Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift
Top Themen im Datenschutz:
Cortina Consult
Bring your own device (BYOD)
Datenschutz

Bring your own device (BYOD)

Bring Your Own Device klingt praktisch. Wer BYOD ohne Konzept einführt, riskiert DSGVO-Verstöße, Haftungsfallen und Datenpannen. Ein Leitfaden für kleine und mittlere Unternehmen.

Externen DSB beauftragen
BYOD-Policy
Abstraktes Sicherheitsmotiv mit Schild, Schloss und Datenpfaden zur Darstellung von Datenschutz und sicherer Dateiverwaltung

Privates Smartphone, dienstliche Daten – was KMU bei BYOD wirklich beachten müssen

Drei von vier IT-Verantwortlichen berichten, dass private Geräte in ihren Unternehmen regelmäßig beruflich genutzt werden – obwohl nur gut die Hälfte dies offiziell erlaubt. Das ist kein Kavaliersdelikt, sondern ein handfestes Compliance-Problem. Sobald ein Arbeitnehmer mit dem privaten Smartphone auf Firmen-E-Mails zugreift oder Kundendaten in einer beruflichen App bearbeitet, ist das Unternehmen als Verantwortlicher im Sinne der DSGVO in der Pflicht – unabhängig davon, wem das Gerät gehört.

Gerade für KMU ist das eine heikle Situation: Eigene Geräte für alle Mitarbeitenden anzuschaffen übersteigt oft das Budget. Gleichzeitig fehlen Zeit und Ressourcen für eine durchdachte BYOD-Strategie. Das Ergebnis ist häufig eine stille Duldung – die zur echten Haftungsfalle werden kann.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Was BYOD datenschutzrechtlich bedeutet

Der erste Grundsatz: Der Arbeitgeber bleibt Verantwortlicher nach Art. 4 Nr. 7 DSGVO – egal ob die Verarbeitung auf einem Firengerät oder dem privaten iPhone des Mitarbeiters stattfindet. Alle DSGVO-Pflichten treffen das Unternehmen vollumfänglich.

Die richtige Rechtsgrundlage zu wählen ist dabei keine Formsache. Eine pauschale Einwilligung des Arbeitnehmers funktioniert im Beschäftigtenkontext kaum – das Abhängigkeitsverhältnis macht sie angreifbar. Stattdessen kommt meist Art. 6 Abs. 1 lit. f DSGVO in Betracht, ergänzt durch § 26 BDSG.

Die EuGH-Rechtsprechung verlangt, dass Art. 6 DSGVO ausdrücklich als Rechtsgrundlage benannt wird – § 26 BDSG allein genügt nicht mehr. Die Interessenabwägung muss schriftlich belegen, warum BYOD betrieblich erforderlich ist und welche Schutzmaßnahmen die Eingriffe in die Privatsphäre begrenzen.

Hinzu kommt die Pflicht zur Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Sie ist durchzuführen, sobald ein MDM-System auf Geräten installiert wird, auf denen auch private Daten liegen – was bei BYOD per Definition immer der Fall ist. Wer die DSFA überspringt, handelt rechtswidrig.

Die unterschätzte Haftungsfrage

BYOD führt zu einem arbeitsrechtlichen Dreieck aus Geräteeigentum, Kontrollrecht und Haftung. Zunächst: Der Arbeitgeber kann BYOD nicht per Weisung anordnen. Das private Smartphone entzieht sich dem Direktionsrecht nach § 106 GewO – das Eigentum liegt beim Arbeitnehmer. BYOD muss daher auf einer individuellen Nutzungsvereinbarung beruhen. Fehlt diese, ist eine de-facto-BYOD-Praxis rechtlich ungesichert.

Muss ein Mitarbeiter das eigene Gerät nutzen und hat er keine echte Alternative, entsteht außerdem ein Aufwendungsersatzanspruch analog § 670 BGB: Das Unternehmen schuldet anteiligen Wertverlust des Geräts, Datenverbrauch und Zubehörkosten. Die vertragliche Abbedingung dieses Anspruchs in AGB ist unwirksam.

Bei Datenverlust gilt das arbeitsrechtliche Haftungsmodell: Bei leichter Fahrlässigkeit trägt der Arbeitgeber den Schaden vollständig. Bei mittlerer Fahrlässigkeit teilen beide. Nur bei grober Fahrlässigkeit oder Vorsatz haftet der Arbeitnehmer selbst.

Technik: Container statt Totalzugriff

Das technische Herzstück jeder BYOD-Strategie ist die saubere Trennung von privaten und dienstlichen Daten. Viele Unternehmen setzen auf ein vollständiges Mobile Device Management (MDM), das potenziell Einblick in das gesamte Gerät ermöglicht – und damit tief in die Privatsphäre des Mitarbeiters eingreift.

Die datenschutzrechtlich überlegene Lösung ist die Container-Architektur: Ein verschlüsselter, vom Betriebssystem isolierter Bereich enthält ausschließlich Unternehmensanwendungen und -daten. Der Arbeitgeber erhält keinerlei Zugriff auf private Apps, Fotos oder Kontakte. Ein Remote-Wipe löscht ausschließlich den Container – nicht das gesamte Gerät.

Technische Mindestanforderungen:

  • Bildschirmsperre mit PIN oder Biometrie, automatische Sperre nach max. 15 Minuten
  • Verschlüsselung des Gesamtgeräts und des Containers
  • Multi-Faktor-Authentifizierung (MFA) für alle Unternehmensdienste
  • VPN oder Zero-Trust-Zugang für alle Verbindungen zu Unternehmensressourcen
  • Nur gepatchte, aktuell unterstützte Betriebssysteme – kein Jailbreak, kein Rooting
  • Positivliste für Apps – nur freigegebene Anwendungen im Container, kein Sideloading

Die BYOD-Policy: Was hinein muss

Eine Nutzungsvereinbarung ist kein optionales Dokument – sie ist die rechtliche Basis für das gesamte BYOD-Konzept. Fehlt sie, fehlt alles. Die folgende Tabelle zeigt, welche Inhalte Pflicht sind, was konkret zu regeln ist und welche Rechtsgrundlage dahintersteht.

Regelungspunkt
Konkrete Anforderung
Rechtsgrundlage / Hinweis
Geltungsbereich
Welche Gerätetypen, Betriebssysteme und OS-Versionen sind zugelassen? Expliziter Ausschluss nicht unterstützter Systeme.
TOMs gem. Art. 32 DSGVO
Rechtsgrundlage
Dokumentierte Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO. Betriebliche Erforderlichkeit und Verhältnismäßigkeit schriftlich belegen.
Art. 6 Abs. 1 lit. f DSGVO; § 26 BDSG
Zulässige Datenarten
Abschließende Liste verarbeitbarer Daten und Anwendungen. Besondere Kategorien nach Art. 9 DSGVO grundsätzlich ausschließen.
Art. 5 Abs. 1 lit. b DSGVO (Zweckbindung)
Transparenz / Art. 13
Vollständige Datenschutzinformation über Art, Umfang und Zweck der MDM-Zugriffe. Mitarbeiter muss wissen, was das System sieht – und was nicht.
Art. 13 DSGVO
Technische Mindeststandards
Verschlüsselung, Bildschirmsperre, MFA, VPN/Zero-Trust, Container-Architektur. Keine Ausnahmen für bestimmte Funktionen oder Abteilungen.
Art. 32 DSGVO
Remote-Wipe-Regelung
Fernlöschung ausdrücklich auf den Unternehmens-Container beschränkt. Löschung des Gesamtgeräts nur mit ausdrücklicher Einwilligung des Mitarbeiters.
Art. 5 Abs. 1 lit. c DSGVO (Datensparsamkeit)
Kostenerstattung
Regelung zu MDM-Lizenzkosten, Datenvolumen und anteiligem Wertverlust. AGB-seitiger Ausschluss ist unwirksam – besser: klare positive Regelung.
§ 670 BGB analog
Offboarding
Sofortiger Zugriffsentzug und dokumentierte Container-Löschung bei Beendigung des Arbeitsverhältnisses. Prozess und Verantwortlichkeit namentlich benennen.
Art. 17 DSGVO (Löschpflicht)
Meldepflicht bei Verlust
Mitarbeiter meldet Geräteverlust unverzüglich – intern binnen weniger Stunden, damit die 72-Stunden-Frist gegenüber der Aufsichtsbehörde eingehalten werden kann.
Art. 33 DSGVO

Hinweis: Verliert ein Mitarbeiter das Privatsmartphone mit aktivem Unternehmens-Container, ist das eine meldepflichtige Datenpanne – und die 72-Stunden-Frist nach Art. 33 DSGVO gilt auch an Wochenenden und Feiertagen. Der interne Meldeprozess muss schneller sein als die gesetzliche Frist.

Wann BYOD die falsche Wahl ist

Für Unternehmen, die besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeiten – etwa Gesundheitsdaten oder Gewerkschaftszugehörigkeit – ist BYOD grundsätzlich kritisch zu hinterfragen. Dasselbe gilt, wenn forensische Untersuchungsfähigkeit benötigt wird: Private Geräte dürfen ohne ausdrückliche Einwilligung des Mitarbeiters nicht untersucht werden – ein gravierendes Problem bei der Aufklärung von Sicherheitsvorfällen.

In diesen Fällen sind Alternativen wie COPE (Company-Owned, Personally Enabled) oder CYOD (Choose Your Own Device) die bessere Wahl: Das Unternehmen stellt das Gerät, behält volle rechtliche Kontrolle und macht forensische Maßnahmen unproblematisch.

Fazit

BYOD ist für KMU eine legitime Strategie – aber „Hauptsache, es läuft“ ist keine Compliance-Strategie. Die Mindestanforderung ist klar: schriftliche Nutzungsvereinbarung, Container-Architektur, dokumentierte Rechtsgrundlage, geregeltes Offboarding und ein funktionierender Prozess für Datenpannen.

Wer das umsetzt, schützt nicht nur Firmendaten – sondern auch die Privatsphäre seiner Mitarbeitenden. Das ist kein bürokratischer Aufwand, sondern der Kern eines vertrauensvollen Arbeitsverhältnisses.

Beitrag aktualisiert am 13. April 2026 – Geprüft durch Datenschutzbeauftragter Jörg ter Beek
Sie suchen einen externen DSB?

Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive

ab 125€ / pro Monat
  • Stellung des TÜV-zertifizierten DSB
  • Datenschutzmanagementsystem
  • E-Learning für Mitarbeitende
  • Persönlicher Ansprechpartner
  • Website & Social Media Monitoring
Angebot berechnen
Inhalt dieser Seite
Ihre Vorteile mit Cortina Consult im Datenschutz

Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

  • Gebündelte Erfahrung aus 10 Jahren in der Branche
  • Beratung, Software & Schulung aus einer Hand
  • Prozessoptimierung und Skalierbarkeit garantiert
Pauschalpakete entdecken
Datenschutz
Jörg ter Beek
Autor dieses Artikels:
Jörg ter Beek
CEO & Datenschutzbeauftragter bei Cortina Consult
Zum Autorenprofil
Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift

Sie haben Fragen?
– Wir beraten Sie gerne

Jörg ter Beek
Jörg ter Beek
Datenschutzexperte & CEO
+49 251 95 20 37 - 40
jtb@cortina-consult.de

Unsere Lösungen