BYOD in der Krise: Deutsche Firmen kämpfen mit strengeren Regeln

Neue EU-Regeln und Gerichtsurteile zwingen zu radikalen Änderungen bei der Kommunikation mit Mitarbeitern.

Freiwilligkeit ist kein Luxus, sondern Pflicht

Die Grundregel ist klar: Kein Arbeitgeber darf Mitarbeiter zwingen, Firmen-Apps auf ihrem privaten Handy zu installieren. Das private Smartphone gehört nicht zur vertraglich geschuldeten Arbeitsausstattung. Die Nutzung erfordert eine individuelle Vereinbarung oder einen Tarifvertrag. Die datenschutzrechtliche Grundlage bildet fast immer die freiwillige Einwilligung der Beschäftigten nach der DSGVO.

Die datenschutzkonforme Einbindung privater Geräte im Home-Office oder unterwegs stellt viele Unternehmen vor große Hürden. Dieser kostenlose Ratgeber bietet editierbare Vorlagen und Best Practices, um die mobile Arbeit rechtssicher zu gestalten. Rechtssicheres Home-Office in 3 einfachen Schritten einrichten

Doch was bedeutet „freiwillig“ wirklich? Daten- und Arbeitsrechtler betonen: Der scheinbare Komfort, Mitarbeiter ständig auf dem privaten Gerät zu erreichen, rechtfertigt nicht länger den risikobehafteten Zugriff auf persönliche Daten. Die Zeiten des lockeren „Bring Your Own Device“ (BYOD) sind vorbei.

EU Data Act verschärft die technischen Vorgaben

Seit dem 12. September 2025 gilt die EU Data Act in voller Schärfe. Diese Verordnung hat die Spielregeln für Mobile Device Management (MDM) grundlegend verändert. Sie fordert maximale Transparenz und Kontrolle für Nutzer vernetzter Geräte.

Für Unternehmen heißt das: Wer Arbeit über Apps auf Privatgeräten ermöglicht, muss eine strikte Trennung von Geschäfts- und Privatdaten gewährleisten. IT-Abteilungen müssen nun lückenlos nachweisen können, welche Daten erfasst werden und wer darauf Zugriff hat. Gelingt diese Trennung nicht, drohen nicht nur Bußgelder in Millionenhöhe, sondern auch Schadensersatzklagen betroffener Mitarbeiter.

Bundesarbeitsgericht setzt klare Grenzen

Zwei wegweisende Urteile des Bundesarbeitsgerichts (BAG) haben den Rahmen weiter verengt.

Im Mai 2025 entschied das BAG, dass ein Arbeitgeber schadensersatzpflichtig sein kann, wenn er sensible Personaldaten ohne ausreichende Rechtsgrundlage innerhalb eines Konzerns weitergibt. Im konkreten Fall wurden echte Daten zur Testung einer neuen HR-Software an eine Muttergesellschaft übermittelt. Das Gericht sah darin einen unverhältnismäßigen Eingriff, da auch Test- oder pseudonymisierte Daten möglich gewesen wären.

Bereits im Juli 2024 urteilte das BAG zum Thema Überwachung: Schon die Möglichkeit der Echtzeit-Überwachung – etwa durch Headsets im Einzelhandel, die Abhörfunktionen bieten – macht ein System zum Überwachungsmittel. Die Einführung solcher Technologien unterliegt damit zwingend der Mitbestimmung des Betriebsrats nach dem Betriebsverfassungsgesetz (BetrVG).

Betriebsrat wird zum zentralen Akteur

Die Rolle des Betriebsrats ist für die Zulässigkeit von Mitarbeiter-Apps entscheidend. Sein Mitbestimmungsrecht nach § 87 BetrVG erstreckt sich auf alle technischen Einrichtungen, die das Verhalten oder die Leistung der Beschäftigten überwachen können.

Der Paragraf 87 des Betriebsverfassungsgesetzes gilt als das Herzstück der Mitbestimmung, insbesondere bei der Einführung technischer Überwachungseinrichtungen. Erfahren Sie in diesem Gratis-E-Book, wie Sie Ihre Mitbestimmungsrechte gezielt einsetzen und Ihre Verhandlungsposition im Betrieb stärken. Das Herzstück der Betriebsratsarbeit: So nutzen Sie § 87 BetrVG wirklich aus

Dies betrifft inzwischen auch scheinbar harmlose „soziale“ Funktionen in Apps: Lesebestätigungen, „Gefällt-mir“-Buttons oder Aktivitäts-Indikatoren können als Leistungskontrolle interpretiert werden und benötigen die Zustimmung des Gremiums.

Parallel beobachtet die Rechtswelt den Fortgang des Beschäftigtendatenschutzgesetzes. Der Entwurf von Oktober 2024, der klare Regeln für die digitale Arbeit schaffen soll, steckt zwar im Gesetzgebungsverfahren. Seine Kernprinzipien – wie das Verbot heimlicher Überwachung und die Forderung nach „Privacy by Design“ – gelten in der Praxis 2026 aber bereits als Maßstab.

Technische Trennung wird zum Standard

Die Antwort auf die verschärfte Rechtslage heißt: Containerisierung. Statt das gesamte Privathandy zu verwalten, setzen Unternehmen zunehmend auf „Work Profiles“ oder sichere Container. Nur die Firmen-Apps laufen in dieser abgeschotteten Umgebung. Der Arbeitgeber erhält keinerlei Einblick in den privaten Teil des Geräts. Geschäftsdaten im Container lassen sich verschlüsseln und bei Bedarf fernlöschen, ohne private Fotos oder Nachrichten zu berühren.

Datenminimierung ist das Gebot der Stunde. Behörden warnen: Apps dürfen nur die Berechtigungen anfordern, die für ihre Funktion zwingend nötig sind. Eine interne News-App braucht keinen Zugriff auf das private Adressbuch oder den Standort. Das Sammeln von Daten „für alle Fälle“ verstößt gegen die DSGVO.

Auch das Thema Erreichbarkeit steht im Fokus. Arbeitgeber können die private Handynummer eines Mitarbeiters nicht aus Bequemlichkeit oder zur Kosteneinsparung verlangen. Wird eine App genutzt, um Rufbereitschaftssysteme zu umgehen, muss das Recht auf Nichterreichbarkeit gewahrt bleiben.

Ausblick: Vom BYOD zum CYOD und COPE

Die Ära, in der deutsche Unternehmen Verbraucher-Apps wie WhatsApp für die interne Kommunikation nutzten, ist praktisch beendet. Die datenschutzrechtlichen Risiken und die fehlende Trennung sind zu groß.

Marktbeobachter erwarten einen trend weg vom reinen BYOD hin zu Modellen wie „Choose Your Own Device“ (CYOD) oder „Corporate Owned, Personally Enabled“ (COPE). Dabei stellt der Arbeitgeber das Gerät oder eine Auswahl, behält die Kontrolle über Sicherheitseinstellungen, erlaubt aber eine begrenzte private Nutzung.

Der erfolgreiche Einsatz von Mitarbeiter-Apps auf Privatgeräten im Jahr 2026 ruht auf drei Säulen: einer explizit freiwilligen Einwilligung oder tragfähigen Betriebsvereinbarung, einer klaren technischen Trennung durch moderne Management-Software und vollständiger Transparenz über die Datenverarbeitung. Unternehmen, die „Privacy by Design“ priorisieren, sind für die eskalierenden juristischen und finanziellen Risiken des digitalen Arbeitsplatzes am besten gewappnet.

de | boerse | 69155205 |