Datenschutz im Homeoffice

✓ TÜV-zertifiziert   ✓ BSI-zertifiziert   ✓ IHK-zertifiziert   ✓ Über 500 Mandanten in Sachsen   ✓ Seit 2012

Warum Datenschutz im Homeoffice so wichtig ist

Die Verlagerung von Arbeitsplätzen ins Homeoffice hat die Arbeitswelt grundsätzlich verändert. Was während der Pandemie als Notlösung begann, ist 2026 für Millionen Beschäftigte in Deutschland gelebter Alltag. Doch mit der räumlichen Verlagerung des Arbeitsplatzes verlagern sich auch die Risiken für personenbezogene Daten. Während im Büro professionelle IT-Infrastruktur, Zugangskontrollsysteme und abschließbare Aktenschränke selbstverständlich sind, fehlen diese Schutzmechanismen im häuslichen Umfeld häufig vollständig.

Die DSGVO unterscheidet nicht zwischen Büro und Homeoffice — die gleichen Schutzanforderungen gelten überall dort, wo personenbezogene Daten verarbeitet werden. Für Arbeitgeber bedeutet das: Sie bleiben als Verantwortliche in der Pflicht, auch am häuslichen Arbeitsplatz ihrer Mitarbeiter angemessene technische und organisatorische Maßnahmen sicherzustellen. Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes geahndet werden.

Die Herausforderungen sind verschieden: Familienmitglieder können Bildschirminhalte einsehen, private Router sind oft unzureichend konfiguriert, berufliche Dokumente werden auf privaten Druckern ausgegeben, und Videokonferenzen finden in Räumen statt, die nicht gegen Mithören geschützt sind. Ohne klare Regelungen und technische Vorkehrungen entstehen Datenschutzlücken, die sowohl das Unternehmen als auch die betroffenen Personen gefährden. Ein strukturierter Datenschutz im Unternehmen muss daher zwingend auch das Homeoffice umfassen.

DSGVO-Pflichten des Arbeitgebers im Homeoffice

Der Arbeitgeber trägt als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO die Hauptverantwortung für den Datenschutz — auch wenn die Datenverarbeitung im Homeoffice des Mitarbeiters stattfindet. Diese Verantwortung lässt sich nicht durch die räumliche Verlagerung abwälzen. Die folgenden Pflichten müssen aktiv erfüllt und dokumentiert werden. Dazu gehört auch die Aktualisierung des Verarbeitungsverzeichnisses, das Homeoffice-Verarbeitungsvorgänge als eigene Einträge ausweisen sollte.

Technische und organisatorische Maßnahmen (TOMs)

Art. 32 DSGVO verpflichtet den Arbeitgeber, angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen. Im Homeoffice-Kontext umfasst dies die Bereitstellung sicherer Arbeitsgeräte, die Einrichtung verschlüsselter Verbindungen, die Implementierung von Zugriffskontrollen und die Festlegung klarer Verhaltensregeln für den Umgang mit Daten im häuslichen Umfeld.

Die TOMs müssen dem Stand der Technik entsprechen und regelmäßig überprüft werden. Ein einmaliges Setup reicht nicht aus — die Bedrohungslandschaft entwickelt sich kontinuierlich weiter, und die Maßnahmen müssen entsprechend angepasst werden. Die Dokumentation der TOMs ist nicht nur eine gesetzliche Pflicht, sondern dient auch als Nachweis gegenüber Aufsichtsbehörden im Falle einer Prüfung oder eines Datenschutzvorfalls.

Auftragsverarbeitungsverträge und Drittanbieter

Nutzen Mitarbeiter im Homeoffice Cloud-Dienste, Videokonferenz-Tools oder andere SaaS-Anwendungen, die personenbezogene Daten verarbeiten, müssen hierfür Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen werden. Dies gilt insbesondere für Dienste wie Microsoft Teams, Zoom, Google Workspace und Cloud-Speicherlösungen.

Der Arbeitgeber muss sicherstellen, dass die eingesetzten Dienste den Anforderungen der DSGVO genügen — insbesondere hinsichtlich des Serverstandorts und der Übermittlung in Drittländer. Nach dem Schrems-II-Urteil des EuGH sind Transfers in die USA nur unter bestimmten Voraussetzungen zulässig. Das EU-US Data Privacy Framework bietet zwar eine neue Rechtsgrundlage, doch die Einhaltung muss im Einzelfall geprüft werden.

Schulung und Sensibilisierung

Art. 39 Abs. 1 lit. b DSGVO verlangt die Sensibilisierung und Schulung der Mitarbeiter im Bereich Datenschutz. Im Homeoffice-Kontext ist diese Pflicht besonders relevant, da Mitarbeiter eigenverantwortlich für den Schutz der Daten in ihrer häuslichen Umgebung sorgen müssen. Regelmäßige Schulungen sollten praxisnahe Szenarien abdecken: Was tun bei einem Datenschutzvorfall? Wie gehe ich mit vertraulichen Dokumenten um? Welche Geräte darf ich nutzen?

Die Schulung muss dokumentiert werden und sollte mindestens einmal jährlich stattfinden. Neue Mitarbeiter sind vor Aufnahme der Homeoffice-Tätigkeit zu schulen. Ergänzend empfehlen sich regelmäßige Awareness-Kampagnen, die aktuelle Bedrohungen wie Phishing, Social Engineering und Ransomware thematisieren.

Die Homeoffice-Vereinbarung: Rechtssichere Gestaltung

Eine schriftliche Homeoffice-Vereinbarung bildet die vertragliche Grundlage für den Datenschutz am häuslichen Arbeitsplatz. Sie ergänzt den Arbeitsvertrag und regelt die spezifischen Pflichten und Verantwortlichkeiten beider Seiten. Die Vereinbarung sollte folgende Kernpunkte enthalten:

Wesentliche Inhalte der Vereinbarung

Räumliche Anforderungen: Der Arbeitsplatz muss so eingerichtet sein, dass unbefugte Dritte — einschließlich Familienangehöriger — keinen Einblick in personenbezogene Daten nehmen können. Idealerweise steht ein abschließbarer Raum zur Verfügung. Ist dies nicht möglich, müssen alternative Schutzmaßnahmen wie Blickschutzfolien, abschließbare Aufbewahrungsmöglichkeiten und klare Bildschirmsperr-Regeln definiert werden.

Geräte und Netzwerk: Die Vereinbarung legt fest, ob ausschließlich dienstliche Geräte oder auch private Geräte (BYOD) genutzt werden dürfen. Für private Geräte gelten besondere Anforderungen: aktuelles Betriebssystem, Virenschutz, Verschlüsselung und Trennung von privaten und dienstlichen Daten. Das heimische WLAN muss mit WPA3 oder mindestens WPA2 verschlüsselt sein, und der Zugang zum Firmennetzwerk darf nur über VPN erfolgen.

Datenschutzpflichten: Konkrete Verhaltensregeln für den Umgang mit Daten — etwa das Sperren des Bildschirms bei Verlassen des Arbeitsplatzes, das sichere Vernichten von Ausdrucken, das Verbot der Nutzung öffentlicher WLANs für dienstliche Zwecke und die unverzügliche Meldung von Datenschutzvorfällen. Die Vereinbarung sollte auch regeln, ob und unter welchen Bedingungen der Arbeitgeber den häuslichen Arbeitsplatz kontrollieren darf.

Kontrollrechte: Der Arbeitgeber hat das Recht, die Einhaltung der Datenschutzmaßnahmen zu überprüfen. Dies kann durch angekündigte Besuche, technische Überprüfungen (etwa Compliance-Checks über MDM-Lösungen) oder Selbstauskünfte der Mitarbeiter erfolgen. Die Kontrollrechte müssen verhältnismäßig sein und das Grundrecht auf Unverletzlichkeit der Wohnung (Art. 13 GG) berücksichtigen.

Technische Maßnahmen für sicheres Homeoffice

Technische Maßnahmen bilden das Rückgrat des Datenschutzes im Homeoffice. Sie schützen personenbezogene Daten vor unbefugtem Zugriff, Verlust und Manipulation — unabhängig von der Disziplin des einzelnen Mitarbeiters. Die folgenden Maßnahmen sollten als Mindeststandard implementiert werden.

VPN — Verschlüsselte Verbindung zum Firmennetzwerk

Ein Virtual Private Network (VPN) verschlüsselt die gesamte Kommunikation zwischen dem Homeoffice-Arbeitsplatz und dem Firmennetzwerk. Alle Daten werden durch einen verschlüsselten Tunnel übertragen, sodass weder der Internetanbieter noch potenzielle Angreifer im Heimnetzwerk den Datenverkehr mitlesen können. Der VPN-Client sollte sich automatisch bei Systemstart verbinden und eine Kill-Switch-Funktion bieten, die den Internetzugang unterbricht, falls die VPN-Verbindung abbricht.

Modern Split-Tunneling-Konfigurationen können den privaten Internetverkehr direkt ins Internet leiten, während nur der dienstliche Verkehr über das VPN läuft. Dies verbessert die Performance und reduziert die Bandbreitenbelastung des Firmen-VPN, erfordert jedoch eine sorgfältige Konfiguration, um Datenlecks zu vermeiden.

Festplattenverschlüsselung

Die vollständige Verschlüsselung der Festplatte (Full Disk Encryption) schützt alle gespeicherten Daten vor unbefugtem Zugriff — selbst wenn das Gerät gestohlen oder verloren wird. BitLocker (Windows), FileVault (macOS) und LUKS (Linux) sind bewährte Lösungen, die ohne spürbare Performance-Einbußen arbeiten. Die Verschlüsselung muss zentral erzwungen und die Recovery-Schlüssel sicher im Unternehmen hinterlegt werden.

Zwei-Faktor-Authentifizierung (2FA)

Passwörter allein bieten keinen ausreichenden Schutz — sie werden gestohlen, erraten oder durch Phishing abgegriffen. Zwei-Faktor-Authentifizierung kombiniert das Passwort mit einem zweiten Faktor: einem physischen Token, einer Authenticator-App oder einer biometrischen Prüfung. 2FA sollte für Unternehmensanwendungen, Cloud-Dienste und VPN-Zugänge verpflichtend sein.

FIDO2-basierte Hardware-Token wie YubiKeys bieten das höchste Sicherheitsniveau und sind resistent gegen Phishing-Angriffe. Für Unternehmen, die eine kostengünstigere Lösung suchen, sind Authenticator-Apps wie Microsoft Authenticator oder Google Authenticator eine solide Alternative. SMS-basierte 2FA sollte vermieden werden, da SMS-Nachrichten abgefangen werden können.

Bildschirmsperre und Zugangsschutz

Die automatische Bildschirmsperre nach einer definierten Inaktivitätszeit (empfohlen: maximal fünf Minuten) verhindert, dass Unbefugte bei kurzzeitiger Abwesenheit des Mitarbeiters auf den Bildschirm zugreifen können. Die Entsperrung sollte nur mit Passwort, PIN oder biometrischer Authentifizierung möglich sein. Zusätzlich empfehlen sich Blickschutzfolien (Privacy Filter), die das Ablesen des Bildschirms aus seitlichen Winkeln verhindern — besonders wichtig, wenn der Arbeitsplatz nicht in einem separaten Raum liegt.

Sicheres Drucken und Dokumentenvernichtung

Das Ausdrucken personenbezogener Daten im Homeoffice sollte grundsätzlich auf das absolut Notwendige beschränkt werden. Wenn unvermeidbar, müssen ausgedruckte Dokumente in abschließbaren Behältern aufbewahrt und nach Gebrauch datenschutzkonform vernichtet werden. Ein Aktenvernichter der Sicherheitsstufe P-4 (gemäß DIN 66399) sollte vom Arbeitgeber bereitgestellt werden. Keinesfalls dürfen vertrauliche Dokumente im Hausmüll entsorgt werden.

Private Geräte im Homeoffice (BYOD)

Bring Your Own Device (BYOD) im Homeoffice ist verbreitet, birgt jedoch erhebliche Datenschutzrisiken. Wenn Mitarbeiter ihre privaten Laptops, Tablets oder Smartphones für dienstliche Zwecke nutzen, fehlt dem Arbeitgeber die Kontrolle über die Gerätekonfiguration, den Sicherheitsstandard und die installierten Anwendungen.

Grundsätzlich empfiehlt es sich, für die Verarbeitung personenbezogener Daten ausschließlich dienstliche Geräte bereitzustellen. Ist BYOD unvermeidbar, müssen klare Regeln gelten: Das private Gerät muss ein aktuelles Betriebssystem und einen aktuellen Virenschutz haben. Die Festplatte muss verschlüsselt sein. Dienstliche und private Daten müssen strikt getrennt werden — beispielsweise durch Container-Lösungen oder virtuelle Desktops. Der Arbeitgeber muss im Falle eines Datenschutzvorfalls oder bei Ausscheiden des Mitarbeiters die Möglichkeit haben, dienstliche Daten zu löschen.

Die datenschutzrechtliche Verantwortung für die auf privaten Geräten verarbeiteten Daten verbleibt beim Arbeitgeber. Daher muss eine BYOD-Vereinbarung geschlossen werden, die technische Anforderungen, Nutzungsregeln und Löschrechte klar definiert. Die Einwilligung des Mitarbeiters in die Verwaltung des geschäftlichen Bereichs durch den Arbeitgeber ist erforderlich.

Videokonferenzen datenschutzkonform gestalten

Videokonferenzen sind aus dem Homeoffice-Alltag nicht wegzudenken. Tools wie Microsoft Teams, Zoom, Google Meet und Cisco Webex verarbeiten dabei eine Vielzahl personenbezogener Daten: Audio- und Videostreams, Chat-Nachrichten, geteilte Bildschirminhalte, Teilnehmerlisten und Metadaten wie Verbindungszeiten und IP-Adressen.

Auswahl des Videokonferenz-Tools

Bei der Auswahl des Tools sind mehrere Datenschutzaspekte zu berücksichtigen: Wo werden die Daten verarbeitet und gespeichert? Liegt ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO vor? Werden Daten in Drittländer übermittelt, und wenn ja, auf welcher Rechtsgrundlage? Bietet das Tool Ende-zu-Ende-Verschlüsselung? Welche Daten werden für eigene Zwecke des Anbieters verarbeitet?

Europäische Alternativen wie Nextcloud Talk, Jitsi Meet oder BigBlueButton bieten den Vorteil, dass die Datenverarbeitung vollständig innerhalb der EU stattfinden kann. Für Unternehmen mit besonders sensiblen Daten kann eine selbst gehostete Lösung die sicherste Option darstellen.

Praktische Datenschutzregeln für Videokonferenzen

Vor dem Start einer Videokonferenz sollte der Hintergrund überprüft werden — persönliche Gegenstände, Familienfotos oder andere vertrauliche Informationen können ungewollt sichtbar sein. Virtuelle Hintergründe oder Hintergrundunschärfe schaffen hier Abhilfe. Die Kamera sollte nur aktiviert werden, wenn es für die Besprechung erforderlich ist. Aufzeichnungen dürfen nur mit ausdrücklicher Zustimmung aller Teilnehmer erstellt werden und müssen den Teilnehmern vorab angekündigt werden.

Cloud-Dienste sicher nutzen

Cloud-Dienste ermöglichen die ortsunabhängige Zusammenarbeit und sind für Homeoffice-Szenarien nahezu unverzichtbar. Microsoft 365, Google Workspace, Dropbox und andere Cloud-Plattformen verarbeiten dabei regelmäßig personenbezogene Daten, die dem Schutz der DSGVO unterliegen.

Der Arbeitgeber muss sicherstellen, dass nur genehmigte Cloud-Dienste für dienstliche Zwecke genutzt werden. Shadow-IT — die Nutzung nicht genehmigter Dienste durch Mitarbeiter — ist eines der größten Datenschutzrisiken im Homeoffice. Klare Vorgaben, welche Dienste für welche Datenarten zugelassen sind, und eine einfache Möglichkeit, neue Dienste anzufragen, reduzieren dieses Risiko erheblich.

Für besonders sensible Daten — etwa Gesundheitsdaten, Finanzdaten oder Daten gemäß Art. 9 DSGVO — sollten zusätzliche Schutzmaßnahmen wie Client-seitige Verschlüsselung oder On-Premises-Speicherung in Betracht gezogen werden. Zero-Knowledge-Cloud-Anbieter wie Tresorit oder Boxcryptor bieten eine zusätzliche Verschlüsselungsebene, bei der selbst der Cloud-Anbieter die gespeicherten Daten nicht entschlüsseln kann.

Checkliste: 15 Punkte für datenschutzkonformes Homeoffice

Die folgende Checkliste fasst die wichtigsten Maßnahmen zusammen und dient als Orientierung für die Einrichtung und den Betrieb eines datenschutzkonformen Homeoffice-Arbeitsplatzes:

  1. Homeoffice-Vereinbarung: Schriftliche Vereinbarung mit klaren Datenschutzregeln abschließen
  2. Dienstliche Geräte: Vom Arbeitgeber bereitgestellte und verwaltete Geräte nutzen
  3. VPN-Verbindung: Ausschließlich über verschlüsseltes VPN auf Unternehmensdaten zugreifen
  4. Festplattenverschlüsselung: Alle Arbeitsgeräte mit Full Disk Encryption absichern
  5. Zwei-Faktor-Authentifizierung: 2FA für Unternehmensanwendungen aktivieren
  6. Bildschirmsperre: Automatische Sperre nach maximal fünf Minuten Inaktivität einrichten
  7. WLAN-Sicherheit: Heimnetzwerk mit WPA3/WPA2 verschlüsseln, Standard-Passwort ändern
  8. Blickschutz: Privacy Filter verwenden, Bildschirm nicht für Dritte einsehbar aufstellen
  9. Dokumentensicherheit: Vertrauliche Unterlagen verschlossen aufbewahren und datenschutzkonform vernichten
  10. Druckbeschränkung: Ausdrucke auf das Minimum beschränken, Aktenvernichter nutzen
  11. Videokonferenzen: Hintergrund prüfen, Aufzeichnungen nur mit Zustimmung, genehmigte Tools nutzen
  12. Software-Updates: Betriebssystem und alle Anwendungen laufend aktuell halten
  13. Phishing-Awareness: Regelmäßig an Schulungen teilnehmen, verdächtige E-Mails melden
  14. Vorfallmeldung: Datenschutzvorfälle unverzüglich dem Vorgesetzten und dem Datenschutzbeauftragten melden
  15. Regelmäßige Überprüfung: Technische und organisatorische Maßnahmen mindestens jährlich überprüfen und aktualisieren

Häufig gestellte Fragen (FAQ)

Darf mein Arbeitgeber mein Homeoffice kontrollieren?

Ja, der Arbeitgeber hat grundsätzlich das Recht, die Einhaltung der Datenschutzmaßnahmen im Homeoffice zu überprüfen. Dieses Kontrollrecht muss jedoch in der Homeoffice-Vereinbarung geregelt sein und das Grundrecht auf Unverletzlichkeit der Wohnung (Art. 13 GG) berücksichtigen. In der Praxis bedeutet das: Besuche müssen angekündigt werden, und der Mitarbeiter muss zustimmen. Technische Kontrollen — etwa über MDM-Lösungen oder Compliance-Checks — sind weniger eingriffsintensiv und daher in der Regel verhältnismäßig.

Muss ich im Homeoffice einen Aktenvernichter haben?

Wenn Sie im Homeoffice regelmäßig Dokumente mit personenbezogenen Daten ausdrucken, ja. Die datenschutzkonforme Vernichtung ist Pflicht, und der Hausmüll reicht dafür nicht aus. Der Arbeitgeber sollte einen Aktenvernichter der Sicherheitsstufe P-4 (gemäß DIN 66399) bereitstellen. Besser ist es jedoch, den Ausdruck vertraulicher Dokumente im Homeoffice grundsätzlich zu vermeiden und digital zu arbeiten.

Dürfen Familienmitglieder den Arbeitsrechner nutzen?

Nein. Der dienstliche Arbeitsrechner darf ausschließlich vom Mitarbeiter selbst und nur für dienstliche Zwecke genutzt werden. Familienmitglieder — auch Kinder — dürfen keinen Zugang haben. Für jeden Benutzer des Geräts besteht ein separates Konto mit eigenem Passwort. Bei BYOD-Szenarien muss zumindest der geschäftliche Bereich durch Container-Lösungen oder separate Benutzerkonten geschützt sein.

Was mache ich bei einem Datenschutzvorfall im Homeoffice?

Datenschutzvorfälle — etwa der Verlust eines Geräts, ein erfolgreicher Phishing-Angriff oder der unbefugte Zugriff durch Dritte — müssen unverzüglich dem Vorgesetzten und dem Datenschutzbeauftragten gemeldet werden. Der Arbeitgeber hat dann 72 Stunden Zeit, den Vorfall gemäß Art. 33 DSGVO an die Aufsichtsbehörde zu melden, sofern ein Risiko für die Betroffenen besteht. Dokumentieren Sie den Vorfall so genau wie möglich: Was ist passiert? Wann? Welche Daten sind betroffen? Welche Maßnahmen wurden ergriffen?

Ist öffentliches WLAN für dienstliche Zwecke erlaubt?

Grundsätzlich nein. Öffentliche WLANs in Hotels, Cafés oder an Flughäfen sind unsicher und ermöglichen Man-in-the-Middle-Angriffe, bei denen der gesamte Datenverkehr mitgelesen werden kann. Wenn die Nutzung öffentlicher Netzwerke unvermeidbar ist, muss zwingend ein VPN aktiviert sein, das den gesamten Datenverkehr verschlüsselt. Die Nutzung mobiler Hotspots über das Diensthandy ist die sicherere Alternative.

Welche Strafen drohen bei Datenschutzverstößen im Homeoffice?

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist. Auch wenn einzelne Verstöße im Homeoffice selten zu Höchststrafen führen, sind fünfstellige Bußgelder durchaus realistisch. Außerdem können Schadensersatzansprüche betroffener Personen gemäß Art. 82 DSGVO geltend gemacht werden. Für den Arbeitgeber kommt ein erheblicher Reputationsschaden hinzu, der den finanziellen Schaden oft übersteigt.

Datenschutzbeauftragter im Homeoffice-Kontext

Die Einführung von Homeoffice-Arbeitsplätzen erhöht die Komplexität der Datenverarbeitung erheblich und macht die Einbindung des Datenschutzbeauftragten (DSB) zwingend erforderlich. Gemäß Art. 37 DSGVO müssen Unternehmen, die zur Benennung eines DSB verpflichtet sind, diesen frühzeitig in die Planung und Umsetzung von Homeoffice-Konzepten einbeziehen. Der DSB berät bei der Erstellung der Homeoffice-Vereinbarung, prüft die technischen und organisatorischen Maßnahmen und führt bei Bedarf eine Datenschutz-Folgenabschätzung durch.

Besonders für kleine und mittelständische Unternehmen ohne eigene Datenschutzabteilung bietet ein externer Datenschutzbeauftragter erhebliche Vorteile: Er bringt Erfahrung aus zahlreichen Unternehmen mit, kennt branchenspezifische Anforderungen und kann die Homeoffice-Richtlinien effizient und rechtssicher gestalten. Die DATUREX GmbH unterstützt Unternehmen bundesweit bei der datenschutzkonformen Gestaltung ihrer Homeoffice-Arbeitsplätze — von der initialen Risikoanalyse über die Erstellung aller erforderlichen Dokumente bis zur laufenden Beratung und Schulung der Mitarbeiter.

Kostenlose Erstberatung

DATUREX GmbH — bundesweit.

Tel: 0351 79593513 | E-Mail: datenschutz@externer-datenschutzbeauftragter-dresden.de