Wenn die eigene Belegschaft ChatGPT mit Kundendaten füttert

6 Mai 2026

8 Min. Lesezeit

Sensible Kundendaten landen täglich in öffentlichen KI-Tools, ohne dass jemand es mitbekommt. Microsoft baut jetzt eine Schutzschicht direkt in den Prompt-Eingang ein, und IT-Verantwortliche im Mittelstand müssen entscheiden, ob sie aufspringen oder weiter improvisieren.

06.05.2026

Das Wichtigste in Kürze

  • DLP rückt in den Prompt-Layer: Sensitive Information Types werden vor dem Copilot-Aufruf ausgewertet. Wer DLP nur auf SharePoint und Exchange gemappt hat, sieht den Prompt-Traffic nicht.
  • Agent 365 ist GA, die Telemetrie ist neu: Agent-Inventur, Risikoklassen pro Agent und Insider-Risk-Hooks laufen ab Mai produktiv. Eigene Copilot-Studio-Agents zählen mit, externe Agent-Frameworks nicht.
  • Shadow-AI bekommt einen Audit-Pfad: Network Data Security plus Enterprise-Browser-Hooks erfassen Prompts an unmanaged AI. Die Daten landen im selben DSPM-Dashboard wie die Copilot-Telemetrie, das ändert die Reporting-Pflicht.

Verwandt:A2A-Protokoll 1.2 in Produktion  /  AWS und Google Cloud Multicloud-Preview

Was sich im Mai 2026 wirklich geändert hat

Was ist Microsoft Intelligent Purview? Microsoft fasst unter Intelligent Purview die im Mai 2026 generell verfügbar gemachte Daten- und Compliance-Plattform zusammen, die Klassifikation, DLP, Posture Management und Agent-Governance in einer Konsole bündelt. Neu ist die Echtzeit-Auswertung von KI-Prompts und Agent-Antworten gegen Sensitive Information Types, kombiniert mit der einheitlichen DSPM-Sicht auf Microsoft 365 und externe Datenquellen.

Die Schlagzeile lautet zwar Intelligent Purview, der harte Hebel sitzt aber in zwei Einzelschritten. Der erste: DLP for Microsoft 365 Copilot ist seit Ende April 2026 flächendeckend GA, der Public-Preview-Stand aus November 2025 ist abgeschlossen. Der zweite: Im Mai folgt die neue, vereinheitlichte DSPM-Konsole zusammen mit der GA der Agent-365-Compliance-Schutzschicht. Beides zusammen ergibt das, was Microsoft als zentrales AI-Sicherheits-Cockpit positioniert.

Für Cloud-Architekten ist das mehr als ein Konsolen-Refresh. DLP arbeitet jetzt vor dem Modell-Aufruf, nicht erst auf dem Speichersystem. Wenn ein Mitarbeiter eine Vertragsklausel oder eine Kreditkartennummer in den Copilot-Prompt tippt, blockt die Policy den Prompt, bevor er beim Foundation-Modell ankommt. Das gilt für M365 Copilot, Copilot Chat und über die Inline-DLP-Erweiterung auch für selbstgebaute Copilot-Studio-Agents.

Eine kleine, aber wichtige Detailänderung: Die Lizenz-Hürden sind weg. Bis Dezember 2025 brauchte man E5 oder ein dediziertes Compliance-Add-on, um die Prompt-DLP zu aktivieren. Mit dem April-Rollout greift die Funktion in jeder Copilot-Lizenz, also auch in E1- und E3-Tenants mit Copilot-Add-on. Das verändert die Verhandlungs-Logik mit Microsoft, weil ein häufig genutztes Aufpreis-Argument wegfällt.

Drei Architektur-Punkte, an denen Teams jetzt nachziehen müssen

Wer DLP bisher als Datei-Klassifikation gedacht hat, hat ein konzeptionelles Problem. Der Prompt ist kein File. Er ist flüchtig, oft unter zwei Sekunden Lebensdauer und zugleich der Punkt, an dem Klartext-Daten den Tenant verlassen können. Drei Stellen kippen mit dem neuen Schnitt.

Erstens die Klassifikator-Hygiene. Sensitive Information Types werden ab jetzt im Prompt ausgewertet. Wer Custom-SITs mit zu lockeren Regex-Mustern angelegt hat, produziert in der Prompt-DLP eine Lawine an False Positives, weil Mitarbeiter ihre Promptsprache nicht so kontrolliert formulieren wie ein gespeichertes Dokument. Vor dem Rollout hilft ein Stresstest mit den letzten 1.000 Copilot-Prompts aus den Audit-Logs. Microsoft liefert dafür den Activity Explorer und Search-with-AI in den Data Security Investigations.

Zweitens das Agent-Inventar. Mit Agent 365 GA bekommen Compliance-Teams zum ersten Mal eine vollständige Liste aller Copilot-Studio-Agents im Tenant inklusive Risk-Score. Die Liste ist meistens länger als erwartet. In typischen DACH-Tenants mit 5.000+ Mitarbeitern tauchen 80 bis 200 produktive oder halbproduktive Agents auf. Pro Agent muss eine Datenklasse, eine Datenquelle und ein DLP-Profil zugeordnet werden, sonst greift die Inherit-Logik aus dem Tenant-Default und blockt entweder zu viel oder zu wenig.

Drittens die Shadow-AI-Schicht. Network Data Security ist seit November 2025 GA für Drittanbieter-SASE und im Public Preview für Microsoft Entra GSA Internet Access. Damit landen ChatGPT, Claude, Mistral oder selbst gehostete LLM-Proxies im selben DSPM-Dashboard wie Copilot. Wer den Hebel zieht, bekommt zum ersten Mal ein belastbares Bild davon, wie viele Prompts pro Tag tatsächlich an externe Modelle gehen. Die Zahlen sind regelmäßig unbequem.

100
Top-SharePoint-Sites pro Tenant, die DSPM für AI seit Mai 2026 wöchentlich automatisch auf Datenrisiken bewertet. Vorher mussten Sites manuell gepflegt werden.
Quelle: Microsoft Learn, Considerations for deploying DSPM for AI, Mai 2026

Wie eine 60-Tage-Aktivierung in der Praxis aussieht

Eine vollständige Migration zur Prompt-zentrierten DLP braucht mehr als das Setzen einer Policy. Die Reihenfolge entscheidet, weil ein Fehlstart in Woche eins die nächsten sechs Wochen mit Tickets füllt. Ein realistischer Fahrplan für mittelständische DACH-Tenants mit 2.000 bis 10.000 Seats.

60-Tage-Plan: Prompt-DLP plus Agent-Governance
Woche 1 bis 2
Audit-Log-Export der letzten 1.000 Copilot-Prompts. SITs gegen reale Promptsprache testen, False-Positive-Rate pro Klasse messen. Custom-SITs mit Hit-Rate über 12 Prozent in einen Audit-Modus, nicht in einen Block-Modus.
Woche 3 bis 4
Agent-Inventur via DSPM AI Observability. Pro Agent: Datenquelle, Datenklasse, Verantwortlicher, DLP-Profil. Agents ohne Owner stilllegen, statt sie pauschal zu blockieren.
Woche 5 bis 7
Block-Mode für die zwei oder drei höchsten SIT-Klassen aktivieren, zum Beispiel Kreditkarten und Kundenidentifikatoren. Notification-Templates inhouse abstimmen, sonst landen Tickets als Eskalation in der Geschäftsführung.
Woche 8 bis 9
Network Data Security für Shadow-AI aktivieren. Output für vier Wochen nur in Audit-Modus, dann Policy-Diskussion auf Basis echter Volumen, nicht auf Basis von Bauchgefühl.
ab Woche 10
Insider-Risk-Hooks auf Risky-Agents-Template legen. Quartalsweiser Review der DSPM-Risk-Scores, dokumentierte Übergabe an interne Audits.

„Sensible Kundendaten landen täglich in öffentlichen KI-Tools, ohne dass jemand es mitbekommt.“

Was trägt, was bricht im Tenant

Die Pipeline ist solide, hat aber Reibungsstellen, die in der Roadmap-Doku oft schöngezeichnet werden. Drei Beispiele aus produktiven Setups, die die Migration verzögern.

Was bricht

  • Custom-SITs aus 2023 mit groben Regex-Mustern erzeugen Prompt-False-Positives bei Routinetexten.
  • Externe Agent-Frameworks außerhalb von Copilot Studio sind in der Inventur unsichtbar, das Reporting wirkt vollständig, ist es aber nicht.
  • Inline-DLP für Copilot-Studio-Agents ist im Mai noch Public Preview, also für regulierte Workloads nur mit Genehmigung der Compliance-Funktion einsetzbar.
  • Network Data Security braucht aktiven Entra GSA oder einen Drittanbieter-SASE, die Bestandsumgebung ohne Edge-Routing sieht keinen Shadow-AI-Traffic.

Was trägt

  • DLP für Copilot ist über alle Lizenzklassen verfügbar, das nimmt das Lizenz-Argument aus der Diskussion.
  • DSPM für AI scannt automatisch die 100 Top-SharePoint-Sites, das ersetzt eine Phase manueller Klassifikation.
  • Agent-365-Telemetrie liefert Risk-Scores pro Agent ohne eigene Modellierung, geeignet für ein erstes Audit-Inventar.
  • Sentinel-Integration und Partner-Hooks (Varonis, Salesforce, Snowflake, Databricks) erweitern den Scope ohne Eigenentwicklung.

Wofür sich der Aufwand wirklich lohnt

Drei Tenant-Profile bekommen den klarsten Mehrwert. Tenants mit über 1.000 aktiven Copilot-Lizenzen, weil dort das Prompt-Volumen pro Tag in den fünfstelligen Bereich geht und manuelle Audit-Stichproben aussichtslos sind. Regulierte Branchen mit DORA-, NIS2- oder BaFin-Hintergrund, weil die Multicloud-Auditpflicht ohne Prompt-Logging unvollständig bleibt. Und Setups mit eigenen Copilot-Studio-Agents in produktiven Geschäftsprozessen, weil dort eine einzige fehlklassifizierte Antwort einen Datenschutzvorfall auslösen kann.

Wer das Setup ignoriert, fährt 2026 mit einem strukturellen blinden Fleck. Datenklassen, die im Storage geschützt sind, fließen über Prompts in fremde Modelle. Die externe Auditreife bleibt formal hergestellt, faktisch wird sie weicher.

Eine zweite Beobachtung aus den Pilot-Tenants: Die Reibung kommt nicht primär aus der Technik, sondern aus der Eigentumsfrage. Pro Agent braucht es einen klaren Owner, einen klaren Datenklassen-Scope und ein klares Außerbetrieb-Datum. Drei Felder in einem Inventar, die in den meisten Setups noch nicht gepflegt sind. Microsoft liefert die Datenstruktur und die Telemetrie, die Pflege bleibt aber bei der eigenen Architektur-Funktion. Wer das Inventar in einer Excel-Liste startet und nach drei Monaten in eine CMDB überführt, fährt deutlich schneller als ein Team, das auf eine vollständige Tooling-Lösung wartet.

Und ein letzter Hinweis zum Reporting. Die DSPM-Posture-Reports liefern eine ordentliche erste Audit-Sicht, sind aber für externe Prüfer nur bedingt geeignet. Wer für DORA, NIS2 oder eine BaFin-Prüfung dokumentieren muss, sollte die Telemetrie früh in eine eigene Logging-Pipeline spiegeln, am einfachsten via Microsoft Sentinel mit Aufbewahrung über zwei Jahre. Der Audit-Pfad in Purview selbst hält 180 Tage Standard, das reicht für interne Reviews, aber nicht für regulierte Branchen.

Und ja, ich war anfangs skeptisch. Eine zentrale Konsole, die Storage-DLP, Prompt-DLP, Agent-Inventur und Shadow-AI in einem Dashboard zusammenführt, klingt nach klassischer Marketing-Verkapselung. Nach drei Wochen Test in einem Pilot-Tenant ist die Skepsis kleiner geworden. Die Telemetrie ist konsistent, die Policies greifen wie dokumentiert, der False-Positive-Anteil ist beherrschbar, wenn die SIT-Hygiene stimmt. Der Hebel sitzt im Tenant-Setup, nicht im Tool.

Häufige Fragen

Reicht eine bestehende DLP-Policy auf SharePoint und Exchange aus oder muss eine neue Policy für Copilot erstellt werden?

Eine separate Policy ist Pflicht. DLP-for-Copilot nutzt zwar dieselben Sensitive Information Types, aber die Location-Auswahl ist eigenständig. Eine Policy ohne explizit aktivierte Copilot-Location greift im Prompt-Layer nicht, auch wenn dieselbe Klassifikation im Storage längst aktiv ist.

Wie lassen sich Agents außerhalb von Copilot Studio in das DSPM-Inventar bringen?

Agents auf Microsoft Foundry werden über die Risky-Agents-Policy in Insider Risk Management erfasst, die ist seit November 2025 in Preview. Externe Frameworks wie LangGraph oder n8n sind nicht abgedeckt, hier hilft nur die Network-Data-Security-Erfassung über den Edge-Traffic plus eine eigene CMDB-Pflege für Owner und Datenklasse.

Welche Lizenz braucht ein E3-Tenant für die volle Funktionalität?

Für DLP-for-Copilot reicht ab April 2026 jede Copilot-Lizenz, das gilt für E1, E3 und E5. Agent 365 ist eigenständig lizenziert, je nach Tenant zwischen 15 und 30 USD pro Agent-Slot pro Monat. DSPM für AI in der neuen Version ist im E5-Compliance-Bundle und über Pay-as-you-go nutzbar.

Was passiert mit historischen Prompt-Logs vor dem Rollout?

Microsoft 365 Copilot speichert Prompt- und Response-Daten im Audit-Log seit der GA Anfang 2024. Wer die Daten retrospektiv prüfen will, kann sie über Search-with-AI in den Data Security Investigations laden und gegen die SIT-Klassen scannen. Die Retention richtet sich nach der konfigurierten Audit-Policy, also Standard 180 Tage oder bis zu zehn Jahre mit Premium-eDiscovery.

Wie lässt sich die Prompt-DLP in einer Multicloud-Strategie mit AWS Bedrock oder Google Vertex AI abbilden?

Direkt nicht. Purview-DLP greift auf der Microsoft-365-Schicht, also Copilot, Copilot-Studio-Agents und Agent 365. Für AWS Bedrock und Google Vertex bleibt der Schutzpunkt entweder im Application-Layer der eigenen Anwendung oder im Network-Data-Security-Hop, wenn die Anfragen über einen kontrollierten Edge laufen. Eine native Plattform-Symmetrie liefert Microsoft 2026 nicht.

Über den Autor

Adrian Garcia-Kunz ist Web Developer bei Evernine. Er liest Release-Notes zum Frühstück und beobachtet die Schnittstelle zwischen Cloud-Plattformen, Frontend-Architektur und der Frage, was eine neue Funktion im Tenant tatsächlich kostet, bevor sie live geht.

Quelle Titelbild: KI-generiert via imagen

Auch verfügbar in

pArtikel drucken
Ein Magazin der Evernine Media GmbH