Daten haben ein Verfallsdatum, oder eine Ewigkeitspflicht. Die Kunst liegt darin, beides automatisch zu managen.
Hand aufs Herz: Kannst du garantieren, dass jede geschäftliche E-Mail der letzten 10 Jahre revisionssicher verfügbar ist, selbst wenn sie ein Mitarbeiter gestern aus dem Papierkorb gelöscht hat?
Viele Administratoren verlassen sich hier fälschlicherweise auf das Backup. Doch ein Backup dient der Wiederherstellung bei Ausfällen (Disaster Recovery), nicht der rechtssicheren Archivierung. In der IT stehen wir täglich im Spagat: Die GoBD zwingen uns, Daten jahrelang aufzubewahren, während die DSGVO das Löschen verlangt („Recht auf Vergessenwerden“).
Dieser Spagat lässt sich manuell nicht mehr bewältigen. Hier kommt Microsoft Purview Data Lifecycle Management (DLM) ins Spiel.
In diesem Leitartikel verschaffen wir uns den kompletten Überblick über die Strategie dahinter. Wir klären die entscheidenden Unterschiede zwischen Backups und Archiven, beleuchten die Lizenzfragen und schauen uns an, wann du zur groben „Gießkanne“ (Policies) oder zum feinen „Skalpell“ (Labels) greifen musst.
Backup ist kein Archiv: Die Begriffsverwirrung
Bevor wir in die Konfiguration im Portal einsteigen, müssen wir ein fundamentales Missverständnis ausräumen, das ich in IT-Abteilungen immer wieder höre: „Wir brauchen keine Retention Policy, wir haben doch ein Veeam/Datto/AvePoint Backup, das 10 Jahre zurückreicht.“
Das ist technisch zwar oft korrekt (die Daten sind da), aber compliance-seitig gefährlich und operativ ein Albtraum.
Die zwei Säulen der Datensicherheit
Um eine Microsoft 365 Umgebung wirklich abzusichern, musst du zwei völlig unterschiedliche Szenarien abdecken. Man kann sie in Disaster Recovery (Backup) und Compliance (Retention) unterteilen:
- Das Backup (Disaster Recovery)
- Fokus: Wiederherstellung des Geschäftsbetriebs nach einem Ausfall.
- Szenario: Ein Mitarbeiter löscht versehentlich einen Ordner, Ransomware verschlüsselt SharePoint, oder Microsoft hat einen Service-Ausfall.
- Ziel: Wir wollen den Stand von „Gestern 14:00 Uhr“ exakt so wiederherstellen (RPO/RTO).
- Problem: Ein Backup ist eine Momentaufnahme (Snapshot). Es ist für juristische Suchen (eDiscovery) ungeeignet. Niemand möchte 3.000 Backup-Tapes (oder Cloud-Snapshots) mounten, um nach der E-Mail mit dem Betreff „Geheimprojekt“ zu suchen.
- Die Aufbewahrungsrichtlinie (Data Lifecycle & Compliance)
- Fokus: Rechtssicherheit, Datenhoheit und eDiscovery.
- Szenario: Steuerprüfung (GoBD), Rechtsstreit (Legal Hold) oder die DSGVO-Löschpflicht für Bewerberdaten.
- Ziel: Daten müssen für einen definierten Zeitraum unveränderbar (Immutable) gespeichert sein.
- Vorteil: Die Daten bleiben im Tenant live indexiert. Du musst nichts „wiederherstellen“, um es einem Auditor zu zeigen – eine einfache Suche im Compliance-Center genügt.
Wie Exchange Online das technisch löst: Der „Recoverable Items“ Ordner
Für den Endanwender arbeiten Retention Policies komplett unsichtbar. Das ist der große Vorteil gegenüber klassischen Archiven, bei denen Nutzer Daten oft manuell verschieben mussten.
Wenn du eine Retention Policy (z. B. „7 Jahre aufbewahren“) auf ein Postfach legst, passiert im Hintergrund Folgendes:
- Das Löschen: Der Benutzer löscht eine E-Mail und leert den Papierkorb („Hard Delete“). Für ihn ist die Mail weg und der Speicherplatz wird in seiner Ansicht freigegeben.
- Das Abfangen: Exchange greift ein. Anstatt die Daten physisch von der Festplatte zu wischen, verschiebt das System das Element in den versteckten Systemordner „Recoverable Items“ (Wiederherstellbare Elemente), genauer gesagt in den Unterordner DiscoveryHolds.
- Das Bearbeiten (Wichtig!): Nicht nur Löschen wird überwacht. Ändert ein User eine E-Mail oder ein Dokument, speichert Exchange dank „Copy-on-Write“ (CoW) die Originalversion ebenfalls im Hintergrund ab.
- Die Aufbewahrung: Dort bleiben die Daten liegen, bis die 7 Jahre abgelaufen sind. Sie sind für den User unsichtbar, aber für den Admin via Content Search oder eDiscovery jederzeit auffindbar.
Das bedeutet: Retention schützt vor Manipulation. Selbst wenn ein kompromittierter User-Account versucht, Beweise zu vernichten, verhindert die Richtlinie das physische Löschen aus der Datenbank.
Datenschutz-Hinweis: Retention Policies sind ein zweischneidiges Schwert. Du darfst nicht einfach alles für immer aufbewahren. Die DSGVO fordert Datensparsamkeit (Storage Limitation). Eine Retention Policy dient also nicht nur dem Behalten, sondern auch dem automatisierten Löschen (Disposition), sobald Daten ihren Zweck erfüllt haben.
💡 Rechtliche Fristen & Technische Umsetzung
Bevor wir konfigurieren, müssen wir das „Wer“ und „Wie lange“ klären. Hier trifft deutsche Bürokratie auf Microsoft-Logik.
1. Die rechtliche Basis (GoBD) | In Deutschland geben die GoBD den Takt vor:
- 6 Jahre: Für Handels- und Geschäftsbriefe (normale geschäftliche Korrespondenz).
- 10 Jahre: Für Bilanzen, Rechnungen und steuerrelevante Belege.
Tipp: Da Software kaum zuverlässig zwischen „Handelsbrief“ und „Rechnung“ unterscheiden kann, wählen die meisten Unternehmen pauschal 10 Jahre für alles. Das minimiert das Risiko, steuerrelevante Daten zu früh zu löschen.
2. Die Zielscheibe: Statisch (E3) vs. Adaptiv (E5) | Wie landet die Richtlinie beim User? Microsoft unterscheidet hier streng nach Lizenz:
- Statische Bereiche (Business Premium / E3): Die klassische Methode. Du wählst Gruppen oder User einzeln aus.
- Wer nutzt das: Alle mit Microsoft 365 Business Standard, Business Premium oder Enterprise E3.
- Nachteil: Hoher Wartungsaufwand bei Granularität. Wählst du „Alle Benutzer“, sind neue Mitarbeiter automatisch dabei. Willst du aber nur die Abteilung „Finance“ (ohne E5-Lizenz), musst du User einzeln auswählen und jeden neuen Mitarbeiter händisch der Policy hinzufügen.
- Adaptive Bereiche (E5 / Compliance Add-on): Der automatische Weg. Du definierst dynamische Regeln wie
Abteilung = 'Finance'oderLand = 'DE'.- Wer nutzt das: Nur User mit E5 oder dem Zusatzpaket Information Governance.
- Vorteil: Zero-Touch-Administration. Wechselt ein Mitarbeiter die Abteilung, greift sofort die richtige Richtlinie.
Wichtig für Business Premium: Auch wenn der Name „Premium“ suggeriert, dass alles automatisiert ist: Die Auswahl der User (Scopes) ist hier technisch identisch mit der Standard-Version (Statisch). Der große Vorteil von Premium liegt nicht in der Verteilung der Policy, sondern im Speicherplatz des Exchange Online Archivs (1,5 TB Archiv vs. 50 GB Limit).
Disclaimer: Ich bin kein Anwalt. Kläre die verbindlichen Fristen bitte immer mit deiner Rechtsabteilung oder dem Datenschutzbeauftragten, bevor du Automatismen aktivierst.
Lizenz-Dschungel: Was kostet die Sicherheit?
Bevor wir konfigurieren, müssen wir kurz über Lizenzen sprechen. Microsoft unterscheidet im Purview-Kosmos strikt zwischen dem reinen Aufbewahren von Massendaten (Data Lifecycle Management) und dem verwalten hochkritischer Dokumente mit Beweiskraft (Records Management).
Für dein Budget und deine Planung gilt folgende Faustformel:
Pauschal & Statisch ist Standard (E3 / Business). Automatisch, Dynamisch & Revisionssicher ist Premium (E5).
Damit du nicht die falsche Lizenz kaufst, habe ich die Funktionen hier in zwei Szenarien (Enterprise & KMU) aufgeschlüsselt.
1. Enterprise: Der Unterschied zwischen E3 und E5
In der Enterprise-Welt ist die Trennung klar: Willst du die „Gießkanne“ (alles aufbewahren) oder das „Skalpell“ (nur Wichtiges automatisch finden)?
| Funktion / Szenario | Microsoft 365 E3 (Standard) | Microsoft 365 E5(oder Information Governance Add-on) |
| Basis-Retention („Behalte alles in Exchange/Teams für 10 Jahre“) | ✅ Enthalten | ✅ Enthalten |
| Statische Bereiche (Static Scopes) (Manuelle Auswahl von Usern/Gruppen) | ✅ Enthalten | ✅ Enthalten |
| Manuelle Retention Labels (Nutzer wählt Label „Vertrag“ per Klick) | ✅ Enthalten | ✅ Enthalten |
| Adaptive Bereiche (Adaptive Scopes) („Alle User aus Abteilung Finance“ automatisch erfassen) | ❌ Nicht enthalten | ✅ Enthalten |
| Automatisches Labeling (Auto-Apply) (Label setzen basierend auf Keywords oder sensitivem Inhalt) | ❌ Nicht enthalten | ✅ Enthalten |
| Records Management Features (Lösch-Nachweis, Disposition Review, Dateipläne) | ❌ Nicht enthalten | ✅ Enthalten |
2. Sonderfall KMU: Business Standard vs. Business Premium
Viele Administratoren gehen fälschlicherweise davon aus, dass Compliance-Features nur den „Großen“ vorbehalten sind. Das stimmt nicht: Auch mit Microsoft 365 Business Standard und Business Premium (bis 300 User) hast du Zugriff auf Aufbewahrungsrichtlinien.
Aber Vorsicht: Es gibt eine kritische „Speicher-Falle“ bei Business Standard.
| Funktion | Business Standard | Business Premium |
| Basis-Aufbewahrung (Retention Policy) | ✅ Enthalten | ✅ Enthalten |
| Exchange Online Archiv (Auto-Expanding Archive) | ❌ Nein (Nur 50 GB Postfach) | ✅ Ja (1,5 TB Archiv) |
| Manuelle Labels | ✅ Enthalten | ✅ Enthalten |
| Automatisierung (Auto-Apply) | ❌ Nein | ❌ Nein |
| Adaptive Scopes | ❌ Nein | ❌ Nein |
Warum Business Standard für GoBD gefährlich werden kann
Wenn du in Business Standard eine Richtlinie konfigurierst („Alle E-Mails 10 Jahre aufbewahren“), funktioniert das technisch sofort.
Das Problem: Das Postfach in Business Standard ist hart auf 50 GB begrenzt. Wenn du User zwingst, Mails über ein Jahrzehnt aufzubewahren (auch die gelöschten Mails im Hintergrund!), wird dieses Limit rasend schnell erreicht. Ist das Postfach voll, kann der User keine Mails mehr senden oder empfangen – und du hast ein Support-Ticket.
Die Lösung: Business Premium
Hier spielt Microsoft 365 Business Premium seine Stärke aus. Es enthält (genau wie Enterprise E3) die Lizenz für Exchange Online Archiving.
- Damit kannst du eine Archivrichtlinie aktivieren, die alte E-Mails (z. B. älter als 2 Jahre) automatisch in ein Online-Archiv verschiebt.
- Dieses Archiv bietet bis zu 1,5 TB Speicherplatz.
- Fazit: Für eine ernsthafte, langjährige Aufbewahrung (GoBD 10 Jahre) ist Business Standard ein technisches Risiko (Speicherplatz). Business Premium ist hier die sichere Bank.
Upgrade-Tipp: Wenn du bereits Business Standard hast, kannst du die Lizenz „Exchange Online Archiving“ auch einzeln als Add-on dazubuchen, ohne gleich alle User auf Premium migrieren zu müssen.
💡 Wissen: Auto-Expanding Archive | Die Wahrheit
Die Zahl 1,5 Terabyte klingt verlockend, quasi unendlicher Speicher. Doch als Admin musst du wissen, dass dieser Speicher nicht wie eine leere Festplatte bereitsteht. Microsoft nutzt ein Verfahren namens Auto-Expanding Archiving, das strenge Regeln hat:
- Der Start: Das Archiv beginnt meist mit einer Kapazität von 100 GB. Es ist nicht ab Tag 1 voll verfügbar.
- Das Wachstum: Erst wenn diese 100 GB fast voll sind (ca. 90%), wird im Hintergrund automatisch Speicher nachgeschoben. Dieser Prozess geschieht nicht in Echtzeit. Es kann bis zu 30 Tage dauern, bis neuer Platz bereitgestellt wird.
- Die Migrations-Bremse: Microsoft empfiehlt, das Archiv nicht schneller als 1 GB pro Tag wachsen zu lassen. Wenn du versuchst, 500 GB alte PST-Dateien an einem Wochenende in das Archiv eines Users zu schieben, wirst du in Drosselungen laufen oder der Import schlägt fehl.
Einen Haken gibt es aber: Bei Business Premium ist die Funktion „Auto-Expanding“ standardmäßig oft nicht aktiviert. Das Archiv startet also erst mal mit einer Obergrenze (oft 50 oder 100 GB).
Als Admin musst du das „Wachstum“ explizit einschalten. Das geht am zuverlässigsten per PowerShell:
# Für einen einzelnen User aktivieren: Enable-Mailbox "user@firma.de" -AutoExpandingArchive # Prüfen, ob es wirklich an ist: Get-Mailbox "user@firma.de" | Select AutoExpandingArchiveEnabled
Manuell vs. Automatisch: Der Faktor Mensch (und Lizenz)
Ein entscheidender Unterschied bei der Arbeit mit Labels ist die Frage: Wer klebt das Etikett auf die Datei? Hier zieht Microsoft eine harte Lizenz-Grenze.
- Manuell (Standard | E3 / Business Premium):Du stellst die Labels zentral bereit (z. B. „Geschäftsführung 10 Jahre“, „Intern 5 Jahre“). Der Benutzer muss in Word, Outlook oder Teams jedoch aktiv daran denken, das richtige Label auszuwählen.
- Das Risiko: Der Faktor Mensch. User vergessen das Labeln oder klassifizieren falsch.
- Das Risiko: Der Faktor Mensch. User vergessen das Labeln oder klassifizieren falsch.
- Automatisch (Premium | E5 / Compliance Add-on):Das System übernimmt die Arbeit. Es scannt Inhalte im Hintergrund. Findet es das Wort „Rahmenvertrag“ oder Muster wie Kreditkartennummern, wird das Label automatisch angewendet. Das garantiert eine lückenlose Compliance ohne Nutzer-Interaktion.
Auf einen Blick: Policy vs. Label | Damit du nie wieder überlegst, welches Werkzeug das richtige ist, hier der direkte Vergleich:
| Funktion | Aufbewahrungsrichtlinie (Policy) | Aufbewahrungsbezeichnung (Label) |
| Ziel | Der Container (Postfach, Site, Team) | Das Element (Datei, E-Mail) |
| Logik | „Gießkanne“ (Alles wird gleich behandelt) | „Skalpell“ (Individuelle Steuerung) |
| Schutzumfang | Verhindert nur das Löschen | Verhindert Löschen & optional Bearbeiten (als Record) |
| Sichtbarkeit | Unsichtbar im Hintergrund | Sichtbar für den User (als Tag/Spalte) |
| Mobilität | Gilt nur stationär am Speicherort | Reist mit der Datei mit (auch beim Verschieben) |
| Hauptzweck | Basis-Absicherung (Sicherheitsnetz) | Spezifische Compliance (Verträge, Personalakten) |
💡 Tipp (Die Hierarchie): Starte immer mit einer globalen Richtlinie (Policy) als Sicherheitsnetz für alles. Ergänze dann Labels für spezifische Dokumententypen, die von der Norm abweichen.
Wichtig für das Verständnis: Im Konfliktfall gewinnt Explizit vor Implizit. Das bedeutet: Ein Label, das direkt an einer Datei klebt (Explizit), überschreibt fast immer die allgemeine Container-Richtlinie (Implizit).
Teil 1: Die globale Basis-Absicherung (Retention Policy)
Genug der Theorie und Lizenz-Tabellen. Wie setzen wir das nun technisch um? Der erste Schritt ist meist die „Gießkanne“: Wir wollen eine Aufbewahrungsrichtlinie (Retention Policy) erstellen, die pauschal deine Exchange-Postfächer und Teams-Chats absichert.
In diesem Deep-Dive Guide führe ich dich Schritt für Schritt durch den Assistenten im Purview Portal. Wir klären dabei kritische Fragen:
- Warum du SharePoint aktivieren musst, um Teams wirklich zu sichern.
- Die Entscheidung zwischen „Statisch“ (E3) und „Adaptiv“ (E5).
- Die Logikfalle: Der Unterschied zwischen „Retain only“ und „Retain and Delete“.
👉 zur Anleitung: Einrichtung einer Retention Policy
Teil 2: Das Skalpell für Dokumente (Retention Labels)
Eine globale Richtlinie ist gut, aber manchmal zu grob. Was machst du, wenn in derselben SharePoint-Bibliothek Arbeitsverträge (ewig behalten) neben Bewerbungsunterlagen (löschen nach 6 Monaten) liegen? Hier kommen Aufbewahrungsbezeichnungen (Labels) ins Spiel. Sie kleben direkt an der Datei und reisen mit ihr mit.
In diesem Artikel zeige ich dir:
- Wann du zwingend Labels statt Policies nutzen solltest (Granularität & Records Management).
- Wie du Labels konfigurierst, die Ereignisbasiert auslösen (z. B. „10 Jahre nach Vertragsende“).
- Welche Einstellungen du brauchst, um Löschungsprüfungen (Disposition Reviews) zu aktivieren.
👉 zur Anleitung: Aufbewahrungsbezeichnungen (Labels) erstellen
Teil 3: Labels sichtbar machen (Label Policy)
Du hast Labels erstellt, aber deine User finden sie nicht in Outlook oder Word? Das ist normal. Ein Label ist wie ein Produkt im Lager – es nützt nichts, solange es nicht im Regal steht. Damit deine Benutzer die Bezeichnungen auswählen können, musst du sie über eine Bezeichnungsrichtlinie (Label Policy) veröffentlichen.
Hier lauern die meisten Stolpersteine beim Testen. Ich erkläre dir in diesem Guide:
- Wie du Labels gezielt an Abteilungen veröffentlichst.
- Warum du bei Outlook manchmal tagelang wartest (und was die „10 MB Hürde“ damit zu tun hat).
- Wie du prüfst, ob die Richtlinie erfolgreich verteilt wurde.
👉 zur Anleitung: Bezeichnungen veröffentlichen
Fazit: Dein Tenant ist jetzt erwachsen
Herzlichen Glückwunsch! Mit der Einrichtung dieser Mechanismen hast du den Schritt vom „wilden Datensammeln“ zum professionellen Data Lifecycle Management gemacht.
Was wir heute erreicht haben, ist das Fundament für einen sauberen und sicheren Microsoft 365 Tenant:
- Rechtssicherheit (GoBD): Du kannst ruhiger schlafen, weil du weißt, dass geschäftsrelevante E-Mails und Belege für 10 Jahre gesichert sind – egal, ob ein User den Papierkorb leert.
- Datenschutz (DSGVO): Durch automatische Löschregeln (z. B. für Bewerberdaten oder temporäre Projektfiles) erfüllst du die gesetzlichen Anforderungen an die Datensparsamkeit, ohne manuell „ausmisten“ zu müssen.
- Sauberkeit & Kosten: Dein Tenant müllt nicht endlos zu. Das hält die Suchergebnisse in SharePoint relevant und spart langfristig teuren Speicherplatz im Archiv.
Doch Daten nur aufzubewahren (oder zu löschen), ist erst der Anfang. In der Welt von Microsoft Purview greifen die Räder ineinander – als Nächstes warten Themen wie Data Loss Prevention (DLP) und Sensitivity Labels auf dich.
Hinterlasse jetzt einen Kommentar