Microsoft Purview EU Alternative 2026: Sensitivity Labels, DLP-Policies und CLOUD Act 22/25

Post #1218 in der sota.io EU Cyber Compliance Series — EU-DATA-LOSS-PREVENTION-SERIE #1/5

Es gibt eine Ironie, die in kaum einem Compliance-Audit erwähnt wird: Das CLOUD Act — das US-Gesetz, das US-Behörden erlaubt, Daten von Cloud-Providern weltweit anzufordern — wurde im März 2018 genau deshalb verabschiedet, weil Microsoft gegen eine Grand-Jury-Vorladung geklagt hatte. Der US Supreme Court stand kurz davor, den Fall United States v. Microsoft Corp. zu entscheiden, als Congress das Gesetz eilig verabschiedete, um den DOJ-Anspruch auf Kundendaten in Irland zu kodifizieren. Microsoft selbst ist damit der Auslöser des Gesetzes, das heute jeden EU-Kunden von Microsoft Purview in einer rechtlichen Grauzone hält.

Microsoft Purview (früher: Azure Information Protection, Microsoft 365 Compliance Center, Microsoft Information Protection) ist das zentrale Compliance-Ökosystem für Millionen von EU-Organisationen: Sensitivity Labels, DLP-Policies, Insider Risk Management, Communication Compliance, eDiscovery. Für CISO und Datenschutzbeauftragte stellen sich kritische Fragen: Was genau scannt Purview? Welche Daten landen unter US-Jurisdiktion? Und welche EU-nativen Alternativen bieten echten Schutz?

Microsoft Corporation: Rechtliche Einordnung

Gründung: 1975, Albuquerque NM. Heute: One Microsoft Way, Redmond, Washington, 98052, USA. Inkorporation: Washington State Corporation + operativ als Delaware-C-Corp. Börsennotierung: NASDAQ:MSFT (Dow Jones, S&P 500, Marktkapitalisierung >3 Billionen USD). US-Rechtsstatus: US Person im Sinne des CLOUD Act 18 U.S.C. §2523 ohne Einschränkung.

Microsoft ist nicht nur ein US-Unternehmen — es ist das meistbeschäftigte Unternehmen im US-Geheimdienstbereich: Azure Government wurde von der CIA (Commercial Cloud Services, C2S) und der NSA als primäre Cloud-Infrastruktur gewählt. Jede Microsoft-Entität weltweit, einschließlich Microsoft Ireland Operations Ltd. und Microsoft Deutschland GmbH, ist über 18 U.S.C. §2713 zur Datenherausgabe auf US-Behördenvorladung verpflichtet — unabhängig davon, wo die Daten gespeichert sind.

CLOUD Act Score: 22/25 — Höchstes Risiko in der DLP-Kategorie

Zum Vergleich: ServiceNow (19/25), IBM (20/25), Cisco (21/25). Microsoft Purview ist der Score-Spitzenreiter in allen bisherigen Serien — lediglich Google Workspace und Meta Business Suite erreichen ähnliche Werte.

Die NSA PRISM-Geschichte und ihre DLP-Implikationen

Im Juni 2013 enthüllte Edward Snowden das PRISM-Programm (NSA-Codename: US-984XN). PRISM ermöglichte der NSA direkten Zugriff auf Server von neun US-Tech-Unternehmen — Microsoft war das erste Unternehmen im PRISM-Programm, eingebunden seit September 2007:

Was bedeutet das für Purview-Kunden? FISA Section 702 (Foreign Intelligence Surveillance Act) erlaubt der NSA, von US-Providern — ohne individuellen Richterspruch — Kommunikationsdaten "non-US persons" abzufragen. DLP-Alerts in Microsoft Purview enthalten exakt die Information, die ein Geheimdienst in einem Compliance-Audit interessiert: Wer hat welches Dokument mit welchem Inhalt wann an wen gesendet?

Microsoft veröffentlicht seit 2013 einen Transparency Report. Der Report für 2024 zeigt: Über 10.000 US-Regierungsanfragen wurden beantwortet, davon ein erheblicher Anteil unter FISA/NSL (National Security Letter) — Kategorien, bei denen Microsoft keine Benachrichtigung des Kunden erlaubt ist.

Was Microsoft Purview tatsächlich scannt und speichert

Microsoft Purview umfasst mehrere Produktlinien mit unterschiedlichen Datenzugriffstiefen:

Microsoft Purview Information Protection (MPIP / AIP)

• Sensitivity Labels: Metadaten-Tags (Vertraulich, Streng Vertraulich) auf Dateien und E-Mails. Die Label-Vergabe-Events werden im Microsoft 365 Audit Log gespeichert — unter US-Jurisdiktion.
• Automatische Klassifikation: ML-Modelle scannen Dokumenteninhalt und vergeben Labels. Die Scanning-Events inkl. erkannter Textmuster landen in Azure Purview Log Analytics.
• Rights Management (HYOK): "Hold Your Own Key" bietet partielle Kontrolle, aber Metadaten und Zugriffsevents verbleiben in Microsoft-Infrastruktur.

Microsoft 365 / Purview DLP

• E-Mail DLP: Alle ausgehenden und eingehenden E-Mails in Exchange Online werden gegen DLP-Regeln gematcht. Bei Match: DLP Alert inkl. E-Mail-Snippet → Microsoft Compliance Center → Azure Log Analytics. Dieser Alert enthält potenziell personenbezogene Daten (Namen, IBANs, Gesundheitsdaten je nach Policy).
• Teams DLP: Chat-Nachrichten in Microsoft Teams werden synchron gescannt. DLP-Matches inkl. Nachrichteninhalt werden geloggt. Bei vertraulichen M&A-Diskussionen, HR-Gesprächen oder medizinischen Anfragen: Inhalt unter US-Jurisdiktion.
• SharePoint/OneDrive DLP: Datei-Uploads werden on-write gescannt. Sensible Dokumente (z.B. Verträge, Gesundheitsdaten) triggern DLP-Alerts mit Dateiinhalt-Snippets.
• Endpoint DLP: Agent auf Windows/macOS-Endpunkten überwacht USB-Transfers, Browser-Uploads und Drucker-Events. Behavioral Telemetry fließt in Microsoft Defender → Purview → Azure US Cloud.

Insider Risk Management

• Verhaltensanalyse: Purview Insider Risk Management aggregiert Signals: DLP-Alerts + Teams-Aktivität + SharePoint-Uploads + Azure AD Sign-in-Anomalien → Risikoscore pro Mitarbeiter.
• GDPR Art.22 relevant: Automatisierte Entscheidungen über Mitarbeiter-Compliance-Status basierend auf ML-Scoring. Betriebsrat-Pflicht in vielen EU-Ländern.
• Datenspeicherort: Insider Risk Signals, inkl. Mitarbeiter-Identität und verhaltensbasierter Score, werden in US-Azure-Infrastruktur gespeichert (auch bei EU Data Boundary).

Communication Compliance

• Vollständige Kommunikationsarchivierung: E-Mails, Teams-Chats, Yammer-Posts werden durch ML auf Policy-Verstöße gescannt (Belästigung, Insider Trading, Compliance). Content-Snippets + Nutzer-IDs in US-Rechenzentren.

Microsoft EU Data Boundary: Was es leistet und was nicht

Microsoft hat seit 2023 das EU Data Boundary-Programm (EUDB) ausgebaut. Für Microsoft 365 (inkl. Purview) verspricht Microsoft, Kundendaten "at rest" in der EU/EEA zu speichern. Was das EU Data Boundary NICHT löst:

1. CLOUD Act §2713: Gilt unabhängig vom Speicherort. US-Behörden können Herausgabe verlangen, auch wenn Daten in Dublin/Amsterdam liegen.
2. FISA 702 Surveillance: Zielt auf Kommunikationsinhalte, nicht auf Speicherort. "In transit" Daten können unabhängig von EUDB abgegriffen werden.
3. Purview-Metadaten: DLP-Alert-Metadaten, Sensitivity-Label-Events und Insider-Risk-Signals sind explizit aus dem EU Data Boundary ausgenommen (stand Microsoft EUDB-Dokumentation, Revision 2024).
4. Support-Daten: Microsoft-Support-Ingenieure mit US-Aufenthalt können auf EU-Daten für Diagnose zugreifen — mit EUDB-Opt-in eingeschränkt, aber nicht eliminiert.

Fazit: EU Data Boundary verbessert die Datenlokalisierung marginally, löst aber das fundamentale CLOUD-Act-Problem nicht.

NIS2 Art.21(2)(j) und DORA Art.9-10: Was bedeutet Purview für EU-Compliance?

NIS2 Richtlinie Art.21(2)(j) — Zugangskontrolle und Asset Management

NIS2 Art.21(2)(j) verlangt Maßnahmen zur "Zugriffskontrolle auf Netz- und Informationssysteme und zu deren Sicherheitsmanagement". Microsoft Purview ist als zentrale Klassifikations- und DLP-Infrastruktur ein kritisches Sicherheitswerkzeug. Das Paradox: Das Werkzeug zum Schutz von NIS2-relevanten Daten ist selbst ein US-Cloud-Dienst mit CLOUD-Act-Exposition.

Konkret für NIS2-Scope-Organisationen (essential entities, important entities): Wenn DLP-Alerts über sicherheitsrelevante Incidents (z.B. Datenleck-Versuche, Insider Threats in kritischer Infrastruktur) in US-Infrastruktur gespeichert werden, entsteht ein Konflikt mit der NIS2-Anforderung nach nationaler Kontrolle über Sicherheitsinformationen.

DORA Art.9 und Art.10 — ICT Security Policy für Finanzunternehmen

Für Finanzunternehmen unter DORA ist Microsoft Purview als kritischer ICT-Drittdienstleister im Sinne von DORA Art.28 einzustufen:

• Art.9(2): ICT-Sicherheitsrahmen muss Klassifizierung von ICT-Ressourcen einschließen — Purview ist zentrales Klassifizierungswerkzeug.
• Art.10(1): Mechanismen zur Erkennung anomaler Aktivitäten — Insider Risk Management ist genau das.
• Art.28(4)(g): Audit-Rechte für kritische Drittanbieter — Microsoft erlaubt keine individuelle Sicherheitsprüfung der PRISM/NSA-Vereinbarungen.

GDPR Art.32 + Art.5(1)(f) — Integrität und Vertraulichkeit

DLP-Policies sind per Definition GDPR Art.32-TOMs (Technical and Organisational Measures). Wenn die DLP-Infrastruktur selbst unter US-Geheimdienstjurisdiktion steht, entsteht ein Zirkelschluss:

• Das Tool zum Schutz personenbezogener Daten verarbeitet personenbezogene Daten
• Diese Verarbeitung (DLP-Alerts mit Datei-Snippets, E-Mail-Inhalten, Nutzernamen) unterliegt US-Jurisdiction
• GDPR Art.46-Anforderungen (Schrems II) sind durch SCCs formal erfüllt, aber TIA-Bewertung muss US PRISM + FISA + CLOUD Act berücksichtigen

DPIA-Pflicht: Insider Risk Management ist nach GDPR Art.35 DPIA-pflichtig: systematische, umfangreiche Verhaltensanalyse von Mitarbeitern (Art.35(3)(b)). Die DPIA muss das US-Jurisdiktionsrisiko explizit adressieren.

EU-native Alternativen zu Microsoft Purview DLP: 0/25 Score

Safetica Technologies s.r.o. — 0/25 (Brno, Tschechische Republik)

Unternehmensstruktur: Safetica Technologies s.r.o. wurde 2007 in Brno (CZ) gegründet. Vollständig in der EU inkorporiert. Keine US-Muttergesellschaft, kein US-PE-Eigentümer, kein NASDAQ-Listing.

Produkt: Safetica ONE — Endpoint DLP + Data Classification + User and Entity Behavior Analytics (UEBA). On-Premise oder Cloud (EU-Rechenzentren). Kein US-Datenfluss, keine PRISM-Exposition.

Funktionsumfang:

• Dateibasierte DLP (USB, Print, Cloud-Upload, E-Mail)
• Inhaltserkennung via reguläre Ausdrücke + Fingerprinting
• UEBA: Verhaltensanomalien ohne US-Cloud-Abhängigkeit
• GDPR-Compliance-Reports nativ
• Integration mit ESET (gleiche Ownership-Gruppe)

Einschränkungen: Kein nativer M365-Integration auf Purview-Tiefe, kein eDiscovery, kleinerer Enterprise-Feature-Set. Für KMU bis ~500 Seats stark, für Enterprise >5.000 Users Proof-of-Concept empfohlen.

CLOUD Act Score: 0/25 — keine US-Jurisdiktion, kein FISA-Risiko.

EgoSecure GmbH — 0/25 (Baden-Baden, Deutschland)

Unternehmensstruktur: EgoSecure GmbH, gegründet 2003 in Baden-Baden (DE). Tochtergesellschaft der Matrix42 AG (Frankfurt, DE). Vollständig deutsches Unternehmen, kein US-Eigentümer.

Produkt: EgoSecure Data Protection — Endpoint DLP mit Verschlüsselung, Port-Kontrolle und Content-Awareness. Fokus auf BSI-Grundschutz-konforme Implementierungen.

Funktionsumfang:

• Removable Media Control (USB, CD/DVD, Bluetooth)
• Network DLP (SMTP, HTTP, FTP, Cloud-Uploads)
• Content-basierte Erkennung (Stichwörter, RegEx, Fingerprinting)
• Datei-Verschlüsselung (transparent, EFS-kompatibel)
• BSI IT-Grundschutz-Zertifizierung-ready
• Integriert in Matrix42 Workspace Management

Besonderheit für DE-Kunden: EgoSecure wird von KRITIS-Betreibern, deutschen Behörden und Unternehmen in regulierten Branchen eingesetzt. Kein Cloud-Zwang — vollständige On-Premise-Betrieb möglich.

CLOUD Act Score: 0/25 — keine US-Jurisdiktion.

SECUDE AG / HALOCORE — 0/25 (Glattpark, Schweiz)

Unternehmensstruktur: SECUDE AG, gegründet in Glattpark (Opfikon), Kanton Zürich, Schweiz. Spin-off von SAP und Fraunhofer-Gesellschaft (DE). Fokus: SAP-Daten-Schutz. Keine US-Muttergesellschaft.

Produkt: SECUDE HALOCORE — DLP und Klassifikation für SAP-Umgebungen. Einzige Lösung, die SAP-Daten direkt in der SAP-GUI schützt (nicht auf Netzwerkebene).

Funktionsumfang:

• SAP-native DLP (ABAP-Layer, nicht Proxy-basiert)
• Sensitivity-Label-Integration mit Microsoft AIP/Purview (hybrid)
• SAP Fiori + SAP GUI-Integration
• Data Classification für SAP-Reports und -Exporte
• Für Unternehmen mit SAP als Kernsystem die präziseste EU-native Option

CLOUD Act Score: 0/25 — CH-Datenschutzrecht (nDSG), keine CLOUD-Act-Exposition.

Einschränkung: Speziallösung für SAP-Ökosystem, nicht für generischen M365-DLP-Ersatz geeignet.

CLOUD Act Scoring-Vergleich: EU-DLP-SERIE #1/5

Die nächsten Posts dieser Serie analysieren Symantec DLP (Broadcom), Forcepoint DLP, und Digital Guardian/Fortra — alle US-inkorporiert, alle mit CLOUD-Act-Exposition, alle in EU-Organisationen als Standard-DLP im Einsatz.

Entscheidungsrahmen: Wann migrieren, wann DPIA + SCC, wann bleiben?

Profil 1: Kritische Infrastruktur (KRITIS, NIS2 Essential Entity)

Empfehlung: Migration zu EU-nativem DLP obligatorisch KRITIS-Betreiber in DE und NIS2-Essential-Entities in allen EU-Ländern müssen nach BSI-Anforderungen und NIS2 Art.21(2)(j) sicherstellen, dass Sicherheitswerkzeuge selbst keine Jurisdiktionsrisiken einführen. Für Betreiber kritischer Infrastrukturen (Energie, Wasser, Verkehr, Gesundheit) ist Microsoft Purview mit 22/25 CLOUD-Act-Score nicht als DLP-Backbone vertretbar. EgoSecure (DE, 0/25) oder On-Premise-Alternativen.

Profil 2: Finanzsektor (DORA-Scope)

Empfehlung: DPIA + TIA sofort, mittelfristig Migration DORA Art.28 Kritikalitätsbewertung für Microsoft als ICT-Drittanbieter ist Pflicht. DLP als sicherheitskritische Funktion wird von BaFin und EBA als kritisch eingestuft. Übergangsperiode: DOPIA + SCC + TIA + Dokumentation für Prüfer. Mittelfristig (18 Monate): Evaluation EgoSecure oder Safetica als DORA-konformer Ersatz.

Profil 3: Gesundheitssektor (GDPR Art.9-Sonderkategorien)

Empfehlung: Migration erforderlich — Art.9-Daten unter US-Jurisdiktion inakzeptabel Wenn DLP-Policies Gesundheitsdaten (Art.9-Kategorien) scannen — was bei Krankenhaus-ITSM, EPAs und medizinischen Forschungseinrichtungen Standardfall ist — ist eine DPIA nach Art.35 Pflicht. Die DPIA-Konklusion für Purview wird bei Art.9-Daten unter FISA/NSA-Jurisdiction regelmäßig "hohes Risiko nicht mitigierbar" sein. Safetica als EU-native Alternative oder On-Premise-DLP-Lösung.

Profil 4: M365-abhängige KMU

Empfehlung: DPIA + SCC als Minimum, Hybrid-Ansatz erwägen Für KMU ohne eigene Compliance-Abteilung und mit M365-Abhängigkeit: DPIA durchführen, SCC-Annex II (TOMs) dokumentieren, Microsoft EU Data Boundary aktivieren. Wenn DPIA "hohes Restrisiko" ergibt: Purview DLP durch Safetica ergänzen (Overlay-Ansatz: Safetica auf Endpoint, Microsoft nur für E-Mail-Routing ohne DLP-Scanning).

Migrationspfad: Von Microsoft Purview zu EU-nativem DLP

Phase 1 (Monat 1-2): Bestandsaufnahme

• DLP-Policy-Export aus Microsoft Compliance Center (JSON-Export)
• Inventarisierung aller DLP-Regeln, SITs (Sensitive Information Types) und Ausnahmen
• Mapping auf GDPR-Kategorien (Art.6, Art.9, Art.10)
• Identifikation von Insider-Risk-Management-Nutzern und Genehmigungen (Betriebsrat!)

Phase 2 (Monat 2-4): Pilot

• Parallel-Betrieb: EU-native Lösung auf Pilot-Gruppe (100-500 Users)
• Policy-Übersetzung: Microsoft SITs → Safetica/EgoSecure Content-Regeln
• Functional Gap Analysis: eDiscovery, Communication Compliance, Rights Management-Ersatz
• Alert-Qualitäts-Vergleich: Falsch-Positive, Coverage

Phase 3 (Monat 4-8): Migration

• Stufenweise Umstellung nach Organisationseinheit
• Microsoft Purview für E-Mail-DLP deaktivieren (riskanteste US-Datenverarbeitung)
• Sensitivity Labels: Hybrid-Betrieb möglich (Labels bleiben, Scanning migriert)
• Communication Compliance: Entweder EU-nativ oder explizites Betriebsrat-Abkommen + TIA

Phase 4 (Monat 8-12): Vollbetrieb + Audit

• Microsoft Purview auf Legacy-Archivierungsmodus
• EU-DLP-System als primäres Compliance-Werkzeug
• GDPR Art.30-Verzeichnis aktualisieren
• NIS2/DORA-Audit-Dokumentation vervollständigen

Fazit: Microsoft hat den CLOUD Act gebaut — und Purview-Kunden zahlen den Preis

Die historische Ironie bleibt: US v. Microsoft war der Präzedenzfall, der den CLOUD Act notwendig machte. Microsoft hat jahrelang gegen US-Regierungsanfragen für EU-Kundendaten gekämpft — und verloren, weil Congress das Gesetz angepasst hat, bevor der Supreme Court entschied. Heute ist Microsoft Purview mit 22/25 CLOUD-Act-Score die risikoreichste DLP-Plattform im EU-Markt.

Für CISO, DPO und Compliance-Verantwortliche bedeutet das: Microsoft Purview ist kein Schutzschild für GDPR-Daten — es ist eine US-regulierte Schnittstelle zu Ihren sensibelsten Informationen. Sensitivity-Labels, DLP-Alerts, Insider-Risk-Scores und Teams-Chat-Scans landen unter der Jurisdiktion des Landes, dessen Geheimdienst seit 2007 als erstes in PRISM eingebunden war.

EU-native Alternativen existieren: Safetica (Brno, 0/25), EgoSecure (Baden-Baden, 0/25), SECUDE HALOCORE (Zürich, 0/25) bieten DLP-Funktionalität ohne US-Jurisdiktion. Für die meisten EU-Organisationen ist ein vollständiger M365-Ersatz unrealistisch — aber ein Overlay-Ansatz (EU-native DLP für Endpoint und File, Microsoft für E-Mail-Routing ohne Compliance-Scanning) ist auch im M365-Ökosystem möglich.

In der nächsten Ausgabe der EU-DLP-Serie analysieren wir Symantec DLP (Broadcom Inc.) — das älteste Enterprise-DLP-System im Markt, heute unter dem Dach eines der aggressivsten US-PE-Käufer (Hock Tan, AVGO).

sota.io ist EU-native Managed PaaS — deployed auf Hetzner-Infrastruktur in Deutschland. Kein US-Parent, keine CLOUD-Act-Exposition. Alle Kundendaten bleiben in der EU.