Datenschutz DSGVO WhatsApp
WhatsApp DSGVO-konform im Unternehmen nutzen – So geht es richtig
WhatsApp DSGVO Unternehmen: Warum die normale App problematisch ist, wann die Business API erlaubt ist und welche Alternativen es gibt.
Weiterlesen Home Office Datenschutz DSGVO Remote Work KMU
Home-Office Datenschutz – Regeln und Checkliste für Arbeitgeber
Inhalt in Kürze
- Die DSGVO gilt im Home-Office genauso wie im Büro. Der Arbeitgeber bleibt verantwortlich – auch wenn die Datenverarbeitung am Küchentisch stattfindet.
- Ohne Home-Office-Vereinbarung und technische Maßnahmen (TOM) riskieren Sie Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes.
- Eine Checkliste mit 12 Punkten deckt die wichtigsten Datenschutz-Anforderungen ab – von VPN bis Bildschirmsperre.
- Die Home-Office-Vereinbarung sollte als Anlage zum Arbeitsvertrag fixiert werden, damit sie verbindlich ist.
Über 25 % der Beschäftigten in Deutschland arbeiten regelmäßig von zu Hause. In vielen KMU ist Home-Office inzwischen Standard. Was fehlt: klare Datenschutzregeln für die Arbeit außerhalb des Büros.
Denn die DSGVO unterscheidet nicht zwischen Büro und Home-Office. Der Arbeitgeber bleibt verantwortliche Stelle nach Art. 4 Nr. 7 DSGVO. Das bedeutet: Sie müssen sicherstellen, dass personenbezogene Daten auch zu Hause geschützt sind. Fehlen technische und organisatorische Maßnahmen, haften Sie – nicht der Mitarbeitende.
25 %+
Beschäftigte im Home-Office
Art. 32
DSGVO: TOM-Pflicht
20 Mio €
Max. Bußgeld DSGVO
72 Std.
Meldefrist Datenpanne
Warum Home-Office Datenschutz Chefsache ist
Viele Arbeitgeber gehen davon aus, dass Datenschutz im Home-Office automatisch funktioniert, wenn die IT das Notebook einrichtet. Das reicht nicht. Die Aufsichtsbehörden erwarten dokumentierte Regeln, technische Absicherung und geschulte Mitarbeitende.
Die typischen Risiken:
- Mithören durch Dritte: Telefonate mit Kundendaten in der offenen Wohnküche.
- Ungesicherte Netzwerke: WLAN-Router mit Standardpasswort, kein VPN.
- Private Geräte: USB-Sticks, private Drucker, geteilte Familienrechner.
- Fehlende Bildschirmsperre: Kinder oder Mitbewohner sehen Personaldaten.
- Entsorgung: Ausgedruckte Dokumente im Hausmüll statt im Aktenvernichter.
Jeder dieser Punkte kann eine meldepflichtige Datenpanne nach Art. 33 DSGVO auslösen. Und jede Datenpanne zieht eine Prüfung durch die Aufsichtsbehörde nach sich.
Rechtliche Grundlagen: Was die DSGVO für das Home-Office verlangt
Verantwortlichkeit des Arbeitgebers
Nach Art. 24 DSGVO muss der Verantwortliche – also Ihr Unternehmen – geeignete technische und organisatorische Maßnahmen umsetzen und nachweisen. Diese Pflicht entfällt nicht, weil der Arbeitsplatz in der Wohnung des Mitarbeitenden liegt.
TOM nach Art. 32 DSGVO
Art. 32 DSGVO verlangt Maßnahmen, die dem Stand der Technik entsprechen. Im Home-Office bedeutet das konkret: verschlüsselte Verbindungen, Zugriffskontrollen und Regelungen zur physischen Sicherheit am häuslichen Arbeitsplatz.
Weisungsrecht und Kontrollpflicht
Der Arbeitgeber darf und muss Weisungen zum Datenschutz erteilen. Gleichzeitig gilt: Das Zutrittsrecht zur Wohnung des Mitarbeitenden ist eingeschränkt. Deshalb ist eine schriftliche Vereinbarung so wichtig – sie ersetzt die physische Kontrolle durch dokumentierte Pflichten.
TOM für das Home-Office: Was Sie konkret umsetzen müssen
Die folgende Tabelle zeigt die wichtigsten technischen und organisatorischen Maßnahmen für Home-Office-Arbeitsplätze. Sie orientiert sich an den BSI-Empfehlungen für sicheres mobiles Arbeiten und Art. 32 DSGVO.
| Bereich | Maßnahme | Umsetzung |
|---|---|---|
| Netzwerk | VPN-Pflicht | Zugriff auf Firmendaten nur über verschlüsseltes VPN |
| Endgeräte | Firmengeräte nutzen | Keine Verarbeitung personenbezogener Daten auf Privatgeräten |
| Zugangskontrolle | MFA aktivieren | Multi-Faktor-Authentifizierung für alle Cloud-Dienste und VPN |
| Bildschirmsperre | Automatische Sperre | Nach max. 5 Minuten Inaktivität |
| Verschlüsselung | Festplattenverschlüsselung | BitLocker (Windows) oder FileVault (Mac) auf allen Geräten |
| Updates | Patch-Management | Zentral gesteuerte Updates für Betriebssystem und Software |
| Druckrichtlinie | Vertrauliche Dokumente nicht zu Hause drucken – oder Aktenvernichter vorschreiben | |
| Telefonie | Headset-Pflicht | Bei Telefonaten mit personenbezogenen Daten kein Lautsprecher |
| Entsorgung | Aktenvernichtung | Papierdokumente im Crosscut-Schredder (min. Sicherheitsstufe P-4) vernichten |
| Raum | Separater Arbeitsplatz | Abschließbarer Raum oder abschließbarer Schrank für Unterlagen |
| Cloud | Zugelassene Dienste | Nur vom Unternehmen freigegebene Cloud-Dienste mit AVV verwenden |
| Schulung | Jährliche Unterweisung | Datenschutzschulung dokumentiert durchführen |
Die Home-Office Datenschutz-Checkliste für Arbeitgeber
Nutzen Sie diese Checkliste, um den Datenschutz im Home-Office systematisch aufzusetzen:
Organisatorische Maßnahmen
- Home-Office-Vereinbarung als Anlage zum Arbeitsvertrag abschließen
- Datenschutzrichtlinie für das Home-Office erstellen und verteilen
- Verarbeitungsverzeichnis um Home-Office-Verarbeitungen ergänzen
- Datenschutzschulung zum Thema Home-Office durchführen und dokumentieren
- Meldeprozess für Datenpannen auch für das Home-Office definieren
Technische Maßnahmen
- VPN für alle Remote-Zugriffe einrichten
- MFA für Cloud-Dienste, VPN und E-Mail aktivieren
- Festplattenverschlüsselung auf allen Firmengeräten aktivieren
- Automatische Bildschirmsperre konfigurieren (max. 5 Minuten)
- Patch-Management zentral steuern – auch für Home-Office-Geräte
- Mobile Device Management (MDM) für Fernlöschung einrichten
- Nur DSGVO-konforme Cloud-Dienste freigeben
Home-Office-Vereinbarung als Anlage zum Arbeitsvertrag
Fixieren Sie die Datenschutzregeln als schriftliche Anlage zum Arbeitsvertrag – nicht als loses Merkblatt. Nur so ist die Vereinbarung arbeitsrechtlich verbindlich. Die Anlage sollte mindestens enthalten: Pflicht zur VPN-Nutzung, Verbot privater Geräte für dienstliche Daten, Regelung zur Bildschirmsperre, Umgang mit Papierdokumenten und ein Zutrittsrecht für den DSB nach Voranmeldung.
Was gehört in die Home-Office-Datenschutz-Vereinbarung?
Eine vollständige Home-Office-Vereinbarung deckt diese Punkte ab:
- Geltungsbereich: Für welche Tätigkeiten und Mitarbeitende gilt die Regelung?
- Technische Vorgaben: VPN-Pflicht, Firmengeräte, MFA, Verschlüsselung.
- Räumliche Anforderungen: Separater Arbeitsplatz, Sichtschutz, abschließbare Aufbewahrung.
- Umgang mit Dokumenten: Druckverbot für bestimmte Daten, Aktenvernichtung, Rückgabepflicht.
- Verhalten bei Datenpannen: Meldekette, Fristen, Ansprechpartner.
- Kontrollrechte: Zutrittsrecht des Datenschutzbeauftragten nach Voranmeldung.
- Haftung: Wer haftet bei Verstößen? (Hinweis: Der Arbeitgeber haftet gegenüber Dritten – intern kann ein Regress möglich sein.)
- Beendigung: Was passiert bei Ende der Home-Office-Tätigkeit? Rückgabe von Geräten, Löschung lokaler Daten.
Häufige Fehler beim Home-Office Datenschutz
Kein schriftliches Regelwerk. Mündliche Absprachen reichen nicht. Die Aufsichtsbehörde verlangt dokumentierte Maßnahmen.
BYOD ohne Kontrolle. Bring Your Own Device klingt modern, ist aber datenschutzrechtlich heikel. Ohne MDM-Lösung und klare Trennung von privaten und dienstlichen Daten raten wir davon ab.
Kein separater Arbeitsplatz. Wenn der Bildschirm im Wohnzimmer steht und die Familie mitlesen kann, fehlt die Vertraulichkeit. Ein abschließbares Arbeitszimmer oder mindestens ein Sichtschutzfilter ist Pflicht.
Veraltete TOM. Maßnahmen, die 2020 festgelegt wurden, entsprechen nicht mehr dem Stand der Technik. Die Schutzmaßnahmen müssen regelmäßig überprüft und aktualisiert werden.
Keine Schulung. Mitarbeitende wissen nicht, dass sie den Bildschirm sperren müssen oder vertrauliche Telefonate nicht auf dem Balkon führen sollten. Regelmäßige Datenschutzschulungen sind Pflicht – erst recht für Home-Office.
Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen.
Nils OehmichenDatenschutzberater bei frag.hugo
So setzen Sie Home-Office Datenschutz in der Praxis um
Schritt 1: Bestandsaufnahme
Ermitteln Sie, welche Mitarbeitenden im Home-Office arbeiten und welche personenbezogenen Daten sie dabei verarbeiten. Prüfen Sie, welche technischen Maßnahmen bereits bestehen und wo Lücken sind.
Schritt 2: Home-Office-Richtlinie erstellen
Formulieren Sie eine verbindliche Richtlinie mit den Regeln aus der Checkliste oben. Lassen Sie die Richtlinie von Ihrem externen Datenschutzbeauftragten prüfen.
Schritt 3: Technik einrichten
Rollen Sie VPN, MFA, Festplattenverschlüsselung und MDM auf allen Geräten aus. Prüfen Sie die WLAN-Sicherheit der Mitarbeitenden – mindestens WPA3 oder WPA2 mit starkem Passwort.
Schritt 4: Mitarbeitende schulen
Schulen Sie alle Mitarbeitenden zum Thema Home-Office und Datenschutz. Dokumentieren Sie die Teilnahme. Wiederholen Sie die Schulung mindestens einmal pro Jahr.
Schritt 5: Regelmäßig prüfen
Führen Sie halbjährliche Selbstchecks durch. Lassen Sie Ihren DSB die Einhaltung stichprobenartig kontrollieren. Passen Sie die TOM an neue Risiken und neue Technik an.
Das Wichtigste: Home-Office Datenschutz ist kein einmaliges Projekt, sondern ein laufender Prozess. Die drei Säulen: schriftliche Vereinbarung, technische Absicherung und geschulte Mitarbeitende. Fehlt eine davon, haben Sie im Ernstfall ein Problem – gegenüber der Aufsichtsbehörde und gegenüber Ihren Kunden.
Home-Office datenschutzkonform?
Wir erstellen Ihre Home-Office-Richtlinie und prüfen die technischen Maßnahmen.
Beratung anfragen →Home-Office-Datenschutz für Hamburger Arbeitgeber
Seit der Pandemie arbeiten viele Beschäftigte in Hamburg dauerhaft hybrid — gerade in der Agentur-, Medien- und Digitalbranche rund um die Schanze und die HafenCity. Der Hamburger Datenschutzbeauftragte hat in mehreren Prüfungen gezielt Home-Office-Regelungen abgefragt. Wer als Arbeitgeber keine dokumentierte Vereinbarung und keine technischen Maßnahmen vorweisen kann, fällt auf. Unsere Datenschutzberatung in Hamburg erstellt Ihre Home-Office-Richtlinie und prüft die TOM — vor Ort oder remote.
Häufige Fragen zum Home-Office Datenschutz
Darf der Arbeitgeber die Wohnung des Mitarbeitenden kontrollieren?
Nur mit Einwilligung und nach Voranmeldung. Die Unverletzlichkeit der Wohnung (Art. 13 GG) schränkt das Kontrollrecht ein. Deshalb ist die schriftliche Vereinbarung mit einem Zutrittsrecht nach Voranmeldung so wichtig – sie schafft eine klare Rechtsgrundlage.
Müssen Mitarbeitende im Home-Office ein eigenes Arbeitszimmer haben?
Die DSGVO schreibt kein eigenes Zimmer vor. Aber: Die Vertraulichkeit personenbezogener Daten muss gewährleistet sein. Ein abschließbarer Schrank, ein Sichtschutzfilter und klare Regeln zum Bildschirmsperren können ausreichen – je nach Art der verarbeiteten Daten.
Was passiert bei einer Datenpanne im Home-Office?
Es gelten dieselben Regeln wie im Büro: Meldung an den Datenschutzbeauftragten, Bewertung der Meldepflicht, ggf. Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO). Der Meldeprozess muss den Mitarbeitenden bekannt sein – gerade im Home-Office, wo kein Kollege nebenan sitzt.
Dürfen Mitarbeitende private Geräte für die Arbeit nutzen?
BYOD (Bring Your Own Device) ist grundsätzlich möglich, aber datenschutzrechtlich anspruchsvoll. Sie brauchen eine MDM-Lösung, eine klare Trennung privater und dienstlicher Daten und eine separate BYOD-Vereinbarung. Unsere Empfehlung: Stellen Sie Firmengeräte bereit. Das ist einfacher, sicherer und rechtlich sauberer.
Inhaltsverzeichnis
Weiterlesen
Ähnliche Artikel
Datenschutz Handwerk KMU
Datenschutz Handwerksbetrieb – Welche Pflichten gelten für kleine Firmen?
Datenschutz im Handwerk: Welche DSGVO-Pflichten für Hamburger Handwerksbetriebe gelten – und was Sie sich sparen können. Mit Checkliste.
Weiterlesen
Datenschutz Online-Shop E-Commerce
Datenschutz Online-Shop – DSGVO-Checkliste für E-Commerce
Datenschutz im Online-Shop: Die DSGVO-Checkliste für Hamburger E-Commerce-Unternehmen – von Datenschutzerklärung bis Cookie-Banner.
WeiterlesenÜber den Autor
Nils Oehmichen
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter und seit über 13 Jahren in der Datenschutzberatung für mittelständische Unternehmen. Als Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH berät er KMU zu DSGVO, NIS2 und EU AI Act. Zusätzlich leitet er die BVMID-Geschäftsstelle Hamburg Süd/Ost.
TÜV-zertifiziert BVMID Hamburg 13+ Jahre DSB 200+ Mandate
Nächster Schritt
Haben Sie Fragen?
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
