Consulting, Beratung
Microsoft 365 Compliance im KurzüberblickCompliance-Funktionen in Microsoft 365 – Ein praxisnaher Leitfaden für Entscheider
Microsoft 365 ist längst mehr als nur eine Kollaborations- und Produktivitätssuite. Unter dem Namen Microsoft Purview bündelt die Plattform ein umfassendes Portfolio an Werkzeugen, mit denen Unternehmen regulatorische Pflichten effizient umsetzen und ihre Daten schützen können. Der folgende Artikel beschreibt die wichtigsten Bausteine mit konkreten Beispielen, bewertet den Einführungsaufwand in Relation zum Nutzen und ordnet jede Funktion den einschlägigen gesetzlichen bzw. normativen Anforderungen zu.
Information Protection (Sensitivitätsbezeichnungen & Verschlüsselung)
| Fokus | Vertraulichkeitsklassifizierung, automatische / manuelle Verschlüsselung, dynamische Wasserzeichen |
|---|---|
| Praxisbeispiel | Die HR-Abteilung versieht eine Excel-Liste mit Gehältern automatisch mit der Sensitivitätsbezeichnung „Streng vertraulich – HR“. Die Datei wird auf Basis von definierten Schlüsselwörtern verschlüsselt; beim Öffnen erscheint ein Wasserzeichen mit dem UPN des Nutzers. |
| Einführungsaufwand | Mittel – Taxonomie definieren, Pilotnutzer schulen, Roll-out per Richtlinie |
| Nutzen | Hoch – Der Schutz „reist“ mit der Datei, auch außerhalb der Organisation |
| Erfüllte Vorgaben | DSGVO Art. 25 & 32, ISO 27001 Anhang A 8 & 10, BSI-C5, GoBD-Unveränderbarkeit |
2 Data Loss Prevention (DLP)
| Fokus | Erkennen & Blockieren sensibler Inhalte über Outlook, Teams, SharePoint, Endpunkte, Copilot-Chats |
|---|---|
| Praxisbeispiel | Wird eine IBAN samt Name in einem Teams-Chat geteilt, greift eine DLP-Richtlinie, maskiert die Zeichenfolge und blendet einen Tooltip mit Verweis auf das Finanzrichtlinien-Handbuch ein. |
| Einführungsaufwand | Mittel–Hoch – Standortübergreifende Regeln benötigen Tests und Feintuning; vordefinierte Vorlagen reduzieren den Aufwand erheblich |
| Nutzen | Hoch – Verhindert Datenabfluss in Echtzeit, einschließlich KI-gestützter Klassifizierer |
| Erfüllte Vorgaben | DSGVO Art. 32 / 34, PCI-DSS, HIPAA, GLBA, BaFin-MaRisk (Tz. 8) |
3 Data Lifecycle & Records Management
| Fokus | Aufbewahrung, automatische Archivierung, defensible Löschung, Prioritäts-Cleanup |
|---|---|
| Praxisbeispiel | Eingangsrechnungen werden per Retention-Label zehn Jahre GoBD-konform in SharePoint bewahrt und anschließend automatisiert gelöscht. Copilot-Chats lassen sich seit 2025 separat aufbewahren. |
| Einführungsaufwand | Hoch – Inhaltsarchitektur, Metadaten-Plan und Schulung notwendig |
| Nutzen | Hoch – Risikominderung (Bußgelder) und geringere Storage-Kosten durch Löschzyklen |
| Erfüllte Vorgaben | GoBD (§ 146 AO), HGB § 257, DSGVO Art. 5 (1 e), SEC Rule 17a-4, NIS2 (Art. 21 Abs. 2 f) |
4 eDiscovery (Standard & Advanced)
| Fokus | Rechtskonforme Suche, Legal Hold, KI-gestützte Relevanzanalyse, Pay-as-you-go-Speicher für Nicht-M365-Daten |
|---|---|
| Praxisbeispiel | Bei einem DSGVO-Auskunftsersuchen durchsucht die Rechtsabteilung Exchange, Teams und OneDrive nach allen personenbezogenen Daten einer betroffenen Person und exportiert sie prüfsicher. |
| Einführungsaufwand | Mittel–Hoch – Rollen- & Berechtigungsmodell, Workflow-Training |
| Nutzen | Hoch – Beschleunigt Auskunfts- und Beweisverfahren, senkt externe Anwaltskosten |
| Erfüllte Vorgaben | DSGVO Art. 12–15, FRCP, ZPO § 371a (DE) |
5 Audit (Unified Audit Log)
| Fokus | Lückenloses Ereignisprotokoll inklusive Copilot-Interaktionen; API-Abruf |
|---|---|
| Praxisbeispiel | Das ISMS exportiert monatlich alle „Admin Role Change“-Events und gleicht sie mit dem BSI IT-Grundschutz-Modul OPS.2.2 ab. |
| Einführungsaufwand | Gering – Aktivierung per PowerShell oder Portal; Standard-Retention 90 Tage (E3) bzw. 1 Jahr (E5) |
| Nutzen | Mittel–Hoch – Forensik, Nachweis gegenüber Wirtschafts- und Steuerprüfern |
| Erfüllte Vorgaben | SOX 404, ISO 27001 A.12.4, IT-SiG 2.0 (DE), BSI-C5 (Log-Kapitel) |
6 Insider Risk Management
| Fokus | Erkennen riskanter Benutzeraktivitäten (Datendiebstahl, KI-Prompt-Leaks) mittels Entra- und Endpoint-Signalen |
|---|---|
| Praxisbeispiel | Ein Mitarbeiter lädt kurz vor Kündigung große Mengen CAD-Dateien auf einen privaten OneDrive-Account hoch. Eine Insider-Risk-Richtlinie löst einen Case aus, blockiert den Sync-Client und startet eine Untersuchung. |
| Einführungsaufwand | Mittel – Grundkonfiguration via Templates, Feinabstimmung der Indikatoren |
| Nutzen | Hoch – Frühwarnung, reduziert Abfluss geistigen Eigentums |
| Erfüllte Vorgaben | NIS2 Art. 21 (2), EU-DORA (Art. 9), ISO 27002 6.3 |
7 Communication Compliance
| Fokus | Überwachung von E-Mail, Teams, Viva Engage – jetzt auch KI-Chats – auf Regel- und Verhaltensverstöße |
|---|---|
| Praxisbeispiel | In einem Teams-Meeting beleidigt ein Mitarbeiter eine Kollegin. Die Transkripte werden automatisch geprüft und eine Fallprüfung an HR weitergeleitet. |
| Einführungsaufwand | Mittel–Hoch – Richtlinientexte, False-Positive-Tuning, Datenschutz-Folgenabschätzung |
| Nutzen | Mittel–Hoch – Schützt Mitarbeitende, reduziert Bußgelder im Arbeits- & Finanzaufsichtsrecht |
| Erfüllte Vorgaben | EU-Whistleblower-Richtlinie, FINRA 3110/3120, ArbSchG § 12 (DE) |
8 Compliance Manager
| Fokus | Self-Assessment, Scorecard, Vorlagenkatalog (370 +), automatisierte Tests |
|---|---|
| Praxisbeispiel | Ein mittelständischer Energieversorger aktiviert die NIS2-Schablone samt automatisierter Beweissammlungen für MFA und Logging. |
| Einführungsaufwand | Gering – Assistent wählt Templates; automatisierte Evidenzen reduzieren manuellen Aufwand |
| Nutzen | Mittel – Transparente Gap-Analyse, Projektsteuerung |
| Erfüllte Vorgaben | Je nach Vorlage: NIS2, EU-KI-Act, ISO 42001, KSA-PDPL u. v. m. |
9 Microsoft Priva
| Fokus | Datenschutz-Insights, Berichte zu personenbezogenen Daten, DSAR-Automatisierung |
|---|---|
| Praxisbeispiel | Der Privacy Officer erhält wöchentliche Berichte über übermäßigen Zugriff auf PII in SharePoint und löst automatische Empfehlungen zur Datenminimierung aus. |
| Einführungsaufwand | Gering – Aktivierung im Purview-Portal, Schritt-für-Schritt-Assistent |
| Nutzen | Mittel–Hoch – Reduziert DSGVO-Bußgeldrisiko, steigert Vertrauen |
| Erfüllte Vorgaben | DSGVO Art. 5 (1 c), Art. 30, Art. 35 |
10 Data Security Posture Management (DSPM) für AI & Network Data Security
| Fokus | Richtlinien-„Ein-Klick-Bereitstellung“ zum Erfassen von KI-Prompts / Antworten, Sensitivitätsprüfung von AI-Sites |
|---|---|
| Praxisbeispiel | Eine One-Click-Policy zeichnet ChatGPT-Enterprise-Unterhaltungen mit sensiblen Kundendaten revisionssicher auf und blockiert Prompt-Eingaben mit Kreditkartennummern. |
| Einführungsaufwand | Gering – Vorkonfigurierte Policies, Integration mit SASE / SSE-Gateway |
| Nutzen | Hoch – Deckt neue KI-Risiken ab, schließt Lücken in vielen Compliance-Rahmen |
| Erfüllte Vorgaben | EU-KI-Act (Art. 15 Protokollierung), NIS2 (Art. 21), ISO 42001 |
Zusammenfassende Bewertung
| Funktion | Einführungsaufwand | Nutzen (1 = gering – 5 = hoch) |
|---|---|---|
| Information Protection | Mittel | ⭐⭐⭐⭐⭐ |
| Data Loss Prevention | Mittel–Hoch | ⭐⭐⭐⭐⭐ |
| Lifecycle & Records | Hoch | ⭐⭐⭐⭐ |
| eDiscovery | Mittel–Hoch | ⭐⭐⭐⭐ |
| Audit | Gering | ⭐⭐⭐ |
| Insider Risk | Mittel | ⭐⭐⭐⭐ |
| Communication Compliance | Mittel–Hoch | ⭐⭐⭐⭐ |
| Compliance Manager | Gering | ⭐⭐⭐ |
| Priva | Gering | ⭐⭐⭐⭐ |
| DSPM for AI | Gering | ⭐⭐⭐⭐⭐ |
Interpretation:
Funktionen mit hohem Nutzen und vergleichsweise geringem Aufwand („Quick Wins“) sind Information Protection, DLP und DSPM for AI. Records Management bietet strategischen Langfristnutzen, verlangt jedoch ein strukturiertes Projekt-Setup.
Empfehlungen für den Einstieg
- Roadmap festlegen: Starten Sie mit Sensitivitätslabels + DLP als „Basis-Schutzschirm“.
- Pilotierung: Nutzen Sie E5-Trial oder die 90-Tage-Purview-Testlizenz, um Funktionen risikofrei zu evaluieren.
- Regulatorische Priorität: Bauen Sie das Projekt entlang konkreter Controls (z. B. NIS2, GoBD) mithilfe der Compliance-Manager-Vorlagen auf.
- Change-Management: Schulungen, Champions-Programm und verständliche Richtlinien verhindern Akzeptanzprobleme.
- Fortlaufende Optimierung: Insider-Risk-Signale und Kommunikationsüberwachung regelmäßig nachjustieren, um False-Positives zu minimieren.
Mit diesem stufenweisen Ansatz erreichen Unternehmen nicht nur einen nachweisbaren Compliance-Status, sondern erhöhen gleichzeitig Datenschutz und Sicherheitsniveau – ein klarer Mehrwert gegenüber dem initialen Implementierungsaufwand.
Weitere Beiträge zum Thema Security & Compliance
EU Data Boundary & Datenschutz in Microsoft 365: Klartext statt Cloud-Nebel
Cloud-Dienste wie Microsoft 365 sind aus dem Unternehmensalltag kaum noch wegzudenken – von E-Mail über Teamarbeit bis hin zu Analytics läuft vieles über die Wolke. Gleichzeitig sorgt das Thema Datenschutz dabei oft für Kopfzerbrechen. Spätestens seit dem Wegfall des...
Passkeys in Microsoft 365 und Entra ID – Passwordless-Sicherheit mit Praxisfokus
Zu Power Automate biete ich eine eintägige Online-Schulung an, die regelmäßig durchgeführt wird. Hier finden Sie die Schulung zu Power Automate. Einleitung Montagmorgen, 8 Uhr im Büro: Die erste Tasse Kaffee dampft, das Telefon der IT-Hotline klingelt Sturm. Eine...
Schulung NIS2 in der Praxis mit Microsoft 365 – von der Anforderung bis zur Umsetzung
Idee des Power Automate Desktop-Kurses Kurzbeschreibung Die NIS2-Richtlinie der EU stellt Unternehmen vor neue Cybersecurity-Pflichten – doch keine Panik: In unserer zweitägigen Online-Schulung erfahren Sie Schritt für Schritt, was NIS2 bedeutet und wie Sie die...
NIS2 in der Praxis – Umsetzungsleitfaden für IT, Security und Management
Zu Power Automate biete ich eine eintägige Online-Schulung an, die regelmäßig durchgeführt wird. Hier finden Sie die Schulung zu Power Automate.Einleitung Kaum hat sich die IT-Welt von der DSGVO erholt, klopft mit NIS2 das nächste EU-Regelwerk an die Tür – und...
SPF, DKIM, DMARC & Co. – Praxisleitfaden für sichere E-Mail-Kommunikation mit Microsoft 365
1. Management Summary E-Mails sind nach wie vor das digitale Rückgrat der Geschäftskommunikation – und leider auch ein Einfallstor für Betrüger. SPF, DKIM und DMARC sind drei technische Verfahren, die Ihre E-Mail-Domänen vor Spoofing und Phishing schützen. Sie sorgen...
Biometrische Sicherheit mit Windows Hello
Einstieg: Warum Biometrie, warum jetzt? Ich gebe es zu: Noch vor ein paar Jahren hätte ich beim Thema biometrische Anmeldung wohl skeptisch die Augenbrauen gehoben. Doch die Zeiten ändern sich, und zwar rasant. Heute, Ende 2025, sind Fingerabdruckscanner und...
M365-Sicherheit in der Praxis
Management Summary Microsoft 365 hat sich in den letzten Jahren zum zentralen digitalen Arbeitsplatz vieler Unternehmen entwickelt – und damit auch zu einem beliebten Angriffsziel für Cyberkriminelle. Dieser Praxisleitfaden zeigt auf, wie Sie Ihre...
M365-Compliance in der Praxis (oder: „So mache ich das in Projekten“)
Management Summary Ich habe in den letzten Jahren zahlreiche Microsoft-365-Umgebungen auf Compliance getrimmt – vom kleinen Mittelständler bis zum Großkonzern. Meine Erkenntnis: M365-Compliance ist weder Hexerei noch ein Spaßverderber, sondern solide Handwerksarbeit....
E-Mail-Verschlüsselung und -Signatur in Unternehmen – Praxisleitfaden
1. Management Summary E-Mails sind wie Postkarten: Was ohne Umschlag verschickt wird, kann jeder lesen. Vertrauliche Geschäftsinformationen, personenbezogene Daten oder Vertragsdetails per ungeschützter E-Mail zu senden, ist daher so, als würde man sie auf eine...
Data Loss Prevention (DLP) in Microsoft 365 – Praxisleitfaden
Management Summary Data Loss Prevention (DLP) in Microsoft 365 verhindert, dass sensible Daten unkontrolliert nach außen gelangen. Es durchsucht E-Mails, Dateien und andere Inhalte nach vertraulichen Informationen und blockiert oder protokolliert riskante Aktionen...