Consulting Briefing

boddenberg.de • 31.05.2026

Claude Compliance API für Microsoft Purview

Executive Summary

Microsoft hat am 21. Mai 2026 im Security-Blog die Claude Compliance API für Microsoft Purview angekündigt. Kurz gesagt: Dein Purview-Cockpit sieht jetzt nicht mehr nur Copilot, sondern auch, was in Claude Enterprise passiert. Für alle, die in der DACH-Realität längst zwei oder drei KI-Anbieter parallel betreiben – weil die Fachbereiche das eben tun, ob du willst oder nicht – ist das der erste ernsthafte Schritt Richtung Mixed-Model-Governance aus einer einzigen Konsole.

Die gute Nachricht: Du bekommst zentrale Sichtbarkeit über Logins, Admin-Aktionen, SSO-Änderungen, Daten-Exporte und rund 30 weitere Event-Typen, eingespeist in Purview DSPM for AI und Audit – und DSPM for AI ist seit Mai 2026 generell verfügbar. Die unbequeme Nachricht, die du dem Vorstand besser sofort beibringst: Die API liefert den Briefumschlag, nicht den Brief. Du siehst, DASS jemand mit Claude gesprochen hat, nicht den Wortlaut. Und für regulierte Häuser lauert die eigentliche Pointe beim Thema Datenresidenz. Wer das jetzt sauber aufsetzt, hat eine echte Governance-Story. Wer es als Allheilmittel verkauft, steht beim nächsten Audit im Hemd da.

Worum geht es im Detail? Und woher kommt das Ganze?

Der Reihe nach, ohne Marketing-Nebel. Anthropic hat die Compliance API nicht erst gestern erfunden – die gibt es seit August 2025. Neu ist, dass Microsoft Purview jetzt als Connector andockt. Und Anthropic hat gleich großzügig aufgemacht: 28 Sicherheits- und Compliance-Integrationen auf einen Schlag, von CrowdStrike über Okta und Wiz bis Zscaler. Purview ist also einer von vielen Abnehmern desselben Feeds. Das ist wichtig zu verstehen, denn es erklärt, warum die API so generisch geschnitten ist: Sie wurde fürs SIEM gebaut, nicht als Purview-Spezialschnittstelle.

Technisch liefert die API zwei Dinge. Erstens einen Audit Event Feed: rund 30 typisierte Ereignisse rund um Identität, Organisationskonfiguration, Projekt-Lifecycle, Konversations-Metadaten und Datei-Uploads. Authentifizierung, Account-Änderungen, Projekte anlegen und löschen, Einladungen, SSO-Konfiguration, Domain-Verifizierung, Daten-Exporte – das volle Programm an Verwaltungsspuren, mit 180 Tagen Aufbewahrung auf Anthropics Infrastruktur. Zweitens den On-Demand-Zugriff: Du kannst gezielt eine bestimmte Konversation oder Datei abrufen und einzelne Ressourcen selektiv löschen – was praktischerweise selbst wieder als Audit-Event protokolliert wird. Für DSGVO Artikel 17, das Recht auf Löschung, ist dieser Nachweis-Trail tatsächlich Gold wert.

Ein Wort zum Zugriffsmodell, weil hier viele auf dem falschen Fuß erwischt werden. Der Audit Feed ist ein Pull, kein Push. Es gibt keinen Webhook, der dir bei einem brisanten Ereignis sofort auf die Schulter tippt; stattdessen fragst du im festen Takt nach, ob es etwas Neues gibt. Inhalte wiederum bekommst du ausschließlich on demand: Du musst gezielt nach einer konkreten Konversation oder Datei fragen, und selbst dann gibt es Grenzen. Das ist bewusst so gebaut – Anthropic will nicht den kompletten Gesprächsverlauf jeder Organisation dauerhaft in fremde Systeme spiegeln. Für dich heißt das: Du brauchst einen Anlass und einen Prozess, um an Inhalte zu kommen, kein Dauer-Mithören. Datenschützer finden das gut, Forensiker fluchen gelegentlich darüber.

Abb. 1: Was durch die Compliance API in Purview fließt – und der breite rote Streifen dessen, was nicht.

Jetzt der Teil, den die Pressemitteilung dezent kleinschreibt. Prompt- und Response-Inhalte sind im Audit Feed nicht enthalten. Du siehst, dass Alice um 12:34 die Konversation X gestartet hat – nicht, was sie gefragt und was Claude geantwortet hat. Auch die Modellversion bleibt im Dunkeln; ob Sonnet oder Haiku geantwortet hat, verrät dir niemand. Tool-Calls und MCP-Server-Traffic? Nicht im Feed. Echtzeit-DLP, das verdächtige Prompts blockt, bevor sie rausgehen? Das lebt im Netzwerk-Pfad, nicht in dieser API. Und das Lieferprinzip ist Polling, typisch im Takt von ein bis fünf Minuten – nett für die Forensik, untauglich fürs Verhindern.

Dazu kommen die Abdeckungslöcher, die in keiner Folie auftauchen. Claude Code läuft über OpenTelemetry und damit komplett an dieser API vorbei. Claude Cowork hat überhaupt keinen Audit-Trail – die Daten liegen per Design lokal auf der Platte des Nutzers, da gibt es schlicht nichts, was Anthropic dir reichen könnte. Team-Pläne sind von der Compliance API komplett ausgeschlossen; nur Enterprise zählt. Und der Klassiker für jeden, der in Frankfurt, Zürich oder Wien sitzt: Die Claude-Daten liegen nicht innerhalb der Microsoft EU Data Boundary. Das ist kein Detail für die Fußnote, das ist Chefsache.

Was sind Chancen? Was sind Risiken?

Fangen wir mit dem Schönen an. Die größte Chance ist das Single Pane of Glass für eine Mixed-Model-Welt. Bisher war Claude in vielen Organisationen schlicht ein blinder Fleck – die Rechtsabteilung nutzte es, der Vorstand wusste es nicht, und das SOC sah genau gar nichts. Mit dem Connector wandert die Claude-Aktivität in dieselbe Konsole, in der schon Copilot, Exchange und SharePoint hängen. Für die Auditstory gegenüber BaFin, Wirtschaftsprüfer oder dem Konzern-CISO ist das ein echter Sprung: Du kannst plötzlich belegen, wer wann administrativ eingegriffen hat, wann jemand einen Massen-Export angestoßen und ob jemand eine SSO-Konfiguration heimlich umgeschaltet hat.

Die zweite Chance ist DSPM for AI selbst, das seit Mai 2026 generell verfügbar ist und Discovery, Schutz und Remediation in einem Workflow zusammenzieht. Wenn du Claude-Signale dort einspeist, kannst du AI-spezifische Risiken im selben Atemzug bewerten wie deine Copilot-Risiken. Die dritte Chance ist die saubere SIEM-Anbindung: Der Feed reiht sich neben Okta, Workday und GitHub Enterprise ein, du baust dir Polling-Worker und Alerting-Regeln für die Anomalien, die wirklich zählen – eine plötzliche Welle von Einladungen, ein unerwarteter SSO-Schalter, ein fetter Daten-Export um drei Uhr nachts. Und viertens der schon erwähnte, prüffeste Löschnachweis für Betroffenenrechte.

Noch eine konkrete Geschichte zum Löschnachweis, weil das oft unterschätzt wird. Ein Maschinenbauer aus Baden bekam einen Auskunfts- und Löschwunsch eines ehemaligen Mitarbeiters nach DSGVO Artikel 17. Früher hieß das: panisches Suchen, wer wo welche Daten in welchem KI-Tool liegen hat, und am Ende ein unbehagliches „wir gehen davon aus, dass alles weg ist“. Mit der selektiven Löschung über die Compliance API wird jede Löschung selbst als Audit-Event protokolliert. Plötzlich kannst du der Aufsichtsbehörde nicht nur sagen, dass du gelöscht hast, sondern es mit Zeitstempel belegen. Das klingt nach Kleinkram, ist aber genau die Art von Nachweis, die im Ernstfall den Unterschied zwischen einem erledigten Vorgang und einem Bußgeldbescheid macht.

Abb. 2: Die ehrliche Trennlinie – links das Sichtbare, rechts der Blindflug. Diese Matrix gehört in jedes Vorstandsdeck.

Und jetzt die Risiken, denn davon gibt es reichlich. Das größte ist der falsche Sicherheitseindruck. Metadaten sind nicht Inhalt. Wer glaubt, mit dem Connector ein Data-Loss-Prevention-Werkzeug gekauft zu haben, irrt – die API verhindert nichts, sie protokolliert nur, und das mit Minutenverzögerung. Wenn ein Mitarbeiter die komplette Kundenliste in einen Prompt kippt, siehst du das weder im Wortlaut noch rechtzeitig genug, um es zu stoppen. Echtzeit-Schutz brauchst du weiterhin auf der Netzwerkebene, also per Proxy oder Secure Web Gateway à la Zscaler. Der Connector ist dein Rückspiegel, nicht deine Bremse.

Das zweite große Risiko ist die Datenresidenz. Die Claude-Daten liegen außerhalb der Microsoft EU Data Boundary, und die 180-tägige Aufbewahrung passiert auf Anthropics Infrastruktur. Für ein Haus mit strengen DSGVO-Anforderungen oder branchenspezifischen Vorgaben ist das ein Punkt, den du mit der Rechtsabteilung und im Auftragsverarbeitungsvertrag durchdeklinieren musst, bevor der erste produktive Prompt läuft. Drittens die Blind Spots Claude Code und Cowork: Ausgerechnet die Power-User, die am meisten Sensibles anfassen, arbeiten oft genau dort – und produzieren dabei null Audit-Trail. Viertens die Polling-Latenz: ein bis fünf Minuten klingt harmlos, ist aber in der Sicherheitswelt eine Ewigkeit, wenn du eigentlich blocken wolltest.

Was müssen wir jetzt schon vorbereiten?

Kein Grund zur Panik, aber Grund zum Anfangen. Sechs Schritte, in dieser Reihenfolge, dann sitzt das. Erstens: Inventur. Finde heraus, wer in deiner Organisation welches Claude-Surface nutzt – Enterprise, Team, Claude Code, Cowork. Ohne diese Landkarte konfigurierst du blind. Erfahrungsgemäß fördert allein diese Übung schon zwei bis drei Team-Abos zutage, von denen die IT noch nie gehört hatte. Zweitens: Enterprise und SSO erzwingen. Ohne Enterprise-Lizenz mit hartem Single Sign-on gibt es keine Compliance API – Punkt. Das ist die Eintrittskarte, alles andere hängt daran. Sammle die Team-Abos ein und überführe sie in den Enterprise-Vertrag.

Drittens: Purview DSPM for AI scharfschalten und den Claude-Connector andocken. Baue oder beauftrage die Polling-Worker im Ein-bis-fünf-Minuten-Takt und definiere die Alerting-Regeln für die Fälle, die wirklich zählen: unerwartete SSO-Umschaltungen, Massen-Einladungen, große Daten-Exporte. Viertens: Plane den Echtzeit-Schutz getrennt auf der Netzwerkebene. Wenn du Prompts tatsächlich blocken willst, brauchst du einen Proxy oder ein Secure Web Gateway davor – die Compliance API kann das prinzipbedingt nicht.

Fünftens: die Datenschutz-Bewertung. Setz dich mit der Rechtsabteilung zusammen und dokumentiere die Lage sauber – Auftragsverarbeitung, die 180-Tage-Retention auf Anthropics Seite und vor allem die Lücke bei der EU Data Boundary. Lieber jetzt ein ehrliches Risikoprotokoll als später eine Überraschung im Audit. Sechstens, und fast das Wichtigste: Erwartungsmanagement nach oben. Erkläre dem Vorstand in einem Satz, was die API zeigt und was nicht – am besten mit der Matrix aus Abbildung 2 auf der Leinwand. Es ist deutlich angenehmer, die Grenzen vorher zu erklären, als sie hinterher zu rechtfertigen.

Abb. 3: Die Zeitachse vom API-Launch bis zu deiner Hausaufgabe. „Heute“ ist die einzige Station, die du beeinflussen kannst.