Eine Richtlinie für akzeptable Nutzung (Acceptable Use Policy, AUP) ist die schriftliche Vereinbarung zwischen Organisation und Mitarbeitenden darüber, was auf Arbeitsgeräten, mit Arbeitsdaten und auf Geschäftskonten erlaubt ist und was nicht. Konkreter als ein ISMS, kürzer als ein Handbuch, und gerade deshalb im Cbw-, DSGVO- und AI-Act-Kontext unverzichtbar. Was gehört hinein, wie bleibt sie praktikabel und wie verankern Sie sie in Awareness?
Was eine AUP ist und tut
Eine AUP beschreibt in einem zugänglichen Dokument die Regeln zur Nutzung von Geschäftsmitteln: Laptops, mobile Geräte, E-Mail, Internet, Kollaborationstools, Cloud, KI, Geschäftskonten. Übersetzt das Informationssicherheitspolicy und die DSGVO in konkretes Verhalten.
Rechtlich Basis für Maßnahmen bei Übertretung, gleichzeitig Kommunikationsmittel: erklärt das Warum, nicht nur das Was. Nur-Verbote wirken schlecht; menschliche Erklärung wirkt.
Cbw und DSGVO verlangen die AUP zwar nicht namentlich, aber im Wirken. Aufsicht fragt im Audit oder Vorfall danach. Fehlen = direktes Strafrisiko.
Was eine moderne AUP mindestens enthalten muss
Fünf bis acht Seiten in verständlicher Sprache. Themen 2026:
- Zweck und Geltungsbereich.
- Allgemeine Verhaltensregeln. Passwörter, MFA, Sperren, Verlustmeldung, Personendaten, Arbeit/Privat.
- E-Mail, Internet, Kollaboration.
- Freigegebene Dienste und Schatten-IT.
- KI-Nutzung. Seit EU AI Act unverzichtbar.
- Personendaten und DSGVO.
- Privatnutzung.
- Sanktionen und Eskalation.
Was 2026 neu oder verstärkt gehört
Drei Themen, früher optional, jetzt essenziell:
KI-Nutzung. Ohne klare Regeln nutzen Mitarbeitende kostenlose KI für vertrauliches Arbeiten.
Mobil und Remote. Grenze ist verschwommen; Regeln für Café, Zug, Privatnetze, Trennung Arbeit/Privat.
Meldeverhalten. Explizite Einladung zu Meldung ohne Schuld bei eigenen Fehlern. Sonst sinkt Meldekultur.
Wie schreibt man eine AUP, die gelesen wird?
Fünf Seiten werden gelesen, fünfundzwanzig nicht. Drei Techniken:
Du/Sie-Form und kurze Sätze. Juristisch unnötig.
Beispiele geben, wo es hilft.
Warum erklären. Erklärte Regeln werden akzeptiert.
AUP aktuell und lebendig halten
AUP altert schnell.
Mindestens jährlich aktualisieren.
Versionshistorie pflegen.
Aktive Akzeptanz erfragen, bei Onboarding und bei großen Updates. Plattform-basiert mit Zeitstempel und Version.
Wie Sie das in einem Awareness-Programm verankern
AUP steht nicht allein. Lebt durch Kopplung an Training und Verhalten.
Im Onboarding behandeln: 5-Minuten-Modul mit zehn wichtigsten Regeln plus Akzeptanz.
In Awareness-Modulen explizit auf AUP verweisen.
Mit HR und Datenschutzbeauftragten zusammen tragen.
Entdecken Sie, wie 2LRN4 dieses Thema in ein funktionierendes Programm mit Training, Phishing-Simulation und Management-Reporting überführt.
Zur NIS2-SeiteVerwandte Artikel
- Eine Security-Awareness-Richtlinie verfassen
- Compliance-Anforderungen für Awareness
- Schatten-IT-Risiken
- KI-Governance und Awareness in einem Programm
Quellen
- SANS: information security policy templates
- NCSC NL: Themenübersicht
- ISO 27001:2022 (information security management)
FAQ
Was ist eine Acceptable Use Policy (AUP)?
Schriftliche Vereinbarung über erlaubte Nutzung von Arbeitsmitteln. Konkreter als ISMS, kürzer als Handbuch.
Ist eine AUP Pflicht?
Nicht namentlich gesetzlich, aber im Wirken. Aufsicht fragt danach; Fehlen ist Risiko.
Wie lang darf eine AUP sein?
Fünf bis acht Seiten in verständlicher Sprache.
Was ist 2026 neu?
KI-Nutzung, mobiles/remote Arbeiten, explizite Einladung zu Meldung ohne Schuld.
Wie oft aktualisieren?
Mindestens jährlich; KI-Teile häufiger.
Muss eine AUP unterschrieben werden?
Akzeptanz empfohlen; ein Klick mit Zeitstempel reicht.
Darf Privatnutzung ganz verboten werden?
Vollverbot meist unpraktisch. Bessere Mittelweg: erlaubt in vernünftigem Maß, klare Ausnahmen, begrenztes Mitlesen.
Externe Quelle: European Commission - NIS2 Directive