Ob aus dem heimischen Wohnzimmer oder der Ferienwohnung in Spanien – mobiles Arbeiten boomt. Der Zugriff auf Unternehmenssysteme ist technisch zwar über moderne Cloud-Lösungen von überall aus möglich. Doch was als New Work-Konzept glänzt, bringt Sicherheits- und Datenschutzrisiken mit sich und Unternehmen drohen hohe Strafen und andere rechtliche Konsequenzen.
Wenn mobiles Arbeiten als Teil des modernen Arbeitslebens bestehen bleiben soll, müssen IT-Sicherheits- und Datenschutzkonzepte diese neue Welt auch reflektieren. Andernfalls drohen Unternehmen hohe Strafen und andere rechtliche Konsequenzen.
Cloud-Lösungen haben vielen Unternehmen letztes Jahr den Weg ins Homeoffice erleichtert und sich als Grundlage für moderne Arbeitskonzepte etabliert. Was viele Unternehmen jedoch 2020 unterschätzten oder aufgrund der Corona-bedingten Dringlichkeit der Umstellungen nicht ausreichend reflektieren konnten: Das Risiko von Cyberangriffen und Datenmissbrauch ist außerhalb des Büros erheblich höher als in den Räumlichkeiten der Unternehmen.
Unternehmen müssen sich daher – soweit sie das noch nicht ausreichend getan haben – dringend stärker mit dem Thema auseinandersetzen. Nach über anderthalb Jahren dürfte kein Kunde eines Unternehmens, keine Aufsichtsbehörde und kein Gericht mehr die durch Corona bedingte Eilbedürftigkeit von Umstellungen als Entschuldigung akzeptieren. Unternehmen, die jetzt nicht ausreichend handeln, setzen sich großen Compliance-Risiken und gegebenenfalls auch hohen Strafen und, im Schadensfall, Ansprüchen aus.
Kontrollverlust im Homeoffice?
Das Problem: Im Homeoffice greifen viele der von Firmen eingerichteten technischen und organisatorischen Schutzmaßnahmen nicht, jedenfalls nicht automatisch. Angefangen von der Netzwerkverbindung (Stichwort: VPN - funktioniert es immer?) und dem Speicherort (lokal?) über den physischen Zugriffs- und Einsichtsschutz des Arbeitsplatzes bis zu notwendiger IT-Sicherheit, Log-Files und Überwachung: Im Homeoffice eröffnen sich deutlich mehr Risikobereiche. Unternehmen, die bereits vor Corona mobiles Arbeiten angeboten haben, sollten diese Problematiken zwar grundsätzlich kennen, dies trifft jedoch längst nicht auf alle Unternehmen zu. Zudem hat sich seit der Corona-Pandemie das Ausmaß von Mobile Working verändert, nicht immer kann das vom firmeneigenen IT-Support abgedeckt werden. Das kann dazu führen, dass einige Mitarbeiter zum Umgehen vorgeschriebener Maßnahmen verleitet werden (Daten werden beispielsweise lokal abgespeichert oder per E-Mail versendet anstatt über einen Link zum Server, Firewall-Einstellungen werden verändert oder in der Mittagspause privat gesurft). Dazu kommt, dass viele Unternehmen Mitarbeitern mangels unternehmenseigener Hardware (insbesondere PCs/Laptops) die Nutzung eigener Endgeräte erlauben, bei der in der Regel keine ausreichende IT-Sicherheit vorhanden ist. Schließlich entstehen Probleme auch unter anderem daraus, dass viele Mitarbeiter monatelang gar nicht mehr in das Büro kommen und die althergebrachten Mobile Working-Prozesse (etwa zu Passwortwechsel und Synchronisation) darauf nicht eingestellt sind.
So schützen Sie sich vor Datenklau und -missbrauch
Sowohl die Verarbeitung personenbezogener Daten als auch die allgemeine Unternehmensverantwortung für „State of the Art“-IT-Sicherheit erfordern Maßnahmen, die einen Verlust oder Missbrauch von Daten verhindern. Die zu treffenden Maßnahmen sind nach den Vorgaben der Datenschutzgrundverordnung (DSGVO) an den jeweiligen Risiken zu orientieren. Sie umfassen ausdrücklich nicht nur technische Maßnahmen wie etwa Verschlüsselung, Zugriffsbeschränkungen, Datentrennung oder Log-Files, sondern auch organisatorische Maßnahmen wie Schulungen und Datennutzungs-, Datenzugriff-, Datenspeicherungs- und Datenlöschungskonzepte.
Soweit sensible Daten eines Unternehmens betroffen sind (wie beispielsweise Gesundheits- und Gehaltsdaten in HR-Systemen) oder ein Unternehmen in einem Bereich tätig ist, bei denen die Daten der Kunden per se sensibel sind – dazu gehören erfahrungsgemäß vor allem Behörden, Krankenhäuser, Versicherungen und Banken – gelten verschärften Maßnahmen. Hier ist zu fragen, ob und - wenn ja - unter welchen Voraussetzungen die Arbeiten überhaupt im Homeoffice erfolgen können. Im Regelfall wird dies möglich sein, zum Beispiel durch spezielle Hardware und Schulungen für die Mitarbeiter. Es wird jedoch nicht genügen, einfach nur die allgemeinen Konzepte anzuwenden.
Homeoffice im Ausland
Innerhalb Deutschlands und des Europäischen Wirtschaftsraumes gelten datenschutzrechtlich die gleichen Regeln. Es macht - aus datenschutzrechtlicher Sicht - also keinen Unterschied, ob Mitarbeiter sich in Brandenburg oder in Paris aufhalten. Außerhalb des EWR sieht das anders aus, hier kommt es auf den Standort an: In Ländern mit verstärktem Zugriff durch lokale Behörden wie Russland und China muss man im Einzelfall entscheiden, ob besondere Maßnahmen (beispielsweise Zugriffsbeschränkungen auf besonders sensitive Systeme) notwendig sind. Umgekehrt mag es sein, dass ein in Russland oder China arbeitender Mitarbeiter von dort aus gar nicht auf lokale Daten zugreifen darf.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Selbst bei Ländern mit weniger strengen Regeln kann ein internationales Mobile Working jedoch plötzlich zu internationalen Datentransfers nach DSGVO führen, die nicht immer ohne weiteres zulässig sind. Dazu kann ein Zugriff auf Daten aus einem Land außerhalb des Europäischen Wirtschaftsraums genügen. Europäische Datenschutzbehörden haben schon in vielen Fällen Strafen verhängt, nur weil ein solcher Zugriff ohne ausreichenden konzerninternen Datenschutzvertrag erfolgt ist.
Bei Verletzung der DSGVO drohen hohe Bußgelder
Wenn Firmen sich mit dem Thema gar nicht, oder nur unzulänglich beschäftigen, drohen hohe Geldstrafen, die bis zu 4 Prozent des weltweiten Konzernumsatzes betragen können. British Airways musste beispielsweise im vergangenen Jahr (damals galt in Großbritannien noch die DSGVO) 20 Millionen Pfund zahlen, weil bei einem externen Angriff auf das System persönliche Kundendaten sowie Kreditkarteninformationen abgegriffen wurden und dies nach Einstufung der zuständigen britischen Datenschutzbehörde (ICO) auf mangelnde Sicherheitsvorkehrungen seitens der Fluggesellschaft zurückzuführen war. Dabei sind die Geldstrafen oft nicht einmal das größte Risiko. Ein in der Presse ausgebreiteter Datenverlust oder -missbrauch, Verlust von Kundengeschäft und Ansprüche von Kunden können Unternehmen noch viel härter treffen.
Datenschutzkonzepte müssen an die neue Arbeitswelt angepasst werden
Um Datenpannen zu vermeiden, müssen Unternehmen ihre Cyber-, IT-Sicherheits- und Datenschutzkonzepte auf den Prüfstand stellen. Dafür ist es notwendig, die Datenströme und -verarbeitungen, die durch mobiles Arbeiten neu oder verstärkt entstehen, zu verstehen und zu bewerten. Dies ist nicht nur die Grundlage für überarbeitete Sicherheitskonzepte und andere technische und organisatorische Maßnahmen, sondern auch für die Beurteilung der Frage, ob zusätzliche oder geänderte konzerninterne oder externe Datenschutzverträge, insbesondere Auftragsverarbeitungsverträge, zu schließen sind.
Selbst bei großen globalen Unternehmen, die vor der Pandemie schon Mobile Working ermöglicht haben, dürften in den allerwenigsten Fällen die vor Corona erstellen Konzepte für die neue Arbeitswelt ausreichend sein. Daher müssen jetzt schnellstmöglich Konzepte ausgearbeitet werden, zum Beispiel zum Verhalten bei Datenpannen, die im Homeoffice ausgelöst und/oder entdeckt werden, zur Nutzung privater Endgeräte oder eben auch zum Arbeiten außerhalb der eigenen vier Wände, egal ob am Urlaubsort oder im Freien.
Über den Autor: Dr. Fabian Niemann ist Partner IT- und Datenschutzrecht bei Bird & Bird Düsseldorf.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0a/43/0a439494e291abc64fc198fcfb7d23cd/0128778210v2.jpeg "Informationen darüber, dass eine kritsche Schwachstelle in IBM API Connect aktiv ausgenutzt wird, gibt es bisher nicht. Dennoch sollten Nutzer dringend die Interim Fixes installieren, da Cyberkriminelle ansonsten ohne Anmeldung auf Systeme zugreifen können. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e9/d2/e9d2b519698bb7dc52d21d1735ff6b6e/0128637037v2.jpeg "Europa droht laut Google 2026 eine deutliche Zunahme staatlich gesteuerter Cyberangriffe, bei denen KI-gestützte Deepfakes, Vishing und eingeschleuste falsche IT-Fachkräfte gezielt Unternehmen ausspähen, erpressen und sabotieren. (Bild: Pablo Lagarto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/44/b444e312fe3afc078a5dccb184098b0f/0128881472v2.jpeg "Künstliche Intelligenz birgt für Unternehmen operative, rechtliche und Reputationsrisiken, während ihre Integration oft vor Herausforderungen in der Governance steht. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/e6/6ee646db17c9fde60a314f5a304829f4/0128889483v1.jpeg "Der Austausch einer Firewall markiert häufig den Übergang von historisch gewachsenen Netzwerken zu konsolidierten Sicherheitsarchitekturen mit stärkerer Segmentierung und klaren Zugriffskontrollen. (Bild: © Woodapple - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/dc/c6dc484c002d4c89d06f11173e753926/0128919272v1.jpeg "Ein symbolischer Akt zur offiziellen Inbetriebnahme der AWS European Sovereign Cloud: (v.l.) Hester Somson (Botschafterin der Niederlande in Deutschland), Dr. Karsten Wildberger (Bundesminister für Digitales und Staatsmodernisierung), Stéphane Israël (Managing Director AWS European Sovereign Cloud and Digital Sovereignty), Matt Garman (CEO AWS), Madalena Fischer (Botschafterin von Portugal in Deutschland), Daniel Keller (Minister für Wirtschaft, Arbeit, Energie und Klimaschutz von Brandenburg), Claudia Plattner (Präsidentin des BSI) und Stefan Höchbauer (Managing Director AWS Deutschland und Central Europe). (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/a0/f2/a0f210f50889348c9b06243cf16c294f/0128830499v2.jpeg "Watchguard vereint mit einem neuen Zero Trust Bundle drei Sicherheitsbereiche in einer cloudbasierten Plattform. MSP erhalten damit ein skalierbares Servicemodell ohne VPN-Engpässe und komplexe Einzellösungen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/38/0e/380e0d4a17254692074ed5872ffc3908/0128878981v1.jpeg "Integrierte Endpoint-Plattformen sollen ITOps und SecOps eine gemeinsame Arbeitsbasis bieten und Reaktionszeiten verkürzen. (Bild: © Rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/10/13/1013c1725f99f6b708dfc6e5d3cf08a0/0128586866v2.jpeg "Endgeräte sind das Haupteinfallstor für Cyberkriminelle. Verhaltensbasierte Abwehr, Day-Zero-Erkennung und ein SOC mit Eingriffsmandat machen Laptops und BYOD zur belastbaren Verteidigungslinie. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/a0/c5a025fd9b231ae061ba92437d00c2ae/0124733497v2.jpeg "Die NIS-2 soll die Cyberresilienz der EU stärken. Dafür müssen die Unternehmen mitspielen und sollten das auch endlich zu ihrem eigenen Nutzen tun und nicht noch länger auf die Politik warten. (Bild: © kunertus - stock.adobe.com)")