Sicherheitguide

Microsoft Purview – Datenschutz und Compliance in M365 2025

DSGVO-Compliance mit Sensitivity Labels, DLP und Audit

S
SeeColors IT11. Juni 20264 Min. Lesezeit142 Aufrufe

Microsoft Purview – das Compliance-Center

compliance.microsoft.com → Microsoft Purview Compliance Portal

Enthält:

  • Sensitivity Labels: Daten klassifizieren und schützen
  • DLP: Data Loss Prevention – Datenlecks verhindern
  • Audit: Alle Aktivitäten protokollieren
  • eDiscovery: Daten für rechtliche Anfragen suchen
  • Insider Risk Management: Verdächtige Nutzeraktivitäten erkennen
  • Communication Compliance: E-Mail/Teams auf Policy-Verstöße prüfen

Sensitivity Labels einrichten

Connect-IPPSSession -UserPrincipalName [email protected]

# Label erstellen
New-Label -Name "Vertraulich" `
    -DisplayName "Vertraulich" `
    -Tooltip "Intern – nicht für externe Weitergabe" `
    -Color "#ff0000"

# Sublabel erstellen
New-Label -Name "Vertraulich-HR" `
    -DisplayName "Vertraulich - HR" `
    -ParentId "Vertraulich"

# Label-Policy erstellen (zu welchen Usern)
New-LabelPolicy -Name "Alle-User-Policy" `
    -Labels "Öffentlich","Intern","Vertraulich","Vertraulich-HR" `
    -ExchangeLocation All `
    -SharePointLocation All

Schutzmaßnahmen je Label konfigurieren

Im Portal: Information protection → Labels → Label bearbeiten:

  • Encryption: Nur bestimmte Personen können das Dokument öffnen
  • Content marking: Wasserzeichen, Header, Footer
  • Auto-labeling: KI erkennt automatisch Kreditkartennummern, IBAN etc.

Data Loss Prevention (DLP)

Szenario: Verhindern dass Mitarbeiter IBAN-Nummern an externe E-Mail-Adressen senden.

# DLP-Policy erstellen
New-DlpCompliancePolicy -Name "Finanzdaten-Schutz" `
    -ExchangeLocation All `
    -SharePointLocation All `
    -Mode Enforce

# Regel: IBAN-Nummern nicht nach extern
New-DlpComplianceRule -Name "IBAN-Extern-Blockieren" `
    -Policy "Finanzdaten-Schutz" `
    -ContentContainsSensitiveInformation @{Name="IBAN"} `
    -ExceptIfRecipientDomainIs @("firma.de") `
    -BlockAccess $true `
    -NotifyUser $true `
    -NotifyPolicyTipCustomText "Diese E-Mail enthält Finanzdaten und kann nicht extern gesendet werden."

Audit aktivieren und abfragen

# Audit prüfen ob aktiv
Get-AdminAuditLogConfig | Select UnifiedAuditLogIngestionEnabled

# Audit aktivieren (falls nicht aktiv)
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

# Audit-Log abfragen
Search-UnifiedAuditLog `
    -StartDate (Get-Date).AddDays(-7) `
    -EndDate (Get-Date) `
    -Operations FileAccessed,FileDownloaded,FileDeleted `
    -ResultSize 500 |
    Select CreationDate,UserIds,Operations,AuditData

Retention Policies

# E-Mails 3 Jahre aufbewahren
New-RetentionCompliancePolicy -Name "E-Mail-3-Jahre" `
    -ExchangeLocation All

New-RetentionComplianceRule -Name "E-Mail-3-Jahre-Regel" `
    -Policy "E-Mail-3-Jahre" `
    -RetentionDuration 1095 `
    -ExpirationDateOption CreationAgeInDays

FAQ

Muss ich Purview für DSGVO nutzen?
Nicht zwingend, aber es hilft erheblich. Besonders Sensitivity Labels und DLP-Policies decken viele DSGVO-Anforderungen (Datenschutz, Datenleck-Verhinderung) ab.

Welche Lizenz brauche ich für Purview?
Basis: M365 E3. Voller Funktionsumfang (Insider Risk, Communication Compliance): M365 E5 oder Compliance Add-on.

Fazit

Microsoft Purview macht DSGVO-Compliance in M365 operationalisierbar. Sensitivity Labels und DLP sollten in jeder M365-Umgebung ab Tag 1 konfiguriert sein.

DSGVO und Microsoft Purview für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Compliance-Beratung anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#Compliance#M365#Purview#DSGVO

Verwandte Artikel

Backup-Verschluesselung – DSGVO-konform sichern 2025

4 Min.

Tape Backup und S3 Glacier – Langzeitarchivierung 2025

4 Min.

Paperless-ngx – digitales Dokumenten-Management 2025

4 Min.