Ein Partner in einer Steuerkanzlei bittet Copilot, die letzte Mandantenkommunikation zusammenzufassen. Er bekommt eine Zusammenfassung. Darin: ein E-Mail-Verlauf zwischen zwei anderen Partnern. Es geht um eine Gehaltsstreitigkeit. Der Partner hatte diese E-Mails nie gelesen. Nie danach gesucht. Nie gewusst, dass sie existieren.
Aber die Berechtigungen in SharePoint sagten: Er darf das sehen.
Irgendwann hat jemand den Ordner für “Alle Partner” freigegeben. Vielleicht vor drei Jahren, vielleicht vor fünf. Es hat nie jemanden gestört, weil nie jemand aktiv danach gesucht hat.
Copilot sucht aktiv. Das ist sein Job. Und es ist sehr gut darin.
Was Oversharing bedeutet
Copilot durchsucht alles, worauf ein Nutzer in Microsoft 365 Zugriff hat. SharePoint, OneDrive, Exchange, Teams. Es erstellt keine neuen Berechtigungen. Es erfindet keinen Zugriff. Es nutzt genau die Berechtigungen, die schon da sind.
Das klingt erstmal vernünftig. Das Problem ist: Die bestehenden Berechtigungen sind bei den meisten Unternehmen zu breit.
Dateien, die vor Jahren mit “Jeder” geteilt wurden. Teams-Kanäle, die nie eingeschränkt wurden. SharePoint-Seiten mit vererbten Berechtigungen, die seit der Einrichtung nicht mehr angepasst wurden. Ordner, die für ein Projekt angelegt und danach vergessen wurden, aber immer noch für die halbe Firma zugänglich sind.
Solange Menschen nur manuell suchen, bleibt das unsichtbar. Niemand tippt “Gehaltsstreit Partner” in die SharePoint-Suche. Aber Copilot arbeitet anders. Es durchsucht den gesamten zugänglichen Datenbestand eines Nutzers, um die bestmögliche Antwort zu liefern. Und dabei findet es Dinge, die eigentlich nicht gefunden werden sollten.
Microsoft nennt das Oversharing. Und Microsoft stuft es als das Risiko Nummer eins bei Copilot-Deployments ein.
Microsoft sagt es selbst
In den offiziellen Copilot-Deployment-Leitfäden empfiehlt Microsoft ausdrücklich ein Berechtigungsaudit vor dem Rollout. Die Empfehlung steht dort nicht als Fußnote. Sie steht im Haupttext, mit Nachdruck.
Die meisten Unternehmen überspringen diesen Schritt. Copilot-Lizenzen werden aktiviert, die Pilotgruppe startet, und die Berechtigungsbereinigung kommt “danach”. Oder nie.
Ich sehe das nicht als Fahrlässigkeit. Es ist nachvollziehbar. Berechtigungsaudits sind unglamouröse Arbeit. Kein Vorstand freut sich auf eine Woche SharePoint-Berechtigungen prüfen. Aber bei Copilot ist das keine optionale Aufgabe mehr. Es ist eine Voraussetzung.
Die Logik dahinter ist einfach: Ohne Berechtigungsaudit wissen Sie nicht, was Copilot sehen kann. Und was Sie nicht wissen, können Sie nicht steuern. Microsoft liefert die Werkzeuge. Die Konfiguration liegt bei Ihnen.
Das SharePoint-Problem im Detail
SharePoint-Berechtigungen wachsen organisch. Und organisch bedeutet hier: chaotisch.
Ein typisches Szenario: Die Kanzlei hatte acht Mitarbeiter, als SharePoint eingerichtet wurde. Jetzt sind es 25. Neue Mitarbeiter wurden in Gruppen aufgenommen, die breiten Zugriff hatten, weil es schneller ging als individuelle Berechtigungen zu konfigurieren. Ehemalige Mitarbeiter wurden deaktiviert, aber ihre freigegebenen Ordner blieben unverändert. Projektordner, die für alle Beteiligten zugänglich waren, existieren noch, obwohl das Projekt seit zwei Jahren abgeschlossen ist.
Das Ergebnis ist ein Flickwerk, bei dem niemand genau sagen kann, wer auf was zugreifen kann.
Dazu kommt ein Detail, das oft übersehen wird: Freigabelinks. Wenn jemand einen SharePoint-Link per E-Mail verschickt und dabei “Jeder mit dem Link” auswählt, bleibt dieser Link aktiv, bis er manuell widerrufen wird. In einer Kanzlei mit zehn Jahren SharePoint-Nutzung können Hunderte solcher Links existieren. Viele davon zeigen auf Dokumente, die längst nicht mehr geteilt werden sollten.
Ich habe bei Berechtigungsaudits Umgebungen gesehen, in denen ein Praktikant technisch Zugriff auf die Gehaltsabrechnungen der Geschäftsführung hatte. Nicht weil das jemand so gewollt hat. Sondern weil die Gruppe “Alle Mitarbeiter” Lesezugriff auf eine SharePoint-Bibliothek hatte, die nie eingeschränkt wurde. In einem anderen Fall hatte eine Auszubildende Zugriff auf laufende Mandantenkorrespondenz, weil sie in ein Team aufgenommen wurde, das für ein abgeschlossenes Projekt erstellt worden war. Das Team existierte noch. Die Dateien auch.
Copilot verursacht dieses Problem nicht. Es macht es sichtbar. Und zwar schnell.
Was tatsächlich passiert ist
Oversharing ist kein theoretisches Risiko. Es gibt dokumentierte Vorfälle, die zeigen, dass selbst Schutzmaßnahmen nicht immer greifen.
EchoLeak (Juni 2025): Ein Sicherheitsvorfall, bei dem Sensitivity Labels umgangen werden konnten. Dateien, die als “Vertraulich” klassifiziert und mit Zugriffseinschränkungen versehen waren, konnten unter bestimmten Bedingungen trotzdem von Copilot verarbeitet werden. Microsoft hat den Vorfall bestätigt und gepatcht. Aber zwischen dem Auftreten und dem Patch vergingen Wochen, in denen die Labels nicht so schützten wie erwartet.
CW1226324 (Januar 2026): Ein weiterer dokumentierter Label-Bug. Ähnliches Muster: Labels waren korrekt gesetzt, aber die Durchsetzung funktionierte in bestimmten Szenarien nicht wie erwartet.
Das bedeutet nicht, dass Sensitivity Labels nutzlos sind. Im Gegenteil, sie sind ein zentraler Baustein. Aber sie sind eine Schutzschicht, nicht die einzige. Wer sich nur auf Labels verlässt und die darunter liegenden Berechtigungen nicht bereinigt, baut auf einem Schutzkonzept, das unten offen ist.
Was ein Berechtigungsaudit tatsächlich beinhaltet
Ein Berechtigungsaudit klingt nach einem Mammutprojekt. In der Praxis ist es methodische Arbeit, die für eine Kanzlei mit 15 bis 30 Mitarbeitern in zwei bis drei Tagen machbar ist.
SharePoint-Seiten prüfen
Im SharePoint Admin Center exportieren Sie die Liste aller aktiven Seiten. Für jede Seite, die Mandantendaten oder vertrauliche Informationen enthält, prüfen Sie:
- Wer sind die Mitglieder und Besitzer?
- Welche M365-Gruppen haben Zugriff?
- Gibt es Gruppen wie “Jeder” oder “Everyone except external users”?
Jede Seite mit der Gruppe “Jeder” ist ein Oversharing-Kandidat. Nicht jede davon ist ein Problem. Aber jede muss bewusst geprüft werden.
”Jeder”-Freigaben identifizieren
Das ist der häufigste Befund. Irgendwann hat jemand eine Datei oder einen Ordner mit “Jeder” geteilt, weil es schnell gehen musste. Im Moment der Freigabe war das vielleicht sogar sinnvoll. Drei Jahre später ist es ein offenes Tor.
Im SharePoint Admin Center unter “Policies” > “Sharing” können Sie die Standard-Freigabeeinstellung auf “Nur Personen in Ihrer Organisation” setzen. Das verhindert neue “Jeder”-Freigaben. Bestehende müssen manuell geprüft und bereinigt werden. Das ist der zeitaufwendigste Teil des Audits, aber auch der wichtigste.
Teams-Kanäle prüfen
Teams-Kanäle haben eigene Berechtigungen. Standard-Kanäle sind für alle Teammitglieder zugänglich. Private Kanäle haben separate Mitgliederlisten. Aber auch hier gilt: Teammitgliedschaft wird selten regelmäßig überprüft.
Ein Team, das für ein Mandantenprojekt erstellt wurde, hat vielleicht immer noch Mitglieder, die längst in andere Abteilungen gewechselt sind. Die Dateien im Team-Kanal sind weiterhin zugänglich. Das gilt auch für Dateien, die direkt im Chat geteilt wurden. Viele vergessen, dass Teams-Chats mit Dateianhängen eigene SharePoint-Ordner erzeugen, die denselben Berechtigungsregeln unterliegen.
Sensitivity Labels konfigurieren
Nach der Bereinigung der Berechtigungen kommen die Labels. Eine praxistaugliche Struktur für regulierte Unternehmen hat vier Stufen: “Öffentlich” für Marketingmaterial und allgemeine Dokumente, bei denen Copilot frei zugreifen darf. “Intern” für Arbeitsdokumente ohne Mandantenbezug, Zugriff auf Mitarbeiter beschränkt. “Vertraulich” für mandantenbezogene Dokumente, Verträge und Steuerbescheide, nur für zugeordnete Mitarbeiter, mit aktiver Verschlüsselung. Und “Streng vertraulich” für besonders schutzbedürftige Daten, bei denen Copilot komplett ausgesperrt wird.
Dazu Auto-Labeling-Regeln: Steuernummern, IBAN-Nummern, Mandantenreferenzen. Dokumente, die diese Muster enthalten, bekommen automatisch das Label “Vertraulich”. Das ersetzt nicht die manuelle Prüfung, aber es fängt die Fälle auf, die sonst durchrutschen. Gerade bei älteren Dokumenten, die vor der Label-Einführung erstellt wurden, ist das Auto-Labeling oft der einzige Weg, eine flächendeckende Klassifizierung hinzubekommen.
DLP-Richtlinien einrichten
Data Loss Prevention-Richtlinien sind die dritte Schicht. Sie verhindern, dass vertrauliche Inhalte extern geteilt werden, auch versehentlich. Eine DLP-Regel kann zum Beispiel verhindern, dass Dokumente mit dem Label “Vertraulich” per E-Mail an externe Empfänger gesendet werden.
Für Mandantendaten, die unter § 203 StGB fallen, sind DLP-Richtlinien nicht optional. Sie sind Teil der dokumentierten Schutzmaßnahmen, die eine Kanzlei im Prüfungsfall vorweisen muss.
Die Reihenfolge ist entscheidend
Die häufigste Frage, die in Foren und LinkedIn-Diskussionen auftaucht: “Wir haben Copilot aktiviert. Was müssen wir jetzt tun?”
Die ehrliche Antwort: Eigentlich hätte die Reihenfolge andersherum sein sollen. Copilot funktioniert am besten, wenn die Grundlagen stimmen. Und die Grundlagen sind Berechtigungen.
- Berechtigungsaudit vor dem Rollout. Wer kann auf was zugreifen?
- Bereinigung der zu breiten Berechtigungen. “Jeder”-Freigaben entfernen, Gruppen verschlanken.
- Sensitivity Labels konfigurieren und ausrollen.
- DLP-Richtlinien für Mandantendaten und vertrauliche Inhalte.
- Dann Copilot aktivieren.
Wenn Copilot schon läuft, ist es nicht zu spät. Aber dann sollte die Bereinigung parallel laufen, nicht irgendwann.
Ich mache diese Audits regelmäßig. Bei einer Kanzlei mit 20 Mitarbeitern dauert die Bestandsaufnahme einen Tag. Die Bereinigung der Berechtigungen je nach Zustand noch ein bis zwei Tage. Die Label-Konfiguration einen weiteren. Das ist kein Quartalsprojekt. Das ist eine Arbeitswoche. Danach wissen Sie, wer auf was zugreifen kann, und Copilot arbeitet mit sauberen Berechtigungen statt mit dem historisch gewachsenen Chaos.
Was das mit den 5 DSGVO-Fragen zu tun hat
Oversharing ist der praktische Kern hinter mehreren der fünf Fragen, die vor einem Copilot-Rollout beantwortet werden müssen. Die DSFA muss das Oversharing-Risiko bewerten. Die Berechtigungsstruktur muss dokumentiert sein. Die Sensitivity Labels müssen konfiguriert sein.
Wer die Berechtigungen nicht kennt, kann keine fundierte DSFA schreiben. Und wer keine DSFA hat, hat bei einer Prüfung durch die Datenschutzbehörde ein Problem. Das Oversharing-Risiko gehört in die Risikobewertung der DSFA, und die Maßnahmen dagegen (Berechtigungsbereinigung, Labels, DLP) gehören in die dokumentierten technischen und organisatorischen Maßnahmen.
Nächster Schritt
Wenn Sie Copilot nutzen oder planen, es einzuführen, starten Sie mit den Berechtigungen. Nicht mit den Labels, nicht mit der DSFA. Zuerst die Bestandsaufnahme: Wer kann in SharePoint auf was zugreifen?
Das Copilot Compliance Audit deckt genau das ab. Ich prüfe Ihre SharePoint-Berechtigungen, konfiguriere Sensitivity Labels und richte DLP-Richtlinien ein, bevor Copilot produktiv geht.
30-Minuten-Erstgespräch buchen. Kein Verkaufsgespräch. Nur eine ehrliche Einschätzung, wo Ihre Umgebung steht.
Jose Lugo ist CISSP-zertifizierter KI-Compliance-Berater mit M365 Endpoint Administrator-Zertifizierung. Er konfiguriert SharePoint-Berechtigungen, Sensitivity Labels und DLP-Richtlinien für regulierte Unternehmen in Deutschland.