Microsoft Purview Compliance Manager – DSGVO und ISO-27001-Tracking für kleine Unternehmen in Berlin
Die meisten Berliner KMU wissen, dass sie Compliance-Verpflichtungen haben — DSGVO mindestens, oft ISO-27001-Ambitionen, wenn sie regulierte Kunden bedienen, und zunehmend spezifische Rahmenwerke, die von Großkunden oder Versicherern gefordert werden. Was ihnen typischerweise fehlt, ist ein strukturierter Weg, ihre Compliance-Position zu verfolgen, Lücken zu identifizieren und Fortschritte nachzuweisen. Microsoft Purview Compliance Manager ist das Microsoft-365-Werkzeug, das die Lücke zwischen dem Wissen um Compliance-Verpflichtungen und deren systematischer Verwaltung schließt.
Was der Compliance Manager leistet
Der Compliance Manager bietet:
- Einen Compliance-Score — eine numerische Bewertung (0–100 %), die Ihre aktuelle Compliance-Position auf Basis implementierter Kontrollen darstellt, analog zum Secure Score, aber für regulatorische Compliance
- Bewertungen (Assessments) — strukturierte Evaluierungen gegen spezifische Regulierungsrahmen (DSGVO, ISO 27001, SOC 2, NIS 2 usw.), unterteilt in Kontrollen, Implementierungshinweise und Testverfahren
- Verbesserungsmaßnahmen — konkrete technische oder verfahrenstechnische Schritte zur Score-Erhöhung, jeweils mit Microsoft-Dokumentation und Möglichkeit zur Inhaberzuweisung
- Automatisiertes Kontrolltesting — für Kontrollen, die über die Microsoft-365-Konfiguration verifiziert werden können, liest der Compliance Manager Ihre tatsächliche Mandantenkonfiguration und aktualisiert den Teststatus automatisch
Das Score-Modell
| Dimension | Gewicht | Bedeutung |
|---|---|---|
| Von Microsoft verwaltete Kontrollen | ~40 % | Kontrollen, die Microsoft in ihrer Infrastruktur übernimmt (physische Sicherheit, Plattformverschlüsselung, Rechenzentrum-Compliance) — automatisch gutgeschrieben |
| Kundenseitig verwaltete Kontrollen | ~60 % | Kontrollen, die Sie in Ihrem Mandanten und Ihrer Organisation implementieren — erfordern Ihr Handeln |
Das bedeutet: Ihr Ausgangsscore liegt oft bereits bei 30–50 %, bevor Sie etwas konfigurieren, weil Microsofts Plattformkontrollen beitragen. Der aktionierbare Anteil sind die kundenseitig verwalteten Kontrollen, die der Compliance Manager als Verbesserungsmaßnahmen oberflächlich macht.
Verfügbare Bewertungsvorlagen
Der Compliance Manager umfasst über 360 regulatorische Vorlagen. Für Berliner KMU relevante:
| Rahmenwerk | Enthalten in | Priorität |
|---|---|---|
| DSGVO | M365 Business Premium / E3 | Pflicht für alle |
| ISO/IEC 27001:2022 | Enthalten | Hoch, wenn Großkunden es verlangen |
| NIS-2-Richtlinie | Enthalten | Hoch für Lieferketten kritischer Infrastruktur |
| SOC 2 | Enthalten | Relevant für SaaS-/MSP-Unternehmen |
| BSI C5 | Enthalten | Relevant für Cloud-Dienste für den deutschen öffentlichen Sektor |
Funktionsweise des automatisierten Testings
Für technische Kontrollen, die Microsoft direkt verifizieren kann, scannt der Compliance Manager Ihre Microsoft-365-Konfiguration periodisch und markiert Verbesserungsmaßnahmen automatisch als „Bestanden“ oder „Nicht bestanden“. Beispiele automatisch getesteter Kontrollen:
- Multi-Faktor-Authentifizierungsdurchsetzung
- Passwortkonfiguration
- Datenverschlüsselung im Ruhezustand und bei Übertragung
- Auditprotokollierung aktiviert
- Vorhandensein von DLP-Richtlinien
- Veröffentlichung von Vertraulichkeitsbeschriftungen
- Privilegierteste Zugriffskontrollen
Für Kontrollen, die menschliches Urteil oder externe Dokumentation erfordern (z. B. „Hat die Organisation ein dokumentiertes Vorfallreaktionsverfahren?“), markieren Sie die Kontrolle manuell als implementiert, laden Belege hoch und setzen das Testdatum. Der Compliance Manager speichert die Beweiskette für Prüfungszwecke.
Compliance Manager und DSGVO
Die DSGVO-Bewertung im Compliance Manager ordnet ihre Kontrollen den jeweiligen DSGVO-Artikeln zu. Für Artikel 25 (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) umfassen relevante Verbesserungsmaßnahmen:
- Vertraulichkeitsbeschriftungen aktivieren (direkt mit Ihrer AIP-/Sensitivity-Label-Konfiguration verknüpft)
- DLP-Richtlinien konfigurieren (aus Ihrer Purview-DLP-Einrichtung erkannt)
- Customer Lockbox aktivieren
- Datenaufbewahrungsrichtlinien konfigurieren
Dies ist kein Rechtskonformitätswerk — es ersetzt nicht eine Datenschutz-Folgenabschätzung, einen Datenschutzanwalt oder Ihren Datenschutzbeauftragten. Es hilft Ihnen aber, gegenüber Prüfern, Kunden und Versicherern nachzuweisen, dass Ihre technischen Microsoft-365-Kontrollen implementiert und gegen anerkannte Rahmenwerke verfolgt werden.
Lizenzanforderungen
Die Kernfunktionen des Compliance Managers (Bewertungen, Verbesserungsmaßnahmen, Score) sind enthalten in:
- Microsoft 365 Business Premium
- Microsoft 365 E3 / E5
- Office 365 E3 / E5
Compliance Manager für ein KMU operationalisieren
- DSGVO-Bewertung aktivieren — dies ist Ihre Ausgangsbasis
- Dashboard der Verbesserungsmaßnahmen nach höchstem Score-Einfluss filtern
- Jede Maßnahme einem Inhaber mit Zieldatum zuweisen
- Die 10–15 wichtigsten technischen Verbesserungsmaßnahmen umsetzen (die meisten haben direkte Intune-/Entra-/Purview-Konfigurationsschritte)
- Belege für verfahrenstechnische Kontrollen hochladen (Vorfallreaktionsplan, Datenklassifizierungsrichtlinie, Lieferantenverträge)
- Automatisches Testing-Refresh aktivieren
- ISO-27001-Bewertung aktivieren, wenn der DSGVO-Score 70 % überschreitet — viele Kontrollen überlappen
- Bewertungsbericht für Kunden- oder Prüfervortrag exportieren
Für Berliner KMU, die bei Großkunden, Versicherern oder im Rahmen der vertraglichen Sorgfaltspflicht reguläre Compliance nachweisen müssen, ist ein Compliance-Manager-Bewertungsbericht mit dokumentiertem Score, implementierten Kontrollen und zugewiesener Inhaberschaft ein konkretes Artefakt, das beweist, dass Ihr Compliance-Programm aktiv verwaltet und nicht nur angestrebt wird.
Weiterfuehrende Artikel
Auch zu diesem Thema
Auch zu diesem Thema
Auch zu diesem Thema