Doch gilt es bei der Einführung von Bring your own Device nicht nur gesetzliche Vorschriften zu beachten, sondern auch unternehmensinterne Regelungen zu definieren.
Schon vor der Einführung sollte, sofern vorhanden, der Betriebsrat in das Bring your own Device Projekt eingebunden werden. Nach der Zustimmung von diesem gilt es eine Betriebsvereinbarung zu verabschieden. In diesem sollten Aspekte bezüglich der Trennung von unternehmensinternen und privaten Daten, den Eigentumsverhältnissen und Richtlinien für den Verlust von Endgeräten beinhalten.
Da ein Mitarbeiter seinen privaten Rechner vermutlich nicht nur für dienstliche Zwecke nutzen wird, sondern dieser ebenso eventuell sogar von der gesamten Familie für private Zwecke verwendet werden wird. Daher gibt es also ein erhöhtes Risiko für Viren, Datenverlust und Zugriffen durch unternehmensfremde Personen. Daher sollten die privaten und Unternehmensdaten getrennt abgespeichert werden. Auch sollten Regelungen festgelegt werden, dass Unternehmensdaten nicht lokal, sondern beispielsweise in virtuellen Umgebungen oder webbasierten Speichern abgelegt oder zumindest vor Fremdeingriffen durch Verschlüsselung gesichert werden. Weiter muss es für das Unternehmen jederzeit möglich sein auf die Unternehmensdaten zuzugreifen.
Sollten dennoch Daten verloren gehen, sei es, weil Dateien verschwinden, oder das Endgerät verloren geht, müssen für die Haftung Vorschriften festgelegt und unterzeichnet werden. Im Falle eines Verlustes ist auch zu bedenken, dass der Arbeitnehmer schnellstmöglich ein Ersatzgerät benötigt, weshalb auch hierfür eine Regelung geschaffen werden sollte. Sollte ein Endgerät verschwinden muss es aus der Ferne möglich sein Unternehmensdaten zu löschen um diese vor Fremdeinwirkung zu schützen. Daher ist es wichtig, dass ein Arbeitnehmer unverzüglich den Verlust melden.
Ein weiterer Aspekt für den Regelungen festgehalten werden sollten sind die Eigentumsverhältnisse der Endgeräte. Es sollte, falls der Arbeitgeber die Anschaffung eines Gerätes unterstützt, festgelegt werden, was nach Beendigung des Arbeitsverhältnisses geschieht.
Neben den Pflichten müssen auch die Rechte niedergeschrieben werden. So muss es dem Arbeitgeber vorbehalten sein, dass er gegebenenfalls Monitoring Funktionen implementiert oder bestimmte Gerätefunktionen deaktivieren kann. Auf der anderen Seite hat der Mitarbeiter das Recht sein eigenes Endgerät privat in vollem Umfang zu nutzen und seine privaten Daten und E-Mails müssen sicher abgelegt sein vor Zugriffen durch den Arbeitgeber.