Datenschutz in Microsoft SharePoint Online

SharePoint Online und OneDrive for Business sind zentrale Bausteine für die Zusammenarbeit in Microsoft 365. Ab Werk sind viele Tenants aber auf maximale Offenheit konfiguriert, damit das Teilen von Inhalten so einfach wie möglich ist. Aus Sicht der DSGVO und der Unternehmenssicherheit ist das oft ein Problem.

Als Administrator hältst du die Waage: Die Daten müssen geschützt und DSGVO-konform verwaltet werden, ohne dass zu restriktive Hürden die Produktivität bremsen. Die folgenden Einstellungen im SharePoint Admin Center sichern deine Umgebung ab.

Der wichtigste Hebel für die Sicherheit ist die globale Freigabe-Einstellung. Hier entscheidest du, wie offen dein Tenant grundsätzlich sein darf. SharePoint kennt vier Stufen: nur Personen in der Organisation, vorhandene Gäste, neue und vorhandene Gäste sowie "Jeder" (anonyme Links).

Pfad: SharePoint Admin Center > Richtlinien > Teilen (Sharing)

Stelle die Regler für SharePoint und OneDrive auf "Neue und vorhandene Gäste". Damit deaktivierst du anonyme Links, externe Nutzer müssen sich authentifizieren (per Code oder Microsoft-Konto). So erhalten nur verifizierte Personen Zugriff auf deine sensiblen Informationen. Beachte dabei: OneDrive kann nie offener sein als SharePoint Online, die SharePoint-Stufe bildet also die Obergrenze.

Per PowerShell entspricht das dem Wert ExternalUserSharingOnly. Der Wert ExternalUserAndGuestSharing würde anonyme Links wieder zulassen, Disabled schaltet externes Teilen komplett ab:

Unterhalb der Schieberegler findest du die weiteren Einstellungen für externes Teilen. Hier verfeinerst du die Kontrolle. Arbeitest du nur mit bestimmten Partnern zusammen, begrenzt du die Freigabe gezielt auf deren Domänen (Allow-List) oder schließt einzelne Domänen aus (Block-List). Außerdem konfigurierst du den Ablauf von Gastzugriffen, damit externe Rechte nicht unbegrenzt bestehen bleiben, sondern regelmäßig erneuert werden müssen.

Per PowerShell setzt du Domänenliste und Linkablauf so:

Benutzer übernehmen meist die Standardeinstellung. Also sollte diese so sicher wie möglich und nur so offen wie nötig sein.

Pfad: Abschnitt Datei- und Ordnerlinks

Wähle "Bestimmte Personen" als Standard-Linktyp. Das verhindert, dass Links versehentlich an die ganze Organisation oder nach extern weitergereicht werden. Setze die Standardberechtigung auf "Anzeigen" statt "Bearbeiten". Schreibrechte vergibst du nur dann explizit, wenn die Zusammenarbeit sie wirklich braucht. Das senkt das Risiko unautorisierter Änderungen oder Löschungen.

Die Konfiguration endet nicht bei den Freigabelinks. Für einen dauerhaft sicheren Betrieb brauchst du organisatorische und übergreifende Maßnahmen. Stelle sicher, dass für alle Administratoren und idealerweise auch für Gastnutzer (über die Entra ID Einstellungen) MFA aktiv ist. Prüfe außerdem regelmäßig die Freigabeberichte und Audit-Logs im Microsoft Purview Portal, nur so erkennst du ungewöhnliche Zugriffsmuster rechtzeitig.

Im Menüpunkt Einstellungen findest du eine Liste von Einzeloptionen. Viele stehen standardmäßig auf "Offen" oder "Automatisch". Diese Liste gehst du durch, um Wildwuchs zu vermeiden und die Sicherheit zu erhöhen.

Empfehlung: zulassen (Standard). Das erlaubt Push-Benachrichtigungen in den mobilen Apps. Aus Security-Sicht ist das positiv, weil Nutzer ungewöhnliche Aktivitäten an ihren Dateien schneller bemerken.

Empfehlung: Wähle "Automatisch" (das ist inzwischen der moderne Standard mit intelligenter Begrenzung) oder setze manuell ein Limit, etwa 500 Versionen. Deaktiviere die Versionierung niemals. Der Versionsverlauf ist deine Lebensversicherung gegen Ransomware: Verschlüsselt ein Schädling eine Datei, wird das oft als neue Version gespeichert, und du rollst einfach auf die saubere Vorversion zurück. Ein zu hohes oder unbegrenztes Limit kann aber dazu führen, dass uralte personenbezogene Daten ewig erhalten bleiben. Ein Limit von 500 Versionen ist ein gesunder Mittelweg.

Empfehlung: deaktivieren. Erlaubst du Benutzern das Erstellen moderner Seiten, publizieren sie selbstständig News- oder Inhaltsseiten. In strukturierten Intranets führt das schnell zu Unübersichtlichkeit. Beschränke das Publizieren auf geschulte Redakteure.

Empfehlung: zwingend auf "Manuell" stellen. Im Standard steht das auf "Automatisch", wodurch eine einzelne Site theoretisch fast den gesamten Tenant-Speicher belegen kann. Mit "Manuell" setzt du ein Standardlimit, etwa 250 GB pro Site. Wer mehr braucht, meldet sich. Das verhindert unkontrollierte Datengräber.

Optional, nach Bedarf. Hier verknüpfst du deine SharePoint-Intranet-Startseite mit Viva Connections in Teams. Das ist weniger eine Sicherheits- als eine UX-Frage, um Mitarbeiter zentral zu erreichen.

Empfehlung: deaktivieren. Das ist einer der wichtigsten Schalter gegen Wildwuchs. Dürfen Nutzer selbstständig Sites anlegen, entstehen im Hintergrund auch M365-Gruppen und Teams, und du verlierst die Kontrolle über Berechtigungen und Speicherorte. Richte stattdessen einen genehmigten Prozess ein, etwa über Microsoft Forms oder Power Automate, damit neue Arbeitsräume kontrolliert und mit den richtigen Datenschutzeinstellungen angelegt werden.

Standard belassen. Das regelt nur die Verlinkung im App-Launcher und ist sicherheitstechnisch unkritisch.

Empfehlung: beim Standard von 30 Tagen bleiben. Hier legst du fest, wie lange der OneDrive-Inhalt eines gelöschten Nutzers (etwa nach einer Kündigung) noch aufbewahrt wird, bevor er endgültig vernichtet wird. Wichtig: 30 Tage sind das technische Minimum, du kannst den Wert nur nach oben anpassen (bis 3650 Tage), nicht darunter. Im Sinne der Datensparsamkeit lässt du es daher beim 30-Tage-Standard, sofern keine gesetzliche Aufbewahrungspflicht eine längere Frist verlangt. Nach Ablauf wandert der Inhalt für weitere 93 Tage in den Papierkorb der Websitesammlung, aus dem ihn nur ein Administrator wiederherstellen kann.

Empfehlung: zulassen. Nutzer erhalten eine E-Mail, wenn viele Dateien auf einmal gelöscht werden. Das ist ein gutes Frühwarnsystem bei böswilligen Angriffen oder versehentlichen Massenlöschungen.

Empfehlung: 1024 GB oder weniger, je nach Bedarf. 1 TB ist der Standard. Frag dich, ob wirklich jeder Nutzer 1 TB für persönliche Arbeitsdateien braucht. Ein kleineres Limit, etwa 100 GB oder 500 GB, verringert das Risiko, dass OneDrive als privates Backup-Archiv zweckentfremdet wird.

Empfehlung: auf Domänen beschränken. Die Synchronisation auf lokale Festplatten ist ein klassisches Einfallstor für Data Leakage. Klicke auf "Synchronisieren" und aktiviere "Synchronisierung nur auf Computern zulassen, die in bestimmte Domänen eingebunden sind", und trage die GUID deiner Domäne ein. Das funktioniert primär für klassische Active-Directory-Umgebungen. In reinen Cloud-Umgebungen (Entra ID und Intune) steuerst du das wirksamer über Conditional Access. Schließe hier zusätzlich gefährliche Dateitypen wie .exe oder .vbs von der Synchronisation aus.

Im modernen Admin Center finden sich ganz unten oft Verweise auf die klassische Einstellungsseite. Lass dich vom alten Design nicht täuschen, hier werden fundamentale Weichen für Architektur und Sicherheit deines Tenants gestellt.

IRM verschlüsselt Dateien auf Dokumentebene, sodass sie selbst nach einem Download nur von berechtigten Personen geöffnet werden können. Wähle "Den in der Konfiguration angegebenen IRM-Dienst verwenden" (Voraussetzung: Azure Rights Management ist aktiviert). Das ist die letzte Verteidigungslinie: Fließt eine Datei doch einmal ab, etwa auf einen USB-Stick, bleibt sie ohne die passende Identität unlesbar.

Das ist die wichtigste Einstellung, um Sprawl im Keim zu ersticken. Wähle "Den Befehl Website erstellen ausblenden". Ist der Befehl sichtbar, legt jeder Nutzer auf der SharePoint-Startseite eine neue Site und damit oft eine M365-Gruppe an. Deaktiviere den Self-Service und leite Nutzer auf ein benutzerdefiniertes Formular um (Option "Verwenden Sie das Formular unter dieser URL"). Dort fragst du über ein Microsoft Form oder eine Power App Zweck, Owner und Klassifizierung ab, bevor die Site genehmigt und erstellt wird.

SharePoint hat sich von tief verschachtelten Strukturen hin zu einer flachen Hierarchie gewandelt. Wähle "Erstellung von Unterwebsites für alle Websites deaktivieren". Unterwebsites machen das Berechtigungsmanagement zum Albtraum und erschweren spätere Migrationen oder Archivierungen. Die moderne Alternative sind Hub-Sites, mit denen du flache Websitesammlungen logisch verknüpfst, statt sie physisch ineinander zu verschachteln.

Um Sicherheitslücken zu schließen und die Bedienung zu vereinheitlichen, schneidest du alte Zöpfe ab. Blockiere die SharePoint-2013-Workflows über die SharePoint-Online-Verwaltungsshell (PowerShell), denn sie sind veraltet, werden von Microsoft abgeschaltet und sind ein Sicherheitsrisiko. Nutze stattdessen Power Automate. Stelle außerdem sicher, dass überall die neue Erfahrung (New Experience) erzwungen wird und das Erstellen alter Websitesammlungen blockiert ist. Es gibt keinen Grund mehr, die klassische Erfahrung zu nutzen.

Zulassen, für SharePoint und OneDrive. Das entspricht den Einstellungen aus dem modernen Menü. Treten Diskrepanzen auf, gewinnt oft die restriktivere Einstellung. Das Zulassen erhöht die Transparenz für den Endanwender durch schnelle Info bei Dateiänderungen.

Der Menüpunkt Weitere Funktionen ist die Brücke zu den klassischen Verwaltungsseiten. Auch wenn Microsoft sie nach und nach modernisiert, liegen hier noch einige der wichtigsten Hebel für Governance und Compliance.

Das ist der wohl wichtigste Bereich unter Weitere Funktionen für die tägliche Administration. Verlässt ein Mitarbeiter das Unternehmen oder fällt krankheitsbedingt aus, bestimmst du hier (Benutzerprofile verwalten) einen Administrator für dessen OneDrive. Das ist der einzige DSGVO-konforme Weg, um Daten zu sichern, ohne Passwörter zurückzusetzen oder sich als der Nutzer anzumelden. Unter Benutzerberechtigungen verwalten legst du fest, wer überhaupt einen OneDrive for Business erstellen darf. Entziehe Funktions-Accounts, Admin-Accounts oder Kiosk-Usern dieses Recht. Das minimiert die Angriffsfläche und verhindert Datenablage an falschen Orten.

Hier steuerst du, welche Drittanbieter-Erweiterungen in deinem Tenant landen. Konfiguriere die Einstellungen so, dass Nutzer Apps aus dem SharePoint Store nicht einfach installieren, sondern beantragen müssen. Apps haben oft weitreichende Zugriffsrechte auf deine Daten. Ein Genehmigungsprozess stellt sicher, dass du Vertrauenswürdigkeit und Datenschutzkonformität prüfst, bevor eine App Daten verarbeitet.

Während die moderne Microsoft Search vieles automatisch erledigt, passt du hier das Suchschema (Managed Properties) an. Die Suche respektiert zwar Berechtigungen (Security Trimming), prüfe aber gelegentlich, ob sensible Metadaten versehentlich als durchsuchbar konfiguriert wurden, die in der Vorschau nicht auftauchen sollten.

Viele Punkte hier sind Relikte aus alten SharePoint-Versionen. Die Datensatzverwaltung (Records Management) bezieht sich auf das klassische Data Record Center. Starte hier keine neue Archivierung. Die moderne, revisionssichere Aufbewahrung über Retention Labels findet heute zentral im Microsoft Purview Portal statt. Nutze diesen Menüpunkt nur, wenn du noch alte Archiv-Sites migrieren musst. Nutzt ihr keine alten formularbasierten Prozesse mehr, deaktiviere die browserbasierten InfoPath-Formulare. Veraltete Dienste, die niemand nutzt, sind unnötige Sicherheitsrisiken. Moderne Formulare laufen über Microsoft Power Apps.

Dieser Punkt ist für reine Cloud-Administratoren oft verwirrend, aber für klassische IT-Infrastrukturen entscheidend. Der Assistent automatisiert die Verbindung zwischen deinem lokalen SharePoint Server und SharePoint Online, etwa für eine gemeinsame Suche oder synchronisierte Profile. Arbeitet dein Unternehmen Cloud Only, ignorierst du den Punkt komplett. Betreibst du tatsächlich eine Hybrid-Umgebung, nutzt du zwingend diesen Assistenten statt manueller Eingriffe. Er richtet die komplexen Vertrauensstellungen (Server-to-Server Trust, OAuth) standardisiert und sicher ein. Manuelle Konfigurationen sind hier fehleranfällig und können ungewollte Sicherheitslücken in deine On-Premises-Umgebung reißen.

Technische Einstellungen sind nur die halbe Miete. Eine wirksame Compliance-Strategie stützt sich auf vier weitere Säulen. Lege in einer Datenschutzrichtlinie schriftlich fest, wie mit sensiblen Daten umzugehen ist, denn das ist die Basis für deine technische Konfiguration. Halte regelmäßige Awareness-Trainings ab, damit Mitarbeitende wissen, warum sie bestimmte Dateien nicht extern teilen dürfen.

Für Organisationen mit sehr hohen Compliance-Anforderungen (Banken, Gesundheitswesen) bietet Microsoft die Service Encryption mit Customer Key an, um die volle Kontrolle über die Verschlüsselungsschlüssel zu behalten. Führe schließlich regelmäßige Datenschutz-Folgenabschätzungen (DSFA) durch, um Risiken früh zu erkennen und deine Konfiguration anzupassen.

Sicherheit in SharePoint und OneDrive ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Neben den technischen Härtungen wie der Deaktivierung anonymer Links und der Einschränkung der Synchronisation entscheiden eine klare Strategie und die gezielte Vergabe von Rollen über das Ergebnis.