Compliance-Lexikon · Praxis
Acceptable Use Policy – Praxis
Eine AUP ist im Audit häufig vorhanden – aber veraltet, ohne Empfangsbestätigung oder ohne Abdeckung neuerer Nutzungsszenarien. Was Auditoren konkret prüfen, zeigt dieser Abschnitt.
Was Auditoren konkret prüfen
Bei einer Prüfung der Acceptable Use Policy prüft der Auditor Vollständigkeit, Aktualität und den Nachweis der Kenntnisnahme durch alle Nutzer. Das BAM-Objekt GOV-AUP-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- AUP aus 2018 ohne Update – Cloud, KI-Tools, BYOD nicht enthalten
- Empfangsbestätigungen nur für Festangestellte, nicht für Externe
- Monitoring-Regelungen fehlen oder sind datenschutzrechtlich unzureichend
- Konsequenzen bei Verstoss nicht klar definiert
Praxis-Tipp
Für die AUP gilt: Der häufigste Befund ist die fehlende Empfangsbestätigung. Eine AUP ohne Nachweis der Kenntnisnahme hat im Schadensfall wenig arbeitsrechtlichen Wert. Digitale Unterzeichnung im Onboarding-Prozess ist die effizienteste Lösung.
Umsetzung Schritt für Schritt
Erster Schritt: AUP auf Aktualität prüfen – deckt sie Cloud-Nutzung, KI-Tools, Home-Office und BYOD ab? Zweiter Schritt: Betriebsrat einbeziehen (soweit vorhanden). Dritter Schritt: Empfangsbestätigungs-Prozess im Onboarding verankern – digital, mit Zeitstempel. Vierter Schritt: Jährliche Aktualisierungs-Review einplanen. Fünfter Schritt: Externe (Auftragnehmer, Berater) in den Geltungsbereich aufnehmen.
Evidence-Anforderungen im Audit
Der Auditor erwartet: datierte AUP mit Versions-Historie, Empfangsbestätigungen aller aktiven Nutzer (inkl. Externe), Nachweis der letzten Aktualisierung und Betriebsrats-Zustimmung (soweit vorhanden).
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – NIS-2 und ISO 27001 in 20 Minuten.
Die strategische Einordnung – warum die AUP langfristig mehr als eine Unterschrifts-Pflicht ist – findet sich auf Ebene 3.