Datenschutz und IT-Sicherheit bei mobiler Arbeit
Im Zug schnell noch eine Auswertung freigeben, im Hotel-WLAN Mails checken, zwischendurch am privaten Tablet an der Präsentation feilen – so sieht mobile Arbeit heute aus. Damit diese Daten auch unterwegs geschützt bleiben und nicht in falsche Hände geraten, braucht es klare Vorgaben zum Datenschutz und zur IT-Sicherheit: vom sicheren Login über Verschlüsselung bis hin zu klaren Freigabe-Regeln in Cloud-Tools. Wer Standards verlässlich lebt, arbeitet flexibel und bleibt rechtskonform.
Besonderheiten beim Datenschutz?
Im betrieblichen Umfeld ist die Einhaltung des Datenschutzes gelebte Praxis. Doch auch wenn außerhalb der Betriebsstätte gearbeitet wird, ist die DSGVO einzuhalten. Arbeitgeber bleiben in der Verantwortung, auch wenn sie gar nicht wissen, wo die Datenverarbeitung stattfindet, etwa weil die Mitarbeiterin im Zug arbeitet.
Beim mobilen Arbeiten sind insbesondere die Technischen und Organisatorischen Maßnahmen, sog. TOMs, in den Blick zu nehmen. Denn gerade beim Arbeiten an unterschiedlichen Orten besteht das Risiko, dass personenbezogene Daten in fremde Hände gelangen. Dies kann passieren, wenn im Zug vom Nachbarplatz mitgelesen wird. Auch Telefonieren in der Öffentlichkeit kann ein Risiko darstellen. Es empfiehlt sich daher klare Regelungen im Betrieb zu haben, wie in der Öffentlichkeit gearbeitet werden darf. Beispielsweise kann ein Sichtschutz für das Display die Arbeit im ÖPNV sicherer machen.
Soll die Nutzung privater Geräte, sog. „Bring Your Own Device“ oder BYOD, zulässig sein, muss geregelt werden, wo Daten gespeichert werden können. Betriebliche Daten müssen strikt von den privaten Daten des Mitarbeiters getrennt werden. Dies kann zum Beispiel durch die Nutzung virtueller Desktops über einen VPN-Tunnel erreicht werden. Auf Nummer sicher geht man allerdings, wenn der Arbeitgeber als Verantwortlicher alle genutzten Endgeräte stellt. Die genutzten Endgeräte sollten verschlüsselt sein.
Weiterhin muss sichergestellt werden, dass Schriftstücke und Dokumente auch im mobilen Arbeiten in geeigneter Form verschlossen gelagert werden können. Außerdem sollten Verantwortliche prüfen, ob sie Daten verarbeiten, die nicht für mobile Arbeiten geeignet sind.
Der Hessische Landesdatenschutzbeauftragte hat die wichtigsten Informationen in einer Handreichung zum datenschutzkonformen „mobilen Arbeiten“ zusammengefasst.
IT-Sicherheit – Kernanforderungen für eine „harte“ Sicherheitslinie (inkl. BYOD)
Die IT-Sicherheit geht Hand-in-Hand mit dem Datenschutz. Die Technischen und Organisatorischen Maßnahmen nach dem Datenschutzrecht sind wichtige, erste Schritte, um IT-Sicherheit herzustellen.
Dem müssen weitere Maßnahmen folgen. Denn aus datenschutzrechtlicher Sicht wird nur die Frage der Sicherheit der personenbezogenen Daten geprüft. Bei der IT-Sicherheit wird der Blick auf die Sicherheit und Integrität der gesamten Datenverarbeitung im Unternehmen gelegt. Auch die Betriebs- und Geschäftsgeheimnisse sind betroffen. Es kann sich nach der Bewertung der IT-Sicherheit sogar ein strengerer Schutz ergeben als nach der DSGVO.
Technische Sicherheitsstandards wie Mehrfaktor-Authentifizierung, konsequente Geräte- und Datenträgerverschlüsselung, Patch-/Update-Management, abgesicherte Verbindungen (VPN), rollenbasierte Zugriffsrechte, gesicherte Backups und Logging/Incident-Response sollten geprüft werden. Für die Arbeit sollten nur vertrauenswürdige Netze bzw. bei der Nutzung öffentlicher WLANs ein VPN-Tunnel genutzt werden.
Bei der Zulassung von BYOD ist zu klären, welche Daten mobil verarbeitet und welche Prozesse mobil abgearbeitet werden dürfen. Die Trennung privater und beruflicher Daten sollte geregelt werden. Klare Nutzungs- und Supportregeln helfen, die Unternehmens-IT auch unterwegs robust zu schützen.
Weitere Informationen zur IT-Sicherheit hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Merkblatt Tipps für sicheres mobiles Arbeiten zusammengestellt.
Stand: 30. September 2025