Microsoft Purview
Microsoft Copilot verändert die Art, wie Steuerkanzleien mit Daten arbeiten, grundlegend. Informationen werden nicht mehr nur abgelegt oder weitergegeben, sondern aktiv ausgewertet, miteinander verknüpft und in neue Zusammenhänge gebracht.
Genau an dieser Stelle wird ein strukturelles Problem sichtbar: Viele Kanzleien haben ihre Daten nie so aufgebaut, dass sie für diese Art der Nutzung geeignet sind. Was früher „gut genug“ war, wird im Kontext von KI schnell zum Risiko.
Denn KI greift nicht nur auf einzelne Dokumente zu. Sie bewegt sich durch den gesamten Datenraum einer Kanzlei.
Warum klassische Sicherheitsansätze nicht mehr funktionieren
In vielen Steuerkanzleien wird Sicherheit noch immer nachgelagert gedacht. Inhalte entstehen zunächst frei, werden geteilt, verschoben und bearbeitet – und erst im zweiten Schritt beginnt man, über Schutzmechanismen nachzudenken.
Dieses Vorgehen hat lange funktioniert, weil Daten überwiegend in klar abgegrenzten Kontexten genutzt wurden. Heute ist das anders. Systeme wie Copilot durchbrechen diese Grenzen bewusst, weil sie gerade aus der Verbindung von Informationen ihren Mehrwert ziehen.
Wenn Daten in diesem Moment nicht strukturiert geschützt sind, entstehen Risiken, die sich im Nachhinein kaum noch kontrollieren lassen. Oversharing ist dabei kein Ausnahmefall, sondern eher der Normalzustand.
Der eigentliche Paradigmenwechsel
Der Ansatz „Secure by Default“ kehrt diese Logik um. Statt Sicherheit erst dann zu aktivieren, wenn ein Risiko erkannt wird, wird Schutz zum Ausgangspunkt jeder Datenverarbeitung.
Das bedeutet: Inhalte entstehen nicht mehr ungeschützt, sondern bewegen sich von Anfang an innerhalb eines definierten Sicherheitsrahmens. Zugriffe, Weitergabe und Nutzung werden nicht spontan entschieden, sondern folgen klaren Regeln, die technisch durchgesetzt werden.
Der entscheidende Unterschied liegt darin, dass nicht mehr der Nutzer verantwortlich ist, den richtigen Schutz auszuwählen. Das System stellt sicher, dass Daten automatisch korrekt behandelt werden.
Warum das im Kontext von KI entscheidend ist
Mit der Nutzung von KI verändert sich nicht nur die Menge der verarbeiteten Daten, sondern auch deren Reichweite. Informationen werden nicht mehr isoliert betrachtet, sondern in übergreifenden Kontexten verwendet.
Das führt dazu, dass sich Fehler in der Datenstruktur unmittelbar verstärken. Eine falsch abgelegte Information bleibt nicht lokal begrenzt, sondern kann in unterschiedlichsten Zusammenhängen auftauchen.
Gerade in regulierten Umgebungen wie Steuerkanzleien wird das schnell kritisch. Wenn sensible Inhalte nicht eindeutig klassifiziert und geschützt sind, kann KI auf Informationen zugreifen, die eigentlich nicht für den jeweiligen Kontext bestimmt waren.
Ein sauber implementierter „Secure by Default“-Ansatz verhindert genau diese Situation. Er sorgt dafür, dass KI nur mit Daten arbeitet, die strukturell korrekt eingeordnet und abgesichert sind.
Vom Konzept zur Umsetzung
Der Ansatz wirkt auf den ersten Blick radikal, lässt sich in der Praxis aber schrittweise umsetzen. Entscheidend ist dabei nicht die technische Komplexität, sondern die Reihenfolge der Maßnahmen.
Zunächst geht es darum, einen grundlegenden Schutzstandard zu etablieren. Neue Inhalte werden automatisch klassifiziert und unterliegen sofort definierten Richtlinien. Damit wird das Risiko unmittelbar reduziert, ohne dass Nutzer aktiv eingreifen müssen.
Darauf aufbauend werden besonders sensible Daten gezielt identifiziert und stärker abgesichert. Automatisierte Klassifizierungen und differenzierte Richtlinien sorgen dafür, dass kritische Informationen nicht unkontrolliert genutzt werden können.
Im nächsten Schritt wird dieses Modell auf den gesamten Datenbestand der Kanzlei ausgeweitet. Bestehende Inhalte werden einbezogen, Richtlinien optimiert und Fehlklassifizierungen reduziert. Erst an diesem Punkt entsteht eine wirklich flächendeckende Sicherheitsarchitektur.
Langfristig entwickelt sich daraus ein Governance-Modell, das kontinuierlich angepasst wird. Neue Anforderungen, zusätzliche Systeme und veränderte Nutzungsweisen werden integriert, ohne das Grundprinzip zu verändern.
Der oft unterschätzte Faktor: Struktur
Ein zentraler Erfolgsfaktor liegt nicht in den Tools selbst, sondern in der Datenstruktur. Besonders in Microsoft-Umgebungen spielt die Kombination aus SharePoint, Teams und Sensitivity Labels eine entscheidende Rolle.
Wenn Sicherheitskontexte bereits auf Ebene von Mandanten, Projekten oder Organisationseinheiten definiert werden, können Inhalte diese automatisch übernehmen. Dateien müssen dann nicht mehr einzeln klassifiziert werden, sondern erhalten ihren Schutz aus dem Kontext, in dem sie entstehen.
Das ermöglicht eine Skalierung, die mit manuellen Ansätzen nicht erreichbar wäre.
Was in der Praxis häufig unterschätzt wird
So überzeugend der Ansatz ist, er setzt ein Umdenken voraus. Viele Kanzleien unterschätzen, wie stark sich Arbeitsweisen verändern, wenn Sicherheit nicht mehr optional ist.
Eine unsaubere Klassifizierungslogik führt nicht nur zu Ineffizienz, sondern kann das gesamte Modell destabilisieren. Gleichzeitig reicht es nicht aus, Mitarbeiter einfach zu schulen. Entscheidend ist, dass sie die neue Logik verstehen und akzeptieren.
Auch Governance wird oft zu spät adressiert. Ohne klare Verantwortlichkeiten und Prozesse lässt sich ein solcher Ansatz nicht nachhaltig betreiben.
Bedeutung für Steuerkanzleien
Gerade in Steuerkanzleien ist das Thema besonders relevant. Hier treffen hohe regulatorische Anforderungen wie DSGVO und §203 StGB auf eine zunehmende Digitalisierung und den Einsatz von KI.
Mandantendaten, interne Informationen und externe Kommunikation müssen sauber voneinander getrennt und gleichzeitig effizient nutzbar sein. Ein nachgelagerter Sicherheitsansatz stößt hier schnell an seine Grenzen.
Secure by Default schafft die Grundlage, um diese Anforderungen miteinander zu verbinden. Daten werden von Anfang an so strukturiert, dass sie sowohl geschützt als auch nutzbar sind. Erst dadurch wird der Einsatz von KI in sensiblen Umgebungen überhaupt praktikabel.
Fazit
Die zentrale Erkenntnis ist einfach, aber weitreichend: Datensicherheit funktioniert nicht mehr als nachgelagerte Maßnahme. Sie muss integraler Bestandteil der Datenarchitektur der Kanzlei sein.
Secure by Default ist deshalb kein einzelnes Feature und auch kein reines Microsoft-Thema. Es ist ein grundlegendes Betriebsmodell für den Umgang mit Daten in einer KI-getriebenen Welt.
Die entscheidende Frage ist nicht mehr, wie man Daten schützt, nachdem sie entstanden sind. Entscheidend ist, wie man verhindert, dass unsichere Daten überhaupt entstehen.
