Home-Office & Datenschutz: Regeln für Arbeitgeber 2026

Inhalt in Kürze

• Die Verantwortung für den Datenschutz bleibt im Home-Office vollständig beim Arbeitgeber — Art. 24 und Art. 32 DSGVO gelten am heimischen Schreibtisch genauso wie im Büro.
• Technisch entscheidend: verschlüsselter Zugriff per VPN oder Zero Trust, Mehr-Faktor-Authentifizierung, Festplattenverschlüsselung, zentral verwaltete Dienstgeräte und Bildschirmsperre — BYOD nur mit Konzept.
• Organisatorisch entscheidend: Clean-Desk, abschließbare Aufbewahrung von Papier, Schredder-Pflicht, Sichtschutz bei Videocalls und klare Meldewege bei einem Vorfall.
• Die schriftliche Home-Office-Vereinbarung regelt Geräte, Sicherheitsregeln, Kontrollrechte und Rückgabe — und ist Ihr Nachweis, dass Sie Art. 32 DSGVO erfüllt haben. Betriebsrat nach § 87 BetrVG beteiligen.

Stand: Juni 2026 · Autor: Jens Hagel · Lesezeit: 12 Minuten

Ein Mitarbeiter arbeitet am Küchentisch, der Laptop steht offen, die Kinder laufen durchs Bild, und der Quartalsbericht liegt ausgedruckt neben der Kaffeetasse. So sieht Home-Office in vielen Hamburger Betrieben aus — und genau hier entstehen Datenschutzrisiken, die im Büro keine Rolle spielen. Das Problem für Sie als Arbeitgeber: Die Verantwortung wandert nicht mit dem Laptop nach Hause. Sie bleibt bei Ihnen. Dieser Artikel zeigt, welche technischen und organisatorischen Regeln Sie vorgeben müssen und was in eine Home-Office-Vereinbarung gehört.

Home-Office Datenschutz: Warum die Verantwortung bei Ihnen bleibt

Viele Geschäftsführer gehen davon aus, dass der Mitarbeiter im Home-Office selbst für die Sicherheit sorgen muss. Das ist ein Trugschluss. Datenschutzrechtlich sind Sie als Unternehmen der Verantwortliche — und das ändert sich nicht dadurch, dass die Arbeit zwischen Esstisch und Sofa stattfindet.

Art. 24 DSGVO verpflichtet Sie, geeignete technische und organisatorische Maßnahmen umzusetzen und deren Wirksamkeit nachweisen zu können. Art. 32 DSGVO konkretisiert das für die Sicherheit der Verarbeitung: Sie müssen ein dem Risiko angemessenes Schutzniveau gewährleisten — unabhängig vom Ort (Art. 32 DSGVO, dsgvo-gesetz.de). Der heimische Arbeitsplatz bringt dabei Risiken mit, die im Büro nicht existieren:

• Familienangehörige und Besucher. Partner, Kinder, Mitbewohner können Bildschirminhalte sehen, Telefonate mithören oder Zugriff auf den Laptop bekommen.
• Privater Router und WLAN. Ein schlecht gesichertes Heimnetz mit Standardpasswort ist eine offene Flanke, auf die Sie keinen direkten Zugriff haben.
• Privater Drucker. Ausgedruckte Dokumente liegen offen herum, landen im Hausmüll oder bleiben im Druckerspeicher.
• Papierunterlagen. Akten und Notizen ohne abschließbare Aufbewahrung sind für Dritte zugänglich.
• Diebstahl und Verlust. Ein Laptop im Auto, in der S-Bahn oder im Café ist schneller weg als gedacht — ohne Verschlüsselung ein meldepflichtiger Vorfall.

Klingt nach viel. Ist es aber nicht, wenn Sie die Risiken einmal systematisch mit Maßnahmen beantworten. Genau das schreibt Art. 32 DSGVO ohnehin vor — und genau das dokumentieren Sie in Ihren technisch-organisatorischen Maßnahmen (TOMs).

Technische Maßnahmen: Der sichere heimische Arbeitsplatz

Die gute Nachricht: Die meisten technischen Schutzmaßnahmen richten Sie zentral ein, der Mitarbeiter merkt im Alltag kaum etwas davon. Das BSI empfiehlt in seiner Handreichung „Home-Office? — Aber sicher!” einen klaren Grundstock, den auch kleine Betriebe stemmen können (BSI, Home-Office).

• Verschlüsselter Zugriff per VPN oder Zero Trust. Wer auf interne Server oder Anwendungen zugreift, tut das über eine verschlüsselte Verbindung. Moderne Zero-Trust-Ansätze prüfen jeden Zugriff einzeln statt nur an der Netzgrenze.
• Mehr-Faktor-Authentifizierung (MFA). Pflicht für alle Cloud-Konten. Im Home-Office fällt die schützende Büro-Netzgrenze weg — MFA ersetzt sie. Wie Sie das umsetzen, lesen Sie in unserem Leitfaden zur MFA-Einführung im Unternehmen.
• Festplattenverschlüsselung. BitLocker (Windows) oder FileVault (Mac) auf jedem Gerät. Geht ein Laptop verloren, bleiben die Daten unlesbar — und der Diebstahl wird oft nicht einmal meldepflichtig.
• Mobile Device Management (MDM). Zentrale Verwaltung der Geräte: Sicherheits-Updates erzwingen, Konfiguration vorgeben, im Verlustfall aus der Ferne löschen.
• Automatische Bildschirmsperre. Nach wenigen Minuten Inaktivität, mit Passwort oder Biometrie. Schützt vor neugierigen Blicken in der Wohnung.
• Getrennte Dienst- und Privatgeräte. Das dienstliche Notebook ist nicht das Familien-Tablet. Kein BYOD ohne durchdachtes Konzept (dazu unten mehr).
• Sichere WLAN-Konfiguration. Geben Sie vor, dass das Heimnetz WPA2 oder WPA3 nutzt und das Standardpasswort des Routers geändert wurde.
• Backup. Daten gehören auf den zentralen Server oder in die verwaltete Cloud, nicht nur lokal auf den Laptop. Ein Defekt zu Hause darf keine Daten kosten.

Wer ohnehin Microsoft 365 DSGVO-konform einrichtet, hat die meisten dieser Bausteine — MFA, Conditional Access, BitLocker-Verwaltung, Intune als MDM — bereits an Bord und muss sie nur konsequent aktivieren. Für reine Software-as-a-Service-Setups lohnt der Blick auf unsere Hinweise zum Datenschutz bei IT- und SaaS-Unternehmen.

BYOD: Warum private Geräte zur Falle werden

„Die Mitarbeiter haben doch ihr eigenes Handy, warum noch ein Diensthandy kaufen?” — diese Frage hören wir oft. Die Antwort: Weil Bring Your Own Device (BYOD) Sie als Arbeitgeber in eine schwierige Lage bringt.

Sie bleiben nach Art. 32 DSGVO für die Sicherheit der Daten verantwortlich, haben auf dem Privatgerät aber kaum Kontrolle. Sie wissen nicht, welche Apps installiert sind, ob das Betriebssystem aktuell ist, wer sonst noch Zugriff hat. Und im Streitfall — etwa bei einem Auskunftsersuchen oder einer Datenpanne — müssten Sie unter Umständen auf das Privateigentum des Mitarbeiters zugreifen, was dessen Persönlichkeitsrechte berührt.

BYOD ist nicht grundsätzlich verboten, aber nur mit Konzept vertretbar:

• Strikte Trennung von dienstlich und privat. Eine Container-Lösung oder ein verwaltetes Arbeitsprofil kapselt die Firmendaten ab. Die private Foto-Mediathek bleibt unberührt, die Firmendaten lassen sich selektiv löschen.
• MDM-Einbindung mit klaren Grenzen. Sie verwalten nur den dienstlichen Bereich, nicht das ganze Gerät.
• Schriftliche BYOD-Vereinbarung. Sie regelt Sicherheitsanforderungen, Kontrollrechte, das Vorgehen bei Verlust und die Löschung der Firmendaten beim Ausscheiden.
• Verbot privater Nutzung der Dienstdaten. Firmendaten dürfen nicht in private Apps oder Clouds wandern.

Unsere Empfehlung für die meisten KMU: Geben Sie Dienstgeräte aus. Der Aufpreis ist überschaubar, der Sicherheits- und Rechtsgewinn enorm. BYOD lohnt sich erst ab einer Größe, in der eine professionelle Container-Lösung sauber betrieben wird.

Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern — die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz. Und sobald die im Home-Office sitzen, will der Auftraggeber genau wissen, wie die Daten dort geschützt sind.

Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Organisatorische Maßnahmen: Regeln für den Alltag

Technik allein reicht nicht. Die meisten Pannen im Home-Office sind organisatorischer Natur — und genau die lassen sich mit einfachen Regeln vermeiden. Das ist keine Bürokratie, sondern gesunder Menschenverstand in schriftlicher Form.

• Clean-Desk-Prinzip. Nach Feierabend keine offenen Dokumente, keine Notizen mit Personenbezug, kein entsperrter Bildschirm. Der Arbeitsplatz wird aufgeräumt hinterlassen.
• Abschließbare Aufbewahrung. Papierunterlagen mit personenbezogenen Daten gehören in einen abschließbaren Schrank oder eine Schublade — nicht offen auf den Schreibtisch.
• Drucken vermeiden, Schreddern erzwingen. Im Idealfall wird zu Hause gar nicht gedruckt. Wo es nötig ist, gehört das Papier in einen datenschutzgerechten Schredder (Sicherheitsstufe P-4 oder höher) oder zurück ins Büro — niemals in den Hausmüll.
• Vertraulichkeit bei Videocalls. Sichtschutz für den Bildschirm, Stummschalten in Pausen, keine vertraulichen Inhalte teilen, wenn Dritte im Raum sind. Headset statt Lautsprecher.
• Sichtschutz und Standortwahl. Der Bildschirm zeigt nicht zum Fenster oder zur offenen Zimmertür. Im Café oder Zug nie ohne Blickschutzfilter arbeiten.
• Klare Meldewege bei einem Vorfall. Jeder Mitarbeiter weiß, wen er bei Verlust, Diebstahl oder Verdacht auf eine Panne sofort informiert. Hier zählt jede Stunde.

Der letzte Punkt ist der wichtigste. Geht ein Laptop verloren oder klickt jemand auf eine Phishing-Mail, läuft die 72-Stunden-Frist nach Art. 33 DSGVO. Wer erst am Montag erfährt, was am Freitagabend passiert ist, hat schon zwei Tage verloren. Ein klarer Meldeweg ist deshalb keine Formalie, sondern entscheidet darüber, ob Sie die Frist halten.

Die Home-Office-Vereinbarung: Das gehört rein

Eine schriftliche Home-Office- oder Mobile-Working-Vereinbarung ist gesetzlich nicht zwingend vorgeschrieben, aber in der Praxis unverzichtbar. Sie ist gleichzeitig Anweisung an den Mitarbeiter und Nachweis gegenüber der Aufsichtsbehörde, dass Sie Ihre Pflicht aus Art. 32 DSGVO erfüllt haben. Ohne sie steht im Zweifel Aussage gegen Aussage.

Diese Bausteine gehören hinein:

Wichtig zum Thema Kontrolle: Die Wohnung ist nach Art. 13 Grundgesetz besonders geschützt. Sie haben kein automatisches Zutrittsrecht. Eine Kontrolle ist nur zulässig, wenn der Mitarbeiter ihr in der Vereinbarung ausdrücklich und freiwillig zugestimmt hat — und sie auf den dienstlichen Bereich beschränkt bleibt. Heimliche oder dauerhafte Überwachung ist tabu. Was Arbeitgeber bei Mitarbeiterdaten generell dürfen und was nicht, vertiefen wir im Beitrag zum Beschäftigtendatenschutz.

Home-Office datenschutzkonform einführen: Schritt für Schritt

Sie müssen nicht alles auf einmal lösen. Ein strukturiertes Vorgehen verhindert, dass Sie sich verzetteln — und liefert am Ende eine saubere Dokumentation.

1. Schritt 1 — Risiken erfassen. Welche Daten werden im Home-Office verarbeitet, wie sensibel sind sie? Daraus ergibt sich das nötige Schutzniveau nach Art. 32 DSGVO.
2. Schritt 2 — Technik bereitstellen. Dienstgeräte mit Verschlüsselung, MFA, VPN/Zero Trust und MDM ausrollen. Backup und sichere Cloud-Ablage einrichten.
3. Schritt 3 — Regeln festlegen. Organisatorische Vorgaben zu Clean-Desk, Papier, Schreddern und Videocalls schriftlich fixieren.
4. Schritt 4 — Vereinbarung aufsetzen. Die Home-Office-Vereinbarung mit allen Bausteinen aus der Tabelle erstellen, Betriebsrat nach § 87 BetrVG beteiligen.
5. Schritt 5 — Mitarbeiter schulen. Eine kurze, verständliche Unterweisung zu den Regeln. Wer die Risiken versteht, hält sich eher daran.
6. Schritt 6 — Meldewege etablieren. Jeder weiß, wen er bei einem Vorfall sofort erreicht. Wegen der 72-Stunden-Frist zählt jede Stunde.
7. Schritt 7 — Überprüfen und nachweisen. Die Einhaltung stichprobenartig kontrollieren und alles in den TOMs dokumentieren. Damit sind Sie auch bei einer HmbBfDI-Prüfung auf der sicheren Seite.

Aus der Praxis

Datenschutz im Home-Office scheitert selten an der Technik. Er scheitert daran, dass niemand die einfachen Regeln aufgeschrieben hat.

Für uns ist wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen — ohne dabei den Geschäftsbetrieb einzustellen. Beim Home-Office heißt das: keine 30-seitige Richtlinie, die keiner liest, sondern eine knappe Vereinbarung mit den wirklich wichtigen Regeln und die passende Technik im Hintergrund.

Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Wir sehen bei Hamburger Mandanten regelmäßig denselben Ablauf: Erst herrscht die Sorge, dass alles superkompliziert wird. Dann setzen wir uns eine Stunde zusammen, klären, welche Daten zu Hause überhaupt anfallen, und stellen fest, dass 80 Prozent der Maßnahmen mit Microsoft 365 ohnehin vorhanden sind. Übrig bleibt eine schlanke Vereinbarung und eine kurze Schulung. Klingt unspektakulär, ist aber genau das, was die Aufsichtsbehörde sehen will.

Fazit: Ihr nächster Schritt

Home-Office und Datenschutz schließen sich nicht aus — solange Sie als Arbeitgeber die Spielregeln vorgeben. Die Verantwortung bleibt bei Ihnen, also nehmen Sie sie aktiv in die Hand: Dienstgeräte mit Verschlüsselung, MFA und VPN, klare organisatorische Regeln und eine schriftliche Vereinbarung, die Geräte, Sicherheit, Kontrolle und Rückgabe abdeckt. Das ist in wenigen Wochen erledigt und schützt Sie zugleich vor Bußgeldern und vor dem nächsten verlorenen Laptop.

Wenn Sie unsicher sind, ob Ihr Hybrid-Setup wirklich wasserdicht ist, schauen wir gemeinsam drauf. Eine vollständige Einschätzung Ihrer Lage finden Sie auch über unsere Startseite mit Angebotsrechner.

Häufige Fragen (FAQ)

Wer ist im Home-Office für den Datenschutz verantwortlich?

Der Arbeitgeber. Die Verantwortung nach Art. 24 und Art. 32 DSGVO bleibt vollständig beim Unternehmen, auch wenn die Daten am heimischen Schreibtisch verarbeitet werden. Der Mitarbeiter muss sich an die Vorgaben halten, aber haftbar gegenüber der Aufsichtsbehörde ist das Unternehmen. Deshalb muss der Arbeitgeber technische und organisatorische Maßnahmen vorgeben und ihre Einhaltung überprüfen können.

Braucht man für das Home-Office eine schriftliche Vereinbarung?

Eine gesetzliche Pflicht zur schriftlichen Home-Office-Vereinbarung gibt es nicht, aber sie ist dringend zu empfehlen. Ohne klare Regeln zu Geräten, Sicherheit, Papierunterlagen und Kontrollrechten lässt sich der Datenschutz im Home-Office weder durchsetzen noch nachweisen. Die Vereinbarung dokumentiert zugleich, dass Sie Ihre Pflicht nach Art. 32 DSGVO erfüllt haben. Existiert ein Betriebsrat, hat dieser nach § 87 BetrVG mitzubestimmen.

Ist VPN im Home-Office Pflicht?

Ein VPN ist nicht namentlich gesetzlich vorgeschrieben, aber der verschlüsselte Zugriff auf Firmensysteme gehört zum Stand der Technik nach Art. 32 DSGVO. Wer von zu Hause auf interne Server oder Anwendungen zugreift, sollte das über ein VPN oder eine moderne Zero-Trust-Lösung tun. Reine Cloud-Dienste wie Microsoft 365 sind bereits verschlüsselt, brauchen aber zwingend Mehr-Faktor-Authentifizierung als Ersatz für die fehlende Netzgrenze.

Darf der Arbeitgeber das Home-Office kontrollieren?

Nicht ohne Weiteres. Die Wohnung ist nach Art. 13 Grundgesetz besonders geschützt, der Arbeitgeber hat kein automatisches Zutrittsrecht. Eine Kontrolle des heimischen Arbeitsplatzes ist nur zulässig, wenn der Mitarbeiter ihr in der Home-Office-Vereinbarung ausdrücklich und freiwillig zugestimmt hat und sie auf den dienstlichen Bereich beschränkt bleibt. Heimliche Kontrollen oder eine dauerhafte Überwachung sind unzulässig.

Ist BYOD im Home-Office datenschutzkonform?

BYOD, also die Nutzung privater Geräte für die Arbeit, ist datenschutzrechtlich heikel und ohne ein durchdachtes Konzept nicht empfehlenswert. Der Arbeitgeber muss auch auf dem Privatgerät die Sicherheit der Daten gewährleisten, hat dort aber kaum Kontrolle. Möglich wird BYOD nur mit klarer Trennung von dienstlichen und privaten Daten, etwa per Container-Lösung oder Mobile Device Management, und einer schriftlichen Vereinbarung über Sicherheit, Löschung und Kontrollrechte.

Was muss bei Papierunterlagen und Videocalls im Home-Office beachtet werden?

Papierunterlagen mit personenbezogenen Daten gehören in einen abschließbaren Schrank und nicht in den Hausmüll, sondern in den datenschutzgerechten Schredder oder zurück ins Büro. Bei Videocalls sind ein Sichtschutz, das Stummschalten in Pausen und das Vermeiden vertraulicher Inhalte bei Anwesenheit Dritter wichtig. Familienangehörige dürfen weder Bildschirminhalte noch Telefonate mit Personenbezug mitbekommen.

Recherche-Stand: verifiziert am 6. Juni 2026 über bsi.bund.de (Home-Office), dsgvo-gesetz.de (Art. 32), gesetze-im-internet.de (§ 87 BetrVG) sowie Serper-Recherche zu Home-Office-Datenschutz, Mobile-Working-Vereinbarung, BYOD und VPN/MFA-Pflicht.