Auch aus datenschutzrechtlicher Sicht kann es zu Schwierigkeiten bei Bring your own Device kommen. Anforderungen an den Datenschutz gibt es in Bezug auf die Zugriffskontrolle auf Unternehmensdaten, sowie im Umgang mit privaten Daten.
Daher muss aus datenschutzrechtlicher Sicht bei der Verarbeitung von Daten der Nutzer erfasst werden aufgrund von Vorschriften zu technischen und organisatorischen Maßnahmen, auf der anderen Seite jedoch ist der Arbeitgeber nicht berechtigt die bei der privaten Nutzung angefallenen personenbezogenen Daten zu kontrollieren. Denn grundsätzlich setzt die Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis voraus. Beide gelten nur für das jeweilige Unternehmen
Daher genießen private Daten, zu denen auch E-Mails gehören, besonderen Schutz aufgrund des Datenschutz- und Persönlichkeitsrechts. Die dienstliche Nutzung des Internets und das Versenden von privaten Mails kann vom Arbeitgeber unterbunden werden, entsprechend dem Fernmeldegesetz. Dies kann allerdings, sofern das Endgerät dem Nutzer gehört, nur für die dienstliche Nutzung untersagt werden. Falls es in dem Unternehmen einen Betriebs- oder Personalrat gibt muss dieser bei einer eventuellen Überprüfung einbezogen werden. Auch ist die Überprüfung von zeitbasierten Regelungen nur schwierig möglich aufgrund von meist flexiblen Arbeitszeiten. Ebenso ist es schwierig die Nutzung von sozialen Netzwerken auf Smartphones in privat und dienstlich zu unterteilen, da es häufig keine getrennten Accounts, wie beispielsweise bei E-Mails gibt.
Ein weiterer wichtiger Punkt ist der Datenverlust. Daher sollten sowohl Mitarbeiter Backups von privaten Daten als auch die Unternehmen Backups von dienstlichen Daten machen. Hierbei darf es zu keiner Vermischung der Daten kommen. Bei dem Einsatz von Datensynchronisierungs-Diensten sollte daher streng darauf geachtet werden, welche Daten gespeichert werden, damit nicht unternehmensinterne Daten auf externen Servern landen. Bestenfalls sollten daher keine unternehmensinternen Daten lokal auf dem Endgerät gespeichert sein, sondern nur in virtuellen oder webbasierten Anwendungen.
Daher kann man sich vorstellen, dass gerade Mitarbeiter die IT Strategie Bring your own Device gegenüberstehen. Sie befürchten, dass ihr Unternehmen oder gar Kollegen unberechtigten Zugriff auf ihre privaten Daten erhalten.