In einem Satz. Eine Homeoffice-Datenschutz-Richtlinie überträgt die Sicherheitspflichten aus Art. 32 DSGVO auf den heimischen Arbeitsplatz — sie regelt Geräte, Netzwerk, Umgang mit Papierunterlagen, Bildschirm-/Zugriffssperre und die Grenzen der Kontrolle nach § 26 BDSG, sodass das dienstlich geforderte Schutzniveau auch außerhalb des Büros gilt.
Im Homeoffice verlassen Daten die kontrollierte Büroumgebung: private WLANs, Mitbewohner, ausgedruckte Unterlagen am Küchentisch. Ohne Richtlinie ist das ein offenes Sicherheitsrisiko. Diese Vorlage schließt die Lücke. Vertiefung im Leitfaden Datenschutz im Homeoffice.
Wichtige Punkte
- Art. 32 gilt unverändert auch im Homeoffice.
- Rechtsgrundlage: § 26 BDSG, Art. 6 Abs. 1 lit. b/f.
- Keine Kontrolle der Privatwohnung ohne Rechtsgrundlage.
- TOM: Verschlüsselung, VPN, Sichtschutz, sichere Vernichtung.
- Betriebsrat bei Kontrollmaßnahmen (§ 87 BetrVG).
Das Muster (Auszug)
DATENSCHUTZ-RICHTLINIE HOMEOFFICE / TELEARBEIT
1. Geltungsbereich
Für alle Beschäftigten, die ganz oder teilweise außerhalb der
Betriebsstätte arbeiten.
2. Arbeitsplatz zu Hause
- Abgetrennter oder blickgeschützter Arbeitsbereich
- Bildschirm nicht von Dritten (Familie, Besuch) einsehbar
- Sperren des Geräts beim Verlassen des Platzes
3. Geräte und Software
- Nutzung ausschließlich dienstlicher, verschlüsselter Geräte
- Kein Speichern auf privaten Geräten / Cloud-Diensten
- Aktuelle Updates, Virenschutz, Firewall aktiv
4. Netzwerk
- Zugriff auf Unternehmenssysteme nur über VPN
- Gesichertes WLAN (WPA2/WPA3), kein offenes Netz
- Keine Nutzung öffentlicher Hotspots ohne VPN
5. Umgang mit Dokumenten
- Vertrauliche Unterlagen verschlossen aufbewahren
- Keine dienstlichen Ausdrucke im Hausmüll; Rückführung oder
sichere Vernichtung (Aktenvernichter)
6. Telefonate und Video
- Vertrauliche Gespräche außer Hörweite Dritter
- Kamera-Hintergrund ohne einsehbare Daten
7. Vorfälle
- Verlust/Diebstahl von Geräten oder Unterlagen sofort melden
- Verdacht auf Datenpanne unverzüglich an IT / DSB
8. Kontrolle
Eine Kontrolle der Privatwohnung findet nicht statt. Systembezogene
Sicherheitsprotokolle werden nur anlassbezogen und verhältnismäßig
im Rahmen von § 26 BDSG ausgewertet.
Inkrafttreten: [Datum] | Kenntnisnahme: [Unterschrift Beschäftigte/r]
TOM-Checkliste Homeoffice
| # | Maßnahme | Erfüllt? |
|---|---|---|
| 1 | Verschlüsseltes Dienstgerät | ☐ |
| 2 | VPN-Pflicht für Systemzugriff | ☐ |
| 3 | Automatische Bildschirmsperre | ☐ |
| 4 | Blickschutz / abgetrennter Bereich | ☐ |
| 5 | Sichere Aufbewahrung von Papier | ☐ |
| 6 | Aktenvernichter statt Hausmüll | ☐ |
| 7 | Aktuelle Updates / Virenschutz | ☐ |
| 8 | Meldeweg für Vorfälle bekannt | ☐ |
So passen Sie das Muster an
- An Ihre IT-Infrastruktur anpassen. VPN, MDM und Verschlüsselung müssen tatsächlich bereitstehen — eine Richtlinie ohne technische Umsetzung ist wirkungslos. Grundlage ist Ihr TOM-Muster.
- Mit IT-Nutzungsrichtlinie verzahnen. Homeoffice ist ein Sonderfall der allgemeinen IT-Nutzungsrichtlinie; Widersprüche vermeiden.
- Papier nicht vergessen. Viele Vorfälle entstehen analog — durch Ausdrucke, Notizen und Post. Regeln Sie Aufbewahrung und Vernichtung.
- Kontrollgrenzen klarstellen. Die Privatwohnung ist besonders geschützt; eine Kontrolle vor Ort ist nur mit Rechtsgrundlage und Einwilligung denkbar.
- Betroffene informieren und schulen. Verbinden Sie die Richtlinie mit einer kurzen Datenschutzschulung, damit die Regeln verstanden werden.
Die drei Risikofelder im Homeoffice
Datenschutzrisiken im Homeoffice lassen sich drei Feldern zuordnen, die die Richtlinie jeweils adressieren muss. Das erste ist das technische Umfeld: ungesicherte private WLANs, fehlende VPN-Verbindungen, nicht aktualisierte private Router und die Nutzung privater Cloud-Dienste für dienstliche Dokumente. Hier hilft nur konsequente Technik — verschlüsselte Dienstgeräte, VPN-Pflicht und ein Verbot privater Speicherorte. Das zweite Feld ist das physische Umfeld: Mitbewohner oder Besucher, die den Bildschirm einsehen, vertrauliche Gespräche in Hörweite Dritter und dienstliche Ausdrucke, die im Hausmüll landen. Dagegen wirken Blickschutz, Clean-Desk-Prinzip und ein Aktenvernichter. Das dritte Feld ist das menschliche Verhalten: die schnelle Weiterleitung an die private Adresse „zum Ausdrucken", das Fotografieren des Bildschirms mit dem Privathandy oder die unbedachte Nutzung öffentlicher Hotspots. Hier greift nur Sensibilisierung durch Schulung.
Wer alle drei Felder abdeckt, hebt das Schutzniveau des Homeoffice auf das des Büros. Wer nur an die Technik denkt, übersieht die analogen und menschlichen Risiken, die in der Praxis die häufigsten Vorfälle verursachen.
Homeoffice und mobiles Arbeiten unterscheiden
Rechtlich ist zwischen Telearbeit (fester, eingerichteter Arbeitsplatz in der Wohnung), Homeoffice und mobilem Arbeiten (unterwegs, im Zug, im Café) zu unterscheiden. Datenschutzrechtlich verschärft sich das Risiko vom eingerichteten Heimarbeitsplatz zum mobilen Arbeiten hin: In öffentlichen Räumen ist Blickschutz kaum herstellbar, offene Netze sind unsicher und der Verlust von Geräten ist wahrscheinlicher. Ihre Richtlinie sollte deshalb für mobiles Arbeiten strengere Vorgaben treffen — etwa ein generelles Verbot der Bearbeitung besonders sensibler Daten in der Öffentlichkeit und die Pflicht zu Sichtschutzfolien. Grundlage aller Maßnahmen bleibt Art. 32; die konkrete Ausgestaltung folgt Ihrem TOM-Muster.
Häufige Fehler
- Private Geräte zulassen (BYOD ohne Konzept). Ohne Verschlüsselung und Trennung von Privat- und Dienstdaten entstehen unkontrollierbare Risiken.
- Kein VPN. Direkter Zugriff auf Systeme über ungesicherte Netze verletzt Art. 32.
- Papier ignorieren. Dienstliche Ausdrucke im Hausmüll sind ein klassischer, oft übersehener Verstoß.
- Kontrolle überdehnen. Video- oder Aktivitätsüberwachung im Homeoffice ist regelmäßig unzulässig — H&M steht mit 35,3 Mio. € als Mahnung für exzessive Beschäftigtenüberwachung.
- Keine Vorfallsmeldung. Verlorene Laptops müssen sofort gemeldet werden, damit die Datenpanne fristgerecht bewertet werden kann.
Damit die Homeoffice-Regeln nicht in der Schublade verschwinden, dokumentiert Legiscope die Richtlinie, verknüpft sie mit den TOM und protokolliert die Kenntnisnahme der Beschäftigten als Nachweis.
FAQ
Gilt die DSGVO im Homeoffice genauso streng?
Ja. Der Ort der Verarbeitung ändert an den Pflichten nichts. Art. 32 verlangt ein risikoangemessenes Schutzniveau — unabhängig davon, ob im Büro oder zu Hause gearbeitet wird. Der Arbeitgeber bleibt Verantwortlicher und muss die Sicherheit auch am heimischen Arbeitsplatz gewährleisten.
Darf der Arbeitgeber die Wohnung kontrollieren?
Grundsätzlich nein. Die Wohnung ist durch Art. 13 GG besonders geschützt. Eine Vor-Ort-Kontrolle des Arbeitsplatzes wäre allenfalls mit klarer Rechtsgrundlage und Einwilligung denkbar und ist in der Praxis kaum durchsetzbar. Stattdessen setzt man auf technische Maßnahmen (Verschlüsselung, VPN, MDM) und die Selbstverpflichtung der Beschäftigten.
Sind private Geräte (BYOD) erlaubt?
Nur mit einem tragfähigen Konzept. Ohne Verschlüsselung, klare Trennung von privaten und dienstlichen Daten sowie Fernlöschmöglichkeit ist BYOD ein erhebliches Risiko. Sicherer ist die Ausgabe verschlüsselter Dienstgeräte. Wird BYOD zugelassen, sind Nutzung, Kontrolle und Löschung vertraglich zu regeln.
Was tun, wenn im Homeoffice ein Laptop verloren geht?
Der Verlust ist unverzüglich der IT und dem Datenschutzbeauftragten zu melden, damit binnen der 72-Stunden-Frist geprüft werden kann, ob eine meldepflichtige Datenpanne nach Art. 33 vorliegt. Entscheidend für die Risikobewertung ist, ob das Gerät verschlüsselt war: Bei starker Festplattenverschlüsselung und sicherem Schlüssel ist das Risiko für die Betroffenen meist gering, sodass eine Benachrichtigung nach Art. 34 entfallen kann. Genau deshalb ist die Geräteverschlüsselung im Homeoffice unverzichtbar.
Brauche ich eine separate Homeoffice-Vereinbarung?
Empfehlenswert ist eine schriftliche Regelung, die die datenschutzrechtlichen Pflichten mit den arbeitsrechtlichen Rahmenbedingungen verbindet. Sie kann Teil des Arbeitsvertrags, eine gesonderte Zusatzvereinbarung oder — bei bestehendem Betriebsrat — eine Betriebsvereinbarung sein. Inhaltlich sollte sie auf die Datenschutz-Richtlinie verweisen, die Bereitstellung und ausschließliche Nutzung dienstlicher, verschlüsselter Geräte regeln, die VPN-Pflicht festschreiben und den Umgang mit Papierunterlagen sowie die Meldepflicht bei Geräteverlust klarstellen. Zusätzlich sinnvoll sind Regelungen zu Erreichbarkeit, Arbeitsschutz und der Rückgabe von Geräten und Unterlagen bei Beendigung des Homeoffice. Die datenschutzrechtlichen Kernpflichten aus Art. 32 bleiben davon unberührt und gelten unabhängig davon, ob eine gesonderte Vereinbarung existiert — sie machen die Pflichten aber verbindlich und nachweisbar.
Fazit
Die Homeoffice-Richtlinie überträgt das im Büro selbstverständliche Schutzniveau auf den heimischen Arbeitsplatz — technisch durch VPN und Verschlüsselung, organisatorisch durch klare Regeln für Bildschirm, Papier und Vorfallsmeldung. Wer sie mit Schulung und funktionierender Technik unterlegt, macht Telearbeit datenschutzkonform. Den § 26 BDSG finden Sie unter gesetze-im-internet.de, praxisnahe Homeoffice-Hinweise beim BfDI.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial