Cybersicherheit im Homeoffice Telearbeit als Risiko für deine Cybersicherheit? Tipps für Arbeitgeber*innen

Laut einer Umfrage von Statista war die größte Herausforderung für Unternehmen im Jahr 2024 die vollständige Umsetzung der Datenschutzgrundverordnung (DSGVO). Dabei bemängelten 80 Prozent der Befragten, dass die Verwendung neuer Tools wiederholte Prüfungen erforderlich mache. Außerdem fand über die Hälfte der befragten Unternehmen auch, dass es schwierig sei, die komplexen Anforderungen ihren Beschäftigten verständlich zu machen.

Ein verantwortungsvoller Umgang mit Daten ist jedoch unerlässlich. Nicht nur vor Ort im Betrieb, auch im Homeoffice oder beim mobilen Arbeiten sind besonders personenbezogene Daten vor unbefugten und unberechtigten Verarbeitungen sowie vor unbeabsichtigten Verlusten, Zerstörungen oder Beschädigungen zu schützen. Damit du dies als Unternehmer*in gewährleisten kannst, solltest du angemessene organisatorische und technische Maßnahmen treffen, um möglichen Datenschutzverstößen aus dem Homeoffice vorzubeugen. In diesem Beitrag zeigen wir dir welche.

Das erfährst du in diesem Beitrag:

Warum kann Homeoffice ein Sicherheitsrisiko sein?

Homeoffice-Arbeitsplätze sind immer häufiger im Arbeitsalltag vorzufinden. Laut einer aktuellen Umfrage des ifo Instituts arbeiteten im Februar 2025 etwa 24,5 Prozent aller deutschen Beschäftigten zumindest teilweise von zu Hause aus. Aber genau diese steigende Entwicklung öffnet neue Angriffsflächen für Cyberkriminelle – etwa durch gefährliche E-Mail-Anhänge, die ohne Rücksprache mit den Kolleg*innen unabsichtlich geöffnet oder übersehen werden, unerwünschte Gäste oder Deepfake-Angriffe, die vermehrt in Videokonferenzen auftauchen, oder auch eine vereinfachte Überwindung von privaten Firewalls.

Gerade deshalb solltest du als Arbeitgeber*in mit Mitarbeiter*innen im Homeoffice deine Sicherheitsstrategien entsprechend anpassen. Mehr über das Thema Arbeitssicherheit im Homeoffice kannst du in diesem Beitrag nachlesen.

Wie ist die aktuelle Bedrohungslage in Deutschland?

Im Jahr 2020 waren etwa 52,5 Milliarden Euro Schäden auf Angriffe im Homeoffice zurückzuführen. Dabei gehören Cyberangriffe wie Social Engineering, Spear Phishing oder Deepfake-Angriffe zu den am weitesten verbreiteten Methoden von Cyberkriminellen. Oft stehen bei diesen Angriffen auch Mitarbeitende aus dem Homeoffice im Fokus, da Hacker*innen davon ausgehen, dass die Distanz zu ihren Kolleg*innen und der betrieblichen Infrastruktur sowie das isolierte Arbeiten unvorsichtig machen können. Diesen Umstand nutzen Kriminelle aus, um einen Zugang auf Netzwerke oder Daten zu erlangen.

Auch im Jahr 2024 waren laut Statista Daten ganze 69 Prozent der Unternehmen in Deutschland mindestens einmal von einem Cybersicherheitsvorfall betroffen. 31 Prozent betraf es sogar mehrfach. Diese Angriffe münden meist in Datenverlust oder -verschlüsselung. Mehr über die Top Geschäftsrisiken im Jahr 2025 erfährst du in diesem Beitrag.

Einige der am weitesten verbreiteten Angriffe schauen wir uns im Folgenden näher an:

• Social Engineering: Cyberkriminelle setzen gezielte Methoden ein, um ihre Opfer dahin zu manipulieren, dass diese ihnen sensible Daten oder Informationen preisgeben. Dies passiert meist in Form von geschickter Kommunikation und einem Vertrauensaufbau mit dem jeweiligen Mitarbeitenden – per E-Mail, Telefon oder sogar persönlich. Sie nutzen dabei menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft, Angst oder Respekt vor Autorität aus, um ihre Opfer in die Enge zu treiben. Das Ziel von Cyberkriminellen ist es dann fälschliche Überweisungen zu tätigen, einen Zugriff auf sensible Informationen zu erhalten oder auch Schadsoftware auf den Endgeräten ihrer Opfer zu installieren.
• Spear-Phishing: Hierbei handelt es sich um eine gezielte Form des Online-Betrugs. Cyberkriminelle nehmen dabei einzelne Mitarbeiter*innen, Abteilungen oder Führungskräfte ins Visier. Der Unterschied von Spear-Phishing zum herkömmlichen Phishing ist, dass beim Spear-Phishing die Angriffe individuell angepasst und nicht massenhaft versendet werden. Täter*innen recherchieren vor einem solchen Angriff in öffentlichen Quellen, um detaillierte Informationen über ihre Opfer zu erhalten. Auf der Basis dieser gesammelten Informationen entwickeln sie täuschend echt wirkende E-Mails, die scheinbar von vertrauenswürdigen Kontakten stammen. Diese E-Mails werden oft gutmütig geöffnet, da sie sehr glaubwürdig wirken, was jedoch zu schwerwiegenden Folgen, wie z. B. zur Einschleusung von Schadsoftware oder auch zu Zahlungsumleitungen führen kann.
• Deepfakes: Darunter versteht man Medieninhalte, die mithilfe neuartiger KI-Technologien täuschend echt verfälscht werden. Bilder, Videos oder Audiodateien werden so manipuliert, dass sie kaum noch von echten Aufnahmen zu unterscheiden sind. In Videokonferenzen erscheinen so nicht existierende Teilnehmer*innen oder die Stimmen von Führungskräften werden bei Anrufen nachgeahmt. Die Einsatzbereiche von Deepfakes sind breit gefächert: von Datendiebstahl, Cyberbetrug über Spionage bis hin zu Reputations- und Desinformationsangriffen. Besonders verbreitet ist der sogenannte „CEO-Fraud”, bei dem Betrüger*innen sich mithilfe von Deepfakes als Führungskraft ausgeben und Mitarbeiter*innen zu Zahlungen verleiten.

Was besagt die DSGVO zum Homeoffice?

Die Datenschutz-Grundverordnung (DSGVO) gilt immer ortsunabhängig. Das heißt: Egal, ob deine Mitarbeiter*innen im Büro, aus dem Homeoffice oder von unterwegs arbeiten – personenbezogene Daten müssen immer geschützt werden.

Für dich als Arbeitgeber*in bedeutet das laut Art. 32 DSGVO:

• Du bleibst weiterhin verantwortlich für die Einhaltung des Datenschutzes, auch wenn sich der Arbeitsplatz außerhalb deines Unternehmens befindet.
• Technische und organisatorische Maßnahmen (TOM) müssen getroffen werden, um den Schutz der Daten zu gewährleisten.

Es obliegt dir als Arbeitgeber*in, die Risiken sowie die Zulässigkeit von Homeoffice-Tätigkeiten zu überprüfen sowie entsprechende Maßnahmen zur Sicherstellung des Datenschutzes als auch zur Informationssicherheit einzuleiten. Hierbei geht es jedoch nicht um starre Regeln, sondern um ein Sicherheitsniveau, das dem Risiko angemessen ist. Mehr über das Thema Datenschutz im Homeoffice erfährst du hier.

Und was besagt Art. 28 DSGVO?

Artikel 28 DSGVO verpflichtet dich als verantwortliche Stelle dazu, mit allen Dienstleister*innen, die in deinem oder im Auftrag deines Betriebes personenbezogene Daten verarbeiten, einen Auftragsverarbeitungsvertrag (AVV) abzuschließen.

Dabei spielt es keine Rolle, ob es sich um einen Cloud-Dienst, eine Agentur, ein Callcenter oder eine Lohnbuchhaltung handelt. Sobald diese einen Zugriff auf personenbezogene Daten deiner Mitarbeitenden, Kund*innen oder Bewerber*innen haben, greift diese Pflicht.

Maßnahmen für die Praxis: Was solltest du als Arbeitgeber*in für die Cybersicherheit im Homeoffice tun?

Als Arbeitgeber*in bist du dafür verantwortlich, dass auch im Homeoffice zu jeder Zeit der Datenschutz eingehalten wird. Hier gilt ebenfalls, dass deine Mitarbeiter*innen nicht einfach auf privaten Geräten oder unsicheren und öffentlichen Netzwerken arbeiten dürfen.

Diese Maßnahmen gelten als besonders sinnvoll:

1. Stelle sichere Geräte wie Laptops zur Verfügung oder klare Regeln für private Hardware bereit.
2. Sorge für eine verschlüsselte Kommunikation in Form von VPNs oder E-Mail-Verschlüsselungen.
3. Integriere Firewalls und aktuelle Antivirenprogramme auf die jeweiligen Geräte.
4. Sensibilisiere dein Team durch Mitarbeitendenschulungen.
5. Dokumentiere alle deine Sicherheitsmaßnahmen.
6. Vereinbare klare Datenschutzrichtlinien für das Homeoffice.
7. Setze eine Multi-Faktor-Authentifizierung ein und sorge somit dafür, dass nur autorisierte Personen Zugang erhalten können.

Damit du alle Maßnahmen im Blick behältst und direkt umsetzen kannst, haben wir dir eine praktische Checkliste zusammengestellt. Sie bietet dir einen kompakten Überblick über alle Pflichten und Empfehlungen für den datenschutzkonformen Umgang mit Homeoffice-Arbeitsplätzen.

Und was können deine Mitarbeiter*innen für die Cybersicherheit im Homeoffice tun?

Besonders wichtig ist es, dass du als Unternehmer*in in einer internen Richtlinie festlegst, wie der Datenschutz im Homeoffice geregelt werden sollte. Beispielsweise kann diese Richtlinie Anweisungen für die Aufbewahrung von Unterlagen im Homeoffice oder auch ein Verbot der privaten Nutzung dienstlicher Geräte enthalten. Im Folgenden schauen wir uns konkrete Schritte an, die deine Mitarbeiter*innen wiederum umsetzen können.

1. Ausschließliche Verwendung von bereitgestellter Soft- bzw. Hardware

Es sollte stets mit der bereitgestellten Hard- und Software gearbeitet und keine privaten Endgeräte genutzt werden. Das gilt nicht nur für Laptops oder PCs, mit denen deine Beschäftigten zu Hause arbeiten, sondern insbesondere für das Speichern der von ihnen erstellten Dokumente. Diese dürfen auf keinen Fall auf privaten Speichermedien wie lokalen Festplatten oder ungesicherten USB-Sticks gespeichert werden.

2. Arbeiten an einem geeigneten Arbeitsplatz

Bestmöglich sollte der Arbeitsplatz deines Mitarbeitenden ein abschließbarer Raum sein, der nach Feierabend oder während der Pausen nicht für Dritte zugänglich ist. Kann dies räumlich nicht gewährleistet werden, dann sollten wichtige Unterlagen in einem abschließbaren Rollcontainer oder Schrank untergebracht werden.

3. Vermeidung von Shoulder Surfing

Das sogenannte „Shoulder Surfing” (= das Ausspähen von Informationen, beim „über die Schulter schauen”) sollte bei der mobilen Arbeit im öffentlichen Bereich, wie z. B. in der Bahn, im Hotel oder am Flughafen, vermieden werden. Der Computerbildschirm und die Tastatur der genutzten mobilen Geräte dürfen nicht durch Passanten und Videokameras einzusehen sein. Auch dienstliche Telefonate mit einem Personenbezug sollten – genau wie vertrauliche dienstliche Gespräche – im öffentlichen Raum nur geführt werden, wenn das Mithören ausgeschlossen werden kann.

4. Sperrung durch passwortgesicherte Bildschirmsperre

Deine Mitarbeiter*innen sollten beim Transport ihrer Hardware stets darauf achten, dass diese währenddessen gesperrt ist. Auf diese Weise kann bei einem Verlust, oder Diebstahl, gewährleistet werden, dass ein nicht autorisierter Zugriff nicht stattfinden kann. Bestenfalls sind nicht benutzte Netzwerkverbindungen, wie Bluetooth oder WLAN, deaktiviert. Außerdem gilt im Homeoffice beim zeitweisen Verlassen des Zimmers: Der Laptop bzw. PC muss ausgeschaltet oder zumindest mit einer passwortgesicherten Bildschirmsperre deaktiviert sein.

5. Personenbezogene Ausdrucke im Homeoffice beschränken

Das Ausdrucken von personenbezogenen Daten im Homeoffice sollte auf ein Minimum beschränkt werden. Ausgedruckte Inhalte sind unmittelbar nach Wegfall ihres Gebrauchszweckes zu vernichten. Sollte dein*e Mitarbeiter*in im Homeoffice nicht über datenschutzkonforme Aktenvernichtungsgeräte verfügen, was vermutlich eher selten der Fall ist, müssen datenschutzrechtlich heikle Ausdrucke bei der nächstmöglichen Gelegenheit zur Vernichtung mit in den Betrieb gebracht werden. Das Wegwerfen von Ausdrucken mit personenbezogenen Daten im heimischen Hausmüll ist strengstens untersagt.

6. Digitale Assistenten ausschalten

Heutzutage verwenden viele Menschen digitale Sprachassistenten wie zum Beispiel die Amazon Alexa oder der Google Assistant. Wenn deine Mitarbeiter*innen aus dem Homeoffice arbeiten und Telefonanrufe entgegennehmen, die wichtige geschäftliche Informationen enthalten, so sollten sie stets drauf achten, dass jegliche Sprachsysteme entweder ausgeschaltet oder nicht im Raum auffindbar sind. Dies schützt sensible Daten vor dem Abhören.

7. Kein Zugriff von Unbefugten

Es muss im Homeoffice immer sichergestellt sein, dass kein Zugang für unbefugte Dritte möglich ist und ausschließlich der oder die Arbeitnehmer*in Zugang zu den im Zusammenhang mit den Arbeitstätigkeiten anfallenden personenbezogenen Daten hat. Somit sollte der Zugang Familienangehörigen, Mitbewohner*innen oder sonstigen unbefugten Personen verwehrt bleiben. Auch die direkte Einsichtnahme der Bildschirme durch Personen, die den Raum betreten, sollte bestenfalls nicht gewährleistet sein.

8. Meldung von Datenschutzvorfällen im Homeoffice

Arbeiten deine Mitarbeiter*innen aus dem Homeoffice, sind diese dazu angehalten, Datenschutzvorfälle und insbesondere die unbefugte Kenntnisnahme von personenbezogenen Daten durch Dritte an den oder die betriebliche*n Datenschutzbeauftragte*n zu melden. Diese*r entscheidet dann, wie mit dem Datenschutzvorfall umzugehen ist. Geprüft wird auch, ob eine Meldepflicht gegenüber den Datenschutzbehörden und betroffenen Personen besteht.

Kannst du als Arbeitgeber*in Homeoffice-Aktivitäten tracken?

Gerade beim Thema Homeoffice fürchten viele Unternehmer*innen einen Kontrollverlust. Allerdings ist eine umfassende Überwachung der Arbeitsleistung meist gar nicht erforderlich, sondern manchmal sogar kontraproduktiv. Wird noch so jeder kleine Arbeitsschritt deiner Arbeitnehmer*innen überwacht, so kann dies schnell zu einer Demotivierung führen. In dem Fall ist es oftmals besser, deinen Mitarbeiter*innen Vertrauen entgegenzubringen sowie deine Ziele und Erwartungen an sie klar zu formulieren. Das kann zu einer Förderung der Selbstständigkeit führen, die Motivation und Arbeitsleistung steigern.

Trotzdem geht es nicht ganz ohne Kontrolle. Es gibt beispielsweise einige legitime Mittel von Kontrolle, die du nutzen kannst:

• Telefon- und Videokonferenzen
• Virtuelle Meetings
• Leistungskontrolle

Diese Mittel sollten regelmäßig stattfinden, aber dennoch möglichst nicht täglich und keinem starren Schema folgen. Beachte, dass ein guter Austausch und Kontakt zwischen Führungskräften und Kolleg*innen oftmals deutlich wichtiger ist als eine akkurate Arbeitsdokumentation.

Kannst du als Arbeitgeber*in einen Kontrollbesuch bei deinen Mitarbeiter*innen umsetzen?

Unangekündigte Kontrollbesuche bei deinen Mitarbeiter*innen sind dir als Arbeitgeber*in nicht gestattet. Egal unter welchem Vorwand. Die Privatsphäre sowie der Schutz der eigenen Wohnung sind hochrangige Rechtgüter, die auch du als Chef*in nicht überschreiten darfst. Anders ist es jedoch, wenn deine Arbeitnehmer*in einem Besuch ausdrücklich zustimmt. Manchmal ist es auch für deine Mitarbeiter*innen sinnvoll, dich als Arbeitgeber*in die ordnungsgemäße Einrichtung ihres Homeoffice-Arbeitsplatzes überprüfen zu lassen. Möchtest du mehr über die Gefährdungsbeurteilung im Homeoffice erfahren, dann schaue dir gern diesen Beitrag dazu an.

Darfst du Überwachungssoftware bei Homeoffice-Arbeiten einsetzen?

Ein Einsatz von Kontrollsoftware, wie eine Aufzeichnung der PC-Tastatur bei der Eingabe deines Arbeitnehmenden, ist nicht erlaubt, da dies gegen das allgemeine Persönlichkeitsrecht und das Recht auf informationelle Selbstbestimmung verstößt. Das exakte Beobachten deiner Mitarbeiter*innen ist also allemal nicht zulässig.

Was ist eine Datenschutz-Folgenabschätzung?

In Artikel 35 der DSGVO wird von einer sogenannten Datenschutz-Folgenabschätzung (DSFA) gesprochen. Aber was besagt diese genau? Wenn du beispielsweise ein neues System oder eine Software einführen willst, mit der du personenbezogene Daten verarbeitest, wie z. B. Mitarbeitendendaten, Gesundheitsdaten oder Überwachungen per Kamera, dann musst du in manchen Fällen vorab prüfen, ob dadurch große Risiken für die betroffenen Personen entstehen. Diese Prüfung nennt man Datenschutz-Folgenabschätzung.

Wann benötigst du eine Datenschutz-Folgenabschätzung?

Du bist verpflichtet die DSFA durchzuführen, wenn die Datenverarbeitung womöglich zu einem hohen Risiko für die Rechte und Freiheiten von Menschen führt.

Zum Beispiel:

• Wenn du viele Daten über längere Zeit sammelst und analysierst.
• Wenn du sensible Daten verarbeitest, wie z. B. Gesundheitsdaten.
• Wenn du Menschen mit neuen Technologien beobachtest (z. B. Videoüberwachung oder Tracking im Homeoffice).
• Wenn du Daten von besonders schutzbedürftigen Gruppen verarbeitest, z. B. von Kindern oder Beschäftigten.

Zusammenfassend: Wenn das, was du tust, Menschen in ihrer Privatsphäre stark betreffen kann, dann benötigst du die DSFA. Was musst du dafür tun?

1. Beschreibe immer genau, was du mit den gesammelten Daten machen möchtest.
2. Bewerte die Risiken für die betroffenen Personen.
3. Überlege dir sinnvolle Maßnahmen, wie diese Risiken verringert werden können (beispielsweise über eine Verschlüsselung oder Zugriffsbeschränkung).
4. Dokumentiere alles vollständig und sauber, damit du bei einer Prüfung nachweisen kannst, dass du den Datenschutz in deinem Unternehmen ernst nimmst und vorausschauend gehandelt hast.

Und was passiert, wenn die Risiken in deinem Unternehmen trotz Maßnahmen hoch bleiben?

Sollten deine Maßnahmen das Risiko in deinem Unternehmen nicht gesenkt haben, dann musst du vorher die Aufsichtsbehörde (z. B. das Landesdatenschutzamt) fragen, ob du die Verarbeitung überhaupt machen darfst. Sie kann dir Tipps für die Umsetzung geben oder die Verarbeitung der Daten komplett untersagen.

Allzeit geschützt durch die Deutsche Mittelstandsschutz

Du siehst, auch außerhalb deines Betriebsgebäudes gelten die gleichen Datenschutzpflichten. Als Arbeitgeber*in musst du präventiv handeln, deine Mitarbeiter*innen aufklären und klare Regeln und Richtlinien schaffen. Das mobile Arbeiten kann mit einer durchdachten Datenschutzstrategie rechtssicher und flexibel gestaltet werden.

Wir von der Deutschen Mittelstandsschutz stehen dir bei allen Fragen rund um das Thema Arbeitssicherheit zur Verfügung. Mithilfe unserer Gefährdungsbeurteilungen oder unserer SMART CAMPUS Plattform mit lehrreichen Mitarbeitendenschulungen sorgst du dafür, dass dein Unternehmen zukunftsfähig und rechtsicher agiert. Regelmäßige Schulungen helfen nicht nur Wissen zu vermitteln, sondern auch das Sicherheitsbewusstsein zu stärken und Cyberangriffe wie Phishing zu erkennen.

Beitragsbild: © Envato, Dimaberlin