Clean-Desk- und Clear-Screen-Richtlinie – KMU

Die Clean-Desk- und Clear-Screen-Richtlinie (P10S) ist eine zentrale operative Leitlinie für kleine und mittlere Unternehmen (KMU), die die Vertraulichkeit von Daten sicherstellen und regulatorische Compliance, einschließlich ISO/IEC 27001:2022, aufrechterhalten müssen. Da es sich um eine KMU-Richtlinie handelt – erkennbar am „S“ in der Dokumentnummer und an der Zuordnung des General Managers als Richtlinienverantwortlicher – ist sie speziell für Organisationen angepasst, denen dedizierte IT- oder Sicherheitsmanagementteams fehlen können. Das Kernziel der Richtlinie ist es, praktische, durchsetzbare Verhaltensweisen und technische Kontrollen klar zu definieren, die sensible Informationen schützen – unabhängig vom Arbeitsort oder von den Ressourcen der Organisation. Grundlegend verlangt diese Richtlinie, dass alle Mitarbeitenden, Auftragnehmer und temporären Mitarbeitenden physische und digitale Arbeitsbereiche schützen, indem sie sicherstellen, dass keine vertraulichen Informationen sichtbar, unbeaufsichtigt oder unzureichend gesichert bleiben. Der Geltungsbereich umfasst physische Büros, gemeinsam genutzte Arbeitsbereiche, Coworking-Umgebungen sowie Remote-/Homeoffice-Arbeitsumgebungen. Sie gilt für alle papierbasierten und digitalen Assets, wie Dokumente, Ausdrucke, handschriftliche Notizen, Wechseldatenträger, Computer und mobile Geräte. Durch diese Breite adressiert die Richtlinie moderne Arbeitsmuster und behält zugleich einen klaren Fokus auf Risikominderung. Rollen und Verantwortlichkeiten sind für den KMU-Kontext klar verschlankt. Der General Manager trägt die Gesamtverantwortung, einschließlich Richtlinienkommunikation, Schulung, Genehmigung von Ausnahmen und Durchführung vierteljährlicher Compliance-Prüfungen von Arbeitsbereichen. Zusätzliche Aufgaben können an benannte Mitarbeitende delegiert werden, z. B. die Einrichtung von Bildschirmsperr-Einstellungen oder die Bereitstellung physischer Aufbewahrungshilfen. Das Design stellt jedoch sicher, dass die Richtlinie auch ohne formale IT- oder Compliance-Abteilungen wirksam ist. Sämtliches Personal ist für die einfachen, aber wesentlichen Anforderungen verantwortlich: Bildschirme sperren, wenn sie unbeaufsichtigt sind, alle vertraulichen Materialien sichern, sich nicht ausschließlich auf digitale Kontrollen verlassen und potenzielle Risiken oder Nichteinhaltung melden. Die Richtlinienziele sind eng mit operativer Risikominderung und regulatorischen Verpflichtungen verknüpft. Klare, praxisnahe Regeln definieren eine Basislinie: automatische Sperre der Arbeitsstation nach fünf Minuten, sichere Aufbewahrung von Dokumenten am Tagesende, sofortige Abholung sensibler Ausdrucke sowie Beschilderung zur Sensibilisierung. Der General Manager ist außerdem verantwortlich für Onboarding und Sensibilisierungsschulung, Protokollierung von Compliance-Aktivitäten sowie Eskalationen im Fall eines Vorfalls oder einer Datenschutzverletzung. Wichtig ist, dass das Design der Richtlinie eine Kultur der Wachsamkeit und Rechenschaftspflicht unterstützt und sich auf umsetzbare Kontrollen innerhalb der Möglichkeiten eines ressourcenbeschränkten KMU konzentriert, bei gleichzeitiger Ausrichtung an z. B. Anhang-A-Maßnahme 7.7 von ISO/IEC 27001 und Artikel 32 DSGVO. Insgesamt versetzt die Struktur KMU in die Lage, bei Audits die gebotene Sorgfalt nachzuweisen und physische sowie Informationsrisiken durch interne Fehlbehandlung oder externe Bedrohungen wie Besucher oder Auftragnehmer wirksam zu mindern. Realistische Ausnahmeprozesse, angepasste Kontrollen für Remote-Arbeitende und definierte disziplinarische Reaktionen sorgen für Klarheit und Glaubwürdigkeit. Die Richtlinie enthält Verknüpfungen zu weiteren kritischen Richtlinien (z. B. Informationssicherheits-Sensibilisierungs- und Schulungsrichtlinie, Zugriffskontrollrichtlinie, Incident-Response-Richtlinie (P30)) und bildet damit einen kompakten, kohärenten Rahmen für Cyberhygiene, der ideal für kleinere Organisationen ist.