Was kostet Copilot 2026 wirklich?
Copilot-Lizenzen gibt es aktuell ab 15,60 € pro Nutzer und Monat — als Rabattaktion vom 01.12.2025 bis 30.06.2026, nur im ersten Jahr und für Neukunden-Bundles. Regulär kostet das Add-on etwa 18–26 € netto zusätzlich zur Basislizenz. Seit Mai 2026 gibt es außerdem M365 E7, die „Frontier Suite", für 99 € pro Nutzer inklusive Agent 365. Der Listenpreis ist dabei der kleinste Teil der Wahrheit.
Bemerkenswert ist der Trend dahinter: Microsoft bündelt Copilot zunehmend direkt in die M365-Pakete — die Bundle-Preisgestaltung ist bislang nur bis Mitte 2026 signalisiert. Für regulierte Branchen hat das eine DSGVO-Dimension, die gern übersehen wird: Eine gebündelte, nicht deaktivierte Funktion verarbeitet Daten. Wer Copilot „einfach mitgekauft" hat, muss prüfen, ob eine Deaktivierung möglich oder nötig ist — Nichtstun ist auch eine Datenverarbeitungsentscheidung.
Die ehrliche Kostenrechnung umfasst neben Lizenzen: Berechtigungs-Aufräumarbeit vor dem Rollout, DSFA und Betriebsratsprozess, Schulungen, Adoption-Begleitung. Wer nur Lizenzkosten budgetiert, vergleicht später Äpfel mit Projektruinen.
Ist Copilot DSGVO-konform?
Die Basis stimmt: EU Data Boundary seit Februar 2025, Enterprise Data Protection (Prompts und Antworten bleiben im M365-Dienst, der DPA gilt, Purview/eDiscovery greifen), kein Training mit Kundendaten — im DPA ausgeschlossen. Der HBDI-Bericht vom November 2025 bestätigt die generelle Konformität. Aber: Er liefert keine fertigen DSFA-Vorlagen — die Hausaufgaben bleiben beim Unternehmen.
Konkret heißt das: Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist in nahezu allen Fällen Pflicht — breite Verarbeitung personenbezogener Daten plus neue Technologie. Dazu kommt die Mitbestimmung des Betriebsrats nach §87 BetrVG. Beides sind keine Formalien, sondern Projektphasen mit eigenem Zeitbedarf.
Auf der Technikseite lohnt der Blick ins Detail: Standardmodell ist GPT-5.2, seit Januar 2026 sind auch Anthropic-Claude-Modelle in Copilot verfügbar — als Unterauftragsverarbeiter, für EU-Kunden standardmäßig deaktiviert. Flex Routing lässt sich im Admin Center abschalten; für Häuser mit ISO 27001, NIS2 oder DORA ist diese Entscheidung dokumentationspflichtig. Und: Lokale Copilot-Verarbeitung in Deutschland ist ab 2026 angekündigt — angekündigt ist nicht verfügbar, aber es zeigt die Richtung. Wie die DSGVO-Basics für jede Cloud-KI aussehen, steht in unserem Artikel zu ChatGPT & DSGVO.
Wann reicht Copilot — und wann braucht es eine eigene Plattform?
Copilot ist die richtige Wahl, wenn die Arbeit ohnehin in M365 stattfindet, die Daten dort liegen dürfen und Berechtigungen sauber sind. Eine eigene Plattform (Corporate LLM / Sovereign AI) wird nötig bei Berufsgeheimnisträgern (§203 StGB), bei Daten, die den Tenant nicht verlassen dürfen, in Nicht-M365-Häusern — und wo volle Modell- und Datenkontrolle gefordert ist.
| Kriterium | Copilot | Corporate LLM |
|---|---|---|
| Datenstandort | M365-Tenant, EU Data Boundary | Eigene Infrastruktur — Daten bleiben im Haus |
| Berufsgeheimnis (§203 StGB) | Im Einzelfall kritisch zu prüfen | Strukturell abbildbar |
| Voraussetzung | M365-Landschaft + Berechtigungs-Governance | Eigenes Projekt: Architektur, Betrieb |
| Kosten-Logik | Pro Nutzer/Monat (Lizenz) | Investition + Betrieb, nutzerunabhängig |
| Modellwahl | Vorgegeben (GPT-5.2; Claude optional, EU: standardmäßig aus) | Frei — Open Source bis API, volle Kontrolle |
| Time-to-Value | Wochen — wenn Governance steht | Monate — dafür strukturelle Unabhängigkeit |
Eine Dimension verdient besondere Aufmerksamkeit: der EU AI Act. Wer Copilot für automatisierte Personalentscheidungen oder Mitarbeiter-Monitoring einsetzt, kann damit eine Hochrisiko-Einstufung auslösen — mit allen Pflichten, die unser Artikel zu den AI-Act-Fristen beschreibt. Das Werkzeug entscheidet nicht über die Risikoklasse — der Einsatzzweck tut es.
Was muss vor dem Rollout passieren?
Die wichtigste Voraussetzung ist unbequem: Berechtigungs-Governance. Copilot sieht alles, worauf der jeweilige Nutzer Zugriff hat — jahrelang gewachsenes Oversharing in SharePoint, Teams und OneDrive wird damit vom stillen Risiko zum aktiven KI-Problem. Erst aufräumen, dann ausrollen.
Die Checkliste vor dem ersten produktiven Prompt:
- Berechtigungen inventarisieren und bereinigen. Wer kann was sehen — und sollte er? Das ist das eigentliche Projekt.
- DSFA durchführen (Art. 35 DSGVO) — bevor verarbeitet wird, nicht parallel.
- Betriebsrat einbinden (§87 BetrVG) — früh, mit klarem Verarbeitungszweck.
- Admin-Entscheidungen dokumentieren: Flex Routing an oder aus, Anthropic-Modelle an oder aus — für ISO 27001/NIS2/DORA gehört das in die Doku.
- Pilotgruppe statt Big Bang. Klein starten, Nutzung messen, dann skalieren.
Geht beides zusammen?
Ja — und in der Praxis ist hybrid öfter die richtige Antwort als jedes Entweder/Oder: Copilot für die breite Büroarbeit im M365-Kontext, ein Corporate LLM für die Daten und Prozesse, die den Tenant nicht verlassen dürfen. Die Kunst liegt in der sauberen Trennung: welche Daten wohin, wer entscheidet, wie wird es dokumentiert.
Genau diese Zuordnung ist eine Make-vs-Buy-Entscheidung pro Use-Case, nicht pro Unternehmen. Ein Haus kann für Vertrieb und Verwaltung mit Copilot hervorragend fahren und gleichzeitig für die Fachabteilung mit Berufsgeheimnis-Daten eine lokale Plattform betreiben. Wer dagegen alles auf eine Karte setzt — egal welche — bezahlt entweder mit unnötiger Komplexität oder mit strukturellem Compliance-Risiko. Die Entscheidungslogik dafür ist kein Geheimnis, aber sie braucht eine ehrliche Bestandsaufnahme: Datenlagen, Lizenzen, Risikoprofil, Team.