Reibungslose Google-Migration

Migrieren Sie richtig von Google Drive zu M365

Erfahre mehr
Suchen
Folgen Sie uns
9
 Min. Lesezeit
Sicherheit

Wie Sie Microsoft 365 Copilot in einer regulierten Umgebung einführen: Ein 3-Phasen-Framework

Von 
Jasper Oosterveld
Veröffentlicht am 
May 6, 2026
Keine Elemente gefunden.

Master-Hacks: Migrieren Sie wie ein Profi

Schauen Sie sich unsere Videoserie an, die Ihnen dabei hilft, Migrationsprojekte in Meisterwerke zu verwandeln!

Jetzt ansehen

Inhaltsverzeichnis

Textlink

Kürzlich arbeitete ich mit einer Organisation, die einen Microsoft 365 Copilot-Piloten in mehreren Abteilungen durchführte. Sie machten gute Fortschritte.  

Sie räumten inaktive Teams auf. Stellten Websites von öffentlich auf privat um. Wiesen jedem Team zwei Eigentümer zu. Überprüften potenzielle Über-Freigaben. Sie unterstützten auch die Benutzer mit Schulungen und Kommunikation. Alles war auf Kurs.

Bis ein Memo von Compliance und Datenschutz eintraf.

Die Nachricht war klar. Blockieren Sie alle personenbezogenen Daten (PII) in Microsoft 365 mit einer Vertraulichkeitsbezeichnung. Das Ziel? Die unbefugte Verarbeitung von PII verhindern, angetrieben von Vorschriften wie der DSGVO.

Die Auswirkungen waren sofort spürbar. Panik, Frustration und echte Bedenken über die Zukunft der Copilot-Einführung.

Compliance-Erwartungen stimmen nicht immer mit der tatsächlichen Funktionsweise von Microsoft 365 überein, besonders wenn Copilot ins Spiel kommt. In diesem Artikel betrachten wir, was passiert, wenn sie aufeinanderprallen und wie man damit umgeht.

Verstehen Sie das Risiko: 93% Vertrauen in KI-Governance, dennoch melden fast 1 von 3 Organisationen Datenleckagen. MEHR LESEN

Warum Copilot-Piloten in regulierten Organisationen ins Stocken geraten

Diese Situation ist nicht einzigartig. Ich habe dieses Muster schon früher in regulierten Organisationen gesehen. Ein Copilot-Pilot startet mit der richtigen Dynamik. Governance-Aktivitäten sind vorhanden. Benutzer sind geschult. Frühe Ergebnisse sehen vielversprechend aus.

Aber dann greifen Compliance oder Datenschutz ein.

Bedenken über PII, Datenleckagen und regulatorische Anforderungen wie die DSGVO rücken plötzlich in den Mittelpunkt. Und ohne klare Sichtbarkeit darüber, wo sensible Daten liegen oder wie sie verwendet werden, scheint die sicherste Option die einzige Option zu sein: die Einführung stoppen oder einschränken.

Da geraten Piloten ins Stocken. Und das liegt nicht daran, dass die Technologie nicht bereit ist, sondern daran, dass Organisationen noch nicht die Sichtbarkeit und Kontrollen haben, um selbstbewusst voranzugehen.

Warum das Blockieren sensibler Daten nicht die Antwort ist

Organisationen neigen dazu zu blockieren. Sie blockieren Services, Apps, externe Freigaben, Self-Service-Website-Erstellung. Die Liste ist endlos. Die Idee ist, die Organisation sicherer zu machen, Missbrauch zu verhindern und bei der Compliance zu helfen.

In der Realität funktioniert das nicht so. Das Blockieren von PII mit einer Vertraulichkeitsbezeichnung fühlt sich wie der richtige Schritt an, aber es schafft ein falsches Sicherheitsgefühl. Die Daten sind immer noch da. Mitarbeiter haben bereits Zugriff darauf. Sie können sie teilen, Screenshots machen oder sie in andere Tools kopieren.

Sie beseitigen das Risiko nicht, Sie verlagern es nur.

Gleichzeitig blockieren Sie die Personen, die diese Daten tatsächlich benötigen. Sie können Microsoft 365 Copilot nicht mehr verwenden. Der Pilot verlangsamt sich oder stoppt vollständig.

Was können Sie also stattdessen tun?

Schauen wir uns einen besseren Ansatz an.

Wie Sie Copilot in einer regulierten Umgebung einführen: 3 Phasen

Bevor Sie beginnen, Microsoft 365 Copilot zu blockieren, treten Sie einen Schritt zurück. Raten Sie nicht. Nehmen Sie nicht an. Arbeiten Sie mit Fakten.

Phase 1: Überwachen

Versuchen Sie zunächst zu verstehen, was tatsächlich passiert. Wie nutzen Mitarbeiter Copilot? Arbeiten sie mit Eingabeaufforderungen oder Inhalten, die PII enthalten?

Das müssen Sie überwachen. Die Ergebnisse geben Ihnen die Daten, die Sie in der nächsten Phase benötigen, um fundierte Entscheidungen zu treffen.

Wo fangen Sie also an? Beginnen Sie mit der Definition Ihrer PII. Die meisten Organisationen haben mit den gleichen Informationstypen zu tun:

  • Vollständiger Name
  • Physische Adresse
  • Sozialversicherungsnummer
  • IBAN
  • Reisepassnummer
  • Kundennummern
  • Personalnummer
  • Geburtsdatum
  • Geschlecht
  • E-Mail-Adresse

Wenn Sie nicht sicher sind, was in Ihrer Organisation als PII qualifiziert wird, ist das bereits ein Signal. Dies sollte Teil Ihrer Datenklassifizierungs- und Schutzrichtlinien sein. Sprechen Sie mit den richtigen Personen wie Data Stewards, Datenschutzbeauftragte, Information Protection Officers, Datenqualitätsexperten. Sie besitzen diesen Bereich.

Sobald Sie Ihre PII definiert haben, müssen Sie sie erkennen. Hier kommt Microsoft Purview ins Spiel. Verwenden Sie Sensitive Information Types (SITs), um PII in Ihrer Umgebung zu identifizieren.

Standardmäßig deckt Purview nicht alles ab. Das ist normal. Sie müssen benutzerdefinierte SITs erstellen oder vorhandene anpassen.

Und überspringen Sie das Testen nicht. Wenn Ihre SITs PII nicht korrekt erkennen, wird alles Folgende falsch sein. Testen Sie sie mit echten Inhalten. Stimmen Sie sie ab. Reduzieren Sie falsch-positive und falsch-negative Ergebnisse so weit wie möglich.

Keine echten Daten zum Testen? Generieren Sie Beispielinhalte. Sogar Copilot kann Ihnen dabei helfen.

Machen Sie diesen Teil richtig. Alles andere hängt davon ab.

Phase 2: Analysieren Sie die Ergebnisse

Nach einigen Wochen haben Sie genügend Daten. Jetzt möchten Sie sich fragen:

  • Was passiert tatsächlich mit unseren PII in Microsoft 365 Copilot?
  • Wer greift darauf zu?
  • In welchen Copilot-Erfahrungen?
  • Und macht es Sinn?

Hier kommt Microsoft Purview Data Security Posture Management (DSPM) ins Spiel.  

DSPM hilft Ihnen, Sichtbarkeit darüber zu erlangen, wie sensible Daten verwendet werden. In diesem Fall verwenden Sie den Activity Explorer, um PII-Interaktionen innerhalb von Microsoft 365 Copilot zu überprüfen.

__wf_reserved_inherit

Einige Dinge, die Sie bei der Einrichtung Ihrer Ansicht beachten sollten:

  • Der Zeitrahmen ist auf vier Wochen begrenzt
  • Wählen Sie Sensitive info types als Aktivitätstyp (nicht AI-Interaktionen)
  • Wählen Sie Copilot experiences & agents als KI-App-Kategorie
  • Schließen Sie alle Microsoft 365 Copilot-Apps ein (Chat, Word, Outlook, Teams, etc.)
  • Filtern Sie nach den Sensitive Information Types aus Ihrem PII-Inventar

Die Ergebnisse geben Ihnen einen Hinweis darauf, wie viele sensible Daten in Copilot verarbeitet werden. Es ist nicht perfekt. Sie werden falsch-positive Ergebnisse haben, das bedeutet Elemente, die markiert werden, aber tatsächlich keine PII sind. Das ist zu erwarten.

Von hier aus haben Sie zwei Optionen:  

  1. einzelne Aktivitäten überprüfen; oder
  2. die Daten exportieren

Beginnen Sie mit einzelnen Aktivitäten.

Einzelne Aktivitäten

Klicken Sie in eine Aktivität hinein und schauen Sie sich den Kontext an. Wer ist der Benutzer? Macht es Sinn, dass diese Person mit diesem Datentyp arbeitet?

__wf_reserved_inherit

Wenn Sie mehr Details wünschen, können Sie die zugehörige KI-Interaktion anzeigen. Dies hilft Ihnen zu validieren, ob die erkannten PII tatsächlich korrekt sind.

__wf_reserved_inherit
__wf_reserved_inherit

Bedenken Sie: Der Zugang zu dieser Detailebene ist eingeschränkt. Aus gutem Grund. Sie haben es mit sensiblen und potenziell personenbezogenen Daten zu tun. Stellen Sie sicher, dass Sie die richtigen Berechtigungen haben und dass es eine klare Richtlinie mit Ihren Sicherheits-, HR- und Compliance-Teams gibt.

Wenn Sie eine breitere Sicht benötigen, exportieren Sie die Daten.

__wf_reserved_inherit

Activity Explorer-Daten exportieren

Der Export gibt Ihnen eine bessere Übersicht über Muster. Sie können sehen, welche PII-Typen am häufigsten vorkommen und wo sie auftauchen. Es ermöglicht Ihnen auch, über Ihre ursprünglichen Filter hinaus zu gehen.

__wf_reserved_inherit

An diesem Punkt sind Sie bereit, sich mit Ihren Stakeholdern—CISO, Compliance, Sicherheit—zusammenzusetzen und Entscheidungen zu treffen.

Phase 3: Schutzrichtlinien implementieren

Nach der Analyse der Ergebnisse haben Sie nun eine klare Übersicht darüber, welche PII tatsächlich von Microsoft 365 Copilot verarbeitet werden.

Jetzt ist es Zeit zu handeln.

Schauen Sie sich Ihre Klassifizierungs- und Schutzrichtlinien an. Identifizieren Sie die PII mit dem höchsten Risiko. Dort konzentrieren Sie sich zuerst.

Google-Migration
Artikel

[Infografik] Ein einfacher Leitfaden für die Planung Ihrer Google Workspace zu Microsoft 365 Migration

Von 
ShareGate Team
Veröffentlicht 
January 16, 2025
Jetzt ansehen
Migration
Artikel

Was ist das beste Tool für Ihre Google Workspace zu Microsoft 365 Migration?

Von 
ShareGate Team
Veröffentlicht 
November 19, 2024
Jetzt ansehen
Microsoft 365
Artikel

[Video-Serie] Master-Hacks: Migrieren wie ein Profi

Von 
ShareGate Team
Veröffentlicht 
July 21, 2025
Jetzt ansehen
SharePoint
Artikel
SharePoint Designer vs Power Automate: Übergang von klassischen SharePoint-Workflows zu Power Automate-Flows
Artikel lesen
Migration
Artikel
Die Zeit läuft ab für unlizenzierte OneDrive-Konten—Das müssen Sie wissen
Artikel lesen
Migration
Artikel
Google Workspace zu Microsoft 365 Migration 101: Vor- und Nachteile des Wechsels und wie Sie sich vorbereiten
Artikel lesen
Sicherheit
Artikel
Erstellen Sie einen SharePoint-Berechtigungsbericht ohne PowerShell
Artikel lesen
Verwaltung
Artikel
Power BI SharePoint-Berichte wie ein Profi meistern
Artikel lesen
SharePoint
Artikel
SharePoint 101: SharePoint-Websitespalten
Artikel lesen
Verwaltung
Artikel
Microsoft 365 Copilot-Governance: KI-Volumen verwalten und Oversharing verhindern
Artikel lesen
Migration
Artikel
So migrieren Sie Planner von einem Mandanten zu einem anderen
Artikel lesen