Consulting Briefing: Thema des Tages
Purview-DLP verhindert PII-Leaks in AI-PromptsConsulting Briefing
|
DIGITALE PRIVATSPHÄRE UND DATENSCHUTZ |
|---|
Purview-DLP verhindert PII-Leaks in AI-Prompts
Executive Summary
Hand aufs Herz: In jeder zweiten Firma kippt gerade irgendein Sachbearbeiter eine Excel-Tabelle mit Kundennamen, IBANs und Krankschreibungen in ein freies ChatGPT-Fenster und nennt das „Effizienzsteigerung". Du nennst es Datenschutzvorfall. Und genau hier kommt Microsoft endlich mit dem Werkzeug, das den Spagat zwischen „wir wollen KI nutzen" und „wir wollen nicht in der Tagesschau landen" technisch abbildet: Microsoft Purview Data Loss Prevention für AI-Prompts.
Seit Ignite 2025 ist DLP für Microsoft 365 Copilot und Copilot Chat allgemein verfügbar. Microsoft hat 2026 nachgelegt: Inline-DLP für Copilot Studio Agents, Microsoft Foundry Apps und sogar für Drittanbieter wie ChatGPT oder Gemini im Browser. Sensible Inhalte – egal ob personenbezogene Daten, Kreditkartennummern oder dein selbstdefinierter „Project Zeus"-Marker – werden in Echtzeit erkannt und blockiert, bevor sie das Large Language Model erreichen. Das Gleiche gilt für Web-Grounding: Wenn Copilot Bing fragen will, geht die Anfrage ohne PII raus. Punkt.
Für DACH-Kunden ist das mehr als ein Feature. Mit dem EU AI Act, der ab August 2026 Hochrisiko-KI-Systeme massiv reguliert, und einer DSGVO, die immer noch mit bis zu vier Prozent Jahresumsatz peitscht, ist „Schatten-KI per Betriebsvereinbarung verbieten" keine Strategie mehr. Es ist Wunschdenken. Purview DLP gibt dir den Hebel, das Verbot technisch durchzusetzen – ohne dass du jeden Mitarbeiter zum Erlaubnisträger erklären musst.
|
BOTTOM LINE |
Wer DLP für Copilot 2026 nicht einführt, wird seine KI-Governance früher oder später der Aufsichtsbehörde erklären müssen. Lieber jetzt technisch durchsetzen als später in PowerPoint rechtfertigen. |
|---|
Worum geht es im Detail?
Der Kern des Problems ist banaler als die Marketingfolien vermuten lassen. KI-Tools saugen alles auf, was du in das Eingabefeld kippst. Eine Cyberhaven-Studie aus 2025 kam zu dem freundlichen Ergebnis, dass 34,8 Prozent aller Inhalte, die Mitarbeiter in GenAI-Tools eingeben, sensibel sind. Das sind nicht 34,8 Prozent der Mitarbeiter. Das sind 34,8 Prozent der eingegebenen Inhalte. Bei der durchschnittlichen Schlagzahl von Prompts pro Wissensarbeiter heißt das: pro Tag landen tausende personenbezogene Datenpunkte in Systemen, die nie einen Auftragsverarbeitungsvertrag gesehen haben.
Microsoft hat das Problem in drei Schichten zerlegt. Schicht eins ist klassisches DLP für Microsoft 365 Copilot und Copilot Chat: Wenn ein User einen Prompt eintippt, scannt Purview den Text in Echtzeit mit den gleichen Sensitive Information Types (SITs) und Trainable Classifiers, die du seit Jahren für E-Mail- und SharePoint-DLP nutzt. Built-in sind Kreditkartennummern, Sozialversicherungsnummern, IBAN, EU-Passnummern – die üblichen Verdächtigen. Custom SITs lassen sich definieren, wenn du eigene Projektnamen, interne Vertragsnummern oder Mandantennamen schützen willst.
Schicht zwei ist der Web-Grounding-Schutz. Copilot darf das Internet anzapfen, um Antworten zu vervollständigen – das ist die Funktion, die den Unterschied zu einem isolierten LLM ausmacht. Genau hier lag bisher ein hervorragend getarntes Datenleck: Ein Vertriebler fragt Copilot, ob er für Kunde „Müller GmbH, Bestellnummer 4711, Kreditkartenendung 1234" ähnliche Konditionen bei anderen Anbietern findet – und der Prompt geht eins zu eins als Bing-Suche raus. Mit dem 2026er Update wird die PII-Stelle vor dem Web-Grounding gefiltert, der LLM antwortet trotzdem aus internen SharePoint-Quellen weiter. Der Nutzer merkt davon idealerweise nichts außer einem dezenten Policy Tip.
Schicht drei ist die Erweiterung auf alles, was nicht Microsoft ist. Per Edge-Browser-Integration und Defender for Cloud Apps lassen sich Prompts an ChatGPT, Google Gemini, DeepSeek und Co. analysieren und blockieren. Das ist der Schatten-KI-Hammer, auf den viele Unternehmen seit zwei Jahren warten. Bislang konntest du Schatten-KI nur per Netzwerk-Block oder strenger Browser-Policy verbieten. Jetzt kannst du sie zulassen, aber kontrollieren – das ist der riesige Unterschied, weil Verbieten in der Praxis immer der Tod von Akzeptanz ist.
Abbildung 1: Purview DLP als Inline-Filter zwischen Endanwender und LLM
Wichtig für die Architekturdiskussion: Purview ist kein eigener Proxy mehr, den du irgendwo zwischenschalten musst. Die Inspektion sitzt direkt im Copilot-Service, im Copilot Studio Agent und – für Drittanbieter – im Edge-Browser auf dem Endpoint. Du betreibst keine zusätzliche Infrastruktur. Das macht den Rollout vergleichsweise schmerzfrei, vorausgesetzt deine Endpoints sind sauber onboarded und deine Lizenzlandschaft passt.
|
FAKTEN-BOX |
DLP für Copilot ist GA seit Ignite 2025. Inline-DLP für Foundry Apps und Copilot Studio Agents kommt Mitte 2026. Data Lifecycle Management für AI wird GA im Juni 2026. Customizable Data Security Reports laufen seit 31. März 2026 in Preview. Microsoft 365 E7 (Frontier Suite) ist seit 1. Mai 2026 verfügbar – für 99 US-Dollar pro User und Monat. |
|---|
Abbildung 2: Rollout-Timeline 2026 – was wann GA wird
Drei Praxisbeispiele aus dem echten Leben
Versicherungs-Sachbearbeiterin: Frau Schmitz pflegt seit acht Jahren Schadensmeldungen ein. Seit Copilot da ist, spart sie täglich eine Stunde, indem sie die Schadensbeschreibung in den Prompt kippt: „Fasse zusammen und schlage Folgefragen vor." Inklusive Versichertennummer, Diagnoseschlüssel und Bankverbindung. Mit aktiver DLP-Policy bekommt sie einen Policy Tip: „Dieser Prompt enthält PII. Klick hier, um die anonymisierte Variante zu nutzen." Frau Schmitz klickt. Welt gerettet.
Vertriebsleiter im Maschinenbau: Herr Berger lässt sich von Copilot Studio einen Agenten bauen, der Angebotsentwürfe schreibt. Praktisch. Bis der Agent in einem Trainingslauf eine interne Vertragsklausel mit Mandantennamen „Project Zeus" nachschlägt. Inline-DLP für Copilot Studio greift, der Custom SIT „Projekt-Codenamen" verhindert die Ausleitung an ein externes Tool. Niemand in der Geschäftsleitung erfährt, wie knapp das war.
HR-Praktikant: Der Praktikant hat das mit der Schatten-IT-Policy gelesen. Trotzdem fragt er ChatGPT (privater Account, privates Gerät, Firmenbrowser-Profil): „Schreib mir eine Absage für Bewerber Hans Müller, geboren am 12.03.1987, mit Schwerbehinderung Grad 50." Mit Edge plus Purview-Endpoint-DLP wird der Prompt im Browser abgefangen, bevor er ChatGPT erreicht. Der Praktikant lernt etwas über Datenschutz. Die Schwerbehindertenvertretung erfährt davon nie. Gut so.
|
WARNUNG |
Custom SITs sind mächtig, aber nur so gut wie ihre regulären Ausdrücke und Trainingsdaten. Wer einen Projekt-Codenamen Adler definiert, blockiert auch Vogelkundediskussionen. Test-Tenant, Sample-Prompts, dann erst Production. |
|---|
Was sind Chancen? Was sind Risiken?
Chancen
Schatten-KI kontrollieren ohne sie zu verbieten. Du gewinnst Akzeptanz, weil deine Mitarbeiter weiter ihre Lieblings-Tools benutzen dürfen – nur eben mit Leitplanken. Das ist politisch zehnmal einfacher als ein kompletter Block.
DSGVO-Nachweis per Knopfdruck. Die neuen Customizable Data Security Reports liefern dir genau die Art von Beleg, die du brauchst, wenn die Aufsichtsbehörde nach technischen und organisatorischen Maßnahmen fragt. Activity Explorer plus DSPM for AI ergeben eine lückenlose Audit-Spur.
Investitionsschutz für dein Microsoft-Stack. Wer E5 hat, kann viele der Bausteine sofort nutzen. Wer E7 (Frontier Suite) einsetzt, bekommt Agent 365 und Entra Suite gleich mit – inklusive Purview-Sicht auf Agenten-Interaktionen. Das ist der Closed Loop, den dir keine Drittlösung in dieser Tiefe bietet.
Insider Risk Management lernt mit. Wer reproduzierbar PII in Prompts kippt, fällt im Risky-AI-Usage-Template auf. Du erkennst nicht nur Vorfälle, sondern Muster – inklusive Prompt-Injection-Versuchen und Versuchen, geschützte Inhalte zu extrahieren.
Risiken
False Positives killen Akzeptanz. Ein zu strenges Regelwerk blockiert die Sekretärin, die ihre eigene Telefonnummer in einem Mailentwurf nutzt. Drei solcher Erlebnisse, und das Team umgeht das System kreativ. Confidence-Level der SITs sauber justieren, sonst killst du das Tool selbst.
Lizenzfalle Frontier Suite. E7 klingt nach kostengenialer Bundle-Strategie – ist es aber nur, wenn du Agent 365 und Entra Suite wirklich nutzen wirst. Sonst zahlst du 9 Dollar pro User pro Monat extra, ohne den Mehrwert abzurufen. Ich habe Kunden gesehen, die für 5.000 Lizenzen 540.000 Dollar im Jahr drauflegen – für Features, die niemand aktiviert hat.
Endpoint-Onboarding ist Voraussetzung. Browser- und Endpoint-DLP funktionieren nur, wenn deine Geräte sauber in Purview onboarded sind. BYOD, Macs ohne Defender, der Linux-Entwicklerlaptop – das sind die Löcher, durch die deine schöne Policy schwimmen geht.
Audit-Logs sind personenbezogen. Du loggst jeden Prompt mit Username. Ohne Pseudonymisierung und Betriebsrats-Vereinbarung ist das ein Selbstmord-Kommando. Communication Compliance kann das, aber nur wenn du es einschaltest und konfigurierst. Vorher kein Rollout.
|
TIPP |
Plane den Rollout in drei Wellen: Audit-only für vier Wochen (lerne dein Datenchaos kennen). Notify-Mode für vier Wochen (User trainieren). Dann erst Block-Mode für die wichtigsten SITs. Wer direkt mit Block startet, dreht das Tool in vier Wochen wieder ab. |
|---|
Was müssen wir jetzt schon vorbereiten?
Du startest nicht morgen mit DLP für Copilot. Du startest mit Hausaufgaben, die du vermutlich seit drei Jahren vor dir herschiebst. Hier die ehrliche Checkliste:
Sensitivity Labels in SharePoint und OneDrive aktivieren. Ohne aktive Labels funktioniert die EXTRACT-Right-Prüfung in Copilot nicht verlässlich. Microsoft sagt es seit 2023 freundlich, jetzt wird es ernst.
Bestandsaufnahme: Welche AI-Apps sind im Einsatz? DSPM for AI zeigt dir innerhalb von Stunden, was deine Mitarbeiter wirklich tun. Erwarte Überraschungen. Echte. Wir hatten einen Kunden, bei dem 40 Prozent des Promptvolumens an ein Tool ging, das die IT noch nie gehört hatte.
Custom Sensitive Information Types definieren. Projektnamen, interne Vertragsnummern, Kundennummern-Format. Wer auf reine Built-ins vertraut, blockiert Standard-PII, aber nicht das, was deinem Unternehmen spezifisch wehtut.
Betriebsrat einbinden. Früh. Prompt-Logging mit Username ist mitbestimmungspflichtig. Eine Betriebsvereinbarung „Einsatz von KI-DLP" brauchst du, bevor du die Policy auf Block stellst. Pseudonymisierungs-Optionen von Insider Risk Management dokumentieren.
Endpoint-Onboarding finalisieren. Alle relevanten Geräte in Purview onboarden. BYOD über Conditional Access auf Edge mit Profil zwingen. Macs: Defender for Endpoint installieren. Linux: ehrlich prüfen, ob du den Anwendungsfall nicht über Browser-Isolation löst.
Lizenz-Audit: E3, E5, Copilot-Add-on, E7? Mit Sales-Repräsentant ehrlich rechnen. E7 lohnt sich nur, wenn Agenten und Entra Suite gezogen werden. Sonst E5 plus Copilot-Add-on und punktuell Frontier Suite für Power-User.
Schulung: Policy Tips schreiben, die helfen. Die Default-Texte von Microsoft sind sterilisiert. Schreibe eigene: „Stop. Diese Eingabe enthält eine IBAN. Nutze stattdessen die Funktion XY oder kontaktiere compliance@deinefirma.de." Wenn der User versteht warum, akzeptiert er das Tool.
Abbildung 3: Was passiert mit deinem Prompt – Entscheidungsbaum
Wer all das jetzt sauber aufsetzt, ist im August 2026 entspannt, wenn der EU AI Act für Hochrisiko-Systeme greift und Bußgelder bis 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes fällig werden. Wer es nicht macht, trifft mit hoher Wahrscheinlichkeit irgendwann eine Datenschutzaufsicht, die sich die Audit-Logs nicht von dir, sondern von OpenAI besorgt. Dann wird es laut. Sehr laut. Und teuer.
|
TAKE-AWAY |
Purview DLP für AI-Prompts ist 2026 kein nice to have, sondern die einzige skalierbare Antwort auf Schatten-KI plus DSGVO plus EU AI Act. Setze die Bausteine in dieser Reihenfolge: Labels, DSPM-Discovery, Custom SITs, Audit-only, Notify, Block. Wer in dieser Reihenfolge ankommt, hat 2027 etwas zu erzählen statt zu erklären. |
|---|