Haftung
Die geschäftliche Nutzung privater Geräte kann auf beiden Seiten der Arbeitsvertragsparteien Haftungsfragen aufwerfen. Es stellt sich die Frage, wer im Falle einer Beschädigung oder einem Verlust bzw. Diebstahl des privaten Geräts die Kosten der Reparatur bzw. Wiederbeschaffung zu tragen hat. Bei Beschädigung oder Diebstahl des privaten Geräts während des geschäftlichen Einsatzes, trägt grundsätzlich die Arbeitgeberin, unter Berücksichtigung eines allfälligen Mitverschuldens des Arbeitnehmers, die Reparatur- bzw. Wiederbeschaffungskosten.
Demgegenüber haftet der Arbeitnehmer für den Schaden, den er dem Arbeitgeber absichtlich oder fahrlässig zufügt. Ist eine Beschädigung bzw. der Verlust des Geräts auf ein Verschulden des Arbeitnehmers zurückzuführen, so hat er für die entsprechenden Kosten aufzukommen. Je nach Fallkonstellation und Verschulden des Arbeitnehmers haftet er allenfalls auch nur anteilsmässig. Die Frage der Haftung des Arbeitnehmers stellt sich auch dann, wenn der Arbeitnehmende vertrauliche Geschäftsdaten unsorgfältig behandelt und dadurch die arbeitsvertragliche Geheimhaltungspflicht verletzt oder wenn das private Gerät das Netzwerk der Arbeitgeberin mit Computerviren beschädigt. Voraussetzung für die Haftung des Arbeitnehmenden ist die schuldhafte Verletzung seiner Sorgfaltspflicht.

Datensicherheit
Die Arbeitgeberin muss nach Art. 7 des Datenschutzgesetzes die Datensicherheit durch angemessene technische und organisatorische Massnahmen sicherstellen und Personendaten gegen unbefugtes Bearbeiten schützen. In diesem Zusammenhang sind nicht nur technische Massnahmen zu treffen, sondern auch in organisatorischer Hinsicht Weisungen und Verhaltensregeln notwendig, um private und geschäftliche Daten zu trennen. Als technische Massnahmen zur Trennung von privaten und geschäftlichen Daten eignen sich eine zentrale Datenhaltung in Verbindung mit einem Fernzugriff vom privaten Gerät oder sog. Container-Apps. Die Nutzungsregeln, als organisatorische Massnahme, sollten vorsehen, dass Privatgeräte Dritten nicht zugänglich gemacht werden dürfen. Des Weiteren sollten folgende Aspekte geregelt werden: Mindestsicherheitseinstellungen, Passwortvorgaben, Nutzungsverbot für unsichere Programme, Vorgehen bei Beendigung des Arbeitsverhältnisses betreffend Löschung der Daten.
Bei Speicherung geschäftlicher Daten auf einem privaten Gerät kann es erforderlich sein, dass die Arbeitgeberin zwecks Wartung oder Löschung von Daten Zugriff auf das private Gerät erhält. Ein Zugriff auf das Privatgerät ist jedoch nur mit Einwilligung des Arbeitnehmenden erlaubt. Damit eine solche Einwilligung rechtsgültig ist, muss die Zugriffsmöglichkeit klar umschrieben sein (Zweck, Umfang, Zeitpunkt und Berechtigter). Dabei darf die Arbeitgeberin nicht auf die privaten Daten des Arbeitnehmenden zugreifen, ansonsten die Persönlichkeit des Arbeitnehmenden verletzt wird.

Mögliche Inhalte einer BYOD-Regelung
Im Rahmen einer BYOD-Vereinbarung sind folgende Punkte zu regeln:
– Liste der erlaubten Geräte
– Jederzeitiges Widerrufsrecht betreffend die Zulässigkeit von BYOD
– Kostentragungsregel für Anschaffungs- und wiederkehrende Kosten
– Grundsätze der Datensicherheit, Datenverwendung und Datenaufbewahrung
– Nutzungsregeln und Hinweis auf die Haftung der Arbeitnehmenden
– Zugriffsrechte des Arbeitgebers auf das private Gerät
– Vorgehen bei verlorenen und gestohlenen Geräten
– Regelung bei Beendigung des Arbeitsverhältnisses (Löschung der Daten)

Fazit
Die geschäftliche Nutzung von privaten Geräten wirft zahlreiche rechtliche Fragen auf. Jede Arbeitgeberin sollte sich mit diesen Punkten auseinandersetzen. Hat eine Arbeitgeberin Kenntnis von einer faktischen BYOD-Nutzung und duldet diese, können sich daraus Kosten- und Haftungsfolgen ergeben. Eine explizite Regelung der wichtigsten Punkte in einem Reglement oder dergleichen ist demzufolge empfehlenswert.