverläufe oder Outputs nicht zum Training oder zur Verbesserung des allgemeinen Modells — idealerweise vertraglich ausgeschlossen.
7) Open-Source-/Transparenz-Pfad
Bedeutung: Es gibt einen Weg zu mehr technischer Transparenz und Souveränität, etwa durch:
- offene Modelle
- dokumentierte Komponenten
- self-hostbare Teile
- nachvollziehbare Architektur
- Export-/Wechselmöglichkeiten
| On-prem / local hosting | ❓ |
| Private cloud / data center | ⚠️ |
| EU SaaS / Managed | ✅ |
| Hybrid | ⚠️ |
| DPA / AVV | ✅ |
| No training on customer data | ⚠️ |
| Open source / transparency path | ⚠️ |
On-Prem / lokales Hosting: indirekt / nicht verfuegbar
Auf der Website wurde keine On-Premise-, lokale oder self-hostbare Bereitstellung von Microsoft Copilot Studio gefunden.
Private Cloud / RZ: teilweise
Es gibt Hinweise auf kontrollierte geografische Datenresidenz und EU Data Boundary innerhalb der Microsoft-Cloud, aber auf der Website keine klare Aussage zu einer dedizierten privaten Kunden-Cloud speziell für Copilot Studio.
EU-SaaS / Managed: abgedeckt
Die Website beschreibt Copilot Studio als Microsoft-Online-Dienst mit geografischer Datenresidenz und EU Data Boundary für EU-/EFTA-Kunden bei passender Konfiguration der Umgebungen innerhalb der EU Data Boundary.
Hybrid: teilweise
Die Website beschreibt Konnektoren, Datenflüsse und die Nutzung interner Unternehmensdatenquellen sowie Governance-Kontrollen. Ein klar ausformuliertes Hybrid-Hosting-Modell mit lokalem Verarbeitungsanteil für die Kernlösung wird jedoch nicht eindeutig angegeben.
AVV / DPA: abgedeckt
Ein Auftragsverarbeitungsvertrag ist über das Microsoft Products and Services Data Protection Addendum dokumentiert; die Website erklärt ausdrücklich, dass die Datenverarbeitungs- und Sicherheitsbedingungen dort geregelt sind.
Kein Training: teilweise
Für die Prompt-Funktionen in Copilot Studio gibt die Website ausdrücklich an, dass Kundendaten, Prompts und Antworten nicht zum Training oder zur Verbesserung der Azure OpenAI Service Foundation-Modelle verwendet werden. Für sämtliche denkbaren Copilot-Studio-Szenarien und externe Modelle wird dies auf den gefundenen Seiten nicht einheitlich und vollumfänglich für alle Betriebsarten erklärt.
Open-Source / Transparenz-Pfad: teilweise
Es gibt auf der Website einen begrenzten Transparenzpfad über dokumentierte Modelle, Konnektoren, Datenresidenz und die Möglichkeit, eigene beziehungsweise externe Modelle einzubinden. Open-Source-Komponenten oder ein offener self-hostbarer Stack werden auf der Website jedoch nicht angegeben.
Datenverarbeitung
Nach den gefundenen Microsoft-Seiten ist Copilot Studio ein cloudbasierter Microsoft-Online-Dienst innerhalb von Power Platform. Die Website beschreibt geografische Datenresidenz, Azure-Rechenzentren und EU Data Boundary für EU-/EFTA-Kunden bei geeigneter Konfiguration. Für Prompt-Funktionen laufen Modelle auf Azure OpenAI Service. Außerdem verweist Microsoft auf Konnektoren zu internen und externen Datenquellen. Subprozessoren werden auf der Website grundsätzlich dokumentiert; zusätzlich wird für KI-Subprozessoren erläutert, dass unterstützte Drittmodelle unter Microsoft-Aufsicht als Subprozessoren oder alternativ als unabhängige Verarbeiter eingebunden werden können. Eine vollständige produktspezifische Subprozessorliste für Copilot Studio wurde auf den gefundenen Seiten jedoch nicht direkt ausgelesen.
Fazit
Für Nutzer im EU/EWR ist Microsoft Copilot Studio nach den gefundenen Website-Angaben grundsätzlich in einer DSGVO-nahen und vertraglich abgesicherten Form nutzbar, insbesondere über EU Data Boundary plus DPA/AVV und passende Tenant-/Umgebungs-Konfiguration. Die Nutzung ist aber nicht automatisch in jeder Standardkonfiguration vorbehaltlos unkritisch, weil Microsoft selbst Bedingungen und begrenzte Ausnahmen für Transfers außerhalb der EU Data Boundary nennt. Daher ist die Gesamtbewertung für den europäischen Raum 'bedingt'.
Quellen
- https://learn.microsoft.com/en-ca/microsoft-copilot-studio/geo-data-residency
- https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn
- https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA?lang=1
- https://learn.microsoft.com/en-us/microsoft-copilot-studio/faq-prompts
- https://learn.microsoft.com/en-us/microsoft-copilot-studio/admin-certification
- https://learn.microsoft.com/en-us/microsoft-copilot-studio/security-and-governance
- https://learn.microsoft.com/en-us/microsoft-365/copilot/ai-models-overview
- https://learn.microsoft.com/en-us/privacy/eudb/change-log
| On-prem / local hosting | ❓ |
| Private cloud / data center | ⚠️ |
| EU SaaS / Managed | ✅ |
| Hybrid | ⚠️ |
| DPA / AVV | ✅ |
| No training on customer data | ⚠️ |
| Open source / transparency path | ⚠️ |
On-Prem / lokales Hosting: indirekt / nicht verfuegbar
Auf der Website wurde keine On-Premise-, lokale oder self-hostbare Bereitstellung von Microsoft Copilot Studio gefunden.
Private Cloud / RZ: teilweise
Es gibt Hinweise auf kontrollierte geografische Datenresidenz und EU Data Boundary innerhalb der Microsoft-Cloud, aber auf der Website keine klare Aussage zu einer dedizierten privaten Kunden-Cloud speziell für Copilot Studio.
EU-SaaS / Managed: abgedeckt
Die Website beschreibt Copilot Studio als Microsoft-Online-Dienst mit geografischer Datenresidenz und EU Data Boundary für EU-/EFTA-Kunden bei passender Konfiguration der Umgebungen innerhalb der EU Data Boundary.
Hybrid: teilweise
Die Website beschreibt Konnektoren, Datenflüsse und die Nutzung interner Unternehmensdatenquellen sowie Governance-Kontrollen. Ein klar ausformuliertes Hybrid-Hosting-Modell mit lokalem Verarbeitungsanteil für die Kernlösung wird jedoch nicht eindeutig angegeben.
AVV / DPA: abgedeckt
Ein Auftragsverarbeitungsvertrag ist über das Microsoft Products and Services Data Protection Addendum dokumentiert; die Website erklärt ausdrücklich, dass die Datenverarbeitungs- und Sicherheitsbedingungen dort geregelt sind.
Kein Training: teilweise
Für die Prompt-Funktionen in Copilot Studio gibt die Website ausdrücklich an, dass Kundendaten, Prompts und Antworten nicht zum Training oder zur Verbesserung der Azure OpenAI Service Foundation-Modelle verwendet werden. Für sämtliche denkbaren Copilot-Studio-Szenarien und externe Modelle wird dies auf den gefundenen Seiten nicht einheitlich und vollumfänglich für alle Betriebsarten erklärt.
Open-Source / Transparenz-Pfad: teilweise
Es gibt auf der Website einen begrenzten Transparenzpfad über dokumentierte Modelle, Konnektoren, Datenresidenz und die Möglichkeit, eigene beziehungsweise externe Modelle einzubinden. Open-Source-Komponenten oder ein offener self-hostbarer Stack werden auf der Website jedoch nicht angegeben.
Datenverarbeitung
Nach den gefundenen Microsoft-Seiten ist Copilot Studio ein cloudbasierter Microsoft-Online-Dienst innerhalb von Power Platform. Die Website beschreibt geografische Datenresidenz, Azure-Rechenzentren und EU Data Boundary für EU-/EFTA-Kunden bei geeigneter Konfiguration. Für Prompt-Funktionen laufen Modelle auf Azure OpenAI Service. Außerdem verweist Microsoft auf Konnektoren zu internen und externen Datenquellen. Subprozessoren werden auf der Website grundsätzlich dokumentiert; zusätzlich wird für KI-Subprozessoren erläutert, dass unterstützte Drittmodelle unter Microsoft-Aufsicht als Subprozessoren oder alternativ als unabhängige Verarbeiter eingebunden werden können. Eine vollständige produktspezifische Subprozessorliste für Copilot Studio wurde auf den gefundenen Seiten jedoch nicht direkt ausgelesen.
Fazit
Für Nutzer im EU/EWR ist Microsoft Copilot Studio nach den gefundenen Website-Angaben grundsätzlich in einer DSGVO-nahen und vertraglich abgesicherten Form nutzbar, insbesondere über EU Data Boundary plus DPA/AVV und passende Tenant-/Umgebungs-Konfiguration. Die Nutzung ist aber nicht automatisch in jeder Standardkonfiguration vorbehaltlos unkritisch, weil Microsoft selbst Bedingungen und begrenzte Ausnahmen für Transfers außerhalb der EU Data Boundary nennt. Daher ist die Gesamtbewertung für den europäischen Raum 'bedingt'.
Quellen
- https://learn.microsoft.com/en-ca/microsoft-copilot-studio/geo-data-residency
- https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn
- https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA?lang=1
- https://learn.microsoft.com/en-us/microsoft-copilot-studio/faq-prompts
- https://learn.microsoft.com/en-us/microsoft-copilot-studio/admin-certification
- https://learn.microsoft.com/en-us/microsoft-copilot-studio/security-and-governance
- https://learn.microsoft.com/en-us/microsoft-365/copilot/ai-models-overview
- https://learn.microsoft.com/en-us/privacy/eudb/change-log
Stärken & Schwächen im Überblick
| Stärken | Schwächen |
|---|---|
| • Sehr starke Microsoft-Integration für Microsoft 365, Teams, SharePoint, Dataverse und Power Platform. • Low-Code-Einstieg, aber zugleich tiefe Erweiterbarkeit über Premium-Connectoren, APIs, Flows und MCP-Server. • Gute Eignung für interne und externe Agenten inklusive Website-, App- und Messaging-Bereitstellung. • Ausgeprägte Governance-Funktionen wie DLP, Environment Routing, regionale Anpassung, Analysen und Admin-Steuerung. • Wissensgestützte Antworten mit Rechteprüfung für bestimmte Quellen. | • Das Preismodell ist verbrauchsabhängig und damit schwerer planbar als klassische Seat-Lizenzen. • Für eigenständige Copilot-Studio-Agenten ist ein Azure-Abonnement erforderlich. • Die Testversion erlaubt Erstellen und Testen, aber kein Veröffentlichen. • Der Teams-Plan ist funktional eingeschränkt; zentrale Features wie generative Orchestrierung, Premium-Connectoren, Flows, Live-Handover und volle Kanalbereitstellung erfordern die eigenständige Lizenz. • Externe Bereitstellung ohne Authentifizierung ist möglich, erhöht aber das Risiko falscher Freigaben. |
Bewertungen
0 Bewertungen insgesamt
Für dieses Tool liegen noch keine bestätigten Bewertungen vor.
Bewertung absenden
Deine Bewertung wird erst nach der Bestätigung per E-Mail sichtbar. Damit schützen wir das Portal vor Missbrauch.
Bewertung melden
Bitte wähle den Grund aus, warum diese Bewertung geprüft werden soll.
DSGVO-konforme Nutzung möglich?
Die Website von Microsoft belegt für Microsoft Copilot Studio mehrere starke DSGVO-/GDPR-relevante Bausteine für den EU/EWR-Raum: EU Data Boundary, geografische Datenresidenz in EU-/EFTA-Rechenzentren, DPA/AVV über das Microsoft Products and Services Data Protection Addendum sowie Compliance- und Governance-Funktionen. Gleichzeitig nennt Microsoft selbst, dass die EU Data Boundary nur unter bestimmten Konfigurationsvoraussetzungen gilt und dass es begrenzte Ausnahmefälle für Übermittlungen außerhalb der EU Data Boundary gibt. Damit ist eine DSGVO-konforme Nutzung für EU/EWR-Kunden nach Website-Angaben möglich, aber nicht pauschal voraussetzungslos.
Positiv
Auf der Website sind EU Data Boundary, wählbare geografische Datenresidenz, DPA/AVV, Hinweise auf DSGVO-Unterstützung sowie Zertifizierungen wie ISO 27001 und SOC dokumentiert. Für Copilot Studio wird ausdrücklich beschrieben, dass EU-/EFTA-Tenants mit Umgebungen innerhalb der EU Data Boundary in den Geltungsbereich fallen. Für Prompt-Funktionen wird zudem angegeben, dass Kundendaten, Prompts und Modellantworten nicht zum Training oder zur Verbesserung der Azure OpenAI Service Foundation-Modelle verwendet werden.
Negativ
Die Website macht die EU-/EWR-konforme Datenverarbeitung von Bedingungen abhängig, insbesondere von Billing-Adresse und der Anlage aller Umgebungen innerhalb der EU Data Boundary. Außerdem verweist Microsoft selbst auf begrenzte Fälle, in denen Daten außerhalb der EU Data Boundary übertragen werden können. Ein echter On-Premise- oder Self-Hosting-Betrieb von Copilot Studio wird auf der Website nicht angegeben.
Serverstandort
Nach Website-Angaben werden für EU Data Boundary Services Kundendaten und pseudonymisierte personenbezogene Daten in Rechenzentren in Ländern der EU oder EFTA gespeichert und verarbeitet. Genannt werden unter anderem Rechenzentren in Österreich, Belgien, Dänemark, Finnland, Frankreich, Deutschland, Griechenland, Irland, Italien, den Niederlanden, Norwegen, Polen, Spanien, Schweden und der Schweiz. Für Copilot Studio gilt dies laut Website, wenn ein Tenant mit Rechnungsadresse in der EU oder EFTA bereitgestellt wird und alle Umgebungen innerhalb der EU Data Boundary erstellt werden.