Datenschutz

Datenschutz im Home Office: DSGVO-Leitfaden 2026

Home Office DSGVO 2026: TOMs für mobiles Arbeiten, BAG-Rechtsprechung, BfDI-Vorgaben — vollständiger Leitfaden mit Checkliste für Arbeitgeber.

TD
Dr. Thiébaut Devergranne
23. Mai 20265 min read

In einem Satz. Datenschutz im Home Office unterliegt denselben DSGVO-Anforderungen wie Büroarbeit, aber die technischen und organisatorischen Maßnahmen (TOMs) nach Artikel 32 müssen die häusliche Umgebung berücksichtigen — gesichertes WLAN, verschlüsselte Endgeräte, abschließbare Aktenführung, kein Familienzugriff auf Bildschirme — und sind in einer Home-Office-Richtlinie zu dokumentieren.

Die Pandemie hat Home Office normalisiert, aber DSGVO-konforme Umsetzung ist nicht trivial. Das BAG (Bundesarbeitsgericht) hat 2022 klargestellt, dass kein einseitiger Anspruch auf Home Office besteht (5 AZR 28/22), aber wenn es gewährt wird, gelten die vollständigen Schutzpflichten des Arbeitgebers.

Die BfDI hat seit 2020 mehrere Stellungnahmen zu Telearbeit veröffentlicht; die Datenschutzkonferenz (DSK) hat 2021 eine Orientierungshilfe zum mobilen Arbeiten herausgegeben.

Für den Sicherheitsrahmen siehe DSGVO Artikel 32 Sicherheit. Für HR-spezifische Aspekte DSGVO Personalwesen Mitarbeiterdaten.

Wichtige Punkte

  • Arbeitgeber bleibt Verantwortlicher (Artikel 4 Nr. 7 DSGVO) — auch im häuslichen Arbeitsumfeld.
  • Schriftliche Home-Office-Vereinbarung verpflichtend; reine mündliche Duldung reicht nicht.
  • TOMs müssen häusliche Risiken adressieren: Familienzugriff, ungesichertes WLAN, Papierakten.
  • BYOD (Bring Your Own Device) nur mit MDM und klarer Trennung Privat/Dienstlich.
  • §26 BDSG erlaubt Kontrollmaßnahmen nur eingeschränkt — keine Vollüberwachung.

1. Rechtlicher Rahmen — Arbeitgeber bleibt verantwortlich

Auch im Home Office bleibt der Arbeitgeber Verantwortlicher im Sinne von Artikel 4 Nr. 7 DSGVO für alle Verarbeitungen, die der Beschäftigte im Auftrag durchführt. Der Beschäftigte ist Empfänger nach Artikel 4 Nr. 9 oder unselbständige Verarbeitungseinheit.

Konsequenz: Bei Datenpannen im Home Office haftet der Arbeitgeber.

2. Home-Office-Vereinbarung — Pflichtinhalte

Eine schriftliche Vereinbarung sollte regeln:

  • Geltungsbereich — welche Tätigkeiten, welche Daten
  • Arbeitsmittel — wer stellt welche Geräte
  • Zugang zu Daten — VPN, MFA, Zugriffsbeschränkungen
  • Aufbewahrung — Papierakten verschlossen, Bildschirm vor Familienblick
  • Kontrollrechte — Begehungsrecht (eingeschränkt), Audits
  • Meldepflichten — Datenpanne unverzüglich (Artikel 33-Pflicht des Arbeitgebers)
  • Beendigung — Rückgabe von Geräten und Akten

3. Technische Maßnahmen (TOMs) für Home Office

Bereich Maßnahme Detail
Endgerät Festplattenverschlüsselung BitLocker/FileVault zwingend
Netz VPN für Unternehmenszugriff IPsec oder WireGuard
Authentifizierung MFA bei allen Diensten TOTP oder FIDO2
WLAN WPA3, eigenes Passwort Kein Standardrouter-Passwort
Bildschirm Automatische Sperre 5 Minuten Inaktivität
Backup Verschlüsseltes Cloud-Backup Zentral verwaltet

4. Organisatorische Maßnahmen

  • Schulung zu Phishing, Social Engineering, sicherer Telearbeit
  • Clean-Desk-Regel auch zuhause
  • Vertraulichkeitserklärung zum Schutz vor Familienmitgliedern
  • Aufbewahrung von Papierakten in abschließbarem Schrank
  • Entsorgung durch sichere Vernichtung (kein Hausmüll)
  • Verbot der Nutzung privater E-Mail/Cloud für Dienstdaten

5. BYOD vs. firmeneigene Geräte

Modell Vorteile Datenschutzrisiken
Firmen-Notebook Volle Kontrolle, MDM Höhere Kosten
BYOD ohne MDM Niedrige Kosten DSGVO-kritisch, abzulehnen
BYOD mit MDM (Container) Kostengünstig Trennung Privat/Dienstlich möglich
Web-only (BYOD Browser) Einfach Eingeschränkte Funktionalität

BfDI-Position: BYOD ist nur mit klarer Container-Trennung und vertraglicher Regelung akzeptabel.

6. Mitarbeiterüberwachung — die §26 BDSG-Grenze

§26 Absatz 1 BDSG erlaubt Beschäftigtendatenverarbeitung “für Zwecke des Beschäftigungsverhältnisses”. Im Home Office bedeutet das:

Zulässig:

  • Zeiterfassung (Arbeitsbeginn/-ende)
  • Stichprobenartige Qualitätskontrolle
  • IT-Logs zur Sicherheitsüberwachung

Unzulässig:

  • Permanente Bildschirmüberwachung
  • Keystroke-Logging ohne konkreten Verdacht
  • Webcam-Dauerüberwachung
  • Standortverfolgung außerhalb Arbeitszeiten

Mehrere LAGs (Berlin-Brandenburg 2021, Köln 2022) haben Beweisverwertungsverbote bei unverhältnismäßiger Überwachung ausgesprochen.

7. Datenpannen im Home Office

Häufige Szenarien:

  • Verlust/Diebstahl des Notebooks — Verschlüsselung entscheidet über Meldepflicht
  • Unbefugter Familienzugriff — Vertraulichkeitsbruch
  • Phishing-Erfolg über schwache häusliche Sicherheit
  • Versehentlicher Druck auf privaten Drucker

Pflicht: 72-Stunden-Meldung an Aufsichtsbehörde nach Artikel 33 — siehe Datenpanne melden.

8. Internationale Aspekte — Home Office im Ausland

Wenn Beschäftigte ins Ausland gehen (“Workation”):

  • Innerhalb EU/EWR: Datenschutzrechtlich unproblematisch, arbeitsrechtlich/steuerlich anspruchsvoll
  • Außerhalb EU/EWR: DSGVO-Drittlandstransfer — SCC oder Angemessenheitsbeschluss erforderlich

Siehe Internationale Datenübermittlung DSGVO.

9. Sanktionen und Präzedenzfälle

Jahr Fall Sanktion
2021 DSB-Verwarnung Bank Mehrere TOMs fehlten
2022 LfDI Baden-Württemberg Verlust Notebook ohne Verschlüsselung
2023 LDA Bayern Aktentransport im Privatfahrzeug
2024 DSB Niedersachsen Familienzugriff dokumentiert

Bußgelder bisher moderat (5.000-50.000 €), aber Trend steigend.

10. Checkliste Home-Office-DSGVO-Konformität

  • [ ] Schriftliche Home-Office-Vereinbarung
  • [ ] TOMs dokumentiert (Verschlüsselung, VPN, MFA)
  • [ ] Geräteinventar inkl. privater Geräte (BYOD)
  • [ ] Datenpannen-Meldekette dokumentiert
  • [ ] Schulung der Mitarbeitenden absolviert
  • [ ] Datenschutzfolgenabschätzung bei Massenrollout (siehe DSFA)
  • [ ] Betriebsrat beteiligt (BetrVG §87)
  • [ ] Verzeichnis der Verarbeitungstätigkeiten aktualisiert

11. Werkzeuge

Legiscope generiert Home-Office-TOMs aus Geräteinventar und Standortdaten und überprüft automatisch, ob auslandsbasiertes Arbeiten zusätzliche Drittlandstransferpflichten auslöst.

Verwandte Leitfäden: DSGVO Artikel 32 Sicherheit, DSGVO Personalwesen Mitarbeiterdaten, Datenschutzfolgenabschätzung.

Fazit

Home Office verändert nicht die DSGVO-Pflichten, sondern den Kontext ihrer Umsetzung. Der Knackpunkt sind realistische TOMs für das häusliche Umfeld — und eine schriftliche Vereinbarung, die Mitarbeitende einbindet, ohne in Überwachung abzugleiten.

FAQ

Darf der Arbeitgeber die Home-Office-Wohnung kontrollieren?

Nur mit vorheriger Vereinbarung und Ankündigung. Ohne explizite Regelung besteht kein Begehungsrecht — die Wohnung ist nach Art. 13 GG geschützt.

Wer haftet bei einer Datenpanne im Home Office?

Der Arbeitgeber als Verantwortlicher. Regress beim Beschäftigten nur bei grober Fahrlässigkeit oder Vorsatz.

Ist BYOD im Home Office DSGVO-konform?

Nur mit Mobile-Device-Management (MDM) und klarer Container-Trennung zwischen privaten und dienstlichen Daten. Reines BYOD ohne Schutzmaßnahmen ist nicht DSGVO-konform.

Muss der Betriebsrat bei Home-Office-Regelungen beteiligt werden?

Ja — §87 Absatz 1 Nr. 6 BetrVG (Überwachungseinrichtungen) und Nr. 7 (Arbeitssicherheit) sind regelmäßig betroffen, mitbestimmungspflichtig.

Gilt die DSGVO auch bei Home Office im EU-Ausland?

Ja — DSGVO gilt EU-weit. Drittlandstransfers (außerhalb EU/EWR) bedürfen zusätzlicher Garantien wie SCCs.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →