«Bring Your Own Device» (BYOD) ist in vielen Unternehmen – ob bewusst oder nicht – wohl schon Realität. Arbeitgeber sollten sich deshalb mit den entsprechenden Fragestellungen auseinandersetzen, selbst wenn sie nicht beabsichtigen, eine BYOD-Strategie umzusetzen. Optiert ein Arbeitgeber für BYOD, so stellen sich arbeits- wie auch datenschutzrechtliche Fragen. Die Umsetzung der technischen Massnahmen muss auf die rechtlichen Vorgaben abgestimmt werden. Umgekehrt müssen die technischen Massnahmen auch mit organisatorischen Mitteln ergänzt und umgesetzt werden. Ein Arbeitgeber ist gut beraten, die relevanten Punkte in einer BYOD-Policy, entsprechenden Weisungen und Reglementen, allenfalls sogar im Arbeitsvertrag klar zu regeln. Mit einer möglichst klaren Regelung kann er spätere Probleme vermeiden und Haftungsrisiken minimieren.

Das neue Datenschutzrecht – die DSGVO wie auch das revDSG – beruhen weiterhin auf dem Autonomieprinzip, obwohl dessen Prämissen fraglich sind. Die Stellung des Betroffenen wird dabei durch flankierende Massnahmen gestärkt. Leider wird das Autonomieprinzip aber oft überdehnt und dadurch im Grunde verletzt. Auch der Umgang mit Risiken ist nicht konsistent, gerade im revDSG. Das revDSG lässt aber Raum für eine prinzipienbasierte Anwendung, etwa dann, wenn die heutige Praxis zum Persönlichkeitsprofil – das vom Bearbeitungskontext abhängig ist – beim Profiling mit hohem Risiko weitergeführt wird und der Begriff des «hohen Risikos» auch sonst über das revDSG hinweg konsistent ausgelegt und konkretisiert wird.