Acceptable Use Policy

[əkˈsɛptəbl juːs ˈpɒlɪsi] · auch: AUP, Nutzungsrichtlinie, IT-Nutzungsordnung

Eine Acceptable Use Policy (AUP) ist eine verbindliche Richtlinie, die regelt, wie Mitarbeiter IT-Systeme, Netzwerke und Daten nutzen dürfen – einschließlich erlaubter und untersagter Nutzungsformen, Konsequenzen bei Verstößen und Monitoring-Befugnissen.

Warum eine AUP Pflicht und nicht Kür ist

Ohne eine Acceptable Use Policy fehlt die vertragliche und organisatorische Grundlage für viele Sicherheitsmassnahmen: Darf die IT den Internetverkehr der Mitarbeiter protokollieren? Welche Konsequenzen hat das private Herunterladen von Software auf Firmengeräten? Was gilt für Home-Office-Endgeräte? ISO 27001 verlangt explizit Nutzungsregeln, NIS-2 setzt sie als Teil des Richtlinienrahmens voraus. Im Schadensfall – Datenverlust durch fahrlässige Mitarbeiternutzung – ist die AUP die Grundlage für arbeitsrechtliche Massnahmen.

Wo die AUP gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	A.5.10	Akzeptable Nutzung von Informationen und anderen Assets: Regeln für akzeptable Nutzung müssen dokumentiert und kommuniziert sein.
NIS-2 / BSIG	§ 30 Abs. 2	Sicherheitsrichtlinien als Mindestmassnahme: AUP als Teil des Richtlinienrahmens wesentlicher Einrichtungen.
DSGVO	Art. 32	Technisch-organisatorische Massnahmen: AUP als organisatorische Massnahme zum Schutz personenbezogener Daten.
BSI IT-Grundschutz	ORP.4	Identitäts- und Berechtigungsmanagement: Nutzungsregeln für IT-Systeme als Grundschutz-Anforderung.
BDSG	§ 26	Verarbeitung von Daten zu Beschäftigungszwecken: AUP als Grundlage für legitimes Mitarbeiter-Monitoring.

BAM-Objektreferenz

BAM-Objekt GOV-AUP-01

BeschreibungAcceptable-Use-Policy mit Regelungen fuer akzeptable Nutzung von IT-Systemen, Daten und Netzwerken

GitHubBAM Core →

Häufige Audit-Fehler

AUP veraltet – Cloud-Nutzung, KI-Tools und Home-Office nicht geregelt
Keine Empfangsbestätigung der Mitarbeiter – fehlender Nachweis der Kenntnisnahme
Monitoring-Befugnisse der IT nicht dokumentiert – rechtliche Grundlage unklar
AUP nur für festangestellte Mitarbeiter, nicht für Auftragnehmer und Praktikanten

Kernelemente einer vollständigen AUP

Eine wirksame AUP regelt: den Geltungsbereich (wer ist betroffen – alle Nutzer inklusive Externe), erlaubte Nutzungsformen (Privatnutzung: erlaubt, eingeschränkt oder verboten?), verbotene Nutzungsformen (illegale Downloads, unerlaubte Software, Weitergabe von Zugangsdaten), Monitoring-Regelungen (was wird protokolliert, wie lange, wer hat Zugriff), den Umgang mit Geräten (BYOD-Regelungen, Verlust-/Diebstahlmeldung), Konsequenzen bei Verstößen (Stufenschema von Abmahnung bis Kündigung). Die AUP muss bei Einstellung unterzeichnet und bei wesentlichen Änderungen erneut zur Kenntnis genommen werden.

AUP und Monitoring: Datenschutzrechtliche Grenzen

Das BDSG § 26 setzt Grenzen für das Monitoring von Mitarbeitern: Protokollierung muss verhältnismäßig sein, der Betriebsrat muss einbezogen werden (sofern vorhanden), und Mitarbeiter müssen über das Monitoring informiert sein. Eine AUP, die Monitoring-Massnahmen transparent beschreibt und von Mitarbeitern anerkannt wird, ist die wichtigste Grundlage für legitimes Sicherheits-Monitoring.

Nächste Ebene

AUP in der Praxis: Inhalte, Einführung und Evidence

Wie eine AUP aufgebaut, eingeführt und im Audit nachgewiesen wird.

Ebene 2 lesen → Stresstest starten →