Ungefähr zwei Jahre lang war der Deal zwischen KI und deinem Postfach ziemlich simpel: lesen durfte sie, vorschlagen auch — und dann hat sie sich rausgehalten. Auf “Senden” hast du geklickt. Jedes Mal warst du der letzte Mensch in der Kette.
Das hat sich am 7. Juli 2026 geändert, ziemlich leise. Claudes Microsoft-365-Connector hat etwas dazubekommen, das Anthropic Schreibrechte (write tools) nennt. Und damit kann Claude eine Mail entwerfen, sie abschicken, deinen Posteingang sortieren, deine Abwesenheitsnotiz setzen, einen Termin in deinen Kalender legen und eine Datei in SharePoint umschreiben. In derselben Woche kam Claude Cowork auf den Browser und aufs Handy — und fing an, Aufgaben im Hintergrund weiterzuführen, nachdem du den Laptop zugeklappt hast.
Beides zusammen ergibt etwas wirklich Neues: Software, die in deinem Namen arbeitet, während du gerade nicht hinschaust.
Bevor du das anschaltest, solltest du verstehen, was da läuft. Und in Deutschland kommen zwei Fragen dazu, die im US-Marketing schlicht nicht vorkommen: Was sagt die DSGVO? Und muss der Betriebsrat mitreden?

Was am 7. Juli wirklich passiert ist
Zwei getrennte Sachen sind gleichzeitig gelandet, und die werden ständig durcheinandergeworfen.
Cowork ist mobil geworden. Cowork ist Claudes “gib mir eine ganze Aufgabe und geh”-Modus. Bis diese Woche lebte er auf dem Desktop. Jetzt läuft er im Browser und in den Claude-Apps für iPhone und Android. Wichtiger noch: Die Sitzungen laufen in der Cloud weiter — Anthropics Formulierung ist “Laptop zuklappen, ins Meeting gehen; Claude macht weiter”. Wenn Claude an eine Entscheidung kommt, die es nicht allein treffen kann, pingt die Frage auf deinem Handy.
Der Microsoft-365-Connector hat schreiben gelernt. Vorher durfte Claude deine Mails, Dateien, Termine und Teams-Nachrichten durchsuchen. Nur lesen. Jetzt kann es handeln — wenn die Schreibrechte an sind.
Anthropics eigenes Beispiel zum Start lohnt sich, kurz sacken zu lassen:
“Setz die Kundenvorbereitung für Montag auf 6 Uhr: Claude arbeitet sich durch die Mail-Threads, Transkripte und aktuellen News, baut das Briefing-Dokument und legt die Follow-up-Mail als Entwurf ab — ungesendet.”
Als Entwurf abgelegt, ungesendet. Merk dir das mal — wir kommen gleich darauf zurück.
Was Claude mit Schreibrechten kann — und was nicht
Das Help Center sagt es ziemlich klar, und es lohnt sich, die genauen Worte zu lesen statt der Überschriften.

Runtergebrochen sind das vier Fähigkeiten:
- E-Mail — entwerfen, senden, organisieren. Inklusive Kategorien, Posteingangsregeln und automatischen Antworten.
- Kalender — Termine anlegen, ändern, löschen.
- Dateien — Dokumente in OneDrive und SharePoint erstellen und aktualisieren.
- Postfach-Einstellungen — der Verwaltungskram, den die meisten nie anfassen.
Unter der Haube hängen daran Microsoft-Graph-Berechtigungen mit Namen wie Mail.Send, Calendars.ReadWrite und Files.ReadWrite.All. Tippen wirst du die nie. Aber wenn dein IT-Mensch mal fragt “was genau haben wir da eigentlich freigegeben” — das sind die Worte auf dem Formular.
Und was Claude nicht kann, vier harte Grenzen, alle dokumentiert:
- Keine Anhänge. Claude kann keine Mail mit angehängter Datei senden, weiterleiten oder auch nur entwerfen. Wird komplett abgelehnt.
- Kein Posten in Teams. Es liest deine Teams-Nachrichten. Schreiben kann es keine.
- Keine SharePoint-Whitelist. Du kannst es nicht auf nur die sicheren Sites zeigen lassen — es durchsucht alles, worauf du persönlich Zugriff hast.
- Es kann deinen Zugriff nicht überschreiten. Claude meldet sich als du an. Wenn du den Finanzordner nicht öffnen kannst, kann Claude das auch nicht.
Der letzte Punkt ist eigentlich der beruhigendste hier, und man sollte ihn deutlich sagen: Claude bekommt keinen eigenen Super-Account. Es leiht sich deinen. In Anthropics Worten kann es “nur auf Daten zugreifen, die der Nutzer ohnehin sehen darf”.
Die Sicherheitsfrage, die eigentlich alle stellen
Scroll mal durch die Antworten unter Anthropics Ankündigung, und eine Frage kommt immer wieder, in zwölf Varianten: Kann das Ding eine Mail senden, ohne mich zu fragen?
Die ehrliche Antwort ist interessanter als ein Ja oder Nein. Es gibt nämlich zwei verschiedene Claude-plus-Microsoft-Produkte, und die haben unterschiedliche Sicherheitsmodelle.
Mail.SendClaude für Outlook — das Add-in, das in deinem Outlook-Fenster sitzt — ist eindeutig und beruhigend. Die Doku sagt: “Claude sendet niemals von sich aus Mails oder Einladungen; jeder Entwurf landet ungesendet zur Prüfung bei dir.” Wie das im Alltag aussieht, haben wir hier durchgespielt: Claude for Outlook: 200 Mails in 10 Minuten sortieren.
Die Schreibrechte des Microsoft-365-Connectors geben kein solches Versprechen. Die erteilte Berechtigung heißt wörtlich Mail.Send. Nirgends in der Doku steht ein garantiertes “Bist du sicher?”, bevor eine Nachricht dein Postfach verlässt.
Anthropics Startbeispiel legt die Follow-up-Mail als Entwurf ab, ungesendet — das sagt dir, wie sie sich die Nutzung vorstellen. Es sagt dir nicht, dass die Software dich stoppt.
Also verlass dich nicht auf ein Sicherheitsnetz, das du nicht selbst getestet hast. Wenn du nur Entwürfe willst, schreib das in die Aufgabe rein: Leg es als Entwurf in meinen Outlook-Entwürfen ab, sende es nicht. Und dann schau die ersten Male trotzdem in den Ordner “Gesendet”.
Die Schutzmechanismen, die es tatsächlich gibt
Drei, und die sind real:
- Jede Mail, die Claude sendet, trägt einen Attributions-Header, der sie als agentengeneriert kennzeichnet. Dein Empfänger sieht, dass eine Maschine geschrieben hat. Abschalten kannst du das nicht.
- Anhänge sind komplett blockiert — das schließt ganz nebenbei den einfachsten Weg, wie eine KI ein Dokument aus deiner Firma rausschleusen könnte.
- Limits pro Nutzer deckeln, wie viele Schreibvorgänge, Sendungen und Empfänger möglich sind — eine gekaperte Sitzung kann also nicht dein ganzes Adressbuch vollballern.
Und jetzt der Haken: Datei- und Kalenderänderungen tragen diese Kennzeichnung nicht. Wenn Claude ein SharePoint-Dokument bearbeitet, sieht die Änderung einfach so aus, als wärst du es gewesen.
Der Haken, den keiner ins Marketing schreibt
Sicherheitsforscher haben einen Namen für die Situation, die du schaffst, wenn du einer KI drei Dinge gleichzeitig gibst: Zugriff auf private Daten, Kontakt mit ungeprüften Inhalten und die Möglichkeit, etwas nach außen zu schicken. Simon Willison nennt das die lethal trifecta, die tödliche Dreierkombination. Eine KI mit offenem Postfach hakt alle drei Kästchen gleichzeitig ab — denn eingehende Mail ist ungeprüfter Inhalt, und schicken kann dir jeder eine.
Das ist keine Theorie. 2025 haben Forscher EchoLeak demonstriert (CVE-2025-32711, Schweregrad 9,3 von 10), und zwar gegen Microsoft 365 Copilot. Ein Angreifer schickte eine ganz normal aussehende Mail mit versteckten Anweisungen drin — und Copilot befolgte sie und gab Daten preis. Das Opfer hat auf nichts geklickt. Auf gar nichts. heise online hat die Lücke damals als das eingeordnet, was sie war: ein Vorgeschmack darauf, wie KI-Agenten angreifbar sind. Microsoft hat EchoLeak inzwischen geschlossen — das Muster bleibt.
Das zugrundeliegende Problem ist alt genug, um einen Namen zu haben: der confused deputy, der verwirrte Stellvertreter. Claude hält deine Befugnis in der Hand. Wer es schafft, Anweisungen in etwas zu schmuggeln, das Claude liest, darf sich diese Befugnis ausleihen. Und weil Claude anhand von normalem Text entscheidet, was zu tun ist, gibt es keine verlässliche Wand zwischen “das sind Daten, die ich lese” und “das ist eine Anweisung, der ich folgen soll”.
Ich sag nicht: Finger weg. Ich sag: Das Denkmodell “ist doch nur eine schlauere Autovervollständigung” stimmt in dem Moment nicht mehr, in dem Mail.Send angeschaltet ist.
Warum du das in Deutschland meist nicht selbst anschalten kannst
Jetzt wird’s spezifisch deutsch. Die Schreibrechte brauchen zwei Dinge, und beide sind kein Schalter, den du selbst umlegst:
- Ein Microsoft-Entra-Administrator — deine IT — muss den erweiterten Berechtigungen für die ganze Organisation zustimmen.
- Danach muss jemand die Schreibrechte für deinen Account einzeln freischalten.
Wenn du Microsoft 365 vor diesem Launch verbunden hast, sind die Schreibrechte standardmäßig aus. Der Connector arbeitet weiter genau wie vorher, im Nur-Lesen-Modus, und kein noch so heftiges Klicken ändert das. Die Lösung liegt nicht in deinen Einstellungen. Sie liegt in einer Mail an die IT.
Und in einem deutschen Betrieb kommen zwei Instanzen dazu, die in der US-Version dieser Geschichte schlicht fehlen.
Der Datenschutz. Nach mehreren deutschsprachigen Fachanalysen fallen die Claude-Modelle derzeit nicht unter Microsofts EU Data Boundary — die Verarbeitung personenbezogener Daten kann also außerhalb der EU/des EWR passieren. Für EU-Kunden ist die Claude-Funktion in Microsoft 365 deshalb standardmäßig deaktiviert; sie geht erst an, wenn dein Tenant aktiv zustimmt. Vor dieser Zustimmung gehört, ehrlich gesagt, eine Datenschutz-Folgenabschätzung (DSFA/DPIA) auf den Tisch und ein Gespräch mit dem Datenschutzbeauftragten. Das ist keine Bürokratie um der Bürokratie willen: Laut Bitkom nennen 77 Prozent der Unternehmen die Datenschutzanforderungen als größtes Digitalisierungshemmnis, und 53 Prozent bremst beim KI-Einsatz konkret die rechtliche Unsicherheit. Wer hier vorprescht, macht sich angreifbar.
Der Betriebsrat. Und das ist der Punkt, der in keiner Produktankündigung steht. Eine KI, die E-Mails und Kalender einzelner Beschäftigter verarbeitet, kann — technisch — Verhalten und Leistung dieser Beschäftigten auswerten. Genau das löst nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht aus: bei “technischen Einrichtungen, die dazu bestimmt oder geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen”. “Geeignet” reicht — die Absicht ist egal. Mehrere arbeitsrechtliche Quellen ziehen genau diese Linie für KI-Agenten, die Mails und Chats analysieren (dr-datenschutz.de, betriebsrat.de). In der Praxis heißt das oft: Bevor die Schreibrechte firmenweit angehen, braucht es eine Betriebsvereinbarung, die festlegt, was die KI darf und was nicht.
Kurz: Wo in den USA ein Admin-Klick reicht, hängen in Deutschland Datenschutz-Folgenabschätzung und — je nach Betrieb — Betriebsrat mit dran. Nervig? Vielleicht. Aber es ist auch der Grund, warum eine deutsche Firma seltener aus Versehen etwas anschaltet, das sie hinterher nicht erklären kann.
Für ein privates Microsoft-Konto ist dieser ganze Abschnitt übrigens hinfällig — da bist du dein eigener Admin, dein eigener Datenschutzbeauftragter und dein eigener Betriebsrat.
Was das für dich heißt
Büroangestellte mit Firmen-Microsoft-365-Account: Du kannst das heute höchstwahrscheinlich nicht anschalten, und das ist okay. Fang mit dem Nur-Lesen-Connector an — “fass mir diesen Thread zusammen”, “was haben wir Dienstag im Meeting beschlossen” — und bekomm ein Gefühl dafür, wie gut die KI dein Postfach versteht, bevor du für Senderechte kämpfst.
Assistenz oder Office-Management, die in Outlook leben: Das ist die Version von KI, die endlich zu deinem echten Job passt — der war nie “schreib mir einen Absatz”. Frag die IT nach Schreibrechten und lass es zwei Wochen im Nur-Entwurf-Modus laufen. Allein die Kalender-Funktionen — anlegen, verschieben, absagen — sparen dir mehr Zeit als die Mail je wird.
Solo-Selbstständige mit privatem Microsoft-Konto: Du bist die eine Person, die das heute Nachmittag anschalten kann. Was auch heißt: Du bist die eine Person, die keiner stoppt. Nur Entwürfe, alles prüfen, und länger, als du meinst, dass es nötig ist.
IT-Admin, der zustimmen soll: Das Modell der delegierten Berechtigungen ist solide — Claude kann den Zugriff eines Nutzers nicht überschreiten, Sendungen sind gekennzeichnet, Anhänge blockiert. Das Risiko, das du tatsächlich eingehst, ist Prompt Injection über eingehende Mail. Schalt die Schreibrechte erst für eine kleine Pilotgruppe frei, nicht für den ganzen Tenant — und klär vorher DSFA und Mitbestimmung.
Betriebsrat: Wenn ein solches System auf den Tisch kommt, ist die Frage nicht “dürfen wir das verbieten”, sondern “unter welchen Regeln lassen wir es zu”. Eine Betriebsvereinbarung mit klaren Grenzen — keine Leistungsauswertung, Nur-Entwurf für sensible Postfächer, Protokollpflicht — ist schneller und besser als ein Dauerkonflikt.
Was das nicht löst
- Es hat kein Gespür für Politik. Claude kann die Mail entwerfen, die eine Kundenbeziehung beendet. Es hat keine Ahnung, dass es das nicht sollte.
- Es weiß nicht, was vertraulich ist. Es hat deine Berechtigungen, und Berechtigungen sind ein grobes Werkzeug. Zugriff auf einen Ordner ist nicht dasselbe wie ein gutes Urteil über den Ordner.
- Es hält dich nicht davon ab, einen Fehler zu skalieren. Eine schlechte Vorlage einmal gesendet ist peinlich. Jeden Montag um 6 Uhr geplant, hat sie System.
- Anhänge deckt es nicht ab. Genau das, was du am ehesten senden willst — der Bericht, die Rechnung, das Deck — ist genau das, was die Schreibrechte nicht anfassen.
- Auf dem Handy ist es nicht dasselbe. Desktop-Cowork erreicht deine lokalen Dateien und den Browser. Die Handy- und Web-Version nicht. Gleicher Name, weniger Reichweite.
Unterm Strich
Das Interessante am 7. Juli war nicht, dass Claude eine Handy-App bekommen hat. Es ist, dass der letzte menschliche Kontrollpunkt — du, der auf “Senden” klickt — in einem der zwei Wege, wie Claude an Outlook kommt, optional wurde und im anderen Pflicht blieb. Und kaum einer merkt, welcher welcher ist.
Wenn du eine Sache mitnimmst: Finde raus, ob dein Setup das Add-in oder der Connector ist. Und geh nie davon aus, dass der Prüfschritt da ist, nur weil das Demo-Video ihn gezeigt hat.
Erst Nur-Lesen. Dann Entwürfe. Senderechte zuletzt, falls überhaupt.
Wenn du die geführte Variante von all dem willst — wie du Claude eine Aufgabe sauber übergibst und wie du KI-Agenten in der Spur hältst — schau in unseren Kurs KI-Agenten im Mittelstand. Wenn du nur willst, dass dein Postfach aufhört, deine Vormittage zu fressen, ist der Kurs zum E-Mail-Schreiben mit KI der bessere Einstieg. Und für die Rechtsseite — DSFA, Rechtsgrundlage, Betroffenenrechte — gibt’s DSGVO und KI plus den DSGVO-Compliance-Auditor als Prompt.
Weiterlesen: Copilot Cowork vs. Claude Cowork im Vergleich und Was ist ein KI-Agent?, falls das Wort “Agent” bei dir noch Fragen offenlässt.
Quellen
- Claude Cowork on web and mobile — Anthropic
- Connect to Microsoft 365 — Claude Help Center
- Microsoft 365 connector security guide — Claude Help Center
- Kritische Lücke in Microsoft 365 Copilot zeigt das Risiko von KI-Agenten (EchoLeak, CVE-2025-32711) — heise online
- Deutsche Wirtschaft drückt bei Künstlicher Intelligenz aufs Tempo — Bitkom (2026)
- Künstliche Intelligenz und Mitbestimmungsrechte des Betriebsrats — dr-datenschutz.de
- Künstliche Intelligenz – Neue Rechte für den Betriebsrat (§ 87 Abs. 1 Nr. 6 BetrVG) — betriebsrat.de
- Claude in Microsoft Copilot: Funktionen, DSGVO & Aktivierung — copilotenschule.de