Datenschutz & Compliance

Home-Office und Datenschutz: Was Unternehmen verbindlich regeln müssen

6 Min. Lesezeit
Kurze Antwort

Im Home-Office gelten dieselben DSGVO-Anforderungen wie im Büro. Unternehmen müssen technische und organisatorische Maßnahmen sicherstellen und verbindliche Regelungen treffen.

Das Unternehmen bleibt auch im Home-Office datenschutzrechtlich verantwortlich. Verstöße durch Mitarbeiter zuhause können dem Unternehmen als Verantwortlichem zugerechnet werden – fehlende Richtlinien sind kein Schutz, sondern Haftungsrisiko.

Rechtliche Grundlage: Verantwortlichkeit bleibt beim Unternehmen

Was verbindlich geregelt werden muss

  • Home-Office-Richtlinie: Schriftliche Regelung der erlaubten Geräte, Netzwerke, Dateiablage und physischen Schutzmaßnahmen
  • VPN-Pflicht für den Zugriff auf Unternehmenssysteme – ungesicherte WLAN-Verbindungen sind tabu
  • Verschlüsselung: Festplatten auf Unternehmensgeräten müssen verschlüsselt sein (BitLocker, FileVault)
  • Keine Nutzung privater Geräte für Unternehmensdaten ohne BYOD-Richtlinie und MDM-Lösung
  • Physischer Schutz: Bildschirm nicht einsehbar für Dritte (Familienmitglieder), Dokumente nicht offen herumliegen lassen
  • Datenschutzunterweisung: Mitarbeiter müssen explizit auf Home-Office-spezifische Risiken hingewiesen werden
Private Drucker und Privatgeräte sind ein erhebliches Risiko. Ausgedruckte Kundendaten oder auf dem privaten PC gespeicherte Dateien liegen außerhalb der Unternehmenskontrolle. Im Zweifel: Kein Ausdruck, keine lokale Speicherung – nur cloud-basierter Zugriff über VPN.

Home-Office datenschutzkonform aufsetzen

  1. Home-Office-Richtlinie erstellen

    Formulieren Sie eine verbindliche Richtlinie, die regelt: welche Geräte verwendet werden dürfen, wie der Netzwerkzugang abzusichern ist, welche Daten lokal gespeichert werden dürfen, wie mit Ausdrucken umzugehen ist und wie bei Sicherheitsvorfällen zu melden ist. Diese Richtlinie muss von allen Home-Office-Mitarbeitern schriftlich bestätigt werden.

  2. Technische Maßnahmen implementieren

    Unternehmensgeräte müssen vollständig verschlüsselt sein. VPN-Zugang ist für alle Systemzugriffe Pflicht. Automatische Bildschirmsperren nach kurzer Inaktivität konfigurieren. Multifaktor-Authentifizierung für alle Unternehmenszugänge aktivieren. Regelmäßige Patch-Zyklen und zentrale Geräteverwaltung sicherstellen.

  3. Mitarbeiter schulen

    Eine Datenschutzunterweisung speziell für das Home-Office muss alle typischen Risiken abdecken: Phishing, Shoulder Surfing, Videokonferenzen in Hörweite Dritter, unsichere Netzwerke, versehentliches Teilen von Bildschirminhalten. Schulung dokumentieren und mindestens jährlich wiederholen.

  4. Umgang mit Dokumenten regeln

    Legen Sie fest, dass Ausdrucke mit personenbezogenen Daten im Home-Office nicht in den Hausmüll gehören. Mitarbeiter müssen entweder einen eigenen Aktenvernichter (mindestens P-4) nutzen oder Dokumente ins Büro mitbringen und dort vernichten.

  5. Meldeprozess für Sicherheitsvorfälle sicherstellen

    Datenpannen müssen dem Unternehmen unverzüglich gemeldet werden – auch wenn sie im Home-Office passieren. Die 72-Stunden-Frist zur Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) läuft ab dem Zeitpunkt, zu dem das Unternehmen von der Panne Kenntnis erlangt. Ein klarer interner Meldeprozess ist daher existenziell.

Videokonferenzen sind ein unterschätztes Datenschutzrisiko: Wählen Sie einen DSGVO-konformen Anbieter (kein Drittland-Transfer ohne Schutzmaßnahmen), aktivieren Sie Warteräume und stellen Sie sicher, dass keine vertraulichen Informationen im Hintergrund sichtbar oder hörbar sind.

Fazit: Home-Office braucht dieselbe Sorgfalt wie das Büro

Haben Sie eine aktuelle Home-Office-Richtlinie und technische Schutzmaßnahmen im Einsatz? INREMA prüft Ihre Situation und hilft bei der Umsetzung.

Jetzt beraten lassen

Häufige Fragen

Dürfen Mitarbeiter im Home-Office private Geräte nutzen?
Nur wenn das Unternehmen eine BYOD-Richtlinie hat und technische Kontrolle (MDM) über das Gerät ausüben kann. Unkontrollierte Privatgeräte mit Unternehmensdaten sind ein erhebliches Haftungsrisiko.
Müssen Home-Office-Mitarbeiter einen abschließbaren Raum haben?
Das ist empfohlen, aber nicht gesetzlich vorgeschrieben. Entscheidend ist, dass Dritte (auch Familienmitglieder) keinen unkontrollierten Zugang zu Daten haben.
Was passiert, wenn ein Mitarbeiter im Home-Office einen Datenverlust verursacht?
Das Unternehmen bleibt Verantwortlicher. Es muss prüfen, ob eine Meldepflicht an die Aufsichtsbehörde und Betroffene besteht. Interne Konsequenzen hängen davon ab, ob der Mitarbeiter gegen Richtlinien verstoßen hat.
Welche Videokonferenz-Tools sind DSGVO-konform?
Tools mit EU-Servern oder angemessenen Schutzmaßnahmen für Drittlandtransfer (z. B. SCCs) und einem Auftragsverarbeitungsvertrag. Beispiele: Webex (EU-Option), Jitsi Meet (selbst gehostet). Immer AVV abschließen.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Messenger im Unternehmen: Was WhatsApp, Signal und Teams unterscheidet
7 Min. Lesezeit
Datenschutz & Compliance
Mitarbeiterdaten und DSGVO: Was Arbeitgeber wissen müssen
7 Min. Lesezeit
Interim Management
Remote Interim Management: Wann geht das und wann nicht?
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen