kostenlos starten

TOM Homeoffice: Datenschutz-Maßnahmen für Remote-Arbeit

Homeoffice und Remote-Arbeit sind zur Normalität geworden. Doch wenn Mitarbeiter von zu Hause aus auf personenbezogene Daten zugreifen, entstehen neue Datenschutzrisiken. Art. 32 DSGVO verpflichtet Arbeitgeber, auch im Homeoffice geeignete technische und organisatorische Maßnahmen (TOM) sicherzustellen. Dieser Praxis-Guide zeigt Ihnen, was konkret zu tun ist.

Zur Gesamtübersicht aller TOM nach Art. 32 DSGVO: Technische und organisatorische Maßnahmen — Übersicht.

Rechtliche Grundlage: Art. 32 DSGVO und die Homeoffice-Pflicht

Art. 32 Abs. 1 DSGVO verpflichtet Verantwortliche zu geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten — unabhängig davon, ob die Verarbeitung im Büro oder von zu Hause aus stattfindet. Als Arbeitgeber und datenschutzrechtlich Verantwortlicher tragen Sie diese Pflicht auch für die Heimarbeitsplätze Ihrer Mitarbeiter.

Erwägungsgrund 78 der DSGVO konkretisiert: Verantwortliche sollten „angemessene technische und organisatorische Maßnahmen“ ergreifen, um sicherzustellen, dass personenbezogene Daten vor unbefugter Offenlegung oder unbefugtem Zugang geschützt sind. Im Homeoffice bedeutet dies: Sie müssen die technische Ausstattung und die organisatorischen Regelungen für den Heimarbeitsplatz aktiv gestalten.

Die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe „Datenschutz bei der Telearbeit und Homeoffice“ klargestellt, dass Arbeitgeber ihren Mitarbeitern nicht einfach die Datenschutzverantwortung für den Heimarbeitsplatz übertragen können. Die technischen und organisatorischen Rahmenbedingungen sind vom Arbeitgeber zu schaffen.

Technische TOM für das Homeoffice

Folgende technische Maßnahmen sind für datenschutzkonformes Homeoffice unverzichtbar:

  1. VPN (Virtual Private Network): Alle Zugriffe auf Unternehmensressourcen müssen über ein verschlüsseltes VPN erfolgen. Direktverbindungen über das private Heimnetz oder öffentliche WLANs sind für den Zugriff auf personenbezogene Daten unzulässig.
  2. Geräte-Management: Mitarbeiter sollten ausschließlich vom Arbeitgeber gestellte oder genehmigten und gesicherten Geräten verwenden ( Bring your own device „BYOD“-Regelungen müssen streng sein). Private Geräte ohne Mobile Device Management (MDM) sind für sensitive Daten nicht geeignet.
  3. Verschlüsselung des Endgeräts: Festplatten (BitLocker oder FileVault) müssen vollständig verschlüsselt sein. Bei Diebstahl oder Verlust des Geräts dürfen keine Daten im Klartext zugänglich sein.
  4. Multi-Faktor-Authentifizierung: Alle Fernzugriffe auf Unternehmenssysteme erfordern MFA. Passwort allein reicht im Homeoffice-Kontext nicht aus.
  5. Aktuelle Sicherheitsupdates: Betriebssystem und Anwendungen müssen automatisch aktuell gehalten werden. Ungepatchte Systeme sind ein massives Sicherheitsrisiko im Heimnetzwerk.
  6. Dateifreigabe nur über sichere Kanäle: Kein Austausch von Unternehmensdaten über private Cloud-Speicher (Dropbox, Google Drive ohne AVV). Nur genehmigte und gesicherte Plattformen nutzen.

Organisatorische TOM für das Homeoffice

Technik allein reicht nicht. Folgende organisatorische Maßnahmen sind im Homeoffice-Kontext besonders wichtig:

  • Homeoffice-Richtlinie: Eine schriftliche Regelung die festlegt, welche Geräte, Netze und Tools für die Arbeit mit personenbezogenen Daten verwendet werden dürfen. Die Richtlinie muss von allen Mitarbeitern gelesen und unterzeichnet werden.
  • Bildschirm- und Sichtschutz: Bildschirme müssen so aufgestellt sein, dass Mitbewohner oder Besucher keine personenbezogenen Daten einsehen können. Sichtschutzfolien für Laptops werden empfohlen.
  • Drucker und physische Dokumente: Ausdrucke mit personenbezogenen Daten dürfen nicht unkontrolliert im Homeoffice verbleiben. Ein Shredder oder sichere Rücksendung zur Vernichtung im Büro ist erforderlich.
  • Abmelden bei Nichtbenutzung: Bildschirme müssen bei Verlassen des Arbeitsplatzes gesperrt werden (Windows-Taste + L). Automatischer Bildschirmschoner nach kurzer Inaktivität muss aktiviert sein.
  • Schulung der Mitarbeiter: Einweisung in die spezifischen Risiken des Homeoffice und die geltenden Regeln. Mehr zur Schulungspflicht: Datenschutz-Schulung als TOM.
  • Meldeprozess für Vorfälle: Mitarbeiter müssen wissen, wie sie einen vermuteten Datenschutzvorfall im Homeoffice melden. Ein klarer und leicht erreichbarer Meldeprozess ist Pflicht.

Homeoffice und Cloud Computing

Homeoffice und Cloud-Nutzung gehen häufig Hand in Hand. Bei der Cloud-Nutzung im Homeoffice gelten zusätzlich die TOM-Anforderungen für Cloud Computing. Mehr dazu: TOM für Cloud Computing.

Dokumentation und Rechenschaftspflicht

Gemäß Art. 5 Abs. 2 DSGVO müssen Sie nachweisen können, dass Sie die TOM umgesetzt haben. Für das Homeoffice bedeutet das:

  • Homeoffice-Richtlinie schriftlich dokumentieren und aufbewahren
  • TOM im Verarbeitungsverzeichnis (Art. 30 DSGVO) aktualisieren
  • Einwilligungen/Unterzeichnungen der Mitarbeiter archivieren
  • Schulungen dokumentieren (Datum, Inhalt, Teilnehmer)

PLANIT // PRIMA hilft Ihnen, die Homeoffice-TOM zu dokumentieren und nachweisbar zu machen. Jetzt mehr über PLANIT // PRIMA erfahren.

Häufige Fragen

Welche TOM muss ich als Arbeitgeber im Homeoffice umsetzen?

Art. 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen — auch für Heimarbeitsplätze. Pflicht sind mindestens: VPN für alle Zugriffe auf Unternehmensressourcen, Geräteverschlüsselung, MFA, aktuelle Sicherheitsupdates und eine schriftliche Homeoffice-Richtlinie. Die konkreten Maßnahmen hängen vom Risiko der verarbeiteten Daten ab.

Dürfen Mitarbeiter eigene Geräte im Homeoffice nutzen?

BYOD (Bring Your Own Device) ist grundsätzlich möglich, erfordert aber strenge TOM: MDM-Software, obligatorische Geräteverschlüsselung, keine Vermischung privater und beruflicher Daten, klare Richtlinien. Private Geräte ohne ausreichende Sicherheitsmaßnahmen dürfen nicht für die Verarbeitung personenbezogener Daten verwendet werden.

Was passiert wenn ein Laptop im Homeoffice gestohlen wird?

Bei einem unverschlüsselten Laptop mit personenbezogenen Daten besteht fast immer eine Meldepflicht nach Art. 33 DSGVO (Meldung an Aufsichtsbehörde innerhalb 72 Stunden). Bei verschlüsseltem Gerät kann die Meldepflicht entfallen. Deshalb ist die Festplattenverschlüsselung keine Option, sondern Pflicht für alle Geräte mit personenbezogenen Daten.

Muss ich Mitarbeiter im Homeoffice zum Datenschutz schulen?

Ja. Art. 39 Abs. 1 lit. b DSGVO und Art. 32 Abs. 4 DSGVO fordern die Sensibilisierung und Schulung aller Personen, die Zugang zu personenbezogenen Daten haben. Die spezifischen Risiken des Homeoffice (unsichere Netzwerke, Sichtschutz, Phishing) müssen Bestandteil der Schulung sein.

Typische Schwachstellen im Homeoffice und wie Sie sie beheben

Die Praxis zeigt: Im Homeoffice entstehen datenschutzrechtliche Probleme häufig nicht durch technisches Versagen, sondern durch organisatorische Lücken. Die häufigsten Schwachstellen und wie Sie diesen mit TOM begegnen:

  • Fehlende Trennung von beruflichen und privaten Geräten: Klare Richtlinie zum Verbot der Nutzung privater Geräte für dienstliche Zwecke (BYOD-Policy) oder technische Absicherung durch MDM-Systeme
  • Unsichere Heimnetzwerke: Vorgabe von VPN-Nutzungspflicht und Prüfung der Router-Sicherheitseinstellungen
  • Unangemessene physische Umgebung: Richtlinien zur Sicherstellung, dass Dritte (Familienmitglieder, Mitbewohner) keine Einsicht in Bildschirme oder Unterlagen haben
  • Fehlende Datensicherung: Automatische Synchronisation mit gesicherten Unternehmensservern anstelle lokaler Speicherung

Rechtsprechung zum Homeoffice und Datenschutz

Das Bundesarbeitsgericht hat in seiner Rechtsprechung klargestellt, dass Arbeitgeber ihrer Fürsorgepflicht auch im Homeoffice nachkommen müssen — dazu gehört die Bereitstellung datenschutzkonformer Arbeitsmittel. Der Arbeitnehmer ist seinerseits verpflichtet, die vom Arbeitgeber vorgegebenen Datenschutzmaßnahmen einzuhalten. Verstöße können arbeitsrechtliche Konsequenzen haben.

Dokumentieren Sie Ihre TOM für das Homeoffice systematisch mit PLANIT // PRIMA und stellen Sie sicher, dass alle Mitarbeiter im Homeoffice über die geltenden Maßnahmen informiert sind.

Weiterführende Quellen

Weitere Beiträge

Darf der Zoll Telefone abhören? Rechtslage für Unternehmen verständlich erklärt

Diese Frage wird aktuell vermehrt gestellt, insbesondere vor dem Hintergrund kursierender Aussagen, wonach entsprechende

TOM Homeoffice: Datenschutz-Maßnahmen für Remote-Arbeit

Homeoffice und Remote-Arbeit sind zur Normalität geworden. Doch wenn Mitarbeiter von zu Hause aus

Zugriffskontrolle DSGVO: Technische Maßnahmen nach Art. 32

Zugriffskontrolle ist eine der zentralen technischen und organisatorischen Maßnahmen (TOM), die Art. 32 DSGVO

Wie verbindet man KI mit juristischen Daten? MCP einfach erklärt

Künstliche Intelligenz kann juristische Fragen beantworten. Aber ohne Zugriff auf geprüfte Daten bleibt sie

Warum Prompts allein nicht ausreichen

Viele glauben: Wenn die Antworten der KI nicht gut sind, liegt es am Prompt.

Was ist Grounding in der KI? Einfach erklärt

Kurz erklärt Künstliche Intelligenz liefert oft schnelle Antworten – aber nicht immer verlässliche. Grounding

KI ohne Grounding vs. mit Grounding: Ein Praxisvergleich

Die Theorie ist klar: KI macht Fehler im juristischen Kontext. Doch wie groß ist

TOM Cloud Computing: Datenschutz-Maßnahmen für Cloud-Dienste

Cloud-Dienste sind aus dem modernen Geschäftsleben nicht mehr wegzudenken. Doch wer personenbezogene Daten in

Betroffenenanfrage DSGVO: Fristen, Prozess und Pflichten für Unternehmen

Erhält Ihr Unternehmen eine Betroffenenanfrage nach der DSGVO, zählt jede Stunde. Art. 12 Abs.

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
// PRIMA-Tour

Changelog

Downloads

Datenschutz-Management-Software

DSGVO Audit

DSGVO Audit Bericht

DSGVO Audit Software
DSGVO-Software
DSGVO-Tool

 

Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024