Claude gehört in dieselbe Datenaufsicht wie Copilot, sonst bleibt AI-Governance Stückwerk

Viele Unternehmen diskutieren über KI-Governance noch so, als ginge es nur um Freigaben für neue Assistenten. In der Praxis entscheidet aber etwas Bodenständigeres über die Steuerbarkeit: Welche Nutzung ist überhaupt sichtbar, welche Datenbewegung landet im Audit und welche Teams können Auffälligkeiten später belastbar untersuchen? Genau an dieser Stelle wird die neue Purview-Anbindung für Claude interessant.

Microsoft hat am 21. Mai 2026 angekündigt, dass Microsoft Purview nun Sichtbarkeit auf Anthropic Claude erweitert. Konkret verweist Microsoft auf eine neue Claude Compliance API für Purview, damit Sicherheits- und Compliance-Teams Claude-Nutzung neben anderen Cloud-Anwendungen untersuchen können. Parallel dazu läuft Claude in Microsoft 365 inzwischen unter dem Subprocessor-Modell von Microsoft. Anthropic arbeitet dabei laut Microsoft unter Microsoft-Aufsicht, mit vertraglichen und technischen Schutzmaßnahmen innerhalb des Microsoft-Enterprise-Rahmens. Für Unternehmen ist das mehr als eine Produktnotiz. Es verschiebt Claude aus der Experimentierzone in dieselbe Governance-Diskussion wie Copilot, Copilot Studio oder andere produktive KI-Flächen.

Der eigentliche Punkt ist nicht, dass noch ein Modell in noch einer Oberfläche verfügbar ist. Kritisch wird vielmehr, dass viele Organisationen gerade mehrere KI-Pfade parallel eröffnen. Ein Teil der Nutzung läuft in Microsoft 365 Copilot, ein anderer in Copilot Studio, wieder ein anderer direkt in Claude Enterprise oder in angebundenen Dritttools. Wenn jede dieser Spuren ihre eigenen Logs, Freigaben und Untersuchungslogiken mitbringt, entsteht kein kontrolliertes KI-Betriebsmodell, sondern ein Flickenteppich aus Teilaufsichten. Genau deshalb ist Purview-Sichtbarkeit für Claude strategisch wichtiger als das nächste Modell-Feature.

Microsoft beschreibt ausdrücklich, dass Purview mit der Integration Einsicht in Claude-Interaktionen und Audit-Log-Signale liefern soll. Damit können Teams Claude-Aktivität nicht mehr nur als separaten Spezialfall behandeln, sondern in dieselben Untersuchungs- und Aufsichtspflichten einordnen wie andere cloudbasierte Datenpfade. Das ist vor allem dort relevant, wo sensible Inhalte, personenbezogene Daten, interne Dokumente oder regulierte Kommunikationsprozesse berührt werden. Ohne eine gemeinsame Sicht würde jedes Team nur seinen Ausschnitt absichern: der Copilot-Admin die M365-Seite, der Security-Bereich die DLP-Regeln, das Legal-Team die Vertragslage und der Fachbereich seine Produktivität. Governance entsteht so nicht.

Dazu kommt ein zweiter Punkt, den viele Unternehmen unterschätzen: Microsoft macht Anthropic-Modelle nicht überall gleich verfügbar. Laut Microsoft Learn sind Claude-Modelle für viele Commercial-Cloud-Kunden standardmäßig aktiv, aber in EU-, EFTA- und UK-Konstellationen standardmäßig deaktiviert. Außerdem lassen sich Zugriffe per Nutzer oder Microsoft-Entra-ID-Sicherheitsgruppe einschränken. Das ist operativ wichtig, weil Governance nicht erst bei der Erkennung von Vorfällen beginnt, sondern schon bei der Frage, wer ein Modell überhaupt verwenden darf. Wenn Zugriffsgruppen, Audit-Erfassung und Purview-Auswertung nicht zusammen gedacht werden, bleiben Freigaben zwar dokumentiert, aber nicht überprüfbar.

Für IT- und Compliance-Teams ergibt sich daraus ein ziemlich klares Arbeitsprogramm. Erstens sollte Claude nicht nur als zusätzlicher KI-Anbieter bewertet werden, sondern als neuer Audit-Pfad im vorhandenen Kontrollsystem. Zweitens müssen Unternehmen sauber trennen, ob Claude über Microsoft-Dienste, direkt in Claude Enterprise oder in beiden Modi genutzt wird. Nur dann lässt sich klären, welche Protokolle zentral vorliegen und wo blinde Flecken bleiben. Drittens gehört die Berechtigungslogik in denselben Governance-Prozess wie DLP, Aufbewahrung, Insider-Risikoprüfung und Untersuchungsabläufe. Sonst stehen Admin-Toggles und Compliance-Versprechen nebeneinander, ohne sich im Betrieb zu berühren.

Gerade für größere Organisationen ist das ein Reifegradtest für ihr KI-Betriebsmodell. Wer heute stolz sagt, Copilot sei freigegeben und Claude sei ebenfalls irgendwie unter Kontrolle, beantwortet oft die falsche Frage. Entscheidend ist nicht die Anzahl freigeschalteter Assistenten, sondern ob dieselben Aufsichtsmechanismen auf alle relevanten Nutzungswege angewendet werden können. Ein sauberer Betriebszustand heißt: dieselbe Klassifizierung kritischer Daten, dieselbe Prüfbarkeit von Nutzungsereignissen, dieselbe Eskalationskette bei Auffälligkeiten und dieselbe Nachvollziehbarkeit für Revision, Datenschutz und Security.

Das verändert auch die Rolle von Purview. Die Plattform ist dann nicht bloß ein nachgelagerter Log-Sammler, sondern das Bindeglied zwischen Identität, Datenaufsicht und Untersuchbarkeit. Wenn Microsoft gleichzeitig mehr Drittanbieter- und KI-Sichtbarkeit in Purview bringt und Anthropic unter den Microsoft-Unternehmensrahmen zieht, ist die operative Botschaft deutlich: KI-Governance wird nicht über einzelne Modellentscheidungen gewonnen, sondern über einen gemeinsamen Kontroll- und Audit-Layer. Unternehmen, die Claude produktiv zulassen wollen, sollten deshalb nicht nur auf Nutzwert und Modellqualität schauen, sondern auf die Anschlussfähigkeit an vorhandene Überwachungs- und Reaktionsprozesse.

Die praktische Leitfrage für die nächsten Wochen lautet deshalb nicht: Sollen wir Claude zusätzlich aktivieren? Die bessere Frage lautet: Wenn Claude verwendet wird, sehen, steuern und untersuchen wir diese Nutzung mit derselben Verlässlichkeit wie Copilot? Wenn die ehrliche Antwort noch nein ist, dann fehlt nicht zuerst ein weiteres KI-Policy-Dokument, sondern ein belastbares Betriebsmodell für Audit, Berechtigung und Datenaufsicht.