Datenschutz im Homeoffice – darauf müssen Arbeitgeber achten

Sie suchen
einen Anwalt?

So funktioniert advocado

Keine aufwendige Suche oder langes Warten auf Kanzleitermine. Sie schildern Ihr Anliegen einfach online und der passende advocado Partner-Anwalt meldet sich innerhalb von zwei Stunden bei Ihnen (Mo.-Fr. 9-18 Uhr).

In einer kostenlosen Ersteinschätzung bespricht der Anwalt Ihr Anliegen mit Ihnen und erläutert Handlungsoptionen und Erfolgsaussichten.

Sie können jederzeit und von überall auf Ihren Online-Kundenbereich zugreifen. Hier verwalten Sie mit wenigen Mausklicks alle Dokumente, kommunizieren per Nachricht oder Videochat mit Ihrem Anwalt und sehen den Status Ihres Falls.

Einfach Rechtsfrage eingeben
Rechtsanwalt finden lassen
Ersteinschätzung per Telefon – kostenlos!

Rechtsfrage eingeben

Beitrag von Sophie Suske
Stand: 11.03.2021
9 Minuten
Teilen

Zusammenfassung

Wer seine Mitarbeiter im Homeoffice beschäftigt, muss auch und gerade dann Datenschutz sicherstellen. Arbeitgeber haben eine Schutzpflicht – sie müssen die DSGVO einhalten. Um Datenschutzverletzungen und DSGVO-Verstöße zu vermeiden, können Arbeitgeber gemeinsam mit ihren Beschäftigten Schutzvorkehrungen treffen.

Das Wichtigste in Kürze:

Für die Arbeit im Homeoffice gelten dieselben Datenschutzbestimmungen wie für die Arbeit im Büro.
Arbeitgeber müssen die Bestimmungen der DSGVO einhalten – auch bei Telearbeit.
Für Datenschutzverletzungen haftet in der Regel der Arbeitgeber.
Arbeitgeber können auf verschiedene Homeoffice-Konzepte zurückgreifen, um Datensicherheit zu gewährleisten.
Sie können alle Regelungen schriftlich in einer Zusatzvereinbarung festhalten.

Sie möchten Datenschutz im Homeoffice sicherstellen?

Ein advocado Partner-Anwalt erläutert Ihnen in einer kostenlosen Ersteinschätzung das mögliche Vorgehen.

Jetzt Ersteinschätzung

Inhaltsverzeichnis

1. Homeoffice & Datenschutz: Was muss ich wissen?

Homeoffice – also das Arbeiten von zuhause aus – kommt für alle Tätigkeiten infrage, die sich mit einem Laptop erledigen lassen, nur eben nicht im Büro, sondern daheim am sogenannten Telearbeitsplatz (Heimarbeitsplatz).

Im Februar 2021 hat der Bund aufgrund der Corona-Pandemie eine Homeoffice-Pflicht beschlossen. Wegen der veränderten Arbeitsumstände bedürfen vor allem sensible Firmendaten, Geschäftsgeheimnisse und Kundendaten eines besonderen Schutzes. Regelungen für den Datenschutz im Homeoffice legt u. a. die Datenschutzgrundverordnung (DSGVO) fest. Unternehmen müssen die DSGVO einhalten – sie haben eine Schutzpflicht. Diese können Sie z. B. mit einem Datenschutzbeauftragten erfüllen.

Datenschutz im Homeoffice – wer trägt die Verantwortung?

Verantwortlich für die sichere Verarbeitung und Aufbewahrung von Daten laut Artikel 4 Nummer 7 DSGVO sind die Personen, die eine Weisungsbefugnis haben:

Bei angestellten Mitarbeitern liegt die Weisungsbefugnis beim Arbeitgeber – er hat eine Schutzpflicht und ist für die Einhaltung der Datensicherheit im Homeoffice verantwortlich.
Wer mit Freiberuflern und Selbstständigen zusammenarbeitet, muss grundsätzlich den Datenschutzstatus der jeweiligen Freelancer prüfen, um dann einen angemessenen Vertrag abzuschließen. Freelancer haften nicht grundsätzlich selbst für den DSGVO-konformen Umgang mit Daten.

Datenschutz im Homeoffice – wer haftet?

Kommt es durch eine Datenschutzverletzung zum DSGVO-Verstoß, haftet in der Regel der Geschäftsführer des betroffenen Unternehmens:

Verhängt eine Datenschutz-Aufsichtsbehörde DSGVO Strafen oder Bußgelder, muss der Arbeitgeber diese übernehmen.
Kommt es zur DSGVO-Abmahnung – z. B. durch einen Wettbewerber – ist ebenfalls der Geschäftsführer haftbar.

Anders sieht es aus, wenn es zu beabsichtigten Sicherheitslücken oder einem vorsätzlichen Datenklau durch einen Mitarbeiter kommt – in diesem Fall muss dieser die Konsequenzen des DSGVO-Verstoßes tragen.

Auch Freelancer sind für den Schutz der ihnen zur Verfügung gestellten Daten selbst verantwortlich.

Welche Homeoffice- & Datenschutzkonzepte gibt es?

Wer seine Mitarbeiter im Homeoffice beschäftigt, hat grundsätzlich 3 verschiedene Möglichkeiten, für datenschutzkonforme Arbeit zu sorgen:

Überlassung betriebseigener Geräte zur beruflichen Verwendung: Das Unternehmen stellt seinen Mitarbeitern firmeneigene Geräte zur Verfügung, die ausschließlich für die Arbeitsstunden genutzt werden dürfen. Hier lassen sich Sicherheitslücken in Bezug auf Datenschutz und Homeoffice in der Regel einfach identifizieren und verhindern.
Bereitstellung betriebseigener Geräte zur beruflichen und privaten Nutzung: Diese Möglichkeit – auch COPE (Corporate Owned Personally Enabled) – genannt, kann Schwierigkeiten in Bezug auf den Datenschutz mit sich bringen, da durch die private Nutzung die Gefahr steigt, dass Apps und Downloads Sicherheitslücken im System verursachen und z. B. versehentlich Spyware ins Betriebssystem der Firma gelangt.
Nutzung privater Geräte für berufliche Zwecke: Bei BYOD (Bring Your Own Device) nutzen die Mitarbeiter ihre eigenen Geräte für die Arbeit. Bei dieser Herangehensweise können Probleme nicht nur in möglichen Sicherheitslücken liegen, sondern auch in der Verschiedenheit der Betriebssysteme. Eine Arbeit im BYOD-Modus kann eine einheitliche Verwendung der Dienstprogramme und den Datenschutz im Homeoffice erschweren.

2. Welche Risiken gibt es für den Datenschutz im Homeoffice?

Arbeitgeber sind verpflichtet, eine datenschutzkonforme Aufbewahrung und Verarbeitung sensibler Daten sicherzustellen. Diese Schutzpflicht gilt für die Arbeit im Büro selbstverständlich genauso wie für die Arbeit von zuhause aus.

Besonders schützenswert sind Daten, die Auskünfte über medizinische, ethnische oder sexuelle Informationen von Personen enthalten sowie Geschäftsgeheimnisse. Erheben und verarbeiten Mitarbeitern diese Daten im Homeoffice, ist es umso wichtiger, dass die Datenschutzverordnung genau eingehalten wird.

Im Homeoffice kann die Gefahr von Datenschutzvorfällen steigen, denn Daten und IT-Technik sind der unmittelbaren Kontrolle durch den Arbeitgeber entzogen. Außerdem steigt die Gefahr, dass unbefugte Dritte – auch Familienangehörige – Zugriff auf sensible Daten und Geschäftsgeheimnisse erhalten, z. B. durch:

unsichere Datenverschlüsselung
fehlende Installation von Sicherheitsupdates
keine Nutzungsbeschränkungen der Geräte
fehlende, unsichere bzw. automatisch gespeicherte Passwörter
Speicherung betriebsinterner Daten auf externe Speicher

Mit Vorbereitung und gewissen Schutzmaßnahmen können die Risiken einer Datenschutzverletzung im Homeoffice vermieden werden.

3. Welche Schutzmaßnahmen kann ich ergreifen?

In der Regel entstehen Sicherheitslücken im Datenschutz aus Unachtsamkeit. Um die Risiken zu minimieren, können Arbeitgeber bestimmte Regelungen und Schutzmaßnahmen für den Umgang mit betriebseigenen Geräten festlegen.

Technische und organisatorische Maßnahmen

Zu den technischen und organisatorischen Maßnahmen (TOM), die Arbeitgeber für ein datenschutzkonformes Arbeiten ergreifen können, gehören z. B. folgende:

Firmeneigene Endgeräte: Sie müssen ebenso zentral von einem Administrator verwaltet werden wie Endgeräte im Büro. Dazu gehören auch regelmäßige Sicherheitsupdates und Updates von Signaturen.
Zugang zu personenbezogenen Daten: Nur der berechtigte Mitarbeiter darf Zugriff auf sensible, personenbezogene Daten haben – und dies auch nur mit einer 2-Faktor-Authentifizierung.
Sichere Verbindung: Kommunikation und Datenverarbeitung darf ausschließlich über eine abgesicherte Verbindung – z. B. über ein Virtual Private Network (VPN) – stattfinden, die mit einem Passwort geschützt ist.
Verschlüsselung: Um Daten vor einem Zugriff durch Dritte zu schützen, muss eine sichere Transportverschlüsselung für Datenübertragungen (z. B. Ende-zu-Ende-Verschlüsselung) gewährleistet sein.
Verlust: Gehen mobile Endgeräte verloren, sind sofort Maßnahmen zu ergreifen, um Datendiebstahl zu verhindern (z. B. Löschung, Sperrung von Hardware-Token).
Sperrung von USB-Zugängen: Es kann sinnvoll sein, USB-Anschlüsse und private Drucker von einer Anbindung auszuschließen.
Schulung für Mitarbeiter: Über eine Schulung können Unternehmen ihre Beschäftigten über mögliche Risiken in Bezug auf Datenschutz zuhause aufklären, um damit die Haftung des Unternehmens zu reduzieren.

Da Sie nicht die Möglichkeit haben, die Arbeit Ihrer Mitarbeiter im Homeoffice zu kontrollieren, kann es sinnvoll sein, Vereinbarungen schriftlich festzuhalten und diese von Ihren Arbeitnehmern unterzeichnen zu lassen.

Infrage kommt eine Zusatzvereinbarung zum Arbeitsvertrag mit einer Ergänzung der allgemeinen betrieblichen Datenschutzbestimmungen. Dafür können Sie unsere kostenlose Muster-Vereinbarung für den Datenschutz im Homeoffice nutzen.

Schutzmaßnahmen im Homeoffice

Zuhause können Arbeitnehmer und Vorgesetzte daneben auf folgende Punkte achten, um einen bestmöglichen Datenschutz im Homeoffice sicherzustellen:

Geeigneter Arbeitsplatz: Am Telearbeitsplatz (Heimarbeitsplatz) muss eine sichere Aufbewahrung von Dokumenten möglich sein, z. B. in einem eigenen, abschließbaren Raum. Alternativ können Sie die Dokumente in einem abschließbaren Schrank oder Rollcontainer verstauen.
Trennung beruflicher und privater Daten: Achten Sie darauf, dass sich berufliche und private Daten nicht vermischen, indem Sie z. B. für alle Geräte einen geschützten Zugang einrichten, entweder mit einem starken Passwort oder einem anderen geeigneten Authentifizierungsverfahren.
Bildschirmschutz: Sollten Sie nicht über ein eigenes Arbeitszimmer verfügen, müssen Bildschirme in jedem Fall so stehen, dass Unbefugte diese nicht einsehen können. Verlassen Sie Ihren Arbeitsplatz, kann eine Bildschirmsperre mit Passwortschutz sinnvoll sein.
Datensicherung: Auch im Homeoffice sind die Daten regelmäßig zu sichern. Ein einheitliches Datensicherungskonzept (Backup- und Recovery-Verfahren) kann sinnvoll sein.
Entsorgung von Dokumenten: Nicht mehr benötigte Dokumente sind gemäß den Vorgaben des Unternehmens zu entsorgen – z. B. im Schredder. Sie gehören nicht einfach so in den Haus-Papiermüll. Haben Sie keinen Schredder zuhause, können Sie die Dokumente mit ins Büro nehmen und dort vernichten.
Videokonferenzen und Telefonate: Führen Sie Online-Konferenzen oder Telefonate, deren Inhalt der Vertraulichkeit unterliegt, ist sicherzustellen, dass Familienangehörige oder andere Personen nicht zuhören können. Balkon oder Terrasse sind kein Ort für Konferenzen – und auch geöffnete Fenster sind zu berücksichtigen.
Alexa & Co.: Achten Sie darauf, dass digitale Assistenten wie Google oder Alexa ausgeschaltet sind, da diese auf Sprache reagieren.
WhatsApp & Co.: Berufliche Kommunikation auf privaten Smartphones kann riskant sein – insbesondere wenn es sich dabei um datenschutzrechtlich problematische Anwendungen wie WhatsApp handelt.

Lässt es sich nicht umgehen, dass Sie vertrauliche Daten auf einem privaten Computer verarbeiten, können Sie ein extra Konto einrichten und die Daten in einem gesonderten verschlüsselten Bereich speichern. Sobald Sie die Daten auf den Firmenserver übertragen haben, sind sie unwiderruflich auf Ihrem eigenen Laptop zu löschen – ein Ablegen in den Papierkorb reicht nicht aus.

4. Datenschutz im Homeoffice: Checkliste

Grundsätzlich gilt, dass die Arbeit im Homeoffice denselben Datenschutzbestimmungen unterliegt wie die reguläre Arbeit im Büro. Allerdings kann beim Telearbeitsplatz ein höheres Risiko bestehen, gegen die Datensicherheit zu verstoßen. Damit kann auch der Aufwand steigen, die Schutzpflicht zu erfüllen und alle Bestimmungen DSGVO-konform umzusetzen.

Für Arbeitgeber, für die die Telearbeit aus noch vergleichsweise neu ist, kann es sinnvoll sein, Mitarbeiter und freie Beschäftigte regelmäßig zu schulen und sie für den DSGVO-konformen Datenschutz im Homeoffice zu sensibilisieren.

Die folgende Checkliste kann ein erster Ansatz für Geschäftsführer sein, um die Datenschutzregelungen im Homeoffice richtig umzusetzen und die Schutzpflicht zu erfüllen:

✓ Arbeitsmittel

Welche Arbeitsmittel (z. B. Laptops oder Datenträger) dürfen für welchen Zweck von den Mitarbeitern im Homeoffice genutzt werden und welche nicht?

✓ Datenschutz

Bestimmungen der DSGVO einhalten; ggf. Datenschutzschulungen, um Mitarbeiter für den Schutz personenbezogener Daten zu sensibilisieren.

✓ Datensicherung

Mitarbeiter dazu anhalten, alle gespeicherten Daten regelmäßig auf unternehmensinternen Servern zu sichern.

✓ Löschung & Vernichtung von Daten

Genaue Vorgaben bei der Löschung und Vernichtung personenbezogener Daten.

✓ Passwortsicherheit

Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI): Passwörter mit mindestens 8 Zeichen, Groß- und Kleinbuchstaben, Sonderzeichen sowie einer Zahl bestehen.

✓ Private Software

Nutzung privater Software für die Verarbeitung personenbezogener Daten ggf. untersagen.

✓ Schutz vertraulicher Informationen

Schutz personenbezogener und unternehmensinterner Daten gewährleisten

✓ Technischer Support

Support für Hardware- und Softwareprobleme damit Mitarbeiter ihre Aufgaben trotz technischer Probleme erfüllen können.

✓ Updates

Software und Systeme regelmäßig aktualisieren, damit alle verwendeten Tools den vollen Funktionsumfang bieten und Sicherheitsmaßnahmen ihren vollen Schutzumfang entfalten können.

✓ Verbindungssicherheit

Ein privates WLAN-Netzwerk und darüber ausgetauschte Daten lassen sich durch die Verschlüsselung mit einem mindestens 20-stelligen Passwort schützen.

✓ Zugriffsberechtigungen

Jeder Mitarbeiter kann nur über die Berechtigungen für Software verfügen, die er für die Erledigung seiner Aufgaben benötigt.

Um als Arbeitgeber die Kontrolle zu behalten, kann es sinnvoll sein, die gesamte unternehmensinterne Kommunikation umfassend zu planen. Sie können sich bei der Planung überlegen, welche Tools Sie verwenden möchten und ob diese ein ausreichendes Maß an Datensicherheit gewährleisten können.

Hier können Sie die Checkliste für Datenschutz im Homeoffice downloaden:

Checkliste Datenschutz im Homeoffice

Wer unterstützt mich bei der Umsetzung?

Wenn Sie unsicher sind, Fragen in Bezug auf ein datenschutzkonformes Homeoffice haben oder sich über arbeitsrechtliche Auswirkungen für Ihre Mitarbeiter informieren möchten, ist ein Anwalt der richtige Ansprechpartner.

Ein Anwalt für Datenschutzrecht kann Sie beraten, wie Sie in Ihrem Unternehmen den Datenschutz sicherstellen – auch wenn alle Mitarbeiter von zuhause arbeiten.
Ein Anwalt für Arbeitsrecht informiert Sie, welche Auswirkungen das Arbeiten im Homeoffice arbeitsrechtlich für Sie und Ihre Beschäftigten hat und wie Sie z. B. sicherstellen, dass der Arbeitsschutz weiterhin gewährleistet ist.

Sie müssen nicht nach dem richtigen Anwalt suchen – das übernimmt advocado für Sie: advocado findet für Sie den passenden Anwalt aus einem Netzwerk mit über 500 Partner-Anwälten. Dieser kontaktiert Sie innerhalb von 2 Stunden für eine kostenlose Ersteinschätzung zu Ihren Handlungsoptionen und Erfolgsaussichten.

Sie möchten Datenschutz im Homeoffice sicherstellen?

Ein advocado Partner-Anwalt erläutert Ihnen in einer kostenlosen Ersteinschätzung Ihre Handlungsoptionen.

Jetzt Ersteinschätzung erhalten

5. FAQ: Wissenswertes zum Datenschutz im Homeoffice

Müssen Arbeitgeber die Möglichkeit zur Homeoffice-Arbeit anbieten?

In Corona-Zeiten müssen Arbeitgeber die Möglichkeit zum Homeoffice anbieten, wenn es die betrieblichen Umstände erlauben. Ob diese Regelungen auch nach der Pandemie bestehen bleibt, ist abzuwarten

Wie sorge ich für hohen Datenschutz im Homeoffice?

Wer in einem abschließbaren Raum arbeitet, Dritten den Zutritt verwehrt und die gängigen Sicherheitsstandards befolgt, tut bereits viel für die Erhaltung des Datenschutzes. Sie müssen unbedingt auf eine sichere Verschlüsselung der E-Mails achten.

Mal auf Arbeit, mal im Homeoffice: Und die Daten?

Verrichten Ihre Mitarbeiter die Tätigkeit mal im Büro und mal am Telearbeitsplatz (Heimarbeitsplatz), müssen Sie als Arbeitgeber Vorkehrungen für den Transport von Unterlagen und Datenträgern treffen und die Mitarbeiter darüber belehren. So dürfen Dokumente nie unbeaufsichtigt gelassen werden und Datenträger müssen entsprechend verschlüsselt sein. Papierunterlagen sind in fest verschlossenen Behältern zu transportieren. Alternativ kann eine vollelektronische Datenverarbeitung sinnvoll sein.

Hat Ihnen der Beitrag
weitergeholfen?

Ja Nein

1.484 Leser finden diesen Beitrag hilfreich.

Beitrag von
Sophie Suske

Als Teil der juristischen Redaktion von advocado strebt Sophie Suske jeden Tag danach, komplexe Rechtsprobleme des Marken- und Versicherungsrechts für jeden Leser verständlich aufzubereiten. Grundlage ihrer lösungsorientierten Arbeit ist ihr Masterstudium der Sprach- und Kommunikationswissenschaft.

Bei diesem Artikel handelt es sich um einen Ratgeberartikel, den unsere juristische Redaktion mit größtmöglicher Sorgfalt verfasst hat. Der Artikel stellt keine Rechtsberatung dar und unsere Redakteure sind keine Rechtsanwälte. Selbstverständlich ersetzen die Informationen aus diesem Artikel keine Rechtsberatung im Einzelfall. Jeder individuelle Fall muss vorher durch einen Rechtsanwalt geprüft werden, um eine fundierte Handlungsempfehlung erteilen zu können.