Muss wirklich jede Organisation eine AUP haben?

Ja. Für ISO-27001-zertifizierte Organisationen ist sie über Annex A 5.10 faktisch verpflichtend. Auch NIS2 Art. 21(2)(i) verlangt dokumentierte Nutzungsregeln. Selbst ohne Zertifizierung ist die AUP das schwächste Glied zwischen Arbeitsvertrag und disziplinarischer Maßnahme — ohne sie fehlt die Grundlage für Sanktionen bei Missbrauch.

Wie lang sollte eine AUP sein?

Zwischen vier und zehn Seiten. Kürzer wirkt sie wie eine Absichtserklärung; länger liest sie niemand. Unsere Vorlage ist so geschnitten, dass Mitarbeitende sie in 15 bis 20 Minuten lesen können. Details wie Software-Allowlists oder Passwort-Regeln gehören in verlinkte Spezialdokumente, nicht in die AUP.

Muss die AUP vom Betriebsrat mitbestimmt werden?

In Deutschland ja, sobald sie Regeln zur Überwachung oder Verhaltenskontrolle enthält — § 87 Abs. 1 Nr. 6 BetrVG. Kapitel 4 der Vorlage (Überwachung & Transparenz) ist mitbestimmungspflichtig. Die Betriebsvereinbarung kann die AUP referenzieren, statt sie zu duplizieren.

Wie oft muss die AUP aktualisiert werden?

Mindestens einmal jährlich oder bei wesentlichen Änderungen — neue KI-Tools, Cloud-Migration, geänderter Fernzugriff. Jede Version muss von allen Mitarbeitenden erneut bestätigt werden. Ein einmalig unterschriebenes Dokument, das zehn Jahre später noch gilt, hält keinem Audit stand.

Was passiert, wenn jemand gegen die AUP verstößt?

Die AUP selbst löst keine Sanktionen aus — sie verweist auf den Disziplinarprozess in der Personalsicherheits-Richtlinie (Annex A 6.4). In der Praxis: Abstufung von Ermahnung über Abmahnung bis Kündigung, abhängig von Schwere und Vorsatz. Entscheidend ist saubere Dokumentation und Gleichbehandlung.

Muss jede einzelne Person die AUP bestätigen?

Ja. Digital oder auf Papier — ohne Bestätigung gibt es keinen belastbaren Nachweis, dass die Regeln bekannt waren. Bei digitaler Bestätigung reicht ein Timestamp im LMS oder HR-Tool. Externe bestätigen zum Projektstart als Vertragsanlage.

Richtlinie zur akzeptablen Nutzung

Die Acceptable Use Policy (kurz AUP, auf Deutsch: Richtlinie zur akzeptablen Nutzung) ist vermutlich das meistgelesene Dokument in deinem ganzen ISMS. Jede Diskussion über Passwort-Weitergabe, private Cloud-Nutzung, KI-Tools am Arbeitsplatz oder den USB-Stick in der Schublade landet am Ende hier. Und genau das ist ihre Stärke: Sie gibt deinen Mitarbeitenden klare, verständliche Regeln — und deiner Organisation eine rechtliche Grundlage, wenn jemand diese Regeln bricht.

ISO 27001 verlangt sie (Annex A 5.10), NIS2 verlangt sie (Art. 21(2)(i)), BSI-Grundschutz greift sie auf (ORP.4). Weiter unten auf dieser Seite findest du die komplette Vorlage in Deutsch und Englisch — Copy-Button drücken und in Notion, Confluence oder dein DMS einfügen.

Was genau ist eine AUP?

Im Kern ist die AUP ein Vertrag zwischen deiner Organisation und den Menschen, die in ihr arbeiten. Sie sagt in alltagsnaher Sprache: Das darfst du. Das darfst du nicht. Und wenn du es trotzdem tust, passiert das. Nicht mehr und nicht weniger.

Das klingt simpel — und genau das ist der Punkt. Die AUP ist kein technisches Dokument. Passwort-Richtlinien, Endpoint-Konfigurationen, Datenklassifizierungsschemata — all das gehört in Spezialdokumente, die aus der AUP heraus verlinkt werden. Die AUP selbst soll jemand lesen können, der kein IT-Hintergrundwissen hat, und danach wissen, was von ihm erwartet wird.

Was sie aber auszeichnet, ist ihr rechtlicher Charakter: Ohne eine klar kommunizierte, nachweislich bestätigte AUP fehlt deiner Organisation die Grundlage, um bei Fehlverhalten disziplinarisch zu handeln. Die IT-Abteilung erwischt jemanden, der Kundendaten an sein privates Gmail schickt — und was dann? Ohne AUP wird es vor dem Arbeitsgericht schwierig. Mit AUP ist klar: Die Regel war bekannt, die Bestätigung liegt vor, der Verstoß ist dokumentiert.

Warum brauchst du sie?

Drei Gründe, und der dritte ist eigentlich der wichtigste — auch wenn die ersten beiden auf dem Papier lauter sind.

1. Regulatorische Pflicht. ISO 27001, Annex A 5.10: akzeptable Nutzungsregeln müssen „identifiziert, dokumentiert und umgesetzt” sein. NIS2 Art. 21(2)(i): „Regelungen für Personalsicherheit, Zugangskontrolle und Verwaltung von Werten”. Auditoren erwarten dieses Dokument. Fehlt es, ist das ein garantiertes Audit-Finding.

2. Rechtliche Absicherung. Jede disziplinarische Maßnahme ist angreifbar, wenn du nicht belegen kannst, dass die Regeln kommuniziert und bestätigt waren. Kündigungen wegen unerlaubter Cloud-Nutzung oder Datenexfiltration scheitern vor Arbeitsgerichten regelmäßig an genau diesem Punkt.

3. Orientierung für echte Menschen. Das ist der Grund, der in der Praxis den größten Unterschied macht. Die meisten Mitarbeitenden wollen sich richtig verhalten — sie wissen nur nicht, was „richtig” konkret bedeutet. Darf ich ChatGPT mit internem Material füttern? Darf ich den Vertragsentwurf über WeTransfer an den Kunden schicken, weil das SharePoint-Share gerade hakt? Darf ich mein privates iPhone als Hotspot nutzen, wenn das Büro-WLAN ausfällt? Die AUP gibt Antworten auf genau diese Fragen. Und damit nimmt sie Unsicherheit — nicht nur für die Mitarbeitenden, sondern auch für die Führungskräfte, die sonst bei jedem Graubereich improvisieren müssen.

So führst du die AUP ein

Die eigentliche Arbeit ist der Rollout. Den Text bekommst du hier. Ein Dokument, das auf SharePoint versauert und niemand bestätigt hat, ist wertlos — egal wie gut es geschrieben ist.

01

Scope klären

Für wen gilt die AUP? Nur Festangestellte? Oder auch externe Berater, Praktikanten, Leiharbeitskräfte? Und für welche Standorte? Eine Organisation mit Niederlassungen in mehreren Ländern braucht möglicherweise regional angepasste Varianten — Arbeits- und Datenschutzrecht unterscheiden sich. Dokumentiere den Scope im Kopf der Richtlinie, damit es keine Zuständigkeitslücken gibt.
02

Betriebsrat und Rechtsabteilung früh einbinden

Beziehe beide ein, bevor du veröffentlichst. In Deutschland ist der Abschnitt zur Sicherheitsüberwachung mitbestimmungspflichtig (§ 87 Abs. 1 Nr. 6 BetrVG). Kapitel 4 unserer Vorlage betrifft genau diesen Bereich. Die Rechtsabteilung prüft die Sanktionsklausel, die KI-Tool-Regelungen und die BYOD-Abschnitte. Wenn der Betriebsrat erst durch eine Mitarbeiterbeschwerde von der AUP erfährt, hast du ein rechtliches und ein Vertrauensproblem gleichzeitig.
03

Vorlage anpassen

Unsere Vorlage hat Platzhalter wie [IHR_ORGANISATIONSNAME] und [POLICY_OWNER_ROLLE]. Ersetze sie. Aber lösche auch Abschnitte, die nicht zu euch passen: keine BYOD-Regelung? Raus damit. Keine Drucker? Raus. Was drin bleibt, sollte eure Realität widerspiegeln. Die AUP gewinnt durch Spezifität.
04

Aktiv kommunizieren

Veröffentlichen allein reicht nicht. Kündige die AUP per E-Mail an alle an, weise in einer All-Hands-Session oder einem kurzen Video auf die wichtigsten Punkte hin, und setze eine klare Frist — typischerweise zwei Wochen — bis wann jede Person gelesen und bestätigt haben muss. Eine AUP, die nur auf SharePoint liegt und nie aktiv kommuniziert wurde, existiert faktisch nicht.
05

Bestätigung einholen und tracken

Das ist der Schritt, an dem es am häufigsten scheitert. Du brauchst einen belastbaren Nachweis — ob über dein LMS, dein HR-Tool oder ein unterschriebenes PDF. Ohne Bestätigung gibt es keinen Audit-Nachweis und keine disziplinarische Grundlage. Externe bestätigen zum Projektstart. Und: lege sofort einen jährlichen Review-Termin in deinen ISMS-Kalender. Die AUP ist kein One-Shot.

Was gehört rein?

Eine gute AUP deckt die folgenden Themen ab. Die Reihenfolge kann variieren, die Gewichtung hängt von eurer Organisation ab — aber jedes Thema sollte mindestens einen Absatz bekommen:

Zweck und Geltungsbereich — wer und was erfasst wird
Verhaltenserwartungen — was grundsätzlich von jeder Person erwartet wird
Verbotene Handlungen — klare rote Linien, keine Graubereiche
Internet-Nutzung — Browsing, Downloads, Streaming, was darf privat sein
E-Mail-Nutzung — Anhänge, Weiterleitung, Klassifizierungsregeln
Soziale Medien — wann und wie über die Arbeit geredet werden darf
KI-Werkzeuge und Cloud-Dienste — das Thema, das 2026 in jeder AUP stehen muss: was darf in ChatGPT, Copilot, Gemini rein und was nicht
Software-Installation — was ohne IT-Freigabe geht (spoiler: wenig)
Wechselmedien und BYOD — USB, private Smartphones, Laptops
Drucken und Papier — Clean Desk, sichere Entsorgung
Sicherheitsüberwachung und Transparenz — was geloggt wird und was nicht (der mitbestimmungspflichtige Teil)
Sanktionen — Verweis auf den Disziplinarprozess in der HR-Richtlinie
Meldewege — wohin sich Mitarbeitende wenden, wenn sie unsicher sind

Wo es in der Praxis schiefgeht

Aus Audit-Erfahrung, sortiert nach Häufigkeit:

1. Keine Bestätigung. Die Richtlinie wurde veröffentlicht, aber niemand kann nachweisen, dass die Mitarbeitenden sie gelesen und bestätigt haben. Der häufigste Fehler und das einfachste Audit-Finding.

2. Überladung. Die AUP enthält dreiseitige Passwort-Regeln, Browser-Konfigurationsdetails und eine vollständige Software-Allowlist. Resultat: 18 Seiten, die niemand liest. Und wenn sie niemand liest, ist sie wertlos — egal wie technisch korrekt sie ist.

3. Veraltete Inhalte. Die AUP stammt aus 2021 und erwähnt weder Microsoft Teams noch KI-Tools. In der Praxis interpretieren die Mitarbeitenden dann selbst, was erlaubt ist. Das ist das Gegenteil von dem, was du willst.

4. Betriebsrat nicht einbezogen. Die Überwachungsklauseln werden veröffentlicht, der Betriebsrat erfährt davon durch eine Mitarbeiterbeschwerde. Die Regelung wird gerichtlich gekippt — und mit ihr das Vertrauen ins gesamte ISMS.

5. „Verboten ist alles, was nicht erlaubt ist.” Totalregelungen funktionieren nicht. Entweder werden sie ignoriert (weil Arbeiten sonst unmöglich wäre) oder sie führen dazu, dass Mitarbeitende bei jeder Kleinigkeit nachfragen müssen. Besserer Ansatz: klare rote Linien, explizite Erlaubnisse für den Alltag und ein definierter Weg für Graubereiche.

6. Kein Link zum Disziplinarprozess. Die AUP listet Verbote auf, verweist aber nicht auf den HR-Prozess. Im Ernstfall ist dann unklar, wer entscheidet, wie eskaliert wird und welche Konsequenzen drohen. Das macht die Durchsetzung angreifbar.

Vorlage: Richtlinie zur akzeptablen Nutzung

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Organisatorische Maßnahmen:

A 5.10 — Akzeptable Nutzung von Informationen und anderen zugehörigen Assets

BSI IT-Grundschutz:

ISMS.1.A2 (Festlegung der Sicherheitsziele und -strategie)
ORP.3.A3 (Einweisung des Personals in den sicheren Umgang mit IT)
CON.9 (Informationsaustausch)
CON.7.A2 (Sensibilisierung der Mitarbeiter zur Informationssicherheit)

Weitere jurisdiktionsspezifische Gesetze und Vorschriften — insbesondere aus den Bereichen Datenschutz, Telekommunikation und Arbeitsrecht — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.

2. Zweck & Geltungsbereich

Diese Richtlinie legt verbindliche Regeln für die Nutzung von Informationen, IT-Systemen und anderen zugehörigen Assets bei [IHR_ORGANISATIONSNAME] fest. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen der Organisation zu schützen und gleichzeitig eine produktive Arbeitsumgebung zu gewährleisten.

Diese Richtlinie gilt für:

Alle Beschäftigten (unbefristet, befristet, Teilzeit, Auszubildende)
Externes Personal (Auftragnehmer, Berater, Leiharbeitskräfte)
Dritte mit Zugang zu Informationen, Systemen oder Räumlichkeiten der Organisation

Erfasste Assets umfassen insbesondere:

Firmeneigene und persönliche Endgeräte, die für die Arbeit genutzt werden (Laptops, Mobiltelefone, Tablets)
Netzwerkinfrastruktur, Internet- und E-Mail-Dienste
Cloud-Dienste, Kollaborationsplattformen und Softwareanwendungen
Wechselmedien (USB-Sticks, externe Festplatten, optische Medien)
Papierdokumente und physische Informationsträger
Gesprochene Informationen in Besprechungen, Telefonaten und Videokonferenzen

Beschäftigte sind verpflichtet, sich mit dieser Richtlinie vertraut zu machen, diese schriftlich zu bestätigen und ihre Vorgaben einzuhalten. Verstöße können zu disziplinarischen Maßnahmen gemäß der Richtlinie zur Personalsicherheit führen.

3. Verhaltenserwartungen & Verbotene Handlungen

Alle Personen, die Informationen und Assets von [IHR_ORGANISATIONSNAME] nutzen, sind verpflichtet, diese verantwortungsvoll, sicher und im Einklang mit den geschäftlichen Zwecken der Organisation einzusetzen. Die folgenden Abschnitte konkretisieren die erwarteten Verhaltensstandards und ausdrücklich untersagte Handlungen.

3.1 Erwartete Verhaltensstandards

Folgende Grundsätze gelten für den Umgang mit allen Informationen und Assets:

Informationen und IT-Systeme werden ausschließlich für autorisierte geschäftliche Zwecke genutzt. Eine geringfügige private Nutzung ist zulässig, sofern sie die Arbeitsleistung nicht beeinträchtigt, keine Sicherheitsrisiken erzeugt und keine zusätzlichen Kosten verursacht.
Passwörter und Zugangsdaten werden niemals weitergegeben — auch nicht an Kolleginnen und Kollegen, Vorgesetzte oder IT-Personal. Jede Person verwendet ausschließlich ihre eigenen Zugangsdaten.
Bildschirme werden beim Verlassen des Arbeitsplatzes gesperrt (Windows: Win+L, macOS: Ctrl+Cmd+Q). Vertrauliche Dokumente werden nicht offen auf dem Schreibtisch zurückgelassen (Clean-Desk-Prinzip).
Vertrauliche Gespräche werden nicht in öffentlich zugänglichen Bereichen, im öffentlichen Nahverkehr oder an Orten geführt, an denen Dritte mithören können.
Sicherheitsvorfälle und verdächtige Aktivitäten werden unverzüglich über den etablierten Meldekanal gemeldet.

3.2 Ausdrücklich verbotene Handlungen

Die folgenden Handlungen sind untersagt und können disziplinarische Maßnahmen nach sich ziehen:

Versuch, unbefugt auf Systeme, Daten, Konten oder Netzwerke zuzugreifen, die nicht für die eigene Rolle freigegeben sind.
Umgehung oder Deaktivierung von Sicherheitsmaßnahmen (Firewall, Virenschutz, Verschlüsselung, Zugriffskontrollen).
Installation von nicht genehmigter Software, einschließlich Hacking-Tools, Peer-to-Peer-Software oder Anonymisierungsdiensten.
Herunterladen, Speichern oder Verbreiten von illegalen, beleidigenden, diskriminierenden oder pornografischen Inhalten.
Weiterleitung von Firmeninformationen an persönliche E-Mail-Konten, nicht genehmigte Cloud-Speicher oder private Messenger-Dienste.
Nutzung von Firmensystemen für den Betrieb persönlicher Geschäfte oder kommerzielle Zwecke außerhalb des Beschäftigungsverhältnisses.
Absichtliche Einführung von Schadsoftware (Viren, Trojaner, Ransomware) oder Durchführung von Angriffen gegen interne oder externe Systeme.
Fälschung von E-Mail-Absenderadressen, IP-Adressen oder sonstigen Identitätsmerkmalen.
Massenmailing oder Kettenbriefe über Firmensysteme.

3.3 Internet- & E-Mail-Nutzung

Der Internetzugang wird für geschäftliche Zwecke bereitgestellt. Folgende Regeln gelten:

Der Aufruf von Webseiten mit illegalen, anstößigen oder sicherheitsgefährdenden Inhalten ist untersagt.
Downloads sind auf geschäftlich erforderliche Dateien beschränkt. Ausführbare Dateien (.exe, .msi, .bat, Skripte) dürfen nur von der IT-Abteilung oder mit deren Genehmigung heruntergeladen werden.
Streaming-Dienste (Video, Musik) für private Zwecke sind während der Arbeitszeit nicht gestattet, da sie die Netzwerkkapazität belasten.
E-Mails mit vertraulichem Inhalt werden gemäß dem Klassifizierungsschema im Betreff gekennzeichnet und bei Bedarf verschlüsselt.
Dateianhänge aus unbekannten oder verdächtigen Quellen werden nicht geöffnet. Im Zweifelsfall ist die IT-Abteilung zu kontaktieren.
Auto-Weiterleitungen an externe E-Mail-Adressen sind nicht gestattet.

3.4 Soziale Medien

Die Nutzung sozialer Medien durch Beschäftigte kann Auswirkungen auf die Informationssicherheit haben. Folgende Grundsätze gelten:

Geschäftliche Informationen, interne Projekte, Kunden- oder Partnerdaten dürfen nicht in sozialen Medien veröffentlicht werden — auch nicht in geschlossenen Gruppen oder privaten Nachrichten.
Offizielle Äußerungen im Namen von [IHR_ORGANISATIONSNAME] in sozialen Medien bedürfen der vorherigen Genehmigung der Unternehmenskommunikation.
Bei der Nutzung beruflicher Netzwerke (z. B. LinkedIn) ist darauf zu achten, dass keine sensiblen internen Informationen preisgegeben werden (z. B. konkrete Projektnamen, eingesetzte Technologien in sicherheitskritischen Bereichen).

3.5 KI-Werkzeuge & Cloud-Dienste

Der Einsatz von KI-gestützten Werkzeugen (z. B. ChatGPT, Copilot, Gemini, Claude) und nicht genehmigten Cloud-Diensten unterliegt besonderen Einschränkungen:

Vertrauliche oder interne Informationen, personenbezogene Daten, Quellcode und Geschäftsgeheimnisse dürfen nicht in öffentliche KI-Dienste eingegeben werden, es sei denn, der Dienst wurde von der IT-Abteilung geprüft und freigegeben.
Die Nutzung nicht genehmigter Cloud-Speicher, Kollaborations- oder Konvertierungstools (z. B. kostenlose Online-PDF-Konverter) für Firmendaten ist untersagt.
Genehmigte KI-Werkzeuge und Cloud-Dienste werden von der IT-Abteilung in einer internen Liste geführt. Vor der Nutzung eines neuen Dienstes ist die Genehmigung der IT-Abteilung einzuholen.
Von KI-Werkzeugen generierte Ergebnisse, die in Geschäftsentscheidungen einfließen, werden auf Korrektheit und mögliche Verzerrungen geprüft.

3.6 Software-Installation

Die Installation von Software auf firmeneigenen Geräten ist reglementiert:

Nur von der IT-Abteilung genehmigte und bereitgestellte Software darf installiert werden. Ein Softwarekatalog mit genehmigten Anwendungen wird von der IT-Abteilung gepflegt.
Browser-Erweiterungen und -Plugins bedürfen der Genehmigung der IT-Abteilung, da sie potenziell Zugriff auf alle Browserdaten erhalten.
Eigenentwickelte Skripte und Automatisierungen für den produktiven Einsatz werden vor der Nutzung der IT-Abteilung gemeldet.
Testversionen, Beta-Software und Software aus nicht vertrauenswürdigen Quellen dürfen nicht auf produktiven Systemen installiert werden.

3.7 Wechselmedien & mobile Geräte

Der Einsatz von Wechselmedien und mobilen Geräten birgt besondere Risiken für die Informationssicherheit:

Die Nutzung privater USB-Sticks und externer Speichermedien an Firmengeräten ist grundsätzlich untersagt. Für den geschäftlichen Datentransfer werden ausschließlich von der IT-Abteilung bereitgestellte, verschlüsselte Medien verwendet.
Gefundene oder zugesandte USB-Sticks dürfen nicht an Firmengeräte angeschlossen werden (Schutz vor manipulierter Hardware).
Mobile Geräte (Laptops, Tablets, Smartphones), die für die Arbeit genutzt werden, sind mit einer Bildschirmsperre, aktueller Betriebssystemversion und — sofern verfügbar — Geräteverschlüsselung geschützt.
Bei Verlust oder Diebstahl eines Geräts mit Firmendaten ist unverzüglich die IT-Abteilung zu informieren, damit eine Fernlöschung eingeleitet werden kann.
Firmendaten dürfen nur dann auf persönlichen Geräten (BYOD) verarbeitet werden, wenn dies durch eine separate BYOD-Vereinbarung geregelt ist und die technischen Mindestanforderungen (MDM, Verschlüsselung, Trennung privater und geschäftlicher Daten) erfüllt sind.

3.8 Drucken & physische Informationsträger

Beim Umgang mit gedruckten Dokumenten und physischen Informationsträgern gelten folgende Regeln:

Vertrauliche Dokumente werden nur bei Bedarf gedruckt und zeitnah vom Drucker abgeholt. Die Funktion „Sicheres Drucken" (Abholung erst nach PIN-Eingabe am Drucker) ist zu nutzen, sofern verfügbar.
Ausdrucke vertraulicher oder eingeschränkter Informationen werden nach Gebrauch im Aktenvernichter (Kreuzschnitt, DIN 66399 mindestens P-3) vernichtet — nicht über den normalen Papierkorb entsorgt.
Vertrauliche Dokumente werden nicht auf offenen Schreibtischen, in Besprechungsräumen oder in allgemein zugänglichen Bereichen zurückgelassen.

4. Überwachung & Transparenz

[IHR_ORGANISATIONSNAME] überwacht die Nutzung von IT-Systemen und Netzwerken im Rahmen der geltenden Gesetze, um die Informationssicherheit zu gewährleisten, Richtlinienverstöße zu erkennen und auf Sicherheitsvorfälle reagieren zu können. Die Überwachung erfolgt verhältnismäßig und unter Wahrung der Persönlichkeitsrechte der Beschäftigten.

4.1 Umfang der Überwachung

Folgende Aktivitäten werden im Rahmen der Sicherheitsüberwachung protokolliert und ausgewertet:

Der gesamte Internetverkehr wird auf Kategorienebene protokolliert (aufgerufene URL-Kategorien, nicht einzelne Seiteninhalte). Aufrufe bekannter Schadsoftware-, Phishing- oder Botnet-Domänen lösen automatische Sicherheitswarnungen aus.
Ein- und ausgehende E-Mails werden automatisiert auf Schadsoftware, Phishing-Indikatoren und Datenverlust-Muster (DLP) geprüft. Der E-Mail-Inhalt wird nicht anlasslos manuell gelesen.
Zugriffsprotokolle (Login-Zeiten, fehlgeschlagene Anmeldeversuche, Zugriffe auf sensible Systeme) werden erfasst und bei sicherheitsrelevanten Auffälligkeiten ausgewertet.
Dateitransfers auf Wechselmedien und Cloud-Uploads werden protokolliert, um die unbefugte Exfiltration vertraulicher Daten zu erkennen.

4.2 Nicht durchgeführte Maßnahmen

Folgende Überwachungsmaßnahmen werden nicht durchgeführt:

Bildschirmaufzeichnung und Tastaturprotokollierung (Keylogging) finden nicht statt.
Eine individuelle Leistungsüberwachung der Beschäftigten ist nicht Gegenstand der Sicherheitsüberwachung.
Privatgespräche über Firmentelefone werden nicht aufgezeichnet oder überwacht.

4.3 Rechtsgrundlage & Benachrichtigung

Die Überwachung erfolgt auf Grundlage des berechtigten Interesses der Organisation (Art. 6 Abs. 1 lit. f DSGVO) sowie ggf. einer Betriebsvereinbarung mit der Arbeitnehmervertretung. Die Beschäftigten werden während der Einarbeitung und über diese Richtlinie über Art und Umfang der Überwachung informiert.

4.4 Datenschutzgarantien

Folgende Maßnahmen stellen den Schutz der Beschäftigten sicher:

Überwachungsprotokolle werden nach spätestens 90 Tagen gelöscht, sofern kein Sicherheitsvorfall die Aufbewahrung erfordert.
Der Zugriff auf Überwachungsprotokolle ist auf den Informationssicherheitsbeauftragten und autorisierte Administratoren beschränkt. Eine Weitergabe an Vorgesetzte oder die Personalabteilung erfolgt nur bei begründetem Verdacht auf einen Richtlinienverstoß.
Jede anlassbezogene Auswertung von Protokolldaten wird dokumentiert (Anlass, Umfang, Ergebnis, beteiligte Personen).
Sofern eine Arbeitnehmervertretung besteht, wird diese bei der Einführung oder wesentlichen Änderung von Überwachungsmaßnahmen beteiligt.

5. Verfahren zur Handhabung von Assets

Die folgenden Verfahren stellen sicher, dass Informationen und zugehörige Assets von [IHR_ORGANISATIONSNAME] während ihres gesamten Lebenszyklus — von der Erstellung über die Nutzung und Speicherung bis zur Entsorgung — angemessen geschützt werden.

5.1 Klassifizierungsbasierte Zugriffsbeschränkungen

Der Zugriff auf Informationen und Assets wird entsprechend der Klassifizierungsstufe gemäß dem Klassifizierungsschema beschränkt:

Öffentliche Informationen: Keine Zugriffsbeschränkungen. Verfügbar für die allgemeine Öffentlichkeit.
INTERN: Zugriff auf Beschäftigte und autorisiertes externes Personal beschränkt. Zugriffsrechte werden über rollenbasierte Zugangskontrolle (RBAC) vergeben.
VERTRAULICH: Zugriff auf speziell autorisierte Personen nach dem Need-to-know-Prinzip beschränkt. Zugriff wird vom Informationseigentümer genehmigt.
STRENG VERTRAULICH: Zugriff strikt auf namentlich benannte Personen mit ausdrücklicher Genehmigung des Informationseigentümers und der Geschäftsleitung beschränkt. Zugriffslisten werden geführt und regelmäßig überprüft.

Zugriffsrechte werden nach dem Prinzip der minimalen Rechte vergeben: Jede Person erhält nur die Rechte, die für die Ausübung ihrer aktuellen Rolle erforderlich sind. Bei Rollenwechsel oder Austritt werden die Rechte unverzüglich angepasst oder entzogen.

5.2 Verwaltung autorisierter Benutzer

[IHR_ORGANISATIONSNAME] führt ein Verzeichnis der autorisierten Benutzer für alle Informationen und zugehörigen Assets. Dieses Verzeichnis stellt sicher, dass zu jedem Zeitpunkt nachvollziehbar ist, wer auf welche Informationen und Systeme zugreifen darf.

Für jedes IT-System und jeden Informationswert ist dokumentiert, welche Personen oder Rollen zugriffsberechtigt sind.
Zugriffsberechtigungen werden mindestens halbjährlich durch den jeweiligen Informationseigentümer überprüft (Access Review). Nicht mehr benötigte Berechtigungen werden unverzüglich entzogen.
Privilegierte Konten (Administratorrechte) werden gesondert geführt und unterliegen einer vierteljährlichen Überprüfung.
Temporäre Zugänge (z. B. für Projektmitarbeit) werden mit einem Ablaufdatum versehen und automatisch deaktiviert.

5.3 Schutz von Kopien

Temporäre und permanente Kopien von Informationen werden auf dem gleichen Schutzniveau behandelt wie die Originale:

Kopien vertraulicher Informationen (digital oder physisch) unterliegen denselben Zugriffs-, Speicher- und Entsorgungsregeln wie das Original.
Ausdrucke, Screenshots und Exporte aus Systemen behalten die Klassifizierungsstufe der Quellinformationen.
Sicherungskopien (Backups) werden gemäß der höchsten Klassifizierungsstufe der enthaltenen Informationen geschützt und verschlüsselt gespeichert.
Cache-Dateien, temporäre Dateien und Zwischenablagen, die vertrauliche Informationen enthalten können, werden durch technische Maßnahmen (automatische Löschung, Verschlüsselung) geschützt.

5.4 Speicheranforderungen

Informationen und zugehörige Assets werden gemäß den Herstellerspezifikationen und den Anforderungen der jeweiligen Klassifizierungsstufe gespeichert:

Elektronische Speichermedien (Server, NAS, SAN) werden in klimatisierten Räumen mit Zugangskontrollen betrieben, die den Herstellervorgaben für Temperatur, Luftfeuchtigkeit und Staubschutz entsprechen.
Wechselmedien mit vertraulichen Informationen werden in verschlossenen Behältnissen aufbewahrt, wenn sie nicht in Gebrauch sind.
Papierdokumente mit vertraulichen oder streng vertraulichen Informationen werden in verschlossenen Schränken oder Tresoren aufbewahrt.
Speicherfristen werden gemäß den gesetzlichen Aufbewahrungspflichten und den geschäftlichen Anforderungen festgelegt und im Aufbewahrungskonzept dokumentiert.

5.5 Kennzeichnung von Kopien und Speichermedien

Alle Kopien von Speichermedien, die klassifizierte Informationen enthalten, werden eindeutig gekennzeichnet:

Physische Medien (USB-Sticks, externe Festplatten, Sicherungsbänder, optische Medien) werden mit der höchsten Klassifizierungsstufe der enthaltenen Informationen gekennzeichnet.
Die Kennzeichnung erfolgt deutlich sichtbar und dauerhaft (Aufkleber, Gravur oder Beschriftung), sodass die Klassifizierungsstufe auf den ersten Blick erkennbar ist.
Digitale Medien, bei denen eine physische Kennzeichnung nicht möglich ist, werden durch Metadaten oder Dateibenennung (z. B. Präfix „VERTRAULICH_") klassifiziert.
Bei der Erstellung von Medienkopien wird die Kennzeichnung auf die Kopie übertragen.

5.6 Entsorgung von Informationen und Medien

Die Entsorgung von Informationen und Speichermedien erfordert abhängig von der Klassifizierungsstufe eine vorherige Genehmigung:

INTERN: Standardentsorgung — Papier über Büroschredder (DIN 66399 mindestens P-3), digitale Dateien durch Standardlöschung aus organisatorischen Systemen.
VERTRAULICH: Kreuzschnittvernichtung (DIN 66399 mindestens P-4) für Papier. Digitale Medien: Sichere Löschung mit genehmigten Werkzeugen (z. B. mehrstufiges Überschreiben) oder kryptographische Löschung bei verschlüsselten Medien.
STRENG VERTRAULICH: Kreuzschnittvernichtung (DIN 66399 mindestens P-5) für Papier mit dokumentierter Zeugenvernichtung. Digitale Medien: Physische Vernichtung des Datenträgers oder zertifizierte kryptographische Löschung, dokumentiert und bezeugt.
Die Entsorgung STRENG VERTRAULICHer Informationen und Medien bedarf der Genehmigung des Informationseigentümers. Die Entsorgung wird protokolliert (Datum, Methode, verantwortliche Person).
Defekte Speichermedien, die vertrauliche Informationen enthalten oder enthalten haben, werden nicht repariert oder an Hersteller zurückgesendet, sondern physisch vernichtet.

6. Konsequenzen bei Richtlinienverstößen

Verstöße gegen diese Richtlinie werden gemäß dem Disziplinarverfahren der Richtlinie zur Personalsicherheit behandelt. Alle Beschäftigten sind verpflichtet, vermutete Richtlinienverstöße zu melden.

6.1 Eskalationsstufen

Die Reaktion auf Richtlinienverstöße richtet sich nach Art, Schwere, Vorsätzlichkeit und Wiederholungsgrad des Verstoßes:

Stufe 1 — Hinweis: Bei erstmaligem, geringfügigem Verstoß ohne Sicherheitsauswirkung (z. B. vergessene Bildschirmsperre): Mündlicher Hinweis durch den Vorgesetzten und dokumentiertes Gespräch.
Stufe 2 — Abmahnung: Bei wiederholtem Verstoß oder Verstoß mit potentieller Sicherheitsauswirkung (z. B. Nutzung nicht genehmigter Cloud-Dienste für Firmendaten): Schriftliche Abmahnung, verpflichtende Nachschulung und vorübergehende Einschränkung von Zugriffsrechten.
Stufe 3 — Formelle Disziplinarmaßnahme: Bei schwerwiegendem Verstoß oder vorsätzlicher Missachtung (z. B. Umgehung von Sicherheitsmaßnahmen, Weiterleitung vertraulicher Daten): Formelles Disziplinargespräch, Sperrung von Zugriffsrechten und ggf. arbeitsrechtliche Konsequenzen bis zur Beendigung des Beschäftigungsverhältnisses.
Stufe 4 — Rechtliche Schritte: Bei strafrechtlich relevanten Handlungen (z. B. vorsätzliche Datenexfiltration, Sabotage): Fristlose Kündigung und Einleitung rechtlicher Schritte.

Für externes Personal gelten die vertraglichen Konsequenzen einschließlich der Möglichkeit der sofortigen Vertragskündigung.

7. Rollen & Verantwortlichkeiten

Geschäftsleitung: Genehmigt diese Richtlinie, stellt angemessene Ressourcen für die Umsetzung bereit und kommuniziert die Bedeutung der akzeptablen Nutzung.
Informationssicherheitsbeauftragte/r (ISB): Pflegt diese Richtlinie, definiert und aktualisiert Nutzungsregeln, überwacht die Einhaltung und berät Beschäftigte und Führungskräfte.
IT-Abteilung: Implementiert technische Maßnahmen zur Durchsetzung dieser Richtlinie (Webfilter, DLP, Softwareverteilung, Überwachungssysteme), pflegt den Katalog genehmigter Software und Cloud-Dienste und unterstützt bei der Aufklärung von Sicherheitsvorfällen.
Führungskräfte: Stellen sicher, dass ihre Teammitglieder diese Richtlinie kennen und einhalten. Sie sind erste Anlaufstelle bei Fragen zur akzeptablen Nutzung und leiten bei Bedarf Eskalationsmaßnahmen ein.
Personalabteilung (HR): Stellt sicher, dass diese Richtlinie Bestandteil der Einarbeitung ist, und unterstützt bei disziplinarischen Maßnahmen.
Alle Beschäftigten: Halten diese Richtlinie ein, melden Verstöße und Sicherheitsvorfälle, nehmen an Schulungen teil und schützen die ihnen anvertrauten Informationen und Assets.

8. Überprüfung & Pflege

Diese Richtlinie wird überprüft:

Mindestens jährlich im Rahmen des ISMS-Management-Review-Zyklus.
Wenn neue Technologien eingeführt werden, die Auswirkungen auf die akzeptable Nutzung haben (z. B. neue KI-Werkzeuge, neue Kollaborationsplattformen).
Nach wesentlichen Sicherheitsvorfällen, die auf eine Verletzung der Nutzungsregeln zurückzuführen sind.
Bei Änderungen des rechtlichen oder regulatorischen Rahmens (z. B. neue Datenschutzanforderungen, Änderungen im Telekommunikationsrecht).
Wenn sich die Bedrohungslandschaft wesentlich verändert (z. B. neuartige Social-Engineering-Angriffe, veränderte Risiken durch KI-Werkzeuge).

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — Organisational Controls:

A 5.10 — Acceptable Use of Information and Other Associated Assets

BSI IT-Grundschutz:

ISMS.1.A2 (Definition of Security Objectives and Strategy)
ORP.3.A3 (Instruction of Personnel in the Secure Use of IT)
CON.9 (Information Exchange)
CON.7.A2 (Security Awareness for Personnel)

Additional jurisdiction-specific laws and regulations — in particular data protection, telecommunications and employment law — are listed in the Legal Register and are incorporated by reference.

2. Purpose & Scope

This policy defines the rules for the acceptable use of information and other associated assets at [YOUR_ORGANISATION_NAME]. It establishes clear boundaries between permitted and prohibited behaviour to protect the organisation's information assets, reputation and legal standing.

This policy applies to:

All employees (permanent, temporary, part-time)
External personnel (contractors, consultants, temporary staff) with access to organisational assets
All information assets regardless of format (digital, paper, verbal)
All associated assets: hardware (laptops, mobile devices, printers), software, cloud services, network infrastructure, storage media and communication systems provided or approved by the organisation

Personnel are required to familiarise themselves with this policy, acknowledge it in writing, and comply with its provisions. Violation of this policy may result in disciplinary action as defined in the HR Security Policy.

3. Behavioural Expectations & Prohibited Actions

All personnel of [YOUR_ORGANISATION_NAME] are expected to use information and associated assets responsibly, professionally and in a manner consistent with the organisation's security objectives. Assets are provided for business purposes; limited personal use is tolerated provided it does not interfere with work duties, compromise security or violate this policy.

3.1 Expected Behaviour Standards

All personnel:

Lock their workstation (Win+L / Ctrl+Cmd+Q) when leaving the desk, even briefly.
Follow the clean desk policy: no classified documents left unattended on desks, printers or whiteboards.
Use strong, unique passwords for each system and never share credentials with anyone, including IT support.
Report suspected security incidents, phishing emails and policy violations immediately to the Information Security Officer or via the designated reporting channel.
Verify the identity and authorisation of individuals requesting access to information before sharing it.
Handle information in accordance with its classification level as defined in the Information Classification Policy.

3.2 Explicitly Prohibited Actions

The following actions are strictly prohibited:

Attempting to bypass, disable or circumvent security controls (firewalls, endpoint protection, DLP systems, access controls).
Accessing, storing or distributing illegal, offensive, discriminatory or pornographic content using organisational assets.
Using organisational systems for unauthorised commercial activities, political campaigning or cryptocurrency mining.
Connecting unauthorised network equipment (routers, switches, wireless access points) to the corporate network.
Sharing organisational credentials or access tokens with third parties, including family members.
Forwarding work emails to personal email accounts to circumvent data-loss controls.
Photographing or screen-capturing classified information without authorisation from the information owner.
Impersonating other users or using another person's account.

3.3 Internet & Email Use

Internet access and email are provided as business tools. The following rules apply:

Permitted: Business-related research, professional development, access to cloud services approved by IT, limited personal browsing during breaks (news, banking, travel) that does not involve prohibited content categories.
Prohibited: Downloading pirated software, media or other copyrighted material; accessing hacking tools or exploit databases for non-authorised purposes; streaming high-bandwidth media during business hours unless required for work; using anonymous proxy services or VPN tunnels to bypass web filtering.
Email: Attachments classified above INTERNAL are encrypted before sending externally. Personnel verify recipient addresses before sending sensitive emails. Auto-forwarding to external addresses is technically blocked. Suspicious emails are reported, not forwarded.

3.4 Social Media

Personnel may access social media for professional purposes (LinkedIn, industry forums). The following restrictions apply:

Do not disclose [YOUR_ORGANISATION_NAME]'s internal projects, customer information, financial data or security architecture on social media platforms.
Do not post photographs of workplaces, whiteboards, screens or documents that may reveal classified information.
Clearly distinguish personal opinions from official [YOUR_ORGANISATION_NAME] positions when posting in a professional context.
Do not accept connection requests from unknown individuals claiming to be colleagues or partners without verification.

3.5 AI Tools & Cloud Services

The use of artificial intelligence tools and external cloud services is subject to the following rules:

Approved tools only: Only AI tools and cloud services explicitly approved by IT and listed in the approved software register may be used for business purposes.
No classified data in public AI: Personnel do not enter information classified above PUBLIC into public AI services (e.g. ChatGPT, Gemini, Midjourney) unless the tool has been specifically approved with appropriate data processing agreements in place.
Output verification: AI-generated outputs used in business decisions, customer communications or official documents are reviewed and verified by a qualified person before use.
Shadow IT: Creating accounts on unapproved cloud services (file sharing, project management, communication) to handle organisational data is prohibited. Report unmet needs to IT so that approved alternatives can be evaluated.

3.6 Software Installation

The following rules apply to software on organisational devices:

Software may only be installed from the organisation's approved software catalogue or with explicit written approval from IT.
Browser extensions are approved by IT before installation; unapproved extensions are blocked via group policy.
Open-source software may only be used if it has been reviewed and approved through the organisation's software approval process.
Personnel do not disable automatic updates or endpoint protection software.

3.7 Removable Media & Mobile Devices

The use of removable media and mobile devices is subject to the following restrictions:

USB drives: Only organisation-issued, encrypted USB drives are used. Personal USB drives, external hard drives and SD cards are prohibited on organisational systems.
Mobile devices: Company-issued mobile devices are protected with a PIN/biometric lock and device encryption. Lost or stolen devices are reported to IT immediately for remote wipe.
Personal devices (BYOD): Use of personal devices for work purposes is only permitted if enrolled in the organisation's mobile device management (MDM) solution and compliant with the BYOD policy.

3.8 Printing & Physical Media

The following rules apply to printed documents and physical information carriers:

Classified documents are only printed when necessary and collected from the printer promptly. The secure print function (release only after PIN entry at the printer) is used where available.
Printouts of classified or restricted information are destroyed via cross-cut shredding (DIN 66399, minimum P-3) after use — not disposed of via standard waste bins.
Classified documents are not left on open desks, in meeting rooms or in publicly accessible areas.

4. Monitoring & Transparency

[YOUR_ORGANISATION_NAME] monitors the use of its information assets and associated infrastructure to detect security threats, policy violations and unauthorised access. Monitoring is conducted within the boundaries of applicable law and in a manner that respects the privacy and dignity of personnel.

4.1 Scope of Monitoring

The following monitoring activities are performed:

Network traffic: Internet traffic is logged by category (e.g. web filtering logs). Encrypted traffic is inspected at the gateway level where technically implemented and legally permitted.
Email: Inbound and outbound email is scanned for malware, spam and data-loss indicators (e.g. classification labels in attachments sent to external recipients). Email content is not routinely read by administrators.
Endpoint protection: Endpoint detection and response (EDR) tools monitor for malware, unauthorised software and anomalous behaviour on all managed devices.
Access logs: Authentication events, privilege escalations and access to classified information are logged and retained for audit purposes.
Physical access: Entry to secured areas is logged via access control systems (badge readers, biometrics).

4.2 What Is Not Monitored

The following are explicitly excluded from monitoring to protect employee privacy:

Screen recording or keystroke logging of individual users (except during authorised forensic investigations).
Content of private communications during permitted personal use, unless flagged by automated DLP or malware detection.
GPS tracking of company vehicles or mobile devices outside of working hours.

4.3 Legal Basis & Employee Notification

Monitoring is conducted on the following legal bases:

Legitimate interest of the employer in protecting its information assets (Art. 6(1)(f) GDPR).
Compliance with legal obligations (Art. 6(1)(c) GDPR) where applicable sector regulations require logging.
Works council agreement where a works council exists, covering scope, purpose and retention of monitoring data.

All personnel are informed about the scope and purpose of monitoring:

During the onboarding process as part of the information security briefing.
Through this policy, which is published on the organisation's intranet and acknowledged in writing.
Via the organisation's privacy notice for employees.

4.4 Privacy Safeguards

The following safeguards are in place to prevent abuse of monitoring capabilities:

Monitoring data is accessible only to authorised personnel (Information Security Officer, IT Security team and — where legally required — the works council or data protection officer).
Individual-level analysis (linking logs to a specific person) requires a documented reason and approval from the Information Security Officer and the Data Protection Officer.
Monitoring logs are retained for the minimum period required by the retention schedule and then securely deleted.
Any investigation based on monitoring data follows the organisation's incident response process and respects the principle of proportionality.

5. Asset Handling Procedures

The following procedures govern the handling of information and associated assets throughout their lifecycle at [YOUR_ORGANISATION_NAME]. These procedures supplement the organisation's classification scheme and ensure that assets are protected commensurate with their classification level.

5.1 Classification-Based Access Restrictions

Access to information and associated assets is restricted based on the classification level assigned under the organisation's classification scheme:

PUBLIC: No access restrictions. Available to all personnel and the general public.
INTERNAL: Access limited to employees and authorised external personnel. Shared drives, intranet sites and collaboration spaces enforce membership-based access.
CONFIDENTIAL: Access restricted to specifically authorised individuals on a need-to-know basis. Access is approved by the information owner and enforced through role-based access control (RBAC).
STRICTLY CONFIDENTIAL: Access limited to named individuals with explicit written authorisation from the information owner and senior management. Access is logged and reviewed quarterly.

When in doubt about a user's authorisation level, personnel deny access and refer the request to the information owner for decision.

5.2 Authorised User Management

A register of authorised users is maintained for information and associated assets classified CONFIDENTIAL or above:

The information owner maintains and periodically reviews the list of individuals authorised to access their assets.
Access rights are reviewed at least every six months, upon role change and upon termination.
The register includes the user's name, role, scope of access (read/write/admin), date of authorisation and the authorising owner.
Temporary access (e.g. for projects or audits) is time-limited and automatically revoked upon expiration.
IT maintains a corresponding technical access control list (ACL) that reflects the owner's authorisation register.

5.3 Protection of Copies

Copies of information — whether temporary or permanent, digital or physical — are protected at the same level as the original:

Copies inherit the classification level and handling rules of the source information.
Creating copies of CONFIDENTIAL or STRICTLY CONFIDENTIAL information requires authorisation from the information owner.
The number of copies is kept to the minimum necessary for the intended purpose.
Backup copies are subject to the same access controls and encryption requirements as the originals.
When the purpose for which a copy was made no longer exists, the copy is securely disposed of in accordance with the disposal procedures below.

5.4 Storage Requirements

Information and associated assets are stored in accordance with manufacturer specifications and the organisation's protection requirements:

Electronic storage media (hard drives, SSDs, tapes) are stored within the environmental conditions specified by the manufacturer (temperature, humidity, electromagnetic exposure).
Classified digital information is stored on encrypted storage in access-controlled environments.
Physical documents classified CONFIDENTIAL or above are stored in locked cabinets or safes when not in active use.
Storage locations are documented, including any off-site or cloud storage locations.
Storage conditions are reviewed periodically as part of asset management to ensure continued compliance with manufacturer and organisational requirements.

5.5 Marking of Storage Media

All copies of storage media are clearly marked to indicate their content and classification level:

Physical storage media (USB drives, external hard drives, backup tapes, optical discs) carry a visible label indicating the highest classification level of the data stored on them.
Labels include the classification level, a brief description of the content, the owner and the date of creation.
Where physical labelling is impractical (e.g. micro SD cards), the containing case or envelope is labelled instead.
Digital media labelling is implemented through file naming conventions, metadata and directory structures as defined in the Labelling of Information policy.
Unlabelled storage media is treated as containing CONFIDENTIAL information until the content is verified and appropriately marked.

5.6 Disposal Authorisation & Methods

Disposal of information and associated assets is authorised and performed using methods appropriate to the classification level:

Authorisation: Disposal of assets classified CONFIDENTIAL or above requires written authorisation from the information owner. Disposal of STRICTLY CONFIDENTIAL assets additionally requires approval from the Information Security Officer.
Paper documents: Cross-cut shredding in accordance with DIN 66399 — security level P-3 for INTERNAL, P-4 for CONFIDENTIAL, P-5 or higher for STRICTLY CONFIDENTIAL.
Digital storage: Secure deletion using approved tools (e.g. multi-pass overwrite, cryptographic erasure). For STRICTLY CONFIDENTIAL data, physical destruction of the storage medium is required.
Equipment: Before disposal, reassignment or return of equipment (laptops, mobile devices, printers), all organisational data is securely wiped. Hard drives in devices that processed STRICTLY CONFIDENTIAL data are physically destroyed.
Documentation: All disposal activities are documented, including the asset identifier, classification level, disposal method used, date and the person who performed the disposal. Destruction certificates are obtained from external disposal service providers.

6. Consequences of Policy Violations

Violations of this policy are treated in accordance with [YOUR_ORGANISATION_NAME]'s disciplinary process as defined in the HR Security Policy. All personnel are expected to report observed or suspected violations without fear of retaliation.

6.1 Escalation Levels

Depending on the severity, intent and recurrence of the violation, the following measures may be applied:

Level 1 — Minor / first-time unintentional violation: Verbal warning, documented discussion with line manager and mandatory refresher training on the relevant topic.
Level 2 — Repeated or negligent violation: Written warning with documented corrective actions; temporary restriction of access rights pending completion of additional training.
Level 3 — Serious violation or wilful disregard: Formal disciplinary hearing; suspension of all access rights pending investigation; involvement of HR and legal counsel.
Level 4 — Violation with material damage or criminal conduct: Termination of employment or contract in accordance with applicable labour law; referral to law enforcement where criminal activity is suspected; pursuit of civil remedies for damages incurred.

The assessment considers the nature and gravity of the breach, whether the action was intentional or accidental, whether the individual had received adequate training and whether this is a first or repeated offence.

7. Roles & Responsibilities

Top Management: Approves this policy, ensures adequate resources for implementation and sets the organisational expectation for responsible use of information assets.
Information Security Officer (ISO): Maintains this policy, defines acceptable use rules in coordination with IT and HR, monitors compliance, investigates violations and coordinates monitoring activities within legal boundaries.
IT Department: Implements and operates technical controls (web filtering, DLP, endpoint protection, MDM, secure print), maintains the approved software register and supports the ISO in monitoring and incident response.
Data Protection Officer (DPO): Ensures that monitoring activities comply with data protection legislation, reviews works council agreements related to monitoring and advises on privacy-preserving approaches.
Human Resources (HR): Communicates this policy during onboarding, ensures written acknowledgement, initiates the disciplinary process for violations and maintains training records.
Line Managers: Ensure that their team members are aware of and comply with this policy, escalate observed violations and support the enforcement of corrective actions.
Information Owners (Asset Owners): Maintain authorised user registers for their assets, authorise copies and disposal and define classification-specific access restrictions.
All Personnel: Read, acknowledge and comply with this policy. Report suspected violations, security incidents and unmet tool or service needs through the appropriate channels.

8. Review & Maintenance

This policy is reviewed:

At least annually as part of the ISMS management review cycle.
When new technologies are introduced that affect acceptable use (e.g. new AI tools, collaboration platforms, BYOD changes).
After significant security incidents involving misuse of information or assets.
When changes to applicable law affect monitoring, data protection or employee rights (e.g. new data-protection requirements, amendments to telecommunications or labour legislation).
When the organisation's classification scheme or asset management processes are materially updated.

Quellen

ISO/IEC 27002:2022 Abschnitt 5.10 — die Norm-Vorgabe hinter Annex A 5.10
BSI IT-Grundschutz ORP.4 — Grundschutz-Baustein mit direktem Bezug zur AUP
Betriebsverfassungsgesetz § 87 Abs. 1 Nr. 6 — Mitbestimmung bei technischer Überwachung
NIS2-Richtlinie (EU 2022/2555) — Art. 21 Risikomanagement-Maßnahmen