NIS-2-Gesetz beendet die BYOD-Freiheit

Neue IT-Sicherheitspflichten machen Geschäftsführer persönlich haftbar für Daten auf privaten Geräten. Verträge müssen dringend um Containerisierungsklauseln ergänzt werden.

Ab sofort wird der private Smartphone-Einsatz für Arbeitgeber zum Haftungsrisiko. Grund sind die verschärften IT-Sicherheitspflichten des NIS-2-Umsetzungsgesetzes und das neue Meldeportal des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Die Ära des digitalen „Wilden Westens“ ist vorbei

Was jahrelang gängige Praxis in deutschen Büros war, ist seit diesem Freitag ein gefährlicher Compliance-Verstoß: Mitarbeiter nutzen private Smartphones für geschäftliche E-Mails oder Teams-Chats. Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) trat bereits am 6. Dezember 2025 in Kraft. Ab dem 6. Januar 2026 müssen Unternehmen schwere IT-Sicherheitsvorfälle über ein neues BSI-Portal melden. Die Toleranz für ungesicherte Privatgeräte ist damit Geschichte.

„Die Zeit von ‚Installier doch einfach Outlook auf deinem iPhone‘ ist für kritische Sektoren rechtlich beendet“, stellt ein Berliner Fachanwalt für Arbeitsrecht klar. „Ein ungesichertes Privatgerät ist jetzt nicht mehr nur ein Datenschutzproblem – es kann die persönliche Haftung der Geschäftsführung auslösen.“

Private Handys als Risiko für die Geschäftsleitung

Die größte Neuerung 2026 ist die ausgeweitete Cybersicherheits-Haftung. Das umgesetzte EU-Recht macht Geschäftsführer persönlich haftbar, wenn sie keine „Stand der Technik“-Sicherheitsmaßnahmen umsetzen. Das betrifft eine stark erweiterte Liste von Unternehmen, darunter viele Zulieferer, die sich bisher nicht als „kritische Infrastruktur“ sahen.

Passend zum Thema Compliance: Haben Ihre Arbeitsverträge schon die nötigen Klauseln für BYOD, Remote‑Wipe und Haftungsfreistellungen? Der kostenlose E‑Book-Guide „Der Arbeitsvertrag“ liefert 19 fertige Musterformulierungen, praxisnahe Formulierungen für MDM‑ und Containerpflichten sowie Checklisten für die Umsetzung. Personaler und Führungskräfte können die Vorlagen sofort übernehmen, um Bußgelder und persönliche Haftungsrisiken zu minimieren. 19 Muster für rechtssichere Arbeitsverträge herunterladen

Wird das private Gerät eines Mitarbeiters kompromittiert – etwa durch eine schadhafte private App – und hat dieses Zugang zum Firmennetzwerk, liegt ein meldepflichtiger Sicherheitsvorfall vor. Die neuen Regeln sind streng:
* Enge Meldefristen: Unternehmen müssen eine „Frühwarnung“ an das BSI innerhalb von 24 Stunden nach Kenntnisnahme abgeben.
* Kein Schutz durch „Privatsphäre“: Das Argument, ein Gerät sei „privat“, befreit das Unternehmen nicht von der Pflicht, die darauf gespeicherten Geschäftsdaten zu schützen.
* Drakonische Geldstrafen: Sanktionen können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes erreichen. Führungskräfte droht sogar ein Berufsverbot.

Rechtsexperten warnen: Standard-Arbeitsverträge aus dem Jahr 2024 oder früher enthalten mit großer Wahrscheinlichkeit nicht die Klauseln, um die von NIS-2 geforderten Sicherheitsprotokolle auf privater Hardware durchzusetzen.

„Container oder Verbot“ – der neue Vertragsstandard

Um Risiken zu mindern, ohne „Bring Your Own Device“ (BYOD) ganz zu verbieten, ergänzen Rechtsabteilungen Verträge nun mit Containerisierungsklauseln. Diese verschieben die Haftungsbalance zwischen Arbeitgeber und Arbeitnehmer grundlegend.

1. Die Pflicht zur strikten Trennung
Der neue Standard verlangt eine strenge technische Trennung von privaten und geschäftlichen Daten (Sandboxing). Mitarbeiter müssen vertraglich zustimmen, spezielle Mobile-Device-Management (MDM)-Software zu installieren und zu pflegen. „Der Vertrag muss klarstellen, dass Geschäftsdaten ausschließlich innerhalb der verwalteten Container-App verarbeitet werden dürfen“, erläutert ein IT-Rechtsexperte aus München. „Jede geschäftliche Kommunikation außerhalb dieses Containers – wie das Weiterleiten einer Kundendatei an einen privaten WhatsApp-Chat – muss als Pflichtverletzung definiert sein.“

2. Das „Remote-Wipe“-Dilemma
Einer der umstrittensten Punkte ist die Berechtigung zum Fernlöschen. Um NIS-2-Anforderungen zu genügen, müssen Arbeitgeber kompromittierte Daten sofort löschen können. Das Löschen des gesamten privaten Telefoninhalts verletzt jedoch Eigentumsrechte und das Telekommunikationsgesetz.
* Die Lösung: Neue Klauseln räumen dem Arbeitgeber das Recht ein, ausschließlich den geschäftlichen Container fernzulöschen. Der Vertrag muss regeln, dass der Mitarbeiter keinen Schadensersatzanspruch hat, wenn der Container aus Sicherheitsgründen gelöscht wird – sofern private Daten unberührt bleiben.

Haftungsfrage: Wer zahlt bei einem Datenleck?

Auch die Mitarbeiterhaftung wird neu justiert. Das deutsche Arbeitsrecht schützt Angestellte traditionell durch den „innerbetrieblichen Schadensausgleich“: Sie haften nur bei grober Fahrlässigkeit oder Vorsatz.

Die neue Compliance-Lage verschiebt jedoch die Definition von grober Fahrlässigkeit. Umgeht ein Mitarbeiter aktiv Sicherheitsvorkehrungen – etwa durch „Jailbreaking“ des Geräts, um nicht autorisierte Apps zu installieren und den MDM-Container unwirksam zu machen – könnten Gerichte dies zunehmend als grobe Fahrlässigkeit werten.

Wichtige Vertragsergänzungen für Januar 2026:
* Modifikationsverbot: Ausdrückliches Verbot des Rootens oder Jailbreakens von dienstlich genutzten Geräten.
* Update-Pflicht: Verpflichtung, Betriebssystem-Updates innerhalb von 3 Tagen nach Veröffentlichung zu installieren (entscheidend für NIS-2-Compliance).
* Freistellungsklauseln: Umstritten, aber im Umlauf sind Klauseln, die Mitarbeiter für NIS-2-Geldstrafen haftbar machen sollen, wenn der Verstoß auf eine vorsätzliche Verletzung der BYOD-Richtlinien zurückgeht. Die Durchsetzbarkeit solcher Klauseln muss die Gerichtspraxis erst zeigen.

Das Beschäftigtendatengesetz: Die nächste Hürde

Während NIS-2 das akute Problem ist, muss die Personalabteilung bereits das Beschäftigtendatengesetz im Blick behalten. Der Ende 2024 vorgelegte Entwurf wird im Januar ein großes Thema im Bundestag sein.

Die geplante Regelung will die Überwachung von Mitarbeiterleistung und -verhalten kodifizieren. Für BYOD bedeutet das eine weitere Komplexitätsschicht: Arbeitgeber müssen nachweisen, dass ihre MDM-Tools nicht unbeabsichtigt die private Nutzung der Mitarbeiter erfassen (z.B. Standorttracking außerhalb der Arbeitszeit).

„Transparenz ist die Währung des Jahres 2026“, sagt ein Datenschutzbeauftragter eines DAX-Konzerns. „Ihre BYOD-Vereinbarung muss exakt auflisten, welche Daten das Unternehmen einsehen kann (Gerätestatus, OS-Version) und welche nicht (private Fotos, Browserverlauf). Ohne diese Transparenz könnte die gesamte Vereinbarung unwirksam sein.“

Ausblick: Sofortiges Handeln ist erforderlich

Die Schonfrist für digitale Compliance ist abgelaufen. Da das BSI-Meldeportal am 6. Januar live geht, bleiben Unternehmen nur noch wenige Tage, um ihre Meldeketten zu überprüfen – einschließlich derjenigen, die zu privaten Mitarbeitergeräten reichen.

Handlungsplan für Personal und Rechtsabteilung:
1. BYOD-Nutzung auditieren: Alle privaten Geräte mit Zugang zu Unternehmensdaten identifizieren.
2. Vereinbarungen aktualisieren: Loose „Nutzungsrichtlinien“ durch verbindliche Zusatzvereinbarungen ersetzen, die NIS-2-Anforderungen adressieren.
3. Technische Kontrollen durchsetzen: Kann ein Gerät die erforderliche Container-Software nicht ausführen, muss der Zugang sofort gesperrt werden.

Die Botschaft für Arbeitgeber ist klar: Wenn Sie die Daten auf dem Gerät nicht kontrollieren können, dürfen Sie das Gerät nicht in Ihrem Netzwerk zulassen.

PS: Noch unsicher, wie Sie Fernlöschrechte, Update‑Pflichten und Freistellungsklauseln rechtssicher regeln, ohne Mitarbeiterrechte zu verletzen? Das kostenlose E‑Book bietet fertige Vertragsbausteine, praktische Formulierungsvorschläge und erklärende Hinweise zur Durchsetzbarkeit vor Gericht. Ideal für Personalabteilungen, die NIS‑2-Anforderungen schnell umsetzen und Haftungsrisiken der Geschäftsführung mindern wollen. Jetzt kostenloses Arbeitsvertrag-E-Book sichern