Das Konzept „Bring Your Own Device“ bezeichnet die Nutzung privater Geräte wie Smartphones, Tablets oder Laptops für dienstliche Zwecke. In sozialwirtschaftlichen Einrichtungen wird dieses Modell häufig informell praktiziert, etwa wenn Fachkräfte mit ihrem eigenen Handy Mails abrufen, Termine dokumentieren oder mit dem Jugendamt kommunizieren. Was auf den ersten Blick pragmatisch und kostensparend erscheint, stellt aus datenschutzrechtlicher Sicht ein erhebliches Risiko dar. Denn sobald personenbezogene Daten auf einem privaten Gerät verarbeitet werden, das nicht unter der vollständigen Kontrolle der Einrichtung steht, ist die DSGVO in vollem Umfang anwendbar – einschließlich aller Anforderungen an Sicherheit, Rechenschaftspflicht und technische und organisatorische Maßnahmen.

Die Zulässigkeit von BYOD setzt voraus, dass klare vertragliche, technische und organisatorische Regelungen getroffen werden. Es muss sichergestellt sein, dass dienstliche und private Inhalte strikt voneinander getrennt werden, etwa durch ein Mobile Device Management (MDM) oder Container-Lösungen. Die Einrichtung muss kontrollieren können, welche Daten verarbeitet werden, wer Zugriff hat, wann Daten gelöscht werden und ob ein Gerät im Verlustfall ferngelöscht werden kann. Ohne solche Vorkehrungen ist der Einsatz privater Geräte rechtswidrig, insbesondere wenn besonders sensible personenbezogene Daten verarbeitet werden – etwa im Rahmen von Hilfeplänen, Fallakten oder interner Kommunikation über Schutzbedarfe.

Ein weit verbreiteter Irrtum besteht darin, dass die Verantwortung für die Sicherheit der Daten beim jeweiligen Mitarbeitenden liege. Das ist falsch. Die Verantwortung trägt immer die verantwortliche Stelle, also der Träger der Einrichtung. Wenn personenbezogene Daten auf einem privaten Gerät abfließen, haftet die Einrichtung – unabhängig davon, wem das Gerät gehört. Werden keine konkreten Nutzungsrichtlinien erlassen, keine technischen Schutzmaßnahmen getroffen und keine Schulungen durchgeführt, liegt ein struktureller Verstoß gegen die DSGVO vor. Kommt es zum Verlust des Geräts oder zum Zugriff durch Dritte, kann dies eine meldepflichtige Datenschutzverletzung darstellen, die zusätzlich aufsichtsbehördliche Maßnahmen und Bußgelder nach sich zieht.

Einrichtungen, die BYOD zulassen oder dulden, müssen deshalb ein verbindliches BYOD-Konzept entwickeln. Dazu gehört die formale Zustimmung der Mitarbeitenden zur dienstlichen Nutzung, die vertragliche Regelung von Löschrechten, Zugriffen und Kontrollen sowie die Festlegung technischer Anforderungen an Verschlüsselung, Passwörter und Systemtrennung. Ebenso müssen klare Regelungen zur Beendigung des Beschäftigungsverhältnisses getroffen werden, etwa zur Rückgabe oder Löschung dienstlicher Daten. Die Nutzung bestimmter Kommunikationswege, etwa Messenger-Dienste oder private E-Mail-Konten, ist ebenfalls zu regeln und in vielen Fällen zu unterbinden.

Die IJOS Datenschutzmanagement-Software (DSM) bietet umfassende Unterstützung bei der Einführung und Kontrolle datenschutzkonformer BYOD-Strukturen. Sie ermöglicht die Risikoanalyse der Geräteeinbindung, die Dokumentation von Nutzungsvereinbarungen, die Verwaltung von Zugriffsrechten und die Integration in bestehende TOM- und DSFA-Prozesse. Für besonders risikobehaftete Nutzungsszenarien können über das DSM geeignete Schutzmaßnahmen vorgeschlagen und deren Wirksamkeit regelmäßig überprüft werden. Ergänzend kann die Whistleblower-Plattform der IJOS GmbH genutzt werden, um Verstöße gegen BYOD-Regelungen vertraulich zu melden und damit einen Frühindikator für Sicherheitslücken zu schaffen.

Bring Your Own Device ist kein datenschutzfreier Raum. Wer private Geräte für dienstliche Zwecke zulässt, übernimmt volle datenschutzrechtliche Verantwortung. Einrichtungen der Sozialwirtschaft, die mit sensiblen personenbezogenen Daten arbeiten, sollten deshalb entweder ganz auf BYOD verzichten oder es nur unter streng kontrollierten und dokumentierten Bedingungen zulassen. Andernfalls drohen nicht nur Bußgelder und Kontrollmaßnahmen, sondern vor allem ein dauerhafter Vertrauensverlust bei den Betroffenen.