In der modernen Arbeitswelt explodieren die Datenmengen. Was früher „nur“ ein gut sortiertes E-Mail-Postfach war, ist heute ein komplexes Geflecht aus Teams-Chats, OneDrive-Dokumenten, SharePoint-Listen und Exchange-Nachrichten. Für IT-Administratoren und Compliance-Verantwortliche ist das eine wachsende Herausforderung.
Stell dir folgendes Szenario vor: Die Rechtsabteilung steht an deinem Schreibtisch. Es gibt einen rechtlichen Vorfall oder eine dringende DSGVO-Auskunftsanfrage. Du musst sofort jegliche Kommunikation zwischen zwei spezifischen Mitarbeitern zu einem bestimmten Projekt aus den letzten zwei Jahren vorlegen.
Reicht hierfür die einfache Suchfunktion? Nein. Wenn es hart auf hart kommt, müssen Daten nicht nur gefunden, sondern auch rechtssicher exportiert und vor versehentlicher Löschung geschützt werden.
Genau hier kommt Microsoft Purview ins Spiel. Doch viele Administratoren stehen zunächst vor der Frage: Wann nutze ich die einfache Content Search (Inhaltssuche) und wann muss ich ein vollständiges eDiscovery-Verfahren eröffnen?
👉 zum Artikel: Datenschutz mit Microsoft Purview
⚠️ Wichtiger Hinweis: Die eDiscovery-Tools ermöglichen tiefgreifende Einblicke in die Mitarbeiterkommunikation. Kläre vor dem Einsatz intern ab (Datenschutzbeauftragter, Betriebsrat), ob eine Betriebsvereinbarung vorliegt. Technisches „Können“ bedeutet nicht automatisch rechtliches „Dürfen“. Nutze das Vier-Augen-Prinzip.
Was ist die Content Search (Inhaltssuche)?
Die Inhaltssuche ist das Basis-Werkzeug in Microsoft 365, um quer über alle Dienste hinweg nach Daten zu suchen. Sie ist ideal für Ad-hoc-Anfragen, bei denen es rein um das Finden und Exportieren von Informationen geht, ohne dass ein juristischer „Fall“ dahintersteht.
Einsatzgebiete:
- Überprüfung, ob eine bestimmte Datei oder Mail im Tenant existiert.
- Wiederherstellung versehentlich gelöschter Elemente für User.
- Schnelle Analyse des Mailverkehrs bei technischen Problemen.
Wichtig: Die Inhaltssuche bietet keinen „Legal Hold“. Das bedeutet: Während du suchst, könnten Nutzer die Daten theoretisch noch löschen, und sie wären unwiederbringlich weg (sofern keine Retention Policy greift).
Der Weg im Portal: Du findest die Suche meist direkt im eDiscovery-Bereich oder als eigenständigen Punkt, je nach aktueller Portal-Version.
Was ist eDiscovery (Standard & Premium)?
eDiscovery (Electronic Discovery) baut technisch auf der Inhaltssuche auf, fügt aber den entscheidenden Prozess-Layer hinzu. Hier arbeitest du nicht mit losen Suchanfragen, sondern mit Fällen (Cases).
Dies ist notwendig, sobald rechtliche Relevanz besteht. Microsoft unterscheidet hierbei (basierend auf Lizenzen) zwischen Standard und Premium.
Die Kern-Features
- Case Management: Alle Suchen, Halterichtlinien und Exporte werden einem „Fall“ zugeordnet. So behalten verschiedene Teams (HR, Legal, IT) den Überblick.
- Legal Hold (Beweissicherung): Das wichtigste Feature. Du kannst Postfächer oder OneDrive-Sites in einen „Hold“-Status versetzen.
- Der Effekt: Der Nutzer kann weiterarbeiten und löschen, was er will. Im Hintergrund behält Microsoft Purview jedoch eine Kopie der originalen Daten. Der Nutzer merkt davon nichts.
- Review Sets (Premium): Hier können gefundene Dokumente direkt im Browser gesichtet, geschwärzt und markiert werden, bevor sie exportiert werden.
Inhaltssuche vs. eDiscovery (Standard & Premium)
Die Benutzeroberflächen in Microsoft Purview wirken oft ähnlich, aber der Zweck ist grundverschieden. Nimmst du „Kanonen auf Spatzen“ (eDiscovery Premium für eine simple Mail-Suche), verschwendest du Zeit und Lizenzen. Nutzt du ein zu schwaches Tool (Content Search für einen Rechtsstreit), riskierst du Compliance-Verstöße.
Der direkte Vergleich
| Feature / Aspekt | Content Search (Inhaltssuche) | eDiscovery (Standard) | eDiscovery (Premium) |
| Hauptzweck | Schnelle Recherche & Daten-Export | Rechtsfälle verwalten & Beweissicherung | Komplexe Rechtsfälle & tiefe Analyse |
| Fall-Management | Nein (Ad-hoc Suchen) | Ja (Verwaltung in „Cases“) | Ja (Erweitertes Fall-Management) |
| Legal Hold | Nein (Daten können währenddessen gelöscht werden) | Ja (Daten werden „eingefroren“) | Ja (Inkl. Benachrichtigung an User) |
| Custodian Mgmt. | Manuelle Auswahl von Orten | Manuelle Auswahl | Ja (Verwaltung von Verwahrern) |
| Analyse & KI | Keine | Basis-Statistiken | Ja (Dubletten-Erkennung, Threading, Themes) |
| Typisches Szenario | „Hat User X die Mail noch?“ | „Wir haben eine Klage erhalten.“ | „Wir müssen 100.000 Dokumente prüfen.“ |
Wann nutzt du was?
1. Nutze die Content Search (Inhaltssuche), wenn:
- Du lediglich prüfen willst, ob bestimmte Informationen existieren (z. B. „Wurde Datei XY versendet?“).
- Du eine einmalige Suche durchführst, um versehentlich gelöschte Elemente wiederherzustellen.
- Kein rechtlicher Kontext besteht, der ein „Einfrieren“ (Legal Hold) der Daten erfordert.
2. Nutze eDiscovery (Standard), wenn:
- Ein konkreter Fall (interne Untersuchung oder Rechtsstreit) vorliegt.
- Du sicherstellen musst, dass die betroffenen Daten nicht gelöscht werden können (Legal Hold), ohne dass der Benutzer dies bemerkt.
- Du Zugriffsberechtigungen steuern musst (z. B. darf der externe Anwalt nur die Daten dieses spezifischen Falls sehen).
3. Nutze eDiscovery (Premium), wenn:
- Die Datenmenge riesig ist und du KI-Unterstützung brauchst, um Redundanzen (Near-Duplicates) auszusortieren.
- Du den kompletten Kommunikationsverlauf in Teams (Threading) logisch rekonstruieren musst, statt einzelne Chat-Schnipsel zu lesen.
- Du Verwahrer (Custodians) verwalten und diese automatisiert über die Aufbewahrungspflicht informieren musst.
Der Lizenz-Dschungel: Was brauchst du wofür?
Technisch gesehen sind die Funktionen im Portal oft sichtbar, aber ausgegraut oder werfen Fehler, wenn die Lizenz fehlt. Microsoft unterscheidet hier strikt nach dem Funktionsumfang.
Hier ist der Überblick, welche Microsoft 365 Pläne welche Features freischalten:
Level 1: Die Basis (Nur Suchen & Export)
Hier kannst du die Content Search (Inhaltssuche) nutzen, aber keine echten Fälle verwalten und – das ist kritisch – oft keinen Legal Hold (Beweissicherung) setzen.
- Microsoft 365 Business Standard
- Office 365 E1
- Einschränkung: In Business Standard fehlt oft die Exchange Online Plan 2 Funktionalität für rechtssichere Archive/Holds, sofern kein „Exchange Online Archiving“ Add-On gebucht ist.
Level 2: eDiscovery Standard (Fälle & Holds)
Dies ist der „Sweet Spot“ für die meisten mittelständischen Unternehmen. Du kannst Fälle (Cases) anlegen, Legal Holds setzen und Suchen strukturiert verwalten.
- Microsoft 365 Business Premium
- Office 365 E3 / Microsoft 365 E3
- Exchange Online Plan 2 (für reine Mail-Holds)
Level 3: eDiscovery Premium (KI, Custodians & Review)
Für den vollen Funktionsumfang (Deep Learning, OCR, Verwahrer-Benachrichtigungen, Review-Sets) benötigst du die großen Compliance-Lizenzen.
- Office 365 E5 / Microsoft 365 E5
- Microsoft 365 E5 Compliance (Add-On für E3)
- Microsoft 365 E5 eDiscovery and Audit (Kleineres Add-On für E3)
Übersichtstabelle
| Feature | Business Std. | Business Prem. | E3 (O365/M365) | E5 (oder E3 + AddOn) |
| Inhaltssuche | ✅ | ✅ | ✅ | ✅ |
| Fall-Verwaltung | ❌ | ✅ | ✅ | ✅ |
| Legal Hold | ❌ | ✅ | ✅ | ✅ |
| OCR / KI-Analyse | ❌ | ❌ | ❌ | ✅ |
| Review Sets | ❌ | ❌ | ❌ | ✅ |
⚠️ Lizenz-Warnung: Wer braucht die Lizenz? Ein häufiger Irrtum: „Ich als Admin habe E5, also kann ich alles nutzen.“ Falsch: Im Microsoft Compliance-Modell gilt meist: Der Benutzer, der durchsucht oder auf „Hold“ gesetzt wird (Custodian), benötigt die entsprechende Lizenz. Möchtest du also Premium-Features (wie KI-Analyse) auf das Postfach von „Max Mustermann“ anwenden, muss Max Mustermann eine E5-Lizenz (oder das Add-On) zugewiesen haben. Prüfe dies vor einem Audit unbedingt mit deinem Lizenz-Partner!
Bevor du startest: Die Berechtigungen (RBAC)
Ein häufiger Stolperstein: Du bist zwar „Global Admin“, siehst aber die eDiscovery-Menüs nicht. Das ist ein Sicherheits-Feature („Security by Design“). Microsoft trennt operative Admin-Rechte von Daten-Einsichtsrechten.
Um Suchen durchzuführen, musst du dir im Microsoft Purview Portal unter Rollen & Gruppen (Roles & Scopes) spezielle Rechte zuweisen:
- eDiscovery Manager: Darf Fälle erstellen und bearbeiten. Er sieht aber nur seine eigenen Fälle.
- eDiscovery Administrator: Ein sehr mächtiges Recht. Diese Person kann alle eDiscovery-Fälle in der gesamten Organisation einsehen und verwalten.
Tipp: Weise diese Rollen sparsam zu und nutze PIM (Privileged Identity Management), wenn ihr entsprechende Lizenzen (Entra ID P2) habt, um die Rechte nur temporär zu aktivieren.
Best Practices für die Praxis: Suchen wie ein Profi
Ordnung ist das halbe Leben, das gilt besonders im Compliance-Bereich. Ein eDiscovery-Fall ist wie ein digitaler Aktenordner. Bevor du Daten sammelst, musst du diesen Ordner sauber anlegen und konfigurieren.
A. Struktur ist alles: Den Fall (Case) richtig anlegen
Wenn du auf New case klickst, öffnet sich die Erstellmaske. Hier triffst du Entscheidungen, die sich später nur schwer korrigieren lassen. Gehe die Felder strategisch durch:
1. Fallname (Naming Conventions) Nenne Fälle niemals einfach „Test“ oder „Suche“. Nutze ein festes Schema, damit du den Fall auch in drei Jahren noch zuordnen kannst.
- Schema:
YYYY-MM_Abteilung_Thema_TicketID - Beispiel:
2025-12_HR_Mitarbeiter-Austritt_Ticket-4921
2. Fallbeschreibung (Kontext ist King) Nutze dieses Feld, um den Grund der Untersuchung zu dokumentieren. Wer hat den Auftrag gegeben? Welches Jira- oder Service-Desk-Ticket gehört dazu?
- Beispiel: „Verdacht auf Datenabfluss nach Kündigung. Auftrag durch HR-Leitung am 26.12.2025.“
3. Erweiterte Einstellungen: Die Premium-Entscheidung Hier findest du oft unscheinbar die Option eDiscovery (Premium) mit dem Hinweis:
„Aktivieren Sie eDiscovery (Premium), um Premiumfeatures wie durchsuchbare Abfragebedingungen, Suche nach Dateien und Vertraulichkeitstypen zu verwenden.“
- Entscheidungshilfe: Wenn du KI-Analysen nutzen, Verwahrer (Custodians) benachrichtigen oder Review-Sets nutzen möchtest, musst du diesen Haken hier setzen. Ohne Aktivierung startest du im Standard-Modus, der funktionell eingeschränkter ist.
B. Das Feintuning: Die Falleinstellungen (Case Settings)
Nachdem der Fall erstellt ist, lohnt sich ein Blick in die Settings (Einstellungen). Hier entscheidest du über Effizienz vs. Datenchaos. Die Standardwerte sind okay, aber für einen professionellen Workflow solltest du sie anpassen.
1. Berechtigungen (Permissions & Rollengruppen) Hier steuerst du granular, wer diesen spezifischen Fall sehen darf. Das ist der große Vorteil gegenüber der globalen Admin-Rolle.
- Das Prinzip: Füge hier Benutzer hinzu, die nur diesen einen Fall bearbeiten sollen, aber sonst keine Rechte im Tenant haben (z. B. externe Anwälte, HR-Manager oder Abteilungsleiter).
- Rollengruppen: Du kannst ganze Rollengruppen (z. B. „eDiscovery Manager“) oder einzelne User hinzufügen.
- Best Practice: Arbeite streng nach dem „Need-to-Know“-Prinzip. Ein externer Auditor muss nicht wissen, welche anderen Compliance-Fälle gerade gegen andere Abteilungen laufen.
2. Analytische Einstellungen (Search & Analytics) Das Herzstück von eDiscovery Premium. Hier definierst du, wie viel „Intelligenz“ Microsoft Purview auf die Daten anwendet, bevor du sie zu Gesicht bekommst.
- Schwellenwert für Dokumentähnlichkeit (Near-Duplicates):
- Empfehlung: Lass den Wert bei 95% oder höher.
- Was es bringt: Purview erkennt Dokumente, die fast identisch sind (z. B. derselbe Vertrag, einmal als Word, einmal als PDF oder mit nur einem geänderten Datum). Das System gruppiert diese.
- Der Vorteil: Du markierst ein Dokument im Review-Set als „Relevant“, und das System überträgt diese Markierung automatisch auf alle Duplikate. Das spart bei großen Datenmengen hunderte Klicks.
- Optische Zeichenerkennung (OCR):
- Empfehlung: Aktivieren, wenn Bilder, Scans oder Faxe erwartet werden.
- Achtung: OCR benötigt Rechenzeit. Die Verarbeitung der Daten dauert dadurch länger („Processing time“). Wenn es extrem eilt und nur Office-Dateien erwartet werden, kann man es deaktivieren.
- Text ignorieren (Ignore Text):
- Hier kannst du Standard-Texte hinterlegen, die die Analyse verfälschen würden.
- Klassiker: Lange Disclaimer („This email is intended for…“), Datenschutz-Fußzeilen oder Firmenlogos in der Signatur. Wenn diese ignoriert werden, funktioniert die Themenerkennung (Themes) viel präziser.
3. Prüfdateisätze (Review Sets) & Gruppierung Daten sind wertlos ohne Kontext. Unter diesem Punkt konfigurierst du, wie die Ergebnisse im Review-Tool dargestellt werden.
- Gruppierung (Grouping): Lasse die Haken bei Familien-ID und Unterhaltungs-ID gesetzt.
- Familien-ID (Family): Verknüpft E-Mails fest mit ihren Anhängen. Eine Excel-Datei im Anhang ist ohne die erklärende E-Mail oft nicht interpretierbar.
- Unterhaltungs-ID (Conversation Threading): Besonders wichtig für Teams! Ein einzelner Chat-Schnipsel („Ja, mach das.“) ist nutzlos. Die Threading-Funktion rekonstruiert den gesamten Chatverlauf, damit du sehen kannst, worauf sich das „Ja“ bezog.
- Das Ziel: Du prüfst nicht tausende Einzelteile, sondern logische Einheiten.
4. Abschluss: Fallstatus & Lifecycle Ein Fall ist kein statisches Objekt, er hat einen Lebenszyklus.
- Status „Active“: Der Fall läuft, Holds sind aktiv, Review Sets belegen Speicher.
- Schließen (Close Case):
- Wann? Erst wenn das Verfahren rechtskräftig abgeschlossen ist und alle Daten exportiert wurden.
- Warnung: Das Schließen eines Falls hebt alle Legal Holds auf. Daten, die nur durch diesen Fall geschützt waren, werden danach gemäß der regulären Retention Policy (oder durch Benutzerlöschung) entfernt. Dieser Schritt ist oft endgültig!
C. Suchen wie ein Profi: 3 KQL-Vorlagen (Copy & Paste)
Wer in der Suchzeile von Microsoft Purview nur einfache Begriffe eintippt, erhält oft tausende irrelevante Treffer. Um effizient zu arbeiten, nutzen Profis die Keyword Query Language (KQL).
Diese Abfragen kannst du direkt in den Editor der Inhaltssuche (unter „Abfrage-Editor“ / „Query Editor“) kopieren:
Szenario 1: Phishing-Mails finden und bereinigen Die Situation: Du suchst eine gefährliche E-Mail mit einem bestimmten Betreff, die von extern kam. Du willst aber interne Kalendereinträge oder Meeting-Einladungen ausschließen, die denselben Betreff haben.
subject:"Dringende Überweisung" AND senderauthor:externe-domain.com AND NOT kind:meetingsWarum das hilft: senderauthor prüft den tatsächlichen Absender (hilft bei Spoofing). NOT kind:meetings sorgt dafür, dass deine Ergebnisliste sauber bleibt und nicht mit Kalender-Spam verstopft wird.
Szenario 2: Vertrauliche Dokumente finden (DLP-Check) Die Situation: Du musst prüfen, ob Word-Dateien oder PDFs, die „Geheim“ oder „Internal“ im Dateinamen tragen, auf SharePoint oder OneDrive liegen (z. B. in Ordnern, die für Gäste freigegeben sind).
filename:"*Geheim*" AND (filetype:docx OR filetype:pdf)Warum das hilft: Die Sternchen * dienen als Platzhalter (Wildcards). So findest du „Geheim_ProjektA.docx“ genauso wie „2025_Bericht_Geheim.pdf“. Die Klammerung bei (docx OR pdf) ist wichtig, damit die Logik stimmt.
Szenario 3: Die vollständige Historie eines Mitarbeiters Die Situation: Die Rechtsabteilung benötigt jegliche Kommunikation von „Max Mustermann“ aus dem Jahr 2024 – egal ob gesendete Mail, empfangene Mail oder Teams-Chat.
(from:max.mustermann@firma.de OR participants:max.mustermann@firma.de) AND received:2024-01-01..2024-12-31Warum das hilft:
from: Findet alles, was Max gesendet hat.participants: Das ist der „Secret Sauce“ für Teams! Es findet Chats, in denen Max nur Teilnehmer war, sowie E-Mails, in denen er im CC stand...: Die zwei Punkte definieren den Datumsbereich (von-bis).
D. Technische Stolpersteine (Limits & Export)
Du hast den Fall strukturiert, die Settings getunt und die KQL-Suche gefeuert. Jetzt geht es an den Export. Damit dieser reibungslos läuft, beachte basierend auf den Microsoft-Richtlinien folgende Grenzen (siehe auch offizielle Limits):
1. Die 2-GB-Stückelung beim PST-Export Wundere dich nicht, wenn du statt einer riesigen Datei viele kleine erhältst.
- Das Limit: Zwar können PST-Dateien technisch viel größer sein (bis 50 GB), aber um Korruptionsfehler zu vermeiden, splittet das Microsoft Export-Tool die Dateien oft automatisch in 2-GB-Häppchen.
- Die Folge: Plane genügend lokalen Speicherplatz für den Download ein und stelle sicher, dass deine Outlook-Clients mehrere PSTs einbinden können.
2. Throttling (Drosselung) bei Massen-Suchen Die Cloud hat zwar viele Ressourcen, aber sie sind nicht unendlich.
- Das Problem: Wenn du 10 komplexe Suchen oder Exporte gleichzeitig in einem Tenant startest, greift der Selbstschutz von Microsoft 365.
- Der Effekt: Das System drosselt die Geschwindigkeit („Throttling“). Deine Exporte dauern dann nicht Minuten, sondern Stunden.
- Tipp: Starte große Jobs sequenziell (nacheinander) oder lass sie über Nacht laufen.
3. Der blinde Fleck: „Unindizierte Elemente“ Nicht jede Datei kann von Microsoft Purview durchsucht werden.
- Die Ursache: Passwortgeschützte ZIP-Dateien, verschlüsselte Anhänge, extrem große Dateien oder unbekannte Dateiformate.
- Das Risiko: Purview listet diese als „unindexed items“ auf. In einem strengen eDiscovery-Fall (z. B. Betrugsverdacht) ist das gefährlich, da genau in der passwortgeschützten ZIP-Datei der Beweis liegen könnte.
- Lösung: In eDiscovery Premium gibt es Tools, um diese Fehler zu beheben (Remediation), im Standard-Fall musst du diese Elemente oft manuell herunterladen und prüfen.
Fazit: Strategie statt nur „Suchen“
Die Tools in Microsoft Purview sind mächtig. Die aktuelle Umstellung auf die Unified eDiscovery Experience zeigt deutlich, dass Microsoft das Thema Governance und Compliance ernst nimmt.
Für dich als Admin bedeutet das:
- Trenne die Prozesse: Nutze die Inhaltssuche für den operativen IT-Alltag (z. B. Mail-Recovery).
- Schütze dich rechtlich: Sobald Anwälte oder Betriebsräte involviert sind, ist ein eDiscovery-Fall Pflicht, um Manipulationen durch „Legal Hold“ zu verhindern.
- Übe den Ernstfall: Warte nicht auf die Panik-Anfrage am Freitagnachmittag. Lege einen Test-Fall an und probiere die KQL-Suche einmal aus.
Mein Tipp: Warte nicht auf den ersten Notfall. Erstelle einen „Test-Fall“ in deinem Tenant und spiele eine Suche mit den oben genannten KQL-Beispielen einmal durch. Wenn es brennt, musst du wissen, wo der Feuerlöscher hängt.
Weitere Quellen
Grundlagen & Einstieg
- Microsoft Purview eDiscovery Übersicht
- Erste Schritte mit eDiscovery
- Features & Komponenten erklärt
- Abonnements & Lizenzierung
Fälle (Cases) & Workflow
- Der eDiscovery Workflow
- Fälle erstellen und verwalten
- Falleinstellungen konfigurieren
- eDiscovery Administratoren verwalten
Suche (Search) & KQL
- Suchabfragen erstellen (Search Query)
- Der Condition Builder
- Suchstatistiken & Ergebnisse
- Unterstützte Dateitypen
Holds, Export & Review (Premium)
