Beim BYOD erhält der Arbeitnehmer regelmäßig Zugriff auf Daten, die Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person enthalten, etwa Mitarbeiter und Kundendaten oder E-Mailadressen. Der Anwendungsbereich der DSGVO ist damit grundsätzlich auch für BYOD eröffnet.
DSGVO
Die Ausnahme aus Art. 2 Abs. 2 lit. c DSGVO (Nutzung für persönliche/familiäre Tätigkeiten) ist nicht einschlägig, auch wenn das private Gerät verwendet wird. Bei BYOD handelt es sich auch nicht um Auftragsdatenverarbeitung durch den Arbeitnehmer i. S. d. Art. 28 DSGVO.
Der Arbeitgeber bleibt für diese Verarbeitung personenbezogener Daten des Unternehmens auch dann verantwortlich nach Art. 4 Nr. 7 DSGVO, wenn die Verarbeitung auf einem Gerät des Arbeitnehmers erfolgt. Er hat daher grundsätzlich auch alle datenschutzrechtlichen Pflichten zu erfüllen, so, als würde es sich um Unternehmensgeräte handeln. Gerade im Zusammenhang mit BYOD müssen daher technische und organisatorische Maßnahmen zur Einhaltung des Datenschutzrechts ergriffen werden (Art. 24 Abs. 1 i. V. m. Art. 32 DSGVO). Hierzu dürfte es im Fall von BYOD in aller Regel gehören, eine Vermengung von Unternehmensdaten mit dem privaten Teil des Geräts schon auf technischer Ebene zu verhindern.
"Container-Lösungen" und Fernzugriff
Die notwendige Trennung geschieht bei Smartphones vor allem mit sog. "Container-Lösungen", also Apps, die innerhalb der privaten IT-Struktur eine eigene, isolierte Plattform schaffen. Hierdurch wird unterbunden, dass private Apps Zugang auf Unternehmensdaten haben oder dass letztere aus dem Container in private Apps hineinkopiert oder sonst übertragen werden können. Es erfolgt also auch IT-technisch eine strikte Trennung von privaten und beruflichen Daten. In technischer Hinsicht können praktisch betrachtet nur Container-Apps zum Einsatz kommen, um die gesetzlichen Vorgaben einzuhalten.
Auf privaten Laptops kommt häufig ein Remote-PC-Zugriff auf die Unternehmens-IT über Browserapplikationen oder über sonstige Software in Betracht. Der Arbeitnehmer nutzt seinen privaten Computer hierbei als eine Art Fenster zur IT-Infrastruktur des Unternehmens (sog. Virtualisierung), ohne dass Programme des Unternehmens wie Word oder Excel oder Daten auf seinem privaten Computer gespeichert sein müssen.
Auch kommt es in Betracht, Fernzugriffe auf bzw. die Fernlöschung von betrieblichen Daten vom Gerät einzurichten.
Zur Erfüllung der datenschutzrechtlichen Pflichten benötigt der Arbeitgeber darüber hinaus u. a. auch die rechtliche Zugriffsmöglichkeit auf die vom Arbeitnehmer verwendete Applikation. Er muss die Erhebung, Verarbeitung und Nutzung von Daten kontrollieren können. Hierfür bedarf es einer entsprechenden vertraglichen Vereinbarung, die dem Unternehmen entsprechende Kontrollrechte gewährt und dem Arbeitnehmer die notwendigen Duldungs- bzw. Handlungspflichten auferlegt.
Zugriff auf private Daten
Ein Zugriff des Arbeitgebers auf private Daten des Arbeitnehmers (z. B. Nutzungsverhalten am privaten Smartphone) dürfte nicht nach § 26 Abs. 1 BDSG gerechtfertigt und daher nur mit einer Einwilligung möglich sein.
IT-Sicherheit
Neben der Containerlösung sind weitere wichtige Aspekte der IT-Sicherheit z. B. der Passwortschutz, der sichere Tunnel zum Arbeitgebernetzwerk (VPN), Verschlüsselungsstandards und der Virenschutz.