Datenschutz in Microsoft SharePoint Online

SharePoint Online und OneDrive for Business sind zentrale Bausteine für die Zusammenarbeit in Microsoft 365. Doch „Out of the Box“ sind viele Tenants auf maximale Offenheit konfiguriert, um das Teilen von Inhalten so einfach wie möglich zu machen. Aus Sicht der DSGVO und der Unternehmenssicherheit ist das oft problematisch.

Als Administrator stehst du vor der Herausforderung, die Waage zu halten: Die Daten müssen geschützt und DSGVO-konform verwaltet werden, ohne dass die Produktivität der Anwender durch zu restriktive Hürden leidet. In diesem Guide gehen wir die essenziellen Einstellungen im SharePoint Admin Center durch, mit denen du deine Umgebung absicherst.

Voraussetzungen

Bevor du die Konfiguration startest, stelle sicher, dass folgende Punkte erfüllt sind:

• Berechtigungen: Du benötigst Zugriff auf deinen Microsoft 365 Tenant, idealerweise als Globaler Administrator oder SharePoint-Administrator.
  
• Lizenzierung: Die hier beschriebenen Basiseinstellungen für das externe Teilen (Sharing) stehen dir in den meisten Microsoft 365 Plänen zur Verfügung
  • von Business Basic über Business Premium bis hin zu Enterprise (E3/E5). Spezielle Features (wie z. B. erweiterte Reports oder Conditional Access) können höhere Lizenzstufen erfordern, werden aber an den entsprechenden Stellen gesondert erwähnt.
    
• Zugriff: Der Zugriff erfolgt primär über das SharePoint Admin Center.

1. Die Basis: Das globale Freigabe-Level definieren

Der wichtigste Hebel für die Sicherheit ist die globale Freigabe-Einstellung. Hier entscheidest du, wie offen dein Tenant grundsätzlich sein darf.

• Pfad: SharePoint Admin Center > Richtlinien > Teilen (Sharing)
• Empfehlung: Stelle die Regler für SharePoint und OneDrive auf „Neue und vorhandene Gäste“.
• Warum? Damit deaktivierst du die Option „Jeder“ (anonyme Links). Externe Nutzer müssen sich authentifizieren (z. B. per Code oder Microsoft-Konto). Das gewährleistet, dass nur verifizierte Personen Zugriff auf deine sensiblen Informationen erhalten.

2. Feineinstellung: Externe Freigaben einschränken

Unterhalb der Schieberegler findest du die „Weiteren Einstellungen für externes Teilen“. Hier kannst du die Kontrolle verfeinern:

• Domäneneinschränkung: Falls du nur mit bestimmten Partnern zusammenarbeitest, kannst du die Freigabe gezielt auf bestimmte Domänen begrenzen (Allow-List) oder Konkurrenten ausschließen (Block-List).
• Gültigkeitsdauer: Konfiguriere den Ablauf von Gastzugriffen. So stellst du sicher, dass externe Rechte nicht unendlich lange bestehen bleiben, sondern regelmäßig erneuert werden müssen.

3. Der Standard-Linktyp: „Least Privilege“

User neigen dazu, die Standardeinstellungen zu nutzen. Daher sollten diese so sicher wie möglich, aber so offen wie nötig sein.

• Pfad: Abschnitt „Datei- und Ordnerlinks“
• Linktyp: Wähle „Bestimmte Personen“ als Standard. Das verhindert, dass Links versehentlich an die ganze Organisation oder extern weitergeleitet werden können.
• Berechtigung: Setze die Standardberechtigung auf „Anzeigen“ (statt „Bearbeiten“). Schreibrechte sollten nur explizit vergeben werden, wenn sie für die Zusammenarbeit wirklich notwendig sind. Das minimiert das Risiko unautorisierter Änderungen oder Löschungen.

4. Sicherheit & Compliance: Überwachung und Limits

Die Konfiguration endet nicht bei den Freigabelinks. Für einen dauerhaft sicheren Betrieb sind organisatorische und übergreifende Maßnahmen nötig:

• MFA (Multi-Faktor-Authentifizierung): Stelle sicher, dass für alle Administratoren und idealerweise auch für Gastnutzer (via Entra ID Einstellungen) MFA aktiviert ist.
• Monitoring: Prüfe regelmäßig die Freigabeberichte und Audit-Logs im Microsoft Purview Compliance Portal. Nur so erkennst du ungewöhnliche Zugriffsmuster rechtzeitig.

5. SharePoint-spezifische Härtung

Im Menüpunkt Einstellungen (Settings) findest du eine Liste von Einzeloptionen. Viele davon stehen standardmäßig auf „Offen“ oder „Automatisch“. Um Wildwuchs zu vermeiden und die Sicherheit zu erhöhen, gehen wir diese Liste Punkt für Punkt durch.

SharePoint-Einstellungen

Benachrichtigungen

• Empfehlung: Zulassen (Standard).
• Warum: Dies erlaubt Push-Benachrichtigungen auf mobilen Apps. Aus Security-Sicht ist das positiv: Nutzer bemerken ungewöhnliche Aktivitäten an ihren Dateien schneller, wenn sie proaktiv informiert werden.

Grenzen des Versionsverlaufs

• Empfehlung: Wähle „Manuell“ und setze ein Limit (z. B. 500 Versionen) oder nutze „Automatisch“.
• Sicherheits-Tipp: Deaktiviere die Versionierung niemals! Der Versionsverlauf ist deine Lebensversicherung gegen Ransomware. Wenn eine Datei durch einen Virus verschlüsselt wird, wird dies oft als „neue Version“ gespeichert. Du kannst dann einfach auf die saubere Vorversion zurückrollen.
• DSGVO-Hinweis: Ein zu hohes Limit (oder „unbegrenzt“) kann dazu führen, dass uralte personenbezogene Daten ewig gespeichert bleiben. Ein Limit von 500 Versionen ist ein gesunder Mittelweg.

Seiten (Modern Pages)

• Empfehlung: Deaktivieren (Häkchen entfernen).
• Warum: Wenn du den Haken bei „Benutzern das Erstellen moderner Seiten erlauben“ setzt, können Anwender selbstständig News- oder Inhaltsseiten publizieren. In strukturierten Intranets führt das schnell zu Unübersichtlichkeit. Beschränke das Publizieren lieber auf geschulte Redakteure.

Sitespeicherlimits

• Empfehlung: Stelle dies zwingend auf „Manuell“.
• Warum: Standardmäßig steht dies auf „Automatisch“, was bedeutet, dass eine einzelne Site theoretisch fast den gesamten Speicher deines Tenants belegen kann. Mit „Manuell“ setzt du ein Standardlimit (z. B. 250 GB pro Site). Wer mehr braucht, muss sich melden. Das verhindert unkontrollierte „Datengräber“.

Startseiten

• Einstellung: Optional / Nach Bedarf.
• Kontext: Hier verknüpfst du deine SharePoint-Intranet-Startseite mit Viva Connections in Teams. Das hat weniger mit Sicherheit zu tun, als mit einer guten User Experience (UX), um Mitarbeiter zentral zu erreichen.

Websiteerstellung

• Empfehlung: Deaktivieren (Häkchen entfernen).
• Wichtig: Dies ist einer der wichtigsten Schalter gegen Wildwuchs! Wenn Nutzer selbstständig Sites (und damit im Hintergrund M365-Gruppen und Teams) erstellen dürfen, verlierst du die Kontrolle über Berechtigungen und Speicherorte.
• Best Practice: Erstelle einen genehmigten Prozess (z. B. über Microsoft Forms oder Power Automate), damit neue Arbeitsräume kontrolliert und mit den richtigen Datenschutzeinstellungen angelegt werden.

Stream & OneDrive-Einstellungen

Stream (App-Startfeld-Kachel)

• Empfehlung: Standard belassen.
• Kontext: Regelt nur die Verlinkung im App-Launcher und ist sicherheitstechnisch unkritisch.

OneDrive | Aufbewahrung

• Empfehlung: 30 Tage (Standard) oder Verkürzung auf 14 Tage.
• Warum: Hier legst du fest, wie lange der OneDrive-Inhalt eines gelöschten Nutzers (z. B. nach Kündigung) noch aufbewahrt wird, bevor er endgültig vernichtet wird.
• DSGVO: Im Sinne der Datensparsamkeit ist ein kürzerer Zeitraum besser, sofern keine gesetzlichen Aufbewahrungspflichten (Legal Hold) dagegen sprechen.

OneDrive | Benachrichtigungen

• Empfehlung: Zulassen.
• Sicherheits-Tipp: Nutzer erhalten eine E-Mail, wenn eine große Anzahl an Dateien auf einmal gelöscht wird. Das dient als exzellentes Frühwarnsystem bei böswilligen Angriffen oder versehentlichen Massenlöschungen.

OneDrive | Speicherlimit

• Empfehlung: 1024 GB (oder weniger, je nach Bedarf).
• Warum: 1 TB ist der Standard. Frage dich: Braucht wirklich jeder Nutzer 1 TB für persönliche Arbeitsdateien? Ein kleineres Limit (z. B. 100 GB oder 500 GB) kann das Risiko verringern, dass OneDrive als privates Backup-Archiv zweckentfremdet wird.

OneDrive | Synchronisieren

• Empfehlung: Auf Domänen beschränken.
• Das Problem: Die Synchronisation auf lokale Festplatten ist ein klassisches Einfallstor für Datenverlust (Data Leakage).
• Die Lösung: Klicke auf „Synchronisieren“ und aktiviere das Kontrollkästchen „Synchronisierung nur auf Computern zulassen, die in bestimmte Domänen eingebunden sind“. Trage dort die GUID deiner Domäne ein.
• Hinweis: Dies funktioniert primär für klassische Active Directory Umgebungen. In reinen Cloud-Umgebungen (Entra ID / Intune) wird diese Steuerung effektiver über Conditional Access Policies (Bedingter Zugriff) geregelt. Zusätzlich solltest du hier potenziell gefährliche Dateitypen (wie .exe oder .vbs) von der Synchronisation ausschließen.

6. Die „Klassischen“ Einstellungen: Versteckte, aber mächtige Hebel

Im modernen Admin Center finden sich ganz unten oft Verweise auf die „klassische Einstellungsseite“. Lass dich vom alten Design nicht täuschen: Hier werden fundamentale Weichen für die Architektur und Sicherheit deines Tenants gestellt.

Hier sind die optimalen Konfigurationen für die wichtigsten Punkte dieser Liste:

Information Rights Management (IRM)

IRM verschlüsselt Dateien auf Dokumentebene, sodass sie selbst nach einem Download nur von berechtigten Personen geöffnet werden können.

• Einstellung: Wähle „Den in der Konfiguration angegebenen IRM-Dienst verwenden“ (Voraussetzung: Azure Rights Management ist aktiviert).
• Warum: Dies ist die letzte Verteidigungslinie. Wenn eine Datei doch einmal abfließt (z. B. auf einen USB-Stick), bleibt sie ohne die passende Identität unlesbar.

Websiteerstellung (Site Creation)

Dies ist die wichtigste Einstellung, um Wildwuchs (Sprawl) im Keim zu ersticken.

• Einstellung: „Den Befehl ‚Website erstellen‘ ausblenden“.
• Warum: Wenn dieser Befehl sichtbar ist, kann jeder Nutzer auf der SharePoint-Startseite eine neue Site (und damit oft eine M365-Gruppe) anlegen.
• Best Practice: Deaktiviere den Self-Service hier. Leite Nutzer stattdessen auf ein benutzerdefiniertes Formular um (Option: „Verwenden Sie das Formular unter dieser URL“). Dort kannst du z. B. auf ein Microsoft Form oder eine Power App verweisen, in der Zweck, Owner und Klassifizierung abgefragt werden, bevor die Site genehmigt und erstellt wird.

Unterwebsiteerstellung (Subsite Creation)

SharePoint hat sich gewandelt: Von tief verschachtelten Strukturen („Unter-Unter-Ordner“) hin zu einer flachen Hierarchie.

• Einstellung: „Erstellung von Unterwebsites für alle Websites deaktivieren“.
• Warum: Unterwebsites (Subsites) machen das Berechtigungsmanagement zum Albtraum und erschweren spätere Migrationen oder Archivierungen.
• Die moderne Alternative: Nutze Hub-Sites, um flache Websitesammlungen logisch zu verknüpfen, statt sie physisch ineinander zu verschachteln. Das ist der aktuelle „Gold-Standard“ von Microsoft.

Veraltete Features bereinigen (Legacy Cleanup)

Um Sicherheitslücken zu schließen und die User Experience (UX) zu vereinheitlichen, solltest du alte Zöpfe abschneiden:

1. Verbundene Dienste (Workflows):
   • Einstellung: Verwenden die PowerSHell SharePoint Online-Verwaltung, um SharePoint 2013-Workflows zu blockieren
   • Grund: Die alten 2013er Workflows sind veraltet, werden von Microsoft abgeschaltet und stellen ein Sicherheitsrisiko dar. Nutze Power Automate.
2. OneDrive und Office Online / Versionseinstellungen:
   • Stelle sicher, dass überall die „Neue Erfahrung“ (New Experience) erzwungen wird und das Erstellen von alten Websitesammlungen blockiert ist. Es gibt keinen Grund mehr, die „Klassische Erfahrung“ zu nutzen.

Mobile Pushbenachrichtigungen

• Einstellung: „Zulassen“ (für SharePoint und OneDrive).
• Hinweis: Dies entspricht den Einstellungen, die wir bereits im modernen Menü besprochen haben. Falls hier Diskrepanzen auftreten, gewinnt oft die restriktivere Einstellung. Wir empfehlen das Zulassen, um die Transparenz für den Endanwender zu erhöhen (schnelle Info bei Dateiänderungen).

7. Weitere Funktionen: Spezialaufgaben und „Altlasten“

Der Menüpunkt Weitere Funktionen (More features) ist die Brücke zu den klassischen Verwaltungsseiten. Auch wenn Microsoft diese nach und nach modernisiert, liegen hier noch einige der wichtigsten Hebel für Governance und Compliance verborgen.

Hier sind die drei wichtigsten Bereiche, die du dir ansehen musst:

1. Benutzerprofile (User Profiles)

Dies ist der wohl wichtigste Bereich unter „Weitere Funktionen“ für die tägliche Administration.

• OneDrive-Zugriff verwalten: Wenn ein Mitarbeiter das Unternehmen verlässt oder krankheitsbedingt ausfällt, kannst du hier („Benutzerprofile verwalten“) einen Administrator für dessen OneDrive bestimmen. Das ist der einzige DSGVO-konforme Weg, um Daten zu sichern, ohne Passwörter zurückzusetzen oder sich als der User anzumelden.
• OneDrive-Erstellung steuern: Unter „Benutzerberechtigungen verwalten“ kannst du festlegen, wer überhaupt einen OneDrive for Business erstellen darf.
  • Best Practice: Entziehe Funktions-Accounts, Admin-Accounts oder Kiosk-Usern das Recht, einen persönlichen OneDrive anzulegen. Das minimiert die Angriffsfläche und verhindert Datenablage an falschen Orten.

4. Suche (Search)

Während die moderne Microsoft Search vieles automatisch macht, kannst du hier das Suchschema (Managed Properties) anpassen.

• Security-Aspekt: Die Suche respektiert zwar Berechtigungen (Security Trimming), aber prüfe hier gelegentlich, ob sensitive Metadaten versehentlich als „durchsuchbar“ (searchable) konfiguriert wurden, die in der Vorschau nicht auftauchen sollten.

2. Apps (SharePoint Store)

Hier steuerst du, welche Drittanbieter-Erweiterungen in deinem Tenant landen dürfen.

• Schutz vor Schatten-IT: Konfiguriere die Einstellungen so, dass Nutzer Apps aus dem SharePoint Store nicht einfach installieren dürfen, sondern diese beantragen müssen.
• Warum? Apps haben oft weitreichende Zugriffsrechte auf deine Daten. Ein Genehmigungsprozess stellt sicher, dass du die Vertrauenswürdigkeit und Datenschutzkonformität der App prüfen kannst, bevor sie Daten verarbeitet.

3. Datensatzverwaltung (Legacy) & InfoPath

Viele Punkte in diesem Menü sind Relikte aus alten SharePoint-Versionen.

• Datensatzverwaltung (Records Management): Dieser Punkt bezieht sich auf das klassische „Data Record Center“.
  • Hinweis: Starte hier keine neue Archivierung! Die moderne, revisionssichere Archivierung und Aufbewahrung (Retention Labels) findet heute zentral im Microsoft Purview Compliance Portal statt. Nutze diesen Menüpunkt nur, wenn du noch alte Archiv-Sites migrieren musst.
• InfoPath: Wenn ihr keine alten formularbasierten Prozesse mehr nutzt, deaktiviere die „Browserbasierten InfoPath-Formulare“. Veraltete Dienste, die nicht genutzt werden, sind unnötige Sicherheitsrisiken. Moderne Formulare sollten über Microsoft Power Apps laufen.

4. Hybridauswahl (Hybrid Picker)

Dieser Punkt ist oft verwirrend für reine Cloud-Administratoren, aber entscheidend für klassische IT-Infrastrukturen.

• Worum geht es? Der Assistent automatisiert die Verbindung zwischen deinem lokalen SharePoint Server (On-Premises) und SharePoint Online (z. B. für eine gemeinsame Suche oder synchronisierte Profile).
• Empfehlung: Ignoriere diesen Punkt komplett, wenn dein Unternehmen „Cloud Only“ arbeitet.

Security-Tipp: Falls du tatsächlich eine Hybrid-Umgebung betreiben musst, nutze zwingend diesen Assistenten anstelle manueller Eingriffe. Er richtet die komplexen Vertrauensstellungen (Server-to-Server Trust / OAuth) standardisiert und sicher ein. Manuelle Konfigurationen sind hier extrem fehleranfällig und können ungewollte Sicherheitslücken in deine On-Premises-Umgebung reißen.

Organisatorische Maßnahmen & Fazit

Technische Einstellungen sind nur die halbe Miete. Eine wirksame Compliance-Strategie stützt sich auf vier weitere Säulen:

1. Datenschutzrichtlinien: Lege schriftlich fest, wie mit sensiblen Daten umzugehen ist. Diese Policy ist die Basis für deine technische Konfiguration.
2. Schulungen: Regelmäßige Awareness-Trainings sind unerlässlich. Mitarbeitende müssen wissen, warum sie bestimmte Dateien nicht extern teilen dürfen.
3. Verschlüsselung (Customer Key): Für Organisationen mit extrem hohen Compliance-Anforderungen (z. B. Banken, Gesundheitswesen) bietet Microsoft die „Service Encryption with Customer Key“ an, um die volle Kontrolle über die Verschlüsselungsschlüssel zu behalten.
4. DSFA (Datenschutz-Folgenabschätzung): Führe regelmäßige Analysen durch, um Risiken frühzeitig zu erkennen und deine Konfiguration anzupassen.

Die Sicherheit in SharePoint und OneDrive ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Neben den technischen Härtungen (Deaktivierung anonymer Links, Einschränkung der Synchronisation) sind eine klare Strategie und die gezielte Vergabe von Rollen entscheidend. Ein verantwortungsvoller, durchdachter Umgang mit diesen Werkzeugen stärkt das Vertrauen in die IT und bildet die Basis für eine moderne, sichere Zusammenarbeit.

Weiterführende Links

• Microsoft 365 Compliance Dokumentation
• SharePoint Admin Center Dokumentation
• DSGVO-Grundlagen (Europäische Kommission)

This post is also available in: Deutsch English