(Because “In accordance with applicable legal requirements…” is not how humans talk.)
Sie kennen das zur Genüge.Die Informationssicherheitsrichtlinie,die in SharePoint liegt und seit 2019 niemand mehr geöffnet hat.Die Acceptable Use Policy, die mit “It is strictly forbidden…” beginnt und mit einem Seufzer endet.Das 12-seitige PDF, das Ihnen durch das Audit hilft, aber für die Menschen, die es leiten soll, nichts bedeutet.
Seien wir ehrlich: Die meisten Richtlinien scheitern nicht daran, dass es den Menschen egal ist, sondern daran, dass sie für Auditoren geschrieben wurden, nicht für Menschen.
Wenn Ihr Ziel ist, dass Menschen einer Richtlinie tatsächlich folgen, und sie nicht nur einmal im Jahr zur Kenntnis nehmen, hier ist, wie Sie das ändern.
1. Denken Sie daran, warum Richtlinien existieren
Eine Richtlinie ist kein Compliance-Artefakt. Sie ist ein Entscheidungskompass.
Sie soll sicherstellen, dass Menschen konsistent handeln, auch wenn niemand zuschaut.
Wenn Sie ein Richtlinienprojekt mit dem Satz beginnen:
“We need this for ISO,”
haben Sie bereits verloren.
Die richtige Denkweise lautet:
“We need this so people stop guessing what’s expected.”
Diese kleine Verschiebung (von auditorfokussiert zu verhaltensfokussiert) verändert alles daran, wie Sie Ihre Richtlinien schreiben, strukturieren und pflegen.
2. Hören Sie auf, für den Auditor zu schreiben
Wenn Ihr erster Satz “in accordance with applicable legal, regulatory, and contractual obligations,” enthält, herzlichen Glückwunsch: Sie haben gerade alle dazu gebracht, aufzuhören zu lesen.
Das ist keine Klarheit, das ist Tarnung.
Schreiben Sie so, wie Sie es einem neuen Teammitglied am ersten Tag erklären würden.
- Verwenden Sie kurze Sätze.
- Verwenden Sie aktive Verben.
- Say “you” or “we,” not “the user” or “the organization.”
Beispiel:
❌ Alle Mitarbeitenden sind verpflichtet, den Schutz sensibler Informationen gemäß internen und externen Verpflichtungen sicherzustellen.
✅ Schützen Sie sensible Daten. Geben Sie sie ohne Genehmigung nicht außerhalb des Unternehmens weiter.
Sehen Sie? Weiterhin compliant. Aber jetzt klingt es wie ein Mensch, der mit einem anderen Menschen spricht.
3. Kennen Sie den Unterschied: Richtlinie ≠ Verfahren ≠ Prozess
Diese Verwechslung ruiniert die Hälfte aller Dokumentationsprojekte.
Hier die Übersicht:
EbeneZweckBeispielRichtlinieDefines the rule (the “what”)“All information must be classified before storage.”VerfahrenErklärt, wie sie anzuwenden ist“Use the company’s 4-level classification model.”ProzessBeschreibt den operativen Ablauf“System automatically tags files by classification level.”
Hören Sie auf, Verfahren in Richtlinien zu stopfen.
Richtlinien sagen Ihnen, was zu tun ist, nicht wie Sie auf die Schaltfläche klicken.
4. Weisen Sie Verantwortung zu, oder sehen Sie zu, wie die Richtlinie stirbt
Jede Richtlinie braucht einen Namen daneben, eine Person, die dafür verantwortlich ist, sie am Leben zu erhalten.
Andernfalls zersetzt sie sich langsam auf einem gemeinsamen Laufwerk, bis das nächste ISO-Audit sie ausgräbt.
Minimale Governance-Anforderungen:
- Policy Owner – hält den Inhalt aktuell.
- Genehmiger – validiert und zeichnet ab.
- Überprüfungsintervall – in der Regel jährlich oder bei Änderungen.
Wenn eine Richtlinie keinen Verantwortlichen nennt, ist sie ein Zombie. Sie existiert, aber sie lebt nicht.
5. Halten Sie sie kurz (wirklich kurz)
Wenn Ihre Informationssicherheitsrichtlinie 12 Seiten lang ist, ist das keine Richtlinie, das ist ein Aufsatz.
Streben Sie eine Seite pro Thema an.
Und um der Klarheit willen: kein Passiv, kein Fülltext, kein Juristendeutsch.
Kurzes Umschreibungsbeispiel:
❌ “The organization reserves the right to monitor employee internet usage as deemed appropriate.”
✅ “We monitor network activity to keep systems safe. Don’t use corporate internet for personal stuff.”
Ein Satz. Klar, transparent, vertretbar.
6. Geben Sie ihr einen Ort (und Sichtbarkeit)
Richtlinien sterben in PDFs.
Bringen Sie sie zum Leben:
- Stellen Sie sie ins Intranet.
- Verlinken Sie sie im Onboarding.
- Verwandeln Sie wichtige Regeln in Infografiken oder Teams-Beiträge.
- Führen Sie einmal im Jahr ein kurzes Quiz durch.
Es geht nicht um Awareness-Kampagnen, sondern um Wiederholung und Sichtbarkeit.
Menschen können nicht befolgen, was sie nie sehen.
7. Verwenden Sie das 6-Elemente-Richtlinienframework
Das ist die Struktur, die wir in Schulungen und realen Projekten einsetzen.
Jede gute Richtlinie sollte enthalten:
- Zweck – Warum sie existiert.
- Anwendungsbereich – Für wen und was sie gilt.
- Grundsätze / Regeln – Was getan werden muss.
- Verantwortlichkeiten – Wer was tut.
- Ausnahmen / Durchsetzung – Wie mit Abweichungen umzugehen ist.
- Referenzen – Verknüpfte Verfahren, Standards oder Leitlinien.
Das ist alles.
Keine Präambeln, kein Fachjargon. Nur ein klares, auditierbares, lesbares Dokument.
👉 Wenn Ihre Richtlinienvorlage diese sechs Elemente nicht enthält, fangen Sie von vorn an.
8. Machen Sie sie menschlich
Wenn Sie möchten, dass Menschen Richtlinien befolgen, müssen sie sich darin wiedererkennen.
Verwenden Sie ihre Sprache.
Zeigen Sie Empathie.
And remember: “tone of voice” is also governance.
Sie können sachlich sein, ohne roboterhaft zu klingen.
Sie können compliant sein, ohne langweilig zu sein.
Denn letztlich geht es bei Compliance nicht um Dokumente, sondern darum, dass Menschen das Richtige tun, wenn niemand zuschaut.
9. Spickzettel für das Schreiben von Richtlinien
✅ Tun❌ Nicht tunFür Menschen schreibenFür Auditoren schreibenUnter 1 Seite bleibenISO-Text kopieren und einfügenVerben statt Substantive verwendenHide behind “appropriate measures”Verantwortung zuweisenLeave it to “the organization”Jährlich überprüfenEs bis zum nächsten Audit verrotten lassen
10. Kultur schlägt Compliance
Sie können die beste Richtlinie der Welt haben: Wenn Führungskräfte sie ignorieren, werden es alle anderen auch tun.
Richtlinien erzwingen keine Kultur; sie spiegeln sie wider.
Bevor Sie Ihre nächste Richtlinie veröffentlichen, stellen Sie sich eine Frage:
“Would I personally follow this?”
If the answer is “not really,” rewrite it.
Wenn Ihre Richtlinie einen Aufseher braucht, damit sie funktioniert, ist es keine Richtlinie, sondern eine Drohung.
👇 Fazit
Richtlinien zu schreiben, die Menschen tatsächlich befolgen, hat nichts mit Kreativität zu tun, sondern mit Klarheit, Verantwortung und Respekt gegenüber dem Leser.
Die gute Nachricht? Sie können Struktur, Tonalität und Format erlernen, die funktionieren.
Genau das vermitteln wir in:
Und ja, wir stellen ein Policy Template Pack zur Verfügung, das wir in echten Beratungsprojekten einsetzen.
👉 Kontaktieren Sie das Team und nehmen Sie am nächsten Live-Kurs teil
