Die meisten kleinen und mittleren Unternehmen scheitern nicht daran, Dokumentation zu starten, sondern daran, dass alles nach sechs Monaten schon wieder veraltet ist. Hier zeigen wir dir, warum das so ist und wie ein einfacher Kreislauf das Problem löst.
Irgendwo in deinem Unternehmen liegt eine Passwort-Policy aus dem Jahr 2021. Vielleicht gibt es auch eine SOP (Standard Operating Procedure, also eine schriftliche Anleitung für wiederkehrende Aufgaben), die niemand kennt, oder einen Einarbeitungsleitfaden, der schon beim dritten neuen Mitarbeiter nicht mehr gestimmt hat. Du weißt das, und trotzdem passiert nichts.
Das ist kein Versagen. Das ist das Ergebnis eines Modells, das von Anfang an nicht funktioniert. Dokumentation wird in den meisten Unternehmen als Projekt behandelt, das irgendwann abgeschlossen ist. Einmal erstellt, fertig. Dieses Modell ignoriert, dass sich Prozesse, Tools und Zuständigkeiten ständig verändern.
Dieser Artikel zeigt dir, wie du das anders aufbaust: mit einem einfachen Kreislauf, der Dokumentation lebendig hält, klaren Rollen im Team und Formaten, die wirklich genutzt werden.
Das Muster ist fast immer dasselbe. Ein Audit steht an, ein neuer Mitarbeiter kommt, oder es gab einen Vorfall. Plötzlich müssen Prozesse dokumentiert werden. Es entsteht Druck, Dokumente werden schnell erstellt, und für ein paar Monate fühlt es sich gut an.
Dann verändert sich etwas. Ein Tool wird gewechselt. Ein Prozess läuft anders. Jemand verlässt das Unternehmen. Die Dokumentation spiegelt das nicht mehr wider, weil niemand einen klaren Auftrag hat, sie aktuell zu halten. Sechs Monate später stimmt vieles nicht mehr, ein Jahr später ignoriert jeder das Dokument stillschweigend.
Das zweite Problem ist die Erwartung, dass Dokumentation vollständig sein muss. Wer so denkt, fängt erst gar nicht an oder verliert sich in Überarbeitungsschleifen, bis das Dokument nie fertig wird. Vollständige Dokumentation ist das Ziel, in der Praxis gibt es fast immer Lücken. Was zählt, ist, die kritischen zu schließen und den Rest pragmatisch zu priorisieren.
Beide Probleme lassen sich mit demselben Ansatz lösen: dem Doku-Kreislauf.
PDCA steht für Plan, Do, Check, Act. Es ist das Grundprinzip hinter ISO 9001, ISO 27001 und fast allen anderen Managementsystemen. Du musst aber nichts von Normen verstehen, um es zu nutzen.
Die Idee ist einfach: Du planst, was dokumentiert werden soll, erstellst das Dokument, überprüfst es in einem definierten Abstand und aktualisierst es bei Bedarf. Dann beginnt der Kreislauf von vorne. Was das von klassischer Dokumentation unterscheidet, ist nicht das Erstellen, sondern das Prüfen. Die Überprüfung ist kein Sonderfall, der entsteht, wenn etwas schiefläuft. Sie ist von Anfang an eingeplant und hat eine konkrete Person, die dafür zuständig ist.
In der Praxis klingt das selbstverständlich. Umgesetzt wird es selten.
Der häufigste Fehler beim Start: zu viel auf einmal. Zehn Dokumente gleichzeitig, ein komplettes Handbuch, „die gesamte IT-Dokumentation". Das führt dazu, dass nach ein paar Wochen alles halbfertig ist und niemand mehr weiß, was gerade Priorität hat.
Sinnvoller ist es, mit einem einzigen Dokument anzufangen, das konkret gebraucht wird, überschaubar ist und mindestens eine Person im Unternehmen betrifft, die es regelmäßig nutzt. Eine Passwort-Policy ist ein anschauliches Beispiel. Eine Onboarding-Checkliste auch. Das Ziel ist nicht, sofort alles zu lösen, sondern einmal den kompletten Kreislauf zu durchlaufen: schreiben, prüfen lassen, freigeben, Review-Termin festlegen. Wer das einmal gemacht hat, hat eine funktionierende Vorlage für alle weiteren Dokumente.
Dokumentation scheitert oft nicht am Inhalt, sondern an unklaren Zuständigkeiten. Wer schreibt? Wer prüft? Wer aktualisiert, wenn sich etwas ändert?
Ein einfaches Modell, das in kleineren Unternehmen gut funktioniert, besteht aus vier Rollen. Der Autor schreibt das Dokument, weil er den Prozess am besten kennt. Das muss nicht die Führungskraft sein, oft ist der direkteste Praktiker die bessere Wahl. Der Reviewer prüft auf Vollständigkeit und Verständlichkeit, idealerweise jemand, der die Aufgabe kennt, aber nicht selbst geschrieben hat. Der Freigeber gibt offiziell frei, in der Regel Geschäftsführung, ISB (Informationssicherheitsbeauftragter) oder Abteilungsleitung. Der Nutzer wendet das Dokument im Alltag an und meldet, wenn etwas nicht mehr stimmt.
Diese Rollen gehören direkt in den Dokumentenkopf, nicht in eine separate Übersicht, die niemand öffnet. Eine Zeile genügt: Autor, Reviewer, Freigeber, nächste Überprüfung.
Der häufigste Fehler dabei: Eine Person übernimmt alles. Das klappt kurzfristig, schafft aber keine geteilte Verantwortung. Verlässt diese Person das Unternehmen, ist das Wissen weg und niemand sonst fühlt sich zuständig.
Textdokumente haben einen strukturellen Nachteil: Sie sind linear und statisch. Das passt gut für klare Regeln und Richtlinien, also Policies. Bei komplexeren Abläufen mit Entscheidungspunkten stoßen sie schnell an ihre Grenzen.
Kurze Screencasts funktionieren für Schritt-für-Schritt-Anleitungen häufig besser als Fließtext. Eine fünfminütige Bildschirmaufnahme mit Kommentar erklärt einen Prozess oft klarer als drei Textseiten. Tools wie Loom oder die eingebaute Bildschirmaufnahme von Windows und macOS reichen dafür vollständig aus.
Für Abläufe mit Entscheidungspunkten ist ein Flussdiagramm sinnvoll. Miro, Lucidchart oder auch PowerPoint reichen. Eine einfache Skizze, die zeigt, was bei Situation A passiert und was bei Situation B, ist besser als kein Diagramm.
KI-Tools können beim Erstellen von Erstentwürfen helfen, etwa für eine neue SOP oder Policy. Das senkt die Hemmschwelle, überhaupt anzufangen. Dabei gilt: KI liefert einen Ausgangspunkt, die fachliche Prüfung und Freigabe bleibt beim Menschen.
Das ist der Schritt, der in fast allen KMU fehlt, und der Hauptgrund, warum Dokumentation veraltet.
Bevor ein Dokument freigegeben wird, muss feststehen: Wann wird es das nächste Mal überprüft? Wer ist verantwortlich? Was löst eine außerplanmäßige Prüfung aus? Die Antworten gehören direkt ins Dokument und der Termin in den Kalender der zuständigen Person. Nicht in eine Projektliste, nicht in eine separate Tabelle.
Typische Auslöser für eine außerplanmäßige Überprüfung sind Gesetzesänderungen, Sicherheitsvorfälle, Personalwechsel in relevanten Rollen und wesentliche Prozessänderungen. Diese lassen sich in zwei Zeilen im Dokumentenkopf festhalten.
Für ISO 27001, TISAX und NIS-2 ist dieser Punkt übrigens nicht optional. Auditoren erwarten, dass Dokumente regelmäßig überprüft werden und dass diese Überprüfungen nachweisbar sind. Ein Dokument ohne Überprüfungsdatum gilt in einem Audit als nicht gepflegt, egal wie gut der Inhalt ist.
{{template-sop="/system/components"}}
Wer Dokumentation als Pflichtübung für Auditoren betrachtet, verpasst den eigentlichen Nutzen. Gute Dokumentation schützt das Unternehmen auf zwei Ebenen.
Intern sorgen klare Prozesse dafür, dass Wissen nicht an einzelnen Personen hängt, Einarbeitungen schneller gehen und Fehler durch unklare Zuständigkeiten seltener werden. Das ist unabhängig von Normen und Gesetzen wertvoll.
Nach außen verlangen ISO 27001, NIS-2, DORA, TISAX und die DSGVO dokumentierte Maßnahmen, weil unkontrollierte Prozesse ein messbares Sicherheitsrisiko darstellen. Dokumentation ist in diesem Kontext kein Bürokratieprojekt, sondern der Nachweis, dass du weißt, was in deinem Unternehmen passiert.
Das Ziel dabei ist nicht, möglichst viele Dokumente zu haben. Ein lebendiges System aus zwanzig aktuellen Dokumenten ist mehr wert als ein Archiv aus zweihundert, die niemand mehr anfasst.
Dokumentation scheitert selten am Willen. Sie scheitert an einem Modell, das nicht dafür gebaut ist, mit dem Unternehmen mitzuwachsen. Wer einen Kreislauf aufbaut, klare Rollen vergibt und den Review-Termin von Anfang an einplant, hat das Wesentliche verstanden.
Der praktische Einstieg: Wähle ein Dokument, das du heute wirklich brauchst. Lass es von jemandem gegenlesen, der die Aufgabe kennt. Trag den nächsten Review-Termin in den Kalender. Damit hast du deinen ersten vollständigen Doku-Kreislauf.
Weiterführende Links:
Möchtest du das Thema für dein Unternehmen weiterdenken?
→ Hier kannst du einen Termin für ein Strategiegespräch anfragen
