Sensitivity Labels sind Klassifizierungs- und Schutzetiketten in Microsoft 365, die Dokumente, E-Mails, Teams und SharePoint-Seiten mit einer Vertraulichkeitsstufe versehen. Sie arbeiten auf zwei Stufen: Klassifizierung (sichtbare Kennzeichnung mit Header, Footer oder Wasserzeichen) und optional Verschlüsselung mit granularen Berechtigungen. Für einen erfolgreichen Start reicht meist die Klassifizierung ohne Verschlüsselung — sie nimmt bereits den Großteil der Komplexität aus dem Projekt.
Wenn ein IT-Administrator verhindern will, dass sensible Dokumente versehentlich mit externen Empfängern, unkontrollierten Gastzugängen oder KI-Systemen geteilt werden, braucht er ein System, das Vertraulichkeitsstufen konsistent sichtbar macht und im Bedarfsfall technisch durchsetzt — ohne dass die Einführung Monate dauert oder Endnutzer blockiert werden.
Ein Sensitivity Label hat zwei Wirkungsstufen, die unabhängig voneinander eingesetzt werden können.
Stufe 1: Klassifizierung. Das Label visualisiert die Vertraulichkeitsstufe auf dem Dokument, der SharePoint-Seite oder dem Team. Endnutzer sehen eine Kennzeichnung wie "Internal", "Confidential" oder "Highly Confidential" direkt in der Benutzeroberfläche. Zusätzlich lassen sich Header, Footer und Wasserzeichen mit frei definierbarem Text hinterlegen.
Stufe 2: Verschlüsselung und Berechtigungen. Das Dokument wird technisch verschlüsselt, und zusätzlich zu den SharePoint-Berechtigungen wird eine separate Berechtigungsebene am Label selbst definiert. Das heißt: Selbst wenn ein Dokument versehentlich mit "Everyone except external" geteilt wurde, kann es niemand öffnen, der nicht explizit am Label berechtigt ist. Auch beim Upload an externe KI-Tools kann das Dokument dort nicht verarbeitet werden, weil es nicht entschlüsselt werden kann.
Wichtig: Sie müssen nicht beide Stufen gleichzeitig einführen. Reine Klassifizierung ohne Verschlüsselung hat bereits erheblichen Effekt — allein die sichtbare Kennzeichnung "High Confidential" oder "Bitte nicht mit KI verwenden" ändert das Nutzerverhalten spürbar und nimmt 80 % der Projektkomplexität raus.
Technisch besteht ein Sensitivity Label aus zwei getrennten Konfigurationsobjekten: dem Label selbst (definiert Verschlüsselung, Berechtigungen, Content Marking) und der Publishing Policy (bestimmt, welche Nutzer das Label sehen und anwenden können). Beides muss konfiguriert werden, damit Endnutzer ein Label überhaupt nutzen können.
Sensitivity Labels können auf zwei völlig unterschiedlichen Ebenen angewendet werden — und die meisten Fehler entstehen, weil dieser Unterschied nicht verstanden wird.
| Kriterium | Container-Ebene | Datenebene |
|---|---|---|
| Anwendbar auf | Teams, Microsoft 365 Gruppen, SharePoint-Seiten | Dokumente, E-Mails, Teams-Meetings, Chats, Power BI, Fabric |
| Wirkung | Setzt Gruppen-/Seiteneinstellungen (Gäste, Privacy, Unmanaged Devices) | Kennzeichnet und schützt den Inhalt selbst |
| Verschlüsselung | Nein — nur Einstellungen | Optional — inklusive Berechtigungen |
| Vererbung auf Dokumente | Keine Vererbung | Direkt am Dokument |
| Content Marking | Nicht verfügbar | Header, Footer, Wasserzeichen möglich |
Container-Labels steuern die Konfiguration der Gruppe oder Seite: Wer darf als Gast hinzugefügt werden, welche Zugriffsarten sind für unmanaged Devices erlaubt, ist das Team privat oder öffentlich, ist es im Team-Verzeichnis sichtbar? Das Label setzt diese Einstellungen, hat aber keinen Einfluss auf Dokumente innerhalb der SharePoint-Bibliothek.
Eine wichtige Stolperfalle bei Container-Labels: Wenn Sie das Label wieder entfernen, werden die einmal gesetzten Einstellungen nicht zurückgerollt. Hat ein Label die SharePoint-Seite auf "keine externe Freigabe" gesetzt und Sie entfernen das Label, bleibt "keine externe Freigabe" bestehen. Nur beim Wechsel auf ein anderes Label werden die Einstellungen des neuen Labels synchronisiert. Wer ein Label entfernt, muss die Einstellungen manuell oder per Skript zurücksetzen.
Labels auf der Datenebene haben eine komplett andere Aufgabe: Sie kennzeichnen und schützen einzelne Dokumente, E-Mails oder Meetings. Die SharePoint-Berechtigungen werden durch die Label-Verschlüsselung überschrieben — ein am Label nicht berechtigter Nutzer kann das Dokument auch dann nicht öffnen, wenn ihm SharePoint den Zugriff erlaubt.