Phishing-Simulation & Betriebsrat: DSGVO-konform

Inhalt in Kürze

• Eine Phishing-Simulation ist nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig — der Betriebsrat muss vor der Einführung beteiligt werden.
• Für das Mitbestimmungsrecht genügt die objektive Eignung zur Überwachung; eine tatsächliche Auswertung der Klicks ist nicht erforderlich (ständige BAG-Rechtsprechung).
• DSGVO-konform heißt: Klickraten nur aggregiert und anonymisiert auf Abteilungsebene — kein personenbezogener Pranger, keine arbeitsrechtlichen Folgen aus Einzelklicks.
• Eine Betriebsvereinbarung regelt Zweck, Datenarten, Auswertung und Löschfristen und dient zugleich als datenschutzrechtliche Grundlage.

Sie wollen Ihre Mitarbeiter gegen Phishing testen — und plötzlich liegt das Projekt beim Betriebsrat fest. Wer eine Phishing-Simulation ohne dessen Beteiligung startet, riskiert, dass die gesammelten Daten rechtswidrig sind. Dieser Beitrag zeigt, wie Sie es richtig aufsetzen.

Warum die Phishing-Simulation mitbestimmungspflichtig ist

Eine Phishing-Simulation verschickt simulierte Phishing-E-Mails an die Belegschaft und protokolliert pro Mitarbeiter, wer eine Test-Mail öffnet, wer auf den Link klickt, wer Zugangsdaten eingibt und wer die Mail meldet. Genau das macht sie zu einer technischen Einrichtung im Sinne von § 87 Abs. 1 Nr. 6 BetrVG — also einer Einrichtung, die „dazu bestimmt ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen” (Gesetzestext bei gesetze-im-internet.de).

Solche simulierten Phishing-Kampagnen ahmen reale Angriffe per Social Engineering nach, ohne echten Schaden anzurichten. Wer klickt, landet auf einer harmlosen Lernseite statt bei einem Angreifer. Eine einzelne Kampagne kann nicht ausreichen: Erst regelmässig wiederholte Phishing-Simulationen lassen die Klickrate nachhaltig sinken. Je weniger Beschäftigte auf eine Test-Mail klicken, desto stärker minimiert sich das Risiko, dass ein echter Angriff erfolgreich ist. Dann ist das richtige Verhalten im Team etabliert.

Entscheidend: Das Bundesarbeitsgericht stellt in ständiger Rechtsprechung darauf ab, dass das System objektiv zur Überwachung geeignet ist. Ob Sie die Einzeldaten am Ende auswerten oder nicht, spielt keine Rolle. Schon die Eignung löst das Mitbestimmungsrecht aus.

Das Mitbestimmungsrecht ist zwingend. Sie können es nicht durch eine interne Richtlinie oder eine Mitarbeiter-Einwilligung umgehen. In der Praxis wird die Einführung in einer Betriebsvereinbarung geregelt.

Lesetipp: Dieses Thema behandelt unser kostenloses E-Book „CYBER-SICHER — Der IT-Sicherheits-Guide für den deutschen Mittelstand” (47 Seiten). Jetzt herunterladen →

So machen Sie die Phishing-Simulation DSGVO-konform

Mitbestimmung und Datenschutz greifen ineinander. Die DSGVO verlangt Zweckbindung, Datensparsamkeit und Transparenz (Art. 5 DSGVO bei dsgvo-gesetz.de). Übersetzt auf die Phishing-Simulation heißt das:

• Aggregierte Auswertung. Berichte an die Geschäftsführung zeigen Klickraten nur pro Abteilung, Szenario oder im Zeitverlauf — nicht namentlich.
• Kein Pranger. Wer geklickt hat, wird nicht öffentlich gemacht. Individuelle Ergebnisse bleiben beim Beschäftigten selbst und ggf. dem Security-Team in engem Rahmen.
• Zweckbindung. Die Daten dienen ausschließlich der Verbesserung der Security Awareness, nicht der Leistungs- oder Verhaltenskontrolle.
• Datensparsamkeit. Erhoben wird nur, was für den Lerneffekt nötig ist.
• Klare Löschfristen. Ergebnisse werden nach einer definierten Frist gelöscht, nicht dauerhaft gespeichert.
• Transparenz. Die Belegschaft wird über Zweck, Ablauf und Auswertung informiert — vorab und verständlich.

Der wichtigste Grundsatz: Aus einem einzelnen Klick dürfen keine arbeitsrechtlichen Konsequenzen folgen. Keine Abmahnung, keine Kündigung, keine Auswirkung auf Beurteilung oder Beförderung. Wer einen Mitarbeiter abmahnt, weil er auf eine Test-Mail geklickt hat, beschädigt nicht nur das Vertrauen, sondern auch die Rechtsgrundlage der ganzen Maßnahme.

Was in die Betriebsvereinbarung gehört

Die Betriebsvereinbarung ist Ihr zentrales Dokument. Sie schafft Rechtssicherheit und dient zugleich als datenschutzrechtliche Erlaubnisnorm. Diese Punkte sollten enthalten sein:

1. Zweck: Verbesserung der Security Awareness und Erfüllung gesetzlicher Pflichten (z. B. DSGVO Art. 32, NIS2) — ausdrücklich kein Leistungs- oder Verhaltensmonitoring.
2. Datenarten: Welche Daten erfasst werden (Öffnung, Klick, Dateneingabe, Meldung) und in welcher Form.
3. Anonymisierung: Auswertung nur aggregiert auf Abteilungs- oder Unternehmensebene.
4. Keine Sanktionen: Ausdrücklicher Ausschluss arbeitsrechtlicher Konsequenzen aus Einzelergebnissen.
5. Zugriff: Wer welche Auswertungen sieht (Security-Team vs. Geschäftsführung).
6. Fristen: Speicher- und Löschfristen für die Ergebnisse.
7. Information: Wie die Belegschaft vorab informiert wird.

Existiert in Ihrem Unternehmen kein Betriebsrat, entfällt die Mitbestimmung. Die DSGVO-Pflichten bleiben jedoch bestehen: Zweckbindung, Transparenz und Datensparsamkeit gelten unabhängig von der Mitbestimmung.

Aus der Praxis

Phishing ist kein theoretisches Risiko. Genau deshalb braucht eine Simulation ein sauberes Fundament — sonst testen Sie zwar, dürfen die Ergebnisse aber nicht nutzen.

Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner – trotzdem war es ein Angriff.

Nils OehmichenDatenschutzberater bei frag.hugo

Solche Fälle zeigen: Es geht nicht darum, einzelne Mitarbeiter zu überführen. Es geht darum, die gesamte Belegschaft gegen einen Angriffstyp zu sensibilisieren, der selbst erfahrene Geschäftsführer trifft. Jeder Mitarbeitende lernt aus einer simulierten Test-Mail mehr als aus einer Pflichtfolie — und genau deshalb wirken regelmässige Simulationen so gut. Wer mehr Anbieter vergleichen will, findet eine Übersicht in unserem Phishing-Simulations-Tool-Vergleich für KMU.

Fazit: Erst Beteiligung, dann Simulation

Die Reihenfolge entscheidet. Erst den Betriebsrat beteiligen und die Betriebsvereinbarung schließen, dann anonymisiert testen. So bleibt die Maßnahme rechtssicher — und liefert Nachweise, die in einem Audit Bestand haben. Wie Sie diese Nachweise dokumentieren, lesen Sie unter Schulungsnachweis für den Datenschutz-Audit. Wer den Datenschutz insgesamt strukturieren möchte, findet im externen Datenschutzbeauftragten von Hugo DSB den passenden Rahmen.

Häufige Fragen (FAQ)

Ist eine Phishing-Simulation mitbestimmungspflichtig?

Ja. Eine Phishing-Simulation ist eine technische Einrichtung im Sinne von § 87 Abs. 1 Nr. 6 BetrVG, weil sie pro Mitarbeiter erfasst, wer klickt, Daten eingibt oder meldet. Der Betriebsrat muss vor der Einführung beteiligt werden, sonst ist die Maßnahme rechtswidrig.

Muss der Betriebsrat einer Phishing-Simulation zustimmen?

Soweit ein Betriebsrat besteht, ja. Das Mitbestimmungsrecht aus § 87 BetrVG ist zwingend. Praktisch wird die Einführung in einer Betriebsvereinbarung geregelt, die Zweck, Auswertung und Datenschutz festlegt.

Wie wertet man eine Phishing-Simulation DSGVO-konform aus?

Klickraten werden nur aggregiert und anonymisiert auf Abteilungs- oder Unternehmensebene ausgewertet, nicht als personenbezogener Pranger. Einzelne Klicks dürfen keine arbeitsrechtlichen Folgen wie Abmahnungen oder Kündigungen auslösen.

Was gehört in eine Betriebsvereinbarung zur Phishing-Simulation?

Zweck (Security Awareness, kein Leistungsmonitoring), Datenarten, anonymisierte Auswertung, Ausschluss arbeitsrechtlicher Konsequenzen aus Einzelklicks, Zugriffsberechtigte sowie Speicher- und Löschfristen.

Braucht ein Unternehmen ohne Betriebsrat eine Betriebsvereinbarung?

Nein. Ohne Betriebsrat entfällt die Mitbestimmung. Die DSGVO-Anforderungen an Zweckbindung, Transparenz und Datensparsamkeit gelten trotzdem, ebenso die Pflicht zur Information der Beschäftigten.