Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Künstliche Intelligenz 04.06.2026 · 12 min Lesezeit

Microsoft 365 Copilot im KMU einführen: Readiness-Check, Lizenz-Entscheidung und Datenschutz-Härtung

Copilot verstärkt Oversharing in SharePoint, statt es zu korrigieren. Diese Anleitung zeigt dir den sicheren 4-8-Wochen-Readiness-Prozess: Berechtigungs-Audit, Sensitivity Labels, DLP-Grundschutz und einen strukturierten Pilot mit messbarem ROI – bevor du auch nur eine Lizenz buchst.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Moderner Büroarbeitsplatz mit SharePoint-Governance-Dashboard auf großem Ultrawide-Monitor

Microsoft 365 Copilot verspricht enorme Zeitersparnisse – doch wer den Rollout überstürzt, riskiert ein ernstes Datenschutz-Incident. Copilot verfügt über keine eigene Zugriffsprüfung: Es nutzt exakt die Berechtigungen des anfragenden Nutzers. Jahrelang schlummernde SharePoint-Freigaben, Anyone-Links und EEEU-Berechtigungen (Everyone Except External Users) werden durch Copilot erstmals in vollem Umfang ausgenutzt. Diese Anleitung führt dich durch den 4-8-Wochen-Readiness-Prozess, die Lizenzentscheidung zwischen Copilot Business und Enterprise sowie die notwendige Datenschutz-Härtung für den Produktivbetrieb in deutschen KMU.

Voraussetzungen

  • Qualifizierte M365-Basislizenz pro Nutzer: M365 Business Basic ($6), Standard ($12,50) oder Premium ($22) für Copilot Business; E3 ($36) oder E5 ($57) für Copilot Enterprise (alle Preise pro User/Monat, Jahreslizenz, Stand 2026)
  • Globaler Administrator oder SharePoint-Administrator-Zugang für die Bereinigungsschritte
  • SharePoint Online Management Shell (PowerShell-Modul: Install-Module -Name Microsoft.Online.SharePoint.PowerShell)
  • SharePoint Advanced Management (SAM): im Copilot-Lizenzumfang inklusive, kein Aufpreis – stelle sicher, dass SAM im Admin Center freigeschaltet ist
  • Microsoft Purview-Zugang (Grundfunktionen Sensitivity Labels + DLP in M365 Business Premium und E3/E5 enthalten)
  • Pilotgruppe: 5–10 Nutzer aus klar definierten Rollen mit hohem Dokumentenaufkommen (z. B. Projektleitung, Vertrieb, HR, Controlling)
  • Optional, aber empfohlen: Microsoft 365 Backup vor dem Rollout aktivieren (separates Verbrauchsmodell, buchbar über das Admin Center)
  • Datenschutzfolgenabschätzung (DSFA nach Art. 35 DSGVO) vorbereiten – insbesondere wegen des EU Data Boundary-Hinweises (siehe FAQ)

Schritt 1: Lizenzentscheidung – Copilot Business oder Enterprise?

Bevor du irgendetwas im Tenant anfasst, triff eine bewusste Lizenzentscheidung. Die folgende Tabelle fasst die wichtigsten Unterschiede zusammen:

KriteriumCopilot BusinessCopilot Enterprise
Preis (Jahreslizenz)$18/User/Monat (bis 30.06.2026), danach $21$30/User/Monat
Preis (Monat-zu-Monat)$25,20/User/Monatk. A.
Nutzer-Obergrenze300 Nutzerkeine Obergrenze
Erforderliche BasislizenzM365 Business Basic, Standard, Premium oder Apps for BusinessM365/O365 E3, E5, Teams Essentials, Exchange, SharePoint, OneDrive oder Government-/Academic-Äquivalente
Microsoft Graph-IntegrationBasisVollständig
Purview Compliance-ZertifizierungenStandardDSGVO, ISO 27001, HIPAA, ISO 42001
SharePoint Advanced Management (SAM)inklusiveinklusive
EmpfehlungDie meisten deutschen KMU < 300 NutzerHybride E3/E5-Umgebungen, komplexe Compliance-Anforderungen

Vollkosten-Rechnung: Der Copilot-Aufpreis allein täuscht. Copilot Business ($18) plus M365 Business Standard ($12,50) ergibt bereits $30,50 pro User/Monat. Plane die echten Vollkosten von $24 bis über $60 pro User/Monat ein – je nach Basislizenz. Für die DSGVO-konforme Datenschutz-Grundlage ist M365 Business Premium mit DLP und Vertraulichkeitslabels die empfohlene Basis.

Schritt 2: Berechtigungs-Audit mit Data Access Governance Reports

Das ist der kritischste Schritt. Branchenerhebungen aus 2025 zeigen durchschnittlich 802.000 zu weit geteilte Dateien pro Tenant, und 16 % geschäftskritischer Daten sind für nicht autorisierte Nutzer zugänglich. SharePoint-Tenants werden standardmäßig mit der permissivsten Freigabe konfiguriert (Everyone/EEEU). Diese Situation musst du verstehen, bevor Copilot sie ausnutzt.

Content Management Assessment starten:

# SharePoint Admin Center: Content Management Assessment starten
# Pfad: SharePoint Admin Center > Advanced Management > Start assessment
# Ergebnis: Kategorisierte Findings mit Handlungsempfehlungen
# Wiederholung: Alle 30 Tage empfohlen

Data Access Governance Reports aufrufen:

# SharePoint Admin Center: Data Access Governance Reports
# Pfad: SharePoint Admin Center > Reports > Data access governance
#
# Folgende Reports auswerten:
# - Site permissions baseline report     → Gesamt-Zugriffsexposure
# - Everyone except external users report → Top 100 Sites, letzte 28 Tage
# - Sharing links activity report        → Anyone-Links, Org-Links, Specific-People-Links

Priorisiere die Findings nach Risiko: Sites mit Anyone-Links und sensiblen Inhalten kommen zuerst. Nutze den SharePoint Admin Agent (erreichbar über die M365 Copilot App unter „Agents" oder direkt im SharePoint Admin Center über die Copilot-Schaltfläche oben rechts) mit dem Prompt „Show me how my content is distributed across my tenant" für eine KI-gestützte Übersicht.

Schritt 3: SharePoint-Freigabe-Standardeinstellungen härten

Die Standard-Freigabeeinstellungen müssen vor dem Rollout korrigiert werden. Gehe ins SharePoint Admin Center unter Policies > Sharing und setze:

# SharePoint Admin Center: Freigabe-Standardeinstellungen härten
# Pfad: SharePoint Admin Center > Policies > Sharing
#
# Empfohlene Einstellungen für KMU vor Copilot-Rollout:
# External sharing:   Only people in your organization (kein Anyone-Link)
# Default link type:  Specific people (statt Anyone)
# Expiration for Anyone links: 30 Tage setzen

Aktiviere anschließend Restricted Access Control (RAC) für die kritischsten Sites:

# SharePoint Admin Center: Restricted Access Control aktivieren
# Pfad: SharePoint Admin Center > Policies > Access control
#       > Enable site access restriction > Save
# Optional: Delegate site access restriction control to site administrators aktivieren
#
# Anschließend pro Site:
# Site > Flyout > Settings-Tab > Restrict access to specific group

Der Unterschied zwischen RAC und Restricted Content Discovery (RCD) ist wichtig: RAC beschränkt den tatsächlichen Zugriff auf eine Site – Nutzer außerhalb der definierten Gruppe können die Site nicht mehr öffnen. RCD lässt Zugriffsberechtigungen unverändert, verhindert aber, dass der Inhalt in Copilot-Antworten und der organisationsweiten Suche auftaucht. Für Hochrisiko-Sites empfehle ich zunächst RCD als schnell deployten Schutz, parallel zur iterativen Bereinigung:

# Restricted Content Discovery für Hochrisiko-Site aktivieren
# Pfad im Admin Center: Sites > Active sites > Site auswählen > Settings-Tab
#                       > Restrict content discovery > On > Save
# Effekt: Site erscheint nicht in Copilot-Antworten und organisationsweiter Suche

Schritt 4: Sensitivity Labels für SharePoint und OneDrive aktivieren

Ohne explizite Aktivierung kann Copilot verschlüsselte Dateien im SharePoint-Ruhezustand nicht auslesen – und gibt dabei keine Warnung. Außerdem werden Labels auf neue, von Copilot erstellte Dokumente nicht vererbt, solange das Feature deaktiviert ist.

# Sensitivity Labels für SharePoint und OneDrive aktivieren
# Benötigt: SharePoint Online Management Shell, Global Admin oder SharePoint Admin

Connect-SPOService -Url https://[TenantName]-admin.sharepoint.com
Set-SPOTenant -EnableAIPIntegration $true

# Danach im Purview-Portal:
# Lösungen > Information Protection > Labels
# > Sensitivity Labels für SharePoint/OneDrive aktivieren

Wichtiger Nebeneffekt: Copilot generiert neue Inhalte mit dem höchsten Sensitivity-Label der referenzierten Quellen (Label-Vererbung). Nutzer benötigen EXTRACT- und VIEW-Nutzungsrechte für verschlüsselte Dateien. Prüfe im Purview-Portal, ob die Label-Konfigurationen diese Rechte enthalten. Eine ausführliche Anleitung zur Konfiguration findest du unter DLP und Vertraulichkeitslabels in Microsoft 365.

Schritt 5: DLP-Schutz für Copilot-Prompts konfigurieren

Seit GA (Q1 2026) kannst du DLP-Policies speziell für Copilot-Prompts erstellen. Policies prüfen Sensitive Information Types (SITs) in Prompts und können Web-Grounding blockieren:

# Microsoft Purview: DLP-Policy für Copilot-Prompts erstellen (ab GA Q1 2026)
# Pfad: Microsoft Purview Portal > Data Loss Prevention > Policies > Create policy
#
# Location: Microsoft 365 Copilot (als separate Location hinzufügen)
# Condition: Content contains Sensitive Information Types
#            (z. B. German IBAN, German Personal Identification Number)
# Action:    Restrict web grounding / Block prompt processing

Copilot-Interaktionsdaten (Prompts + Antworten) werden im Nutzer-Postfach gespeichert und sind über Purview eDiscovery abrufbar – relevant für Compliance und interne Untersuchungen:

# Purview eDiscovery: Copilot-Interaktionsdaten suchen
# Pfad: Microsoft Purview Portal > eDiscovery > Create case > New search
#
# Query: Add condition > Type > Contains any of > Edit > Copilot activity
# Quelle: Nutzer-Postfächer selektieren
# Exportierbar als Review Set

Schritt 6: Strukturierten Pilot aufsetzen und ROI messen

Ein Gießkannen-Rollout ohne vorherige Pilotrunde führt zu unter 30 % aktiven Nutzern und fehlender ROI-Dokumentation. Microsoft-Benchmarks zeigen: Ein strukturierter Pilot mit Training erzielt 70–80 % aktive Nutzer nach 6 Monaten. Gehe wie folgt vor:

  1. Pilotgruppe definieren: 5–10 Nutzer aus Rollen mit hohem Dokumentenaufkommen – idealerweise Projektleitung, Vertrieb, HR und Controlling. Mindest-Laufzeit: 4 Wochen.
  2. Lizenzen im Copilot Admin Center zuweisen: admin.microsoft.com > Copilot > Lizenzzuweisung. Feature-Toggles (Web-Grounding, Plugins) gezielt für die Pilotgruppe konfigurieren.
  3. Konkrete Use-Cases pro Rolle definieren: Z. B. E-Mail-Zusammenfassung für Vertrieb, Dokumenten-Ersterfassung für HR, Meeting-Protokolle für Projektleitung. Dokumentiere Vorher-Zeitaufwand.
  4. ROI messen mit Viva Insights Copilot Dashboard:
# Viva Insights Copilot Dashboard aufrufen
# Option 1: Microsoft 365 Copilot App > Viva Insights > Copilot Dashboard
# Option 2: teams.microsoft.com > Apps > Viva Insights
#
# Metriken:
# - Active user rate            (Ziel: 70-80% nach 6 Monaten)
# - Actions taken               (Feature-Nutzung nach Typ)
# - Time saved estimates        (geschätzte Stunden-Ersparnis)
# - Feature adoption heatmap    (Adoption Score nach Funktion)

Ergänze die Dashboard-Daten mit einer kurzen Vorher-Nachher-Befragung der Pilotnutzer zu konkreten Zeitersparnissen und dokumentiere alles in einem Pilot-Logbuch. Das Logbuch ist auch die Grundlage für den Business Case gegenüber der Geschäftsführung. Weitere Ressourcen für das Change Management findest du auf dem offiziellen Microsoft Copilot Adoption Hub unter aka.ms/CopilotAdoption.

Schritt 7: Inaktive und ownerlose Sites vor dem Rollout aufräumen

Sites ohne aktiven Owner oder seit Jahren ungenutzte Sites enthalten oft veraltete oder fehlerhafte Informationen, die Copilot in Antworten einbindet. Nutze das Site Lifecycle Management aus SAM:

# SharePoint Admin Center: Site Lifecycle Management (SAM)
# Pfad: SharePoint Admin Center > Advanced Management > Site lifecycle management
#
# Empfehlungen:
# - Inactive site policy aktivieren: Benachrichtigung an Site-Owner nach X Tagen Inaktivität
# - Ownerlose Sites: Ownership-Anfrage automatisch auslösen
# - Microsoft 365 Archive: Archivierte Sites verlassen den aktiven Storage,
#   sind nicht mehr durch Copilot indexierbar und verbrauchen kein aktives Speicherkontingent

Archivierte Websites verlassen den aktiven SharePoint-Storage, sind nicht mehr durch Copilot indexierbar und verbrauchen kein aktives Speicherkontingent. Das ist sinnvoll für inaktive Sites, die du noch nicht löschen möchtest. Hinweis: Microsoft 365 Backup solltest du vor dem Rollout einrichten (Anleitung: Microsoft 365 Backup einrichten) – besonders bevor du Sites archivierst oder Berechtigungsstrukturen massiv änderst.

Troubleshooting / Typische Fehler

  • Copilot findet keine verschlüsselten Dateien ohne Warnung: Sensitivity Labels für SharePoint/OneDrive wurden nicht aktiviert (Set-SPOTenant -EnableAIPIntegration $true). Aktivieren, dann dauert die vollständige Indexierung bis zu 24 Stunden.
  • Copilot-Agents lesen Dateien nicht, kein Fehler für Endnutzer: User-defined Permission Labels (Nutzer hat eigene Berechtigungseinschränkungen gesetzt) blockieren Copilot-Agents vollständig. Labels auf administrativ verwaltete Permissions umstellen.
  • Data Access Governance Reports zeigen keine Daten: SAM muss explizit aktiviert sein. Prüfe im SharePoint Admin Center unter Advanced Management, ob SAM freigeschaltet ist. Erste Reports können bis zu 48 Stunden nach Aktivierung dauern.
  • DLP-Policy für Copilot-Prompts nicht als Location verfügbar: Feature ist erst seit GA Q1 2026 verfügbar. Stelle sicher, dass dein Tenant auf dem aktuellen Rollout-Stand ist (Targeted Release vs. Standard Release).
  • Copilot-Lizenz kann nicht gebucht werden: Fehlende oder inkompatible Basislizenz. Copilot Business erfordert zwingend M365 Business Basic, Standard, Premium oder Apps for Business. Copilot Enterprise erfordert M365/O365 E3, E5 oder bestimmte Einzelpläne.
  • Restricted Content Discovery greift nicht sofort: Propagierung der RCD-Einstellung im Suchindex kann bis zu 24 Stunden dauern. Die Zugriffsrechte bleiben weiterhin wie konfiguriert erhalten – nur die Copilot-/Suchindexierung wird verzögert unterdrückt.
  • SAM-Features werden übersehen: Viele Admins übersehen, dass SharePoint Advanced Management im Copilot-Lizenzumfang enthalten ist. Prüfe im Admin Center unter Advanced Management, ob alle Features (Data Access Governance, RAC, Site Lifecycle) aktiviert sind.

Häufige Fragen

Muss ich alle SharePoint-Berechtigungen vor dem Copilot-Rollout vollständig bereinigen?

Nein – vollständige Bereinigung ist unrealistisch und keine Voraussetzung. Der pragmatische Ansatz: Hochrisiko-Sites (Anyone-Links mit sensiblen Inhalten, öffentliche Sites ohne Owner, große Audiences mit gebrochener Berechtigungsvererbung) zuerst mit Restricted Content Discovery aus der Copilot-Indexierung nehmen und parallel Restricted Access Control für die kritischsten Sites aktivieren. Die iterative Bereinigung läuft dann parallel zum Pilot-Betrieb weiter.

Was ist der Unterschied zwischen Restricted Access Control und Restricted Content Discovery?

Restricted Access Control (RAC) beschränkt den tatsächlichen Zugriff auf eine Site auf eine definierte Gruppe – Nutzer außerhalb der Gruppe können die Site nicht mehr öffnen, auch wenn sie vorher Berechtigungen hatten. Restricted Content Discovery (RCD) lässt Zugriffsberechtigungen unverändert, verhindert aber, dass der Inhalt in Copilot-Antworten und der organisationsweiten Suche auftaucht. RCD ist der sanftere, schneller deployte Schutz für sensible Sites.

Brauche ich Microsoft Purview P2 oder E5 Compliance für den Datenschutz mit Copilot?

Grundlegende Sensitivity Labels und DLP für Copilot-Grounding-Daten sind in M365 Business Premium und E3 enthalten. Die erweiterten Features (Insider Risk Management, Communication Compliance für AI, erweitertes eDiscovery) benötigen Microsoft Purview Compliance P2 bzw. E5 Compliance. Für die meisten deutschen KMU reicht M365 Business Premium als Basislizenz mit Copilot Business Add-on für den Start.

Werden Copilot-Prompts und Antworten für Microsoft KI-Training verwendet?

Nein – für lizenzierte Nutzer mit Enterprise Data Protection (alle Copilot Business- und Enterprise-Lizenzen) werden Prompts, Antworten und via Microsoft Graph abgerufene Daten ausdrücklich nicht für das Training von Foundation-Modellen verwendet. Dieses Versprechen gilt verbindlich seit Produktstart.

Was gilt für das EU Data Boundary und die DSGVO?

Datenspeicherung und -verarbeitung erfolgen im EU-Rechenzentrum. LLM-Inferenz kann jedoch bei Kapazitätsengpässen außerhalb der EU stattfinden. Für die Technischen und Organisatorischen Maßnahmen (TOM) und die Datenschutzfolgenabschätzung nach Art. 35 DSGVO ist das ein relevanter Punkt, der dokumentiert werden muss. Der Hessische Datenschutzbeauftragte hat im November 2025 in einem 137-seitigen Bericht festgestellt, dass M365 DSGVO-konform betrieben werden kann – wenn Unternehmen spezifische Maßnahmen umsetzen. Empfehlung: DSFA vor Produktivbetrieb erstellen und den Datentransfer in der Auftragsverarbeitungsvereinbarung mit Microsoft adressieren. Siehe auch DSGVO-TOMs und Auftragsverarbeitung in der Praxis.

Gilt der Copilot-Business-Preis von $18 noch?

Stand Juni 2026: $18/User/Monat (Jahresabonnement) ist der Einführungspreis mit Frist 30. Juni 2026. Nach diesem Datum steigt der Preis auf $21/User/Monat. Die Monat-zu-Monat-Option kostet $25,20. Wenn du die günstigere Rate sichern möchtest, buche bis zum 30. Juni 2026 ein Jahresabonnement.

Wie messe ich den ROI des Copilot-Pilots?

Das primäre Instrument ist das Viva Insights Copilot Dashboard (M365 Copilot App > Viva Insights oder Teams > Apps > Viva Insights). Es zeigt Active-User-Rate, genutztes Feature-Set, geschätzte Zeitersparnis und Branchenvergleichs-Benchmarks. Ergänze es durch eine Vorher-Nachher-Befragung der Pilotnutzer zu konkreten Zeitersparnissen (E-Mail-Zusammenfassung, Dokumentenerstellung) – dokumentiert in einem Pilot-Logbuch über 4–6 Wochen.

Fazit

Microsoft 365 Copilot ist ein leistungsfähiges Werkzeug – aber kein selbstregulierendes. Wer den 4-8-Wochen-Readiness-Prozess überspringt und direkt flächendeckend lizenziert, riskiert ein Oversharing-Incident, das bestehende Berechtigungsmissstände in SharePoint schlagartig sichtbar macht. Die gute Nachricht: Alle nötigen Bereinigungstools (SharePoint Advanced Management, Data Access Governance Reports, Restricted Access Control, Site Lifecycle Management) sind im Copilot-Lizenzumfang enthalten – sie müssen nur genutzt werden. Für die meisten deutschen KMU unter 300 Nutzern ist Copilot Business ($18/$21 nach 30.06.2026) der richtige Einstieg. Starte mit einem strukturierten Pilot, mis den ROI vom ersten Tag an, und baue die Governance iterativ aus. Dann wird Copilot tatsächlich das, was es verspricht: ein echter Produktivitätsmultiplikator.

Weiterführende Anleitungen und Quellen

Offizielle Quellen: Microsoft Learn: Get ready for Microsoft 365 Copilot with SharePoint Advanced Management · Microsoft Learn: Copilot blueprint for oversharing · Microsoft Learn: Data, Privacy, and Security for Microsoft 365 Copilot

Verwandt

Weiter lesen

Alle Artikel →
Server mit schwebenden Rechnungsdokumenten und JSON-Datenextraktion per KI
04.06.2026 ·11 min

Dokumenten-Extraktion lokal: Rechnungen und Belege mit Vision-LLM und OCR DSGVO-konform auslesen

Rechnungen und Belege DSGVO-konform lokal verarbeiten: Mit PaddleOCR v3, Docling und Vision-LLMs wie Qwen2.5-VL extrahierst du strukturierte JSON-Daten aus PDFs und Scans – vollständig on-premises, mit Pydantic-Validierung und Paperless-ngx-Anbindung.
Hochleistungs-GPU mit leuchtenden Datenströmen für lokale KI-Modelle
04.06.2026 ·10 min

Ollama-Modelle 2026 richtig auswählen: VRAM, Quantisierung und Modellvergleich für KMU

Welches Ollama-Modell läuft auf deiner GPU produktiv? Diese Anleitung erklärt Quantisierungsstufen (Q4_K_M als Sweet Spot), zeigt GPU-Modell-Tabellen von RTX 3060 bis RTX 5090 und hilft dir, das richtige Modell für Coding, deutsches Reasoning, Dokumentenverarbeitung und Tool-Calling zu wählen.
Futuristische 3D-Darstellung einer RAG-Datenpipeline mit leuchtenden Knoten und Ranking-Metriken
04.06.2026 ·10 min

RAG produktiv betreiben: Chunking, Hybrid-Search, Reranking und Antwortqualität messen

Warum RAG-Prototypen scheitern und wie du die Produktiv-Pipeline richtig aufbaust: hierarchisches Chunking, BM25+Vektor Hybrid-Search mit RRF, Cross-Encoder-Reranking und Evaluation mit RAGAS und DeepEval.