Prozessautomatisierung

Geschäftsprozesse automatisieren

Automatisierung mit M365

Automatisierung mit SAP

» SAP E-Rechnung

Künstliche Intelligenz

KI im Unternehmen

Intelligentes Wissensmanagement

Microsoft Copilot Studio

Produkte

eFIS

eTicketpvmanager

» Weitere Leistungen

Softwareentwicklung

5 Fakten über Microsoft Purview DLP, die Ihr Bild von Datensicherheit verändern werden

Thorsten Unger
01.04.2026
4 Minuten
Inhaltsverzeichnis

In unserer modernen Arbeitswelt, die von Cloud-Diensten, Remote-Arbeit und dem Vormarsch künstlicher Intelligenz geprägt ist, sind traditionelle Sicherheitsmaßnahmen nicht mehr ausreichend. KI-gestützte Datenexfiltration und die fließenden Grenzen des digitalen Arbeitsplatzes machen sie zunehmend irrelevant. Die zentrale Frage lautet daher: Wie können Sie Ihre wertvollsten Daten wirklich effektiv schützen? Die Antwort liegt in einem neuen Verständnis von Datensicherheit. Im Folgenden werden fünf der überraschendsten und wirkungsvollsten Aspekte von Microsoft Purview Data Loss Prevention (DLP) vorgestellt. Sie zeigen, dass moderner Datenschutz weit über das bloße Blockieren verdächtiger E-Mails hinausgeht.

Mehr als nur E-Mails: Ihr Schutzschild ist überall

Bei Data Loss Prevention (DLP) denken viele vor allem an die Sicherung von E-Mails und Cloud-Speichern. Microsoft Purview DLP schützt jedoch nicht nur diese klassischen Dienste wie Exchange Online, SharePoint und OneDrive, sondern auch Daten, die an anderen Orten entstehen und bearbeitet werden..

  • Endgeräte (Endpoint DLP): Der Schutz erstreckt sich direkt auf die Windows- und macOS-Geräte Ihrer Mitarbeitenden. Überraschend ist, dass Endpoint DLP auch offline funktioniert. Das Kopieren sensibler Daten auf USB-Sticks, das Ausdrucken vertraulicher Dokumente oder das Kopieren in die Zwischenablage wird somit aktiv verhindert – unabhängig davon, ob die Person im Büro, zu Hause oder unterwegs arbeitet.
  • Microsoft Teams: Der Schutz in Teams ist vielschichtiger als angenommen. Während geteilte Dateien über SharePoint und OneDrive abgesichert werden, ist die Analyse des Textinhalts von Chat- und Kanalnachrichten eine exklusive Funktion von E5. Dadurch wird verhindert, dass sensible Informationen wie Kundendaten versehentlich in Chats preisgegeben werden.
  • Netzwerkverkehr: Die Integration von Microsoft Entra Global Secure Access (GSA) ermöglicht die Analyse des Datenverkehrs zu nicht genehmigten Cloud-Anwendungen (Schatten-IT) direkt auf Netzwerkebene. Dadurch lässt sich der Abfluss von Daten zu unautorisierten Plattformen kontrollieren. Selbst nicht nativ unterstützte Anwendungen können erkannt und blockiert werden, bevor Daten das Unternehmensnetzwerk verlassen. Diese Herangehensweise markiert einen Paradigmenwechsel: Purview DLP sichert nicht nur Speicherorte, sondern den Datenfluss selbst – überall, wo er stattfindet.
  • Copilot: Anfragen an den Copilot werden geprüft. Wenn geschützte Daten betroffen sind, werden sie verweigert. Dadurch steigt auch das Vertrauen, das eine KI in Ihrem Unternehmen genießen kann.

Der entscheidende Unterschied: Warum Ihre Lizenz Ihr Sicherheitsniveau bestimmt

Es ist ein weit verbreiteter Irrglaube, dass alle Microsoft-365-Pläne denselben DLP-Schutz bieten. Tatsächlich hängen die Funktionen jedoch maßgeblich von der Lizenz ab. Insbesondere gibt es gravierende Unterschiede zwischen den Plänen E3 und E5. Viele der fortschrittlichsten Funktionen, die für moderne Sicherheitsstrategien entscheidend sind, sind ausschließlich in der E5-Lizenz oder im E5-Compliance-Add-on verfügbar.

FeatureMicrosoft 365 E3Microsoft 365 E5 / E5 Compliance
DLP für Exchange, SharePoint, OneDriveBasis-FunktionenVollständiger Umfang
DLP für Microsoft Teams ChatNeinJa
Endpoint DLP (Endgeräteschutz)NeinJa
Erweiterte Erkennung (z.B. Exact Data Match)NeinJa
Adaptive Protection (Risikobasierter Schutz)NeinJa

Eine E3-Lizenz bietet nur einen Basisschutz. Die entscheidenden Abwehrmechanismen gegen moderne Bedrohungen – etwa die Analyse von Teams-Chats oder der Schutz von Endgeräten – sind ausschließlich in der E5-Lizenz enthalten. Alternativ wäre auch eine E3- und E5-Compliance-Zusatzlizenz möglich.

Für Kunden mit der Business Premium Lizenz gibt es seit einiger Zeit ebenfalls Zusatzlizenzen, die Microsoft E5 Compliance Features bereitstellt.

Hinweis: Diese Grafik wurde mit NotebookLM von Google erstellt.

Mehr Coach als Polizist: Der edukative Ansatz von DLP

Ein wirksamer Datenschutz darf die Produktivität nicht beeinträchtigen. Microsoft Purview DLP verfolgt daher einen edukativen Ansatz: Das Ziel besteht nicht nur darin, Daten zu blockieren, sondern auch darin, Mitarbeitende für einen sicheren Umgang mit Daten zu schulen.

Dies findet sich in der Regel auch im Prozess der Einführung wieder. Man fängt „klein“ an, mit

  • Richtlinientipps (Policy Tips): Das System informiert Nutzer proaktiv. Verfasst beispielsweise jemand eine E-Mail mit sensiblen Informationen an externe Empfänger, erscheint in Echtzeit ein Hinweis auf den möglichen Verstoß.

Und erst in einem weiterem Schritt folgt dann die Einführung echter Blockaden, aber mit

  • Außerkraftsetzung mit Begründung (das sogenannte Override): In manchen Fällen ist das Teilen sensibler Daten legitim. Purview DLP ermöglicht die bewusste Umgehung einer Blockade, sofern eine geschäftliche Begründung angegeben wird.

So hat man abschließend den

  • Kultureller Wandel: Sicherheit wird so zu einem transparenten und auditierbaren Geschäftsprozess. Mitarbeitende werden direkt bei der Arbeit geschult und entwickeln ein tiefes Sicherheitsbewusstsein. Jede Außerkraftsetzung wird lückenlos protokolliert, DLP wird zum intelligenten Assistenten, der Fehler vermeidet, ohne die Produktivität zu beeinträchtigen, und gleichzeitig die Nachvollziehbarkeit für Compliance-Zwecke sicherstellt.

Es versteht Ihre Daten: Maßgeschneiderter Schutz statt Gießkannenprinzip

Standard-DLP-Lösungen erkennen oft nur allgemeine Muster wie Kreditkartennummern, was viele Falschmeldungen verursacht. Die wichtigsten Unternehmensdaten sind jedoch meist einzigartig. Microsoft Purview DLP bietet fortschrittliche Methoden für den präzisen Schutz dieser spezifischen Informationen.

  • Dokumenten-Fingerprinting: Es wird ein „digitaler Fingerabdruck“ einer Dokumentvorlage erstellt, zum Beispiel einer Patentanmeldung. Purview erkennt dann jede ausgefüllte Version dieses Dokuments und kann Schutzmaßnahmen einleiten, sobald sie das Unternehmen verlassen soll.
  • Exact Data Match (EDM): Für hochstrukturierte Daten ist EDM die präziseste Methode. Unternehmen können Listen von exakten Datenwerten (wie Kundennummern oder Patienten-IDs) in verschlüsselter Form hochladen. Microsoft sieht nie die Klardaten, kann aber exakte Übereinstimmungen erkennen und so Falschmeldungen drastisch reduzieren. Mit diesen Techniken erreicht DLP eine neue Präzision, die mit reiner Mustererkennung nicht möglich wäre.

Rechtliche Hürde in Deutschland: Ohne den Betriebsrat geht nichts

Die Einführung eines DLP-Systems in Deutschland ist nicht nur technisch, sondern vor allem rechtlich und organisatorisch herausfordernd. Die strenge deutsche Gesetzgebung zum Arbeitnehmerschutz spielt dabei eine zentrale Rolle.

ACHTUNG! Die nachfolgenden Informationen wurden nach bestem Wissen zusammengestellt, stellen jedoch keine Rechtsauskunft dar. Der Autor ist nicht juristisch geschult. Eine rechtliche Prüfung sollte durch entsprechend qualifizierte Fachpersonen erfolgen.

  • Mitbestimmungsrecht: Die Einführung einer DLP-Lösung unterliegt gemäß § 87 Abs. 1 Nr. 6 BetrVG der zwingenden Mitbestimmung des Betriebsrats. Hintergrund ist die Überwachung von Verhalten und Leistung der Mitarbeitenden durch Analyse von Kommunikation und Dateinutzung.
  • Betriebsvereinbarung: Vor der Implementierung ist eine Betriebsvereinbarung notwendig. Sie definiert den rechtlichen Rahmen und beschränkt die Datennutzung strikt auf IT-Sicherheit und den Schutz sensibler Daten. Leistungs- oder Verhaltenskontrolle der Mitarbeitenden muss explizit ausgeschlossen werden.
  • Datenschutz: Da die Kommunikation überwacht wird, kann dies laut DSGVO ein hohes Risiko für die Rechte und Freiheiten der Beschäftigten darstellen. Oft ist eine Datenschutz-Folgenabschätzung (DSFA) nötig, um die Notwendigkeit und Verhältnismäßigkeit der Maßnahme zu begründen. Die Einführung von DLP in Deutschland erfordert daher eine frühzeitige und enge Abstimmung mit Betriebsrat, Rechtsabteilung und Datenschutzbeauftragtem.

Warum klassische DLP-Ansätze nicht mehr ausreichen

Die Zeiten, in denen Data Loss Prevention lediglich ein einfacher, statischer Filter am E-Mail-Gateway war, sind vorbei. Moderner Datenschutz schützt nicht nur Standorte, sondern auch Identität und Datenfluss. Durch die tiefe Integration in Microsoft Entra ID wird Purview DLP zu einem dynamischen, intelligenten Sicherheitssystem, das Nutzer und Daten unabhängig vom Standort begleitet. Es schützt den Datenfluss auf Endgeräten, in Chats, im Netzwerk und sogar bei Interaktionen mit KI. Unternehmen müssen sich daher die Frage stellen, ob ihre Datenschutzstrategie für die heutige – und zukünftige, KI-geprägte – Arbeitswelt wirklich gerüstet ist.

Webinar KI-gestütztes Wissensmanagement mit Wisbee

Unser Handout

Lokale, KI-gestützte Wissenssuche.
50% schneller an relevante Informationen kommen

Jetzt herunterladen

Bildbeschreibung: Cover vom Whitepaper "Prozessautomatisierung mit der Power Platform in M365"

Whitepaper

Wir können Sie KI strategisch einführen und wo bietet es Mehrwert für Ihr Unternehmen?

Jetzt herunterladen