Sensitivity Labels
Sensitivity Labels sind Klassifizierungs- und Schutzfunktionen in Microsoft 365, die Dokumente, E-Mails und Container wie Teams oder SharePoint-Sites mit einer Vertraulichkeitsstufe versehen und automatisch technische Schutzmaßnahmen wie Verschlüsselung oder Zugriffsbeschränkungen durchsetzen.
Ausführliche Erklärung
Sensitivity Labels – auf Deutsch Vertraulichkeitsbezeichnungen – sind Teil von Microsoft Purview Information Protection und funktionieren wie digitale Sicherheitsetiketten. Wenn Sie ein Label wie "Vertraulich" oder "Öffentlich" auf ein Dokument anwenden, wird diese Klassifikation in den Metadaten gespeichert und bleibt mit dem Inhalt verbunden, unabhängig davon, wohin er kopiert oder weitergeleitet wird. Die Labels sind als Klartext gespeichert, sodass auch Drittsysteme sie auslesen und entsprechend reagieren können.
Die Funktionsweise umfasst zwei Ebenen: Auf der Klassifikationsebene erfolgt eine sichtbare Kennzeichnung durch Kopf- oder Fußzeilen sowie Wasserzeichen. Auf der Schutzebene können Labels optional technische Maßnahmen erzwingen – etwa Verschlüsselung, eingeschränkte Bearbeitungsrechte, blockierte externe Freigabe oder zeitlich begrenzten Zugriff. Besonders relevant ist die Integration mit Microsoft 365 Copilot: Labels steuern, welche Inhalte die KI in Antworten einbeziehen darf.
Für KMU sind Sensitivity Labels vor allem deshalb interessant, weil sie Datenschutzanforderungen operativ umsetzbar machen, ohne die Produktivität zu beeinträchtigen. Statt auf Schulungen und Eigenverantwortung zu vertrauen, wird der Schutz technisch durchgesetzt. Ein als "Streng vertraulich" gelabeltes Dokument kann beispielsweise automatisch verschlüsselt werden und lässt sich nicht mehr per E-Mail an externe Adressen versenden – selbst wenn ein Mitarbeiter dies versehentlich versucht.
Die Implementierung setzt eine klare Informationsklassifizierungsstrategie voraus. Best Practice ist eine einfache Hierarchie mit drei bis fünf Labels wie "Öffentlich", "Intern", "Vertraulich" und "Streng vertraulich". Labels können manuell von Nutzern angewendet oder – mit entsprechender Lizenzierung – automatisch auf Basis von Inhalten gesetzt werden. Sie sind in Microsoft 365 E3/E5 sowie Business Premium enthalten, erweiterte Funktionen wie vollautomatisches Labeling erfordern jedoch E5 oder Compliance-Add-ons.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 18 Mitarbeitenden implementiert drei Sensitivity Labels: "Öffentlich" für Marketingmaterial, "Intern" für allgemeine Arbeitsdokumente und "Mandantendaten – vertraulich" für alle Unterlagen mit personenbezogenen Daten. Das Label "Mandantendaten" verschlüsselt Dokumente automatisch und verhindert die Freigabe an externe E-Mail-Adressen. Mitarbeitende wählen das Label beim Erstellen eines Dokuments aus; in SharePoint-Dokumentbibliotheken wird "Intern" als Standard vorkonfiguriert. Nach sechs Monaten zeigt ein Governance-Bericht, dass 89 Prozent aller Dokumente gelabelt sind und keine ungewollten externen Freigaben mehr stattgefunden haben.