Seite wählen

Clean Desk Policy – Sauberer Schreibtisch für mehr Sicherheit

Richtlinie, Umsetzung und Vorteile einer Clean Desk Policy im Unternehmen

Jetzt Beratung anfragen

Eine Clean Desk Policy ist eine verbindliche Unternehmensrichtlinie, die Mitarbeiter verpflichtet, ihren Arbeitsplatz beim Verlassen aufgeräumt und frei von vertraulichen Dokumenten, Datenträgern und Zugangsinformationen zu hinterlassen. Was zunächst wie eine einfache Ordnungsmaßnahme klingt, ist tatsächlich ein fundamentaler Baustein der Informationssicherheit und des Datenschutzes.

Die ISO 27001, der BSI IT-Grundschutz und die DSGVO fordern angemessene Maßnahmen zum Schutz vertraulicher Informationen — eine Clean Desk Policy ist eine der effektivsten und kostengünstigsten Maßnahmen, die ein Unternehmen umsetzen kann.

Was ist eine Clean Desk Policy?

Eine Clean Desk Policy (auch Clear Desk Policy) definiert Regeln für den Umgang mit physischen und digitalen Informationen am Arbeitsplatz. Die Grundprinzipien:

Externer Informationssicherheitsbeauftragter gesucht?

Wir übernehmen die ISB-Rolle als externer Dienstleister — ISO 27001, BSI IT-Grundschutz, NIS-2 und TISAX aus einer Hand. Bundesweit, ab 500 € / Monat.

→ Externen Informationssicherheitsbeauftragten anfragen
  • Schreibtisch aufräumen – Beim Verlassen des Arbeitsplatzes (auch für kurze Pausen) werden alle vertraulichen Dokumente weggeräumt
  • Dokumente sichern – Vertrauliche Unterlagen werden in abschließbaren Schränken oder Schubladen aufbewahrt
  • Bildschirm sperren – Computer wird beim Verlassen des Platzes gesperrt (Windows+L / Cmd+Ctrl+Q)
  • Datenträger sichern – USB-Sticks, externe Festplatten und Smartphones werden nicht offen liegengelassen
  • Drucker leeren – Ausdrucke werden sofort vom Drucker abgeholt
  • Whiteboards löschen – Notizen an Whiteboards und Flipcharts werden nach Meetings entfernt
  • Passwörter schützen – Keine Post-its mit Passwörtern am Monitor oder unter der Tastatur

Warum ist eine Clean Desk Policy wichtig?

Schutz vor Informationsdiebstahl

Offen zugängliche Dokumente, Notizen und Bildschirminhalte sind ein leichtes Ziel für:

  • Besucher und Fremde – Techniker, Reinigungskräfte, Lieferanten haben oft Zugang zu Büros
  • Social Engineers – Gezielte Angreifer nutzen ungesicherte Informationen als Basis für weiterführende Angriffe
  • Wettbewerber – Bei Open-Office-Konzepten und Co-Working-Spaces besteht erhöhtes Risiko
  • Interne Bedrohungen – Nicht jeder Mitarbeiter benötigt Zugang zu allen Informationen

DSGVO-Compliance

Die DSGVO verlangt den Schutz personenbezogener Daten durch angemessene technisch-organisatorische Maßnahmen (Art. 32 DSGVO). Offen liegende Kundenlisten, Bewerbungsunterlagen oder Gehaltsabrechnungen sind klare DSGVO-Verstöße.

ISO 27001 und BSI-Anforderungen

  • ISO 27001 Anhang A.11.2.9 – Fordert eine Clean Desk und Clean Screen Policy
  • BSI IT-Grundschutz INF.1 – Allgemeines Gebäude: Regelungen zum sauberen Arbeitsplatz
  • TISAX – Automotive-Audits prüfen die Umsetzung einer Clean Desk Policy

Professionelles Erscheinungsbild

Aufgeräumte Arbeitsplätze signalisieren Professionalität und Sorgfalt — wichtig bei Kundenbesuchen, Audits und Behördenprüfungen.

Clean Desk Policy erstellen — Inhalte und Struktur

Eine wirksame Clean Desk Policy sollte folgende Bereiche abdecken:

1. Geltungsbereich

  • Für welche Bereiche gilt die Richtlinie? (Büros, Besprechungsräume, Homeoffice)
  • Welche Mitarbeiter sind betroffen? (Empfehlung: alle, inklusive Führungskräfte)
  • Gibt es Ausnahmen? (z.B. abschließbare Einzelbüros)

2. Regeln für den physischen Arbeitsplatz

  • Vertrauliche Dokumente bei Verlassen des Arbeitsplatzes wegschließen
  • Schreibtischschubladen und Schränke abschließen
  • Keine vertraulichen Informationen an Pinnwänden oder Whiteboards
  • Ausdrucke sofort vom Drucker abholen
  • Vertrauliche Dokumente schreddern, nicht in den Papierkorb werfen
  • Schlüssel und Zugangskarten nicht offen liegenlassen

3. Regeln für den digitalen Arbeitsplatz (Clean Screen)

  • Bildschirmsperre bei Verlassen des Arbeitsplatzes (automatisch nach 5 Minuten)
  • Keine Passwörter auf Post-its oder in unverschlüsselten Dateien
  • Vertrauliche Dateien nicht auf dem Desktop speichern
  • Browser-Tabs mit vertraulichen Inhalten bei Verlassen schließen
  • Externe Datenträger sicher aufbewahren oder verschlüsseln

4. Regeln für Besprechungsräume

  • Whiteboards nach dem Meeting löschen
  • Flipchart-Blätter mitnehmen oder entsorgen
  • Keine Unterlagen im Raum zurücklassen
  • Videokonferenz-Systeme abmelden

5. Regeln für Homeoffice und mobiles Arbeiten

  • Arbeitsmaterialien vor dem Zugriff von Familienmitgliedern schützen
  • Vertrauliche Telefonate nicht in der Öffentlichkeit führen
  • Laptop-Bildschirm in der Bahn oder im Café mit Sichtschutzfolie versehen
  • Dokumente nicht im heimischen Altpapier entsorgen

6. Konsequenzen und Durchsetzung

  • Regelmäßige Stichprobenkontrollen (desk checks)
  • Eskalationsstufen bei wiederholten Verstößen
  • Positive Anreize für vorbildliche Umsetzung

Clean Desk Policy einführen — Schritt für Schritt

  1. Management-Commitment – Führungsebene muss die Policy vorleben und unterstützen
  2. Ist-Analyse – Aktuellen Zustand dokumentieren, Risiken identifizieren
  3. Richtlinie erstellen – Klare, verständliche Regeln formulieren
  4. Infrastruktur bereitstellen – Abschließbare Schränke, Aktenvernichter, Sichtschutzfolien beschaffen
  5. Mitarbeiter schulenAwareness-Training mit konkreten Beispielen und Übungen
  6. Kommunikation – Policy bekannt machen (Intranet, E-Mail, Poster)
  7. Stichproben durchführen – Regelmäßige Desk Checks mit Feedback
  8. Kontinuierliche Verbesserung – Feedback einholen, Policy anpassen, Erfolge kommunizieren

Typische Widerstände und Lösungen

  • „Das ist zu aufwändig“ – Abschließbare Container und digitale Workflows bereitstellen
  • „Ich finde dann nichts mehr“ – Digitalisierung von Dokumenten und klare Ablagesysteme einführen
  • „Bei uns bricht niemand ein“ – Statistiken zu Social Engineering und Insider-Bedrohungen zeigen
  • „Die Führung hält sich auch nicht dran“ – Clean Desk muss top-down gelebt werden

Clean Desk Checkliste für Mitarbeiter

Diese Kurzcheckliste können Mitarbeiter vor dem Verlassen des Arbeitsplatzes durchgehen:

  • ☐ Alle vertraulichen Dokumente in den Schrank/die Schublade geräumt und abgeschlossen?
  • ☐ Bildschirm gesperrt (Windows+L / Cmd+Ctrl+Q)?
  • ☐ Keine Post-its mit Passwörtern oder vertraulichen Informationen sichtbar?
  • ☐ USB-Sticks und externe Datenträger sicher verstaut?
  • ☐ Drucker-Ausgabefach geleert?
  • ☐ Whiteboard im Besprechungsraum gelöscht?
  • ☐ Schlüssel und Zugangskarten sicher aufbewahrt?
  • ☐ Vertrauliche Notizen geschreddert (nicht im Papierkorb)?

Clean Desk Policy und Homeoffice

Mit der zunehmenden Verbreitung von Homeoffice und mobilem Arbeiten müssen Clean Desk Policies über den klassischen Büroarbeitsplatz hinaus gedacht werden. Die besonderen Herausforderungen im Homeoffice:

Räumliche Gegebenheiten

Im Homeoffice teilen sich Mitarbeiter den Arbeitsraum häufig mit Familienmitgliedern, Mitbewohnern oder arbeiten an öffentlichen Orten wie Cafés oder Co-Working-Spaces. Vertrauliche Unterlagen sind hier einem deutlich höheren Risiko ausgesetzt als im kontrollierten Büroumfeld.

Empfehlungen für das Homeoffice

  • Abschließbarer Arbeitsbereich — Idealerweise ein separates Arbeitszimmer oder zumindest ein abschließbarer Schrank für vertrauliche Unterlagen
  • Sichtschutzfolie für den Laptop — Privacy Filter verhindern das Mitlesen durch Personen, die sich seitlich neben dem Bildschirm befinden
  • Dokumentenvernichtung — Vertrauliche Ausdrucke dürfen nicht ins Altpapier. Mitarbeiter benötigen einen Aktenvernichter oder müssen die Dokumente zur fachgerechten Entsorgung ins Büro mitbringen
  • VPN-Pflicht — Alle Zugriffe auf Unternehmensdaten erfolgen über eine verschlüsselte VPN-Verbindung
  • Automatische Bildschirmsperre — Auch zu Hause muss der Bildschirm bei Verlassen des Arbeitsplatzes gesperrt werden (automatisch nach maximal 5 Minuten)
  • Keine Ausdrucke vertraulicher Dokumente — Wenn möglich, sollten im Homeoffice keine vertraulichen Dokumente ausgedruckt werden. Digitale Workflows bevorzugen

Clean Desk und digitale Hygiene

Eine moderne Clean Desk Policy muss auch den digitalen Arbeitsplatz berücksichtigen. Die Prinzipien des physischen aufgeräumten Schreibtischs lassen sich direkt auf den digitalen Arbeitsplatz übertragen:

  • Desktop aufräumen — Keine vertraulichen Dateien auf dem Desktop ablegen. Dateien gehören in die verschlüsselte Unternehmenscloud oder das Dokumentenmanagementsystem
  • Browser-Tabs schließen — Beim Verlassen des Arbeitsplatzes Tabs mit vertraulichen Inhalten (CRM, E-Mail, Finanzdaten) schließen
  • Downloads-Ordner leeren — Regelmäßig den Downloads-Ordner prüfen und vertrauliche Dateien in die richtige Ablage verschieben oder sicher löschen
  • Keine Screenshots vertraulicher Daten — Screenshots von Kundendaten, Passwörtern oder internen Dokumenten vermeiden
  • E-Mail-Postfach organisieren — Vertrauliche E-Mails in gesicherte Ordner verschieben, nicht im Posteingang liegen lassen
  • Zwischenablage leeren — Nach dem Kopieren vertraulicher Informationen die Zwischenablage überschreiben

Clean Desk Policy messen und verbessern

Die Wirksamkeit einer Clean Desk Policy muss messbar sein, um kontinuierliche Verbesserung zu ermöglichen:

Desk Checks durchführen

Regelmäßige, angekündigte oder unangekündigte Desk Checks sind das wichtigste Instrument zur Überprüfung der Policy-Einhaltung. Dabei wird nach Arbeitsende stichprobenartig geprüft, ob Arbeitsplätze den Richtlinien entsprechen. Die Ergebnisse werden dokumentiert und als Basis für Verbesserungsmaßnahmen genutzt.

Scoring-System

Ein einfaches Scoring-System macht die Ergebnisse vergleichbar: Für jeden Verstoß (offenes Dokument, nicht gesperrter Bildschirm, sichtbare Passwörter) werden Punkte vergeben. Abteilungen können ihre Ergebnisse vergleichen und in einen positiven Wettbewerb treten.

Positive Verstärkung

Statt nur Verstöße zu sanktionieren, sollten vorbildliche Umsetzungen anerkannt werden. Abteilungen mit den besten Ergebnissen können ausgezeichnet werden. Positive Anreize sind langfristig wirksamer als Sanktionen und fördern die intrinsische Motivation zur Einhaltung der Richtlinie.

Clean Desk Policy bei ISO 27001 Audits

Bei ISO 27001 Zertifizierungsaudits ist die Clean Desk Policy ein häufig geprüftes Control (A.11.2.9 in der 2013-Version, bzw. A.7.7 in der 2022-Version). Auditoren prüfen typischerweise:

  • Existiert eine dokumentierte Clean Desk Policy und ist sie allen Mitarbeitern bekannt?
  • Werden regelmäßige Stichproben (Desk Checks) durchgeführt und dokumentiert?
  • Sind die notwendigen Infrastrukturmaßnahmen vorhanden (abschließbare Schränke, Aktenvernichter)?
  • Wird die Policy auch in Besprechungsräumen, Homeoffice und an mobilen Arbeitsplätzen umgesetzt?
  • Gibt es Nachweise für Mitarbeiterschulungen zum Thema Clean Desk?

Ein gut dokumentiertes Clean Desk Programm ist ein positives Signal für Auditoren und zeigt, dass das Unternehmen Informationssicherheit nicht nur auf dem Papier, sondern im Arbeitsalltag lebt.

Clean Desk Policy — Häufig gestellte Fragen

Gilt die Clean Desk Policy auch für Führungskräfte?

Ja, ausnahmslos. Die Glaubwürdigkeit einer Clean Desk Policy steht und fällt mit der Vorbildfunktion der Führungsebene. Wenn das Management sich nicht an die Richtlinie hält, werden Mitarbeiter sie ebenfalls nicht ernst nehmen. Im Idealfall sind Führungskräfte die ersten, die die Policy vorbildlich umsetzen.

Was ist mit persönlichen Gegenständen?

Eine Clean Desk Policy sollte zwischen vertraulichen Informationen und persönlichen Gegenständen unterscheiden. Familienfotos oder eine Pflanze sind in der Regel unproblematisch — es geht um den Schutz vertraulicher Informationen, nicht um klinische Sterilität. Die Richtlinie sollte dies klar kommunizieren, um Akzeptanzprobleme zu vermeiden.

Wie gehe ich mit Widerstand um?

Der häufigste Widerstand kommt aus der Wahrnehmung, dass die Policy den Arbeitsalltag erschwert. Hier helfen pragmatische Lösungen: Ausreichend abschließbare Container bereitgestellt, digitale Workflows etabliert, Scanning-Lösungen für papierlastige Prozesse eingeführt. Wenn Mitarbeiter erleben, dass die Policy ihren Arbeitsalltag nicht behindert, sondern sogar verbessert (aufgeräumter Arbeitsplatz = höhere Produktivität), steigt die Akzeptanz deutlich.

Welche Konsequenzen bei Verstößen?

Die Richtlinie sollte ein abgestuftes Eskalationsmodell vorsehen: Erster Verstoß — mündlicher Hinweis und Schulung, wiederholte Verstöße — schriftliche Ermahnung und Pflicht-Awareness-Training, systematische Verstöße — disziplinarische Maßnahmen. Wichtig: Der Fokus sollte auf Verbesserung liegen, nicht auf Bestrafung.

DATUREX GmbH — Clean Desk Policy professionell umsetzen

Die DATUREX GmbH unterstützt Sie bei der Entwicklung und Einführung einer Clean Desk Policy:

  • Richtlinien-Erstellung – Maßgeschneiderte Clean Desk Policy für Ihre Organisation
  • Ist-Analyse – Bewertung der aktuellen Situation und Risikoidentifikation
  • Awareness-Schulungen – Praxisnahe Trainings für alle Mitarbeiter
  • Audit-Vorbereitung – Sicherstellung der ISO 27001/TISAX-Konformität
  • Desk Checks – Durchführung von Stichprobenkontrollen mit konstruktivem Feedback
  • ISMS-Integration – Einbettung in Ihr Informationssicherheits-Managementsystem
📞 0351 / 79 59 35 13 Angebot anfragen