BYOD für KMU Schweiz 2026:
Privates Gerät, Firmendaten – rechtssicher

Kurz vorweg: BYOD ist 2026 in der Schweiz Realität – fast jedes KMU lässt Mitarbeitende mit privaten Smartphones auf Mail und Teams zugreifen. Stille Duldung ist allerdings keine Strategie. Pflicht sind: eine schriftliche BYOD-Vereinbarung pro Mitarbeitender, Mobile Application Management (Intune MAM oder Kandji/Jamf), eine pauschale Auslagen-Entschädigung gemäss OR 327a und ein klares Offboarding mit „Corporate Wipe“. Für Geräte, die in regulierten Bereichen genutzt werden (Finanz, Health), ist BYOD oft gar nicht zulässig – COPE oder COBO sind dann der Weg.

• OR Art. 327 / 327a: Arbeitgeber stellt Geräte oder erstattet Auslagen. Bei BYOD: pauschale Entschädigung Pflicht.
• revDSG Art. 8: Datensicherheits-Pflicht. Firmendaten auf BYOD-Gerät brauchen technische Massnahmen (Verschlüsselung, MAM, MFA).
• revDSG Art. 12: Bearbeitungsverzeichnis. BYOD-Geräte als Bearbeitungs-Mittel erfassen.
• ArG / ArGV: Bei Erfassung der Arbeitszeit auf BYOD-Gerät → Zeiterfassung Pflicht. Erreichbarkeit ausserhalb der Arbeitszeit klären.
• OR Art. 328: Persönlichkeits-Schutz – keine versteckte Überwachung des privaten Geräts. Kein Vollzugriff aufs Privatgerät erlaubt.
• GeBüV: Geschäfts-Korrespondenz auch auf BYOD-Geräten unterliegt 10-Jahres-Archivierungspflicht (über M365/Server, nicht auf dem Gerät selbst).
• NIS2/ISG (sofern relevant): Endgeräte-Sicherheit als kritisches Kontrollziel. BYOD ohne MAM ist faktisch nicht compliance-fähig.
• Quellensteuer und AHV-Beiträge: Höhere BYOD-Pauschalen können Lohnbestandteil werden – ESTV-Spesenreglement vorab klären.

• Zweck: Welche Aufgaben dürfen auf dem privaten Gerät erledigt werden? (z. B. Mail, Teams, OneDrive – aber keine ERP-/Lohn-Software).
• Erlaubte Geräte: Mindest-OS-Version, Hersteller-Support, Jailbreak/Root verboten. Beispiel: „iOS 17 oder höher, Android 13 oder höher mit aktuellen Sicherheitsupdates.“
• Sicherheits-Pflichten: Bildschirmsperre mit ≥ 6-stelligem PIN/Biometrie, automatische Sperre nach 5 Min., Verschlüsselung aktiv, MFA für Firmen-Konten.
• MAM/MDM-Zugriff: Genaue Beschreibung was die Firma sehen / steuern darf (Firmen-Apps und -Daten ja, private Apps/Fotos nein). Transparenz schafft Vertrauen.
• Auslagen-Entschädigung: Pauschale CHF X/Mo für Datentarif, Abnutzung, Versicherung. Klare Zahlmodalität (Lohn-Zusatzzeile vs. Spesen).
• Verlust/Diebstahl: Sofortige Meldepflicht an IT. Recht der Firma auf Remote-Wipe der Firmen-Daten („Corporate Wipe“).
• Beendigung: Bei Austritt Corporate Wipe Pflicht, bestätigt durch IT-Ticket. Mitarbeitender hat danach keinen Zugriff mehr auf Firmen-Daten.
• Haftung & Schaden: Klare Regelung wer für Geräteschaden, Datenverlust, Daten-Pannen haftet. Reisekrankenversicherung und Haftpflicht prüfen.
• Arbeitszeit & Erreichbarkeit: BYOD ≠ 24/7-Bereitschaft. Klare Regelung der Erreichbarkeit ausserhalb der Arbeitszeit (ArG).
• revDSG-Information: Welche Daten werden durch das MDM/MAM verarbeitet, Aufbewahrungsdauer, Lösch-Recht.

• „BYOD läuft schon, ohne Probleme“: Bis zur ersten Datenpanne. revDSG-Meldepflicht (72h) trifft auch BYOD-Pannen. Pflicht: schriftliche Vereinbarung jetzt.
• Volles MDM auf Privatgerät: Übergriff in Persönlichkeitsrecht. Pflicht: MAM für BYOD, MDM nur für Firmen-Geräte.
• Keine Entschädigung gezahlt: OR-327a-Verletzung. Mitarbeitender kann Pauschale rückwirkend einklagen.
• Offboarding ohne Corporate Wipe: Firmen-Daten bleiben auf privatem Gerät. Pflicht: Wipe protokolliert, IT-Ticket geschlossen.
• Kein Conditional Access: Veraltete Geräte greifen weiterhin auf M365 zu. Pflicht: Conditional Access mit Geräte-Compliance-Anforderung.
• Quellensteuer vergessen: Hohe BYOD-Pauschalen ohne Spesenreglement → Lohnnachweis-Risiko. ESTV-Spesenreglement schreiben.
• Familienmitglieder nutzen Gerät: PIN zu schwach, Kinder „spielen“. Pflicht: BYOD-Vereinbarung schliesst geteilte Nutzung aus.
• Mitarbeiter-Schulung fehlt: BYOD-Risiken (Public-WLAN, Phishing, Lost-Device) nicht thematisiert. Pflicht: Awareness-Training auch für BYOD.