Consulting Briefing: Thema des Tages
OneDrive Sync Up: Microsoft 365 Archive im FokusMicrosoft 365 Archive aus OneDrive-Sicht: „Kaltstellen“ ohne Kälteschock
OneDrive ist in vielen Firmen der Ort, an dem alles landet: Projektdateien, Angebotsstände, Verträge, Präsentationen, „nur kurz“-Notizen, die seit 2019 sehr kurz sind. Und genau deshalb kracht es irgendwann: Speicher wächst, alte Benutzerkonten werden deaktiviert, Aufbewahrungspflichten klopfen an, und im Audit fragt jemand freundlich: „Können Sie das belegen?“ (Spoiler: Der Ton ist freundlich, die Deadline nicht.)
Microsoft 365 Archive ist im Kern ein Kalt-Speicher-Tier innerhalb von SharePoint: Daten bleiben in Microsoft 365, aber zu deutlich reduzierten Speicherkosten, mit Security- und Compliance-Mechaniken, die grundsätzlich weiter gelten.
Aus OneDrive-Perspektive wird es besonders spannend, weil Microsoft 365 Archive auch unlizenzierte OneDrive-Konten (typisch: ausgeschiedene Benutzer) sauber verwaltbar macht.
Typische Use Cases in DACH
1) Altprojekte: „Wir brauchen das nicht mehr – außer wenn doch“
Projekt abgeschlossen, Team aufgelöst, aber die Daten müssen aus nachvollziehbaren Gründen bleiben (Gewährleistung, Vertragsnachweise, Dokumentationspflichten, interne Revisionsanforderungen).
Das Klassikerproblem: Ohne klaren Lebenszyklus bleibt das Projekt-OneDrive/SharePoint-Gebilde aktiv, frisst Speicher und taucht in Suchtreffern auf, obwohl niemand es mehr anfassen soll.
Archive-Ansatz: Inhalte bleiben aufbewahrt und auditfähig, aber der operative Ballast sinkt.
2) Compliance-Aufbewahrung: Aufbewahren ist nicht gleich „zugreifbar für alle“
In DACH ist oft nicht die Frage, ob aufzubewahren ist, sondern wie:
-
organisatorische Trennung (fachlich/organisatorisch abgeschlossene Vorgänge)
-
Nachvollziehbarkeit (wer durfte wann worauf zugreifen?)
-
Legal Hold/Retention (nichts löschen, nichts „aus Versehen“ überschreiben)
Wichtig: Microsoft beschreibt, dass Purview-Funktionen wie Retention/Hold mit archivierten Inhalten funktionieren können, ohne dass man vorher reaktivieren muss. Das ist Gold wert, weil man damit nicht jedes Mal den „Schalter zurück auf heiß“ drehen muss, nur um compliance-seitig sauber zu bleiben.
3) Kostendruck: Speicher ist das neue Papierlager
SharePoint/OneDrive-Speicher kann teuer werden, wenn die inkludierte Quote überschritten ist. Microsoft nennt für Microsoft 365 Archive ein metered Pricing von etwa 0,05 USD/GB/Monat (im Vergleich zu „normal“ ca. 0,20 USD/GB/Monat), also grob ein Viertel.
Für große Altbestände kann das schnell den Unterschied machen zwischen „Budget“ und „Betteln“.
Risiken und Stolperfallen (damit es nicht zum Daten-Schrödinger wird)
Zugriff und Nutzererwartung
Archiv heißt: Nicht mehr für den normalen Arbeitsalltag gedacht. Je nach Ausgestaltung ist der Nutzerzugriff eingeschränkt bzw. die Administration steuert Reaktivierung und Zugriff. (Das ist auch der Sinn: weniger „wildes Weiterarbeiten“ an alten Ständen.)
Konsequenz: Wenn Fachbereiche erwarten, dass „Archiv“ wie „langsamer SharePoint“ funktioniert, gibt es Theater. Also: Erwartungsmanagement ist keine Soft-Skill-Kür, sondern Betriebssicherheit.
Berechtigungen: Altlasten sind besonders kreativ
In OneDrive/SharePoint sind Berechtigungen historisch gerne… sagen wir… archäologisch interessant. Wenn man archivierfähige Inhalte identifiziert, muss man prüfen:
-
Gibt es Extern-Freigaben, die nie abgelaufen sind?
-
Gibt es anonyme Links?
-
Gibt es „Sonderrechte“ für Einzelpersonen?
Archivierung ohne Berechtigungs-Review ist wie Kellerräumen im Dunkeln: Man kann es machen, aber man tritt garantiert auf Lego.
Wiederherstellung/Reaktivierung: Zeit, Kosten, Regeln
Reaktivierung ist der Moment, in dem aus „kalt“ wieder „warm“ wird. Microsoft hat kommuniziert, dass Reaktivierungsgebühren entfallen (spätestens seit Ende März 2025), gleichzeitig gibt es Einschränkungen beim schnellen Re-Archivieren (z. B. mehrere Monate Sperre), um Jo-Jo-Archivierung zu verhindern.
Praktisch heißt das: Reaktivierung ist ein geregelter Prozess, kein „klick mal eben“.
Auditfähigkeit: Ohne Logging ist alles nur Gefühl
DACH-Fokus bedeutet: Audit-Prozesse ernst nehmen. Dazu gehört auch, wie lange Audit-Logs aufbewahrt werden. Microsoft Purview unterstützt Audit-Log-Retention-Policies teils bis zu 10 Jahren (lizenzabhängig).
Das ist kein Archiv-Ersatz, aber ein wichtiger Baustein: Aufbewahrung + Nachvollziehbarkeit gehören zusammen wie Kaffee und Deadline.
Governance-Modell mit Rollen (schlank, aber bissfest)
Ziel: Klare Zuständigkeiten, klare Entscheidungspfade, dokumentierte Regeln.
Rollen und Aufgaben
-
IT-Leitung (Owner des Modells):
entscheidet Strategie, Budget, Zielbild (was ist „archivierwürdig“?), Eskalation. -
M365/SharePoint-Administrator (Betrieb):
setzt Archive-Policies um, steuert Reaktivierung, dokumentiert technische Änderungen. -
Compliance/Revision (Regelwerk & Nachweise):
definiert Aufbewahrungsfristen, Hold-Anforderungen, Audit-Nachweise, kontrolliert Stichproben. -
Datenschutzbeauftragter (DSGVO-Perspektive):
prüft Zweckbindung, Löschkonzepte, Datenminimierung, Auskunfts- und Löschersuchen. -
Fachbereichsverantwortlicher (Content Owner):
bestätigt Abschlussstatus, Klassifizierung, „dürfen wir das wegarchivieren?“, und benennt Aufbewahrungsgrund. -
Security (Entra/Defender/Purview):
prüft Freigaben, Externzugriff, Sensitivity Labels, DLP-Leitplanken.
Kernartefakte
-
Site-/OneDrive-Lifecycle-Policy (wann aktiv, wann inaktiv, wann archivieren, wann löschen)
-
Klassifizierung (z. B. „Projekt“, „Vertrag“, „Personal“, „Finanzen“)
-
Reaktivierungsprozess (wer beantragt, wer genehmigt, SLA, Dokumentation)
-
Audit-Playbook (wie wird im Prüfungsfall geliefert?)
Fragenkatalog für IT-Leitung und Compliance
Strategie und Scope
-
Welche Daten sind „Geschäftsunterlagen“ im Sinne interner/externer Prüfanforderungen?
-
Was ist der Zielzustand: weniger Speicher, weniger Risiko, mehr Nachweisbarkeit – oder alles zusammen?
-
Welche Datenarten bleiben grundsätzlich aktiv (z. B. Wissensbasen), welche werden konsequent in Lifecycle geführt (Projekte)?
Recht, Aufbewahrung, Trennung
4. Welche Aufbewahrungsfristen gelten je Datenklasse (Verträge, Rechnungen, technische Doku)?
5. Wie wird organisatorische Trennung umgesetzt (z. B. getrennte Sites, klare Eigentümer, keine „Privatablagen“ für Firmenakten)?
6. Wie gehen wir mit ausgeschiedenen Benutzern um: OneDrive-Inhalte übergeben, archivieren, löschen – nach welchen Regeln?
Zugriff und Sicherheit
7. Welche Rollen dürfen archivierte Inhalte sehen oder reaktivieren?
8. Wie werden externe Freigaben vor Archivierung gefunden und bereinigt?
9. Welche Minimum-Controls gelten (MFA/Conditional Access, DLP, Labeling)?
Betrieb und Audit
10. Wie wird der Archivstatus dokumentiert (Ticket, Register, Metadaten)?
11. Welche Audit-Logs müssen wie lange vorgehalten werden?
12. Wie schnell muss eine Reaktivierung im Ernstfall gehen (SLA)?
13. Wie wird sichergestellt, dass Retention/Hold auch im Archiv greift?
Kosten
14. Was kostet „aktiv“ vs. „archiviert“ realistisch, und wann lohnt es sich (Datenvolumen, Häufigkeit von Reaktivierungen)?
„Pilot in 14 Tagen“-Roadmap (realistisch, nicht heldenhaft)
Tag 1–2: Rahmen setzen
-
Pilotziel definieren (z. B. „Altprojekte 2021“ oder „OneDrive ausgeschiedener Benutzer Q4“)
-
Rollen benennen, Genehmigungsweg festlegen
-
Mini-Regelwerk: „Was darf in den Piloten, was nicht?“
Tag 3–4: Datenkandidaten finden
-
Liste: 20–50 Kandidaten (Sites/OneDrive-Konten), klare Kriterien (inaktiv seit X Monaten, Projekt abgeschlossen)
-
Sichtung von Externfreigaben und Sonderberechtigungen
Tag 5–6: Compliance-Leitplanken
-
Datenklassen zuordnen, Retention/Hold-Anforderungen klären
-
Audit-Anforderungen definieren: Welche Nachweise müssen im Pilot erzeugt werden?
Tag 7–8: Technische Aktivierung und Setup
-
Microsoft 365 Archive aktivieren (SharePoint + unlizenzierte OneDrive-Konten, falls im Scope).
-
Dokumentationsschema festlegen (z. B. Registerliste: Objekt, Owner, Grund, Frist, Status)
Tag 9–10: Archivieren im Kleinen
-
5–10 Objekte archivieren
-
Test: Was sieht ein normaler Benutzer? Was sieht die Administration?
-
Test: eDiscovery/Retention-/Hold-Verhalten (nur mit sauberem Testfall)
Tag 11–12: Reaktivierung proben
-
Reaktivierungsantrag simulieren: Fachbereich beantragt, Compliance prüft, IT reaktiviert
-
Ergebnis dokumentieren (Zeit, Schritte, Nachweise, Nebenwirkungen)
Tag 13: Auswertung
-
Lessons Learned: Kriterien schärfen, Prozesslücken schließen, Kommunikationsbausteine erstellen
Tag 14: Entscheidungsvorlage
-
Kurzes Ergebnisdokument: Einsparpotenzial, Risikoabbau, Betriebsaufwand, Next Steps (Rollout-Wellen)
Am Ende ist Microsoft 365 Archive kein „Keller“, in den man Sachen wirft. Es ist eher ein gut beschriftetes Hochregallager: weniger teuer, besser kontrollierbar, und mit dem richtigen Governance-Modell sogar prüfungsfreundlich. Und ja: Es macht Arbeit. Aber die Alternative ist Chaos mit Backup-Illusionen und Audit-Schweißperlen.