Microsoft Purview für KMU 2026:
Datenklassifizierung, DLP, Compliance

Kurz vorweg: Purview ist kein einzelnes Produkt, sondern ein Dach für rund 15 Compliance- und Daten-Tools innerhalb von Microsoft 365 und Azure. Für ein KMU sind in der Regel sechs davon relevant: Sensitivity Labels, DLP, Records Management (Aufbewahrung), Audit, Compliance Manager und Insider Risk Management. Wer M365 Business Premium hat, hat bereits 60–70% der KMU-Funktionalität lizenziert – muss sie nur noch aktivieren und konfigurieren.

Halten Sie das Schema klein. Vier Labels reichen für 95% aller KMU. Mehr Labels heisst weniger Disziplin in der Anwendung.

• Public – Frei verteilbar, Marketing, Webseite, Pressemeldungen. Kein Schutz, kein Wasserzeichen.
• Internal – Standard für Geschäftsunterlagen. Externes Sharing erlaubt mit Warnhinweis, Wasserzeichen "Internal".
• Confidential – Verträge, Preise, Kunden-/Lieferanten-Daten, HR-Themen. Verschlüsselung, externes Sharing nur mit benannten Personen, kein Forward.
• Highly Confidential – M&A, Strategie, Personalakten, Gehaltslisten. Volle Verschlüsselung mit Rechtebindung (Do Not Forward, Watermark), Auto-Block für Endpunkt-Kopie/Druck.

• Schweizer AHV-Nummer (756.xxxx.xxxx.xx): Block beim Versand an Externe ohne Sensitivity Label "Confidential".
• Kreditkarten-Daten (PCI): Block in E-Mail, Block beim Hochladen in nicht-genehmigte Speicher (Dropbox, Google Drive, WeTransfer).
• IBAN / Schweizer Bank-Daten: Tipp beim Mitarbeitenden ("Sensitiv – wirklich extern teilen?"), Override mit Begründung.
• Personaldaten (Geburtsdatum + Name + Adresse + AHV): Hard-Block bei externem Sharing, Auto-Label "Confidential".
• Endpoint DLP: Copy/Paste sensitiver Inhalte in WhatsApp Web, ChatGPT, persönliche Browser-Tabs blockieren oder warnen.
• USB-Block für unverschlüsselte Sticks: Confidential / Highly Confidential darf nicht auf USB.
• Schatten-KI: Upload an consumer-ChatGPT, Gemini, Claude bei "Confidential" blockieren (über Edge-/Defender-Integration).
• Geo-Block: Hochladen in EU/US-Consumer-Clouds (privater Google Drive, iCloud) bei sensitiven Daten unterbinden.

• Berechtigungs-Audit: Mit SharePoint Advanced Management identifizieren, welche Sites "Everyone except external" Zugriff haben – Standard-Falle in vielen Tenants.
• Restricted SharePoint Search (RSS) aktivieren: Copilot und Microsoft Search auf eine Allow-List von Sites einschränken, bis Berechtigungen sauber sind. Schnelle Notbremse.
• Sensitivity Labels mit Verschlüsselung: Inhalte mit Label "Highly Confidential" sind für Copilot nicht abrufbar (Copilot respektiert Labels).
• DLP-Policy für KI-Apps: "Process Data in Copilot only if Label ≤ Confidential" – verhindert, dass sensible Inhalte in Prompts wandern.
• Auto-Labeling für sensitive Inhalte: Trainable Classifiers oder Pattern-Matching markieren bestehende Dokumente automatisch – ohne manuelle Klassifizierungs-Marathon.
• Audit Log für Copilot-Aktivitäten: Aktivieren, damit nachvollziehbar bleibt, welche Inhalte Copilot gelesen / generiert hat. Pflicht für ISO/Audit.

• Business Standard: Praktisch keine Purview-Funktionen (nur Basis-Audit, kein Sensitivity Label-Editor).
• Business Premium: Sensitivity Labels (manuell), Standard DLP, Defender for Business, Intune. Reicht für viele 10–50-MA-KMU mit moderaten Anforderungen.
• M365 E3: Sensitivity Labels (manuell), Standard DLP, Standard Records, eDiscovery Standard, Audit Standard – mehr für Mid-Market.
• M365 E5 / Compliance E5: Sensitivity Auto-Labeling, Endpoint DLP, Customer Lockbox, Privileged Access Management, Insider Risk Management, eDiscovery Premium, Records Management, Audit Premium.
• Information Protection & Governance Add-On: Wenn E5 zu teuer – bringt Auto-Labeling, Endpoint DLP, Records Management für ca. CHF 10–13/User/Monat.
• Insider Risk & Compliance Add-On: Bringt Insider Risk und Communication Compliance.
• eDiscovery & Audit Add-On: Wenn primär Aufbewahrung und Audit-Tiefe gebraucht werden.

• Zu viele Labels: 8–12 Labels überfordern Mitarbeitende, niemand klassifiziert konsistent. Pflicht: maximal 4 Labels.
• Verschlüsselung ohne Plan für externe Empfänger: Confidential mit Verschlüsselung blockt externe Lieferanten. Pflicht: Externes Sharing-Konzept mit Sensitivity Label.
• DLP zu früh scharf geschaltet: 2 Wochen "Notify only" überspringen, dann hagelt es Beschwerden. Pflicht: 14 Tage Audit-Modus, KPIs auswerten, dann scharf.
• Keine Klassifizierungs-Schulung: Labels ohne Verständnis = falsche Klassifizierung. Pflicht: 30-Min-Schulung + Cheat-Sheet pro MA.
• Records-Labels zu früh angewendet: Sobald gesetzt, ist das Dokument unveränderbar. Pflicht: nur auf Abschluss-Dokumente (signierte Verträge, Abschlüsse), nicht auf Working Documents.
• Audit Log nicht aktiviert: Standardmässig in alten Tenants deaktiviert. Pflicht: Audit Log + Retention prüfen.
• Insider Risk ohne Co-Determination: Schweizer Personalrecht & Mitwirkung verlangen Information / Einbindung der Mitarbeitenden. Pflicht: Konzept mit Personal-/Datenschutz-Verantwortlichem.
• Geo-Region falsch: Sensitive Daten in non-Swiss-Region → revDSG-Risiko. Pflicht: M365 Tenant auf Switzerland Region setzen (Multi-Geo, falls nötig).