Phishing-Simulation rechtssicher: BetrVG, DSGVO, Betriebsrat

In Deutschland scheitert Phishing-Simulation selten an der Technik — sondern am Betriebsrat. Was in die Betriebsvereinbarung gehört, welche BR-Einwände vorhersehbar sind, und wie Sie die erste Kampagne durchziehen.

Phishing-Simulation rechtssicher: BetrVG, DSGVO und der Betriebsrat

Phishing-Simulationen sind in den letzten Jahren von einer Nischen-Methode zur Standardkomponente geworden. NIS2 Art. 21 Abs. 2 (g), § 75b SGB V KBV und praktisch jeder Cyberversicherer setzen dokumentierte Awareness-Arbeit voraus — und Phishing-Simulation ist die einzige Methode, die deren Wirksamkeit belastbar misst.

In Deutschland scheitert die Einführung aber regelmäßig am Betriebsrat. Nicht weil der BR gegen Sicherheit wäre — sondern weil Phishing-Simulation sauber dargestellt werden muss, um nicht als Mitarbeiterüberwachung wahrgenommen zu werden. Dieser Artikel zeigt, welche Rechtslage gilt, welche Betriebsvereinbarung zu empfehlen ist und wie Sie die häufigsten Einwände sachlich entkräften.

Die Rechtslage: BetrVG § 87 Abs. 1 Nr. 6

Phishing-Simulation löst in Deutschland zuverlässig Mitbestimmung aus. Die Rechtsgrundlage ist § 87 Abs. 1 Nr. 6 BetrVG: „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen".

Die Simulationsplattform erfüllt diesen Tatbestand, weil sie pro Nutzer:in protokolliert, wer geklickt hat, wer Zugangsdaten eingegeben hat, wer Anhänge geöffnet hat, wer die Mail gemeldet hat. Das ist individualisiertes Leistungsmonitoring im Sinne des BetrVG. Das Bundesarbeitsgericht hat wiederholt klargestellt, dass für die Auslösung der Mitbestimmung keine tatsächliche Auswertung erforderlich ist — es reicht die Eignung zur Auswertung.

Ohne Betriebsvereinbarung (oder bei Dienstvereinbarung im öffentlichen Dienst: ohne Dienstvereinbarung) ist eine Phishing-Simulation rechtswidrig. Der Betriebsrat kann die Einführung unterbinden, und bereits gesammelte Daten wären rechtswidrig erhoben.

Das ist keine Formalie. Die Duldung von „wir machen das mal ohne" kann für den Arbeitgeber bei einem Konflikt teuer werden.

Die DSGVO-Dimension: Was wird verarbeitet und durch wen

Jede Phishing-Simulation verarbeitet personenbezogene Daten: E-Mail-Adressen, Klick-Zeitpunkte, IP-Adressen, ggf. eingegebene Zugangsdaten. Die DSGVO-Rollen müssen geklärt sein.

Typischerweise sind Sie als Arbeitgeber Verantwortlicher im Sinne der DSGVO, der Plattformanbieter ist Auftragsverarbeiter. Ein AV-Vertrag nach Art. 28 DSGVO ist zwingend. In dem AVV muss geregelt sein:

  • Welche Daten verarbeitet werden

  • Wo sie gespeichert werden (EU-Bezug kritisch)

  • Wie lange aufbewahrt wird

  • Wer darauf zugreifen darf

  • Welche Sicherheitsmaßnahmen gelten

  • Wie Löschung und Rückgabe geregelt sind

Für US-Anbieter oder Anbieter mit US-Infrastruktur kommen Standardvertragsklauseln und ein dokumentiertes Transfer Impact Assessment hinzu. Das ist 2026 kein theoretisches Thema mehr — Datenschutzbehörden prüfen aktiv.

Rechtsgrundlage der Verarbeitung ist in aller Regel Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der IT-Sicherheit). Eine Einwilligung der Mitarbeitenden ist im Beschäftigungsverhältnis nicht sauber, weil die Freiwilligkeit regelmäßig fehlt.

Die Betriebsvereinbarung: Was unbedingt hineingehört

Eine tragfähige BV hat typisch acht bis zwölf Paragrafen. Die folgenden Punkte sind aus unserer Sicht nicht verhandelbar:

Zweckbestimmung. Explizit: Die Phishing-Simulation dient ausschließlich der Verbesserung der Sicherheits-Awareness und der Erfüllung gesetzlicher Pflichten (NIS2, § 75b/c SGB V, DSGVO). Sie dient nicht der Leistungs- oder Verhaltenskontrolle einzelner Mitarbeitender.

Nutzungsverbot für Personalmaßnahmen. Klare Festlegung: Ergebnisse aus der Simulation dürfen nicht Grundlage arbeitsrechtlicher Maßnahmen sein — nicht für Abmahnungen, nicht für Kündigungen, nicht für Beförderungsentscheidungen. Ohne dieses Verbot hätte der BR seinen zentralen Einwand.

Anonymisierung auf Auswertungsebene. Für Management-Reports werden Daten aggregiert (Klickrate pro Abteilung, Trend über die Zeit). Individuelle Ergebnisse sind nur für den/die Mitarbeitende:n selbst und für das Security-Team in engem Rahmen sichtbar.

Aufbewahrungsfristen. Rohdaten (wer hat wann geklickt) werden nach X Monaten gelöscht. Typische Praxis: 12-24 Monate für Trendanalyse, danach nur aggregierte Statistik.

Zugriffsberechtigungen. Wer im Unternehmen darf welche Auswertungen sehen? Typisch: Security-Team auf individueller Ebene mit klarer Begrenzung, Führungskräfte nur auf Team-Aggregaten ab 5+ Mitarbeitenden, HR gar nicht.

Transparenz gegenüber Mitarbeitenden. Einmal jährlich erhalten alle Mitarbeitenden eine Information, dass Phishing-Simulationen stattfinden, ohne Vorankündigung einzelner Kampagnen. Die Mitarbeitenden wissen also: Simulationen gibt es, aber nicht wann.

Evaluationsklausel. Die BV wird alle 24 Monate gemeinsam zwischen Arbeitgeber und BR evaluiert. Ergänzungen oder Änderungen werden im Konsens beschlossen.

Rechte der Mitarbeitenden. Jede:r Mitarbeitende hat das Recht, die eigenen Simulationsergebnisse einzusehen, und das Recht auf ergänzende Schulung ohne Nachteil.

Fünf häufige BR-Einwände und sachliche Antworten

„Das ist Mitarbeiterüberwachung."
Sachlich: Die Simulation erkennt, ob Phishing-Mails erkannt werden — nicht, ob Mitarbeitende produktiv arbeiten. Die BV mit explizitem Nutzungsverbot für Personalmaßnahmen neutralisiert den Vorwurf strukturell. Das Ziel ist klar: Die Belegschaft soll lernen, Angriffe zu erkennen.

„Das macht den Mitarbeitenden nur Angst."
Sachlich: Realistische Kampagnen ohne Blame-Kultur, verbunden mit sofortiger Lernressource (Landing Page mit Erklärung statt Schimpf-E-Mail), wirken deeskalierend. Studien aus den USA und Deutschland zeigen, dass Teams nach 12-18 Monaten Simulation die Angst vor echten Phishing-Mails abbauen — weil sie die Muster kennen.

„Wir haben keine Phishing-Probleme."
Sachlich: Unbemerktes Credential-Phishing ist der häufigste Initialvektor für Ransomware. Die Tatsache, dass keine Vorfälle bekannt sind, heißt nicht, dass es keine gibt. Und Versicherer prüfen ab 2025-2026 verstärkt dokumentierte Awareness-Arbeit als Voraussetzung für Deckung.

„Externe Anbieter bekommen unsere Daten."
Sachlich: Auftragsverarbeitung nach Art. 28 DSGVO, EU-Rechenzentren, pseudonymisierte Übermittlung wo immer möglich. Die Datenschutzfolgenabschätzung ist Teil des Projekts.

„Das ist zu teuer."
Sachlich: Gängige Marktpreise für deutsche Mittelstand-Anbieter liegen bei 2-5 € pro Mitarbeiter:in und Monat. Für ein Krankenhaus mit 1.000 Mitarbeitenden also 24.000-60.000 € pro Jahr. Ein einziger Ransomware-Vorfall kostet nach IBM-Zahlen im Gesundheitssektor im Schnitt 4,88 Mio. $.

Die erste Kampagne durchziehen

Sobald die BV unterschrieben ist, empfehlen wir folgendes Vorgehen für die erste Kampagne:

Woche 1-2: Baseline-Kampagne. Moderat schwierige Mail (z. B. gefakter Microsoft-Teams-Einladung), breite Zielgruppe. Zweck: Ist-Stand messen, realistische Click-Rate ermitteln. Typisch in deutschen Kliniken ohne Vortraining: 20-35 % Klick-Rate, 5-10 % Credential-Eingabe.

Woche 3-4: Erste Lernphase. Alle, die geklickt haben, erhalten automatisiert eine kurze Lernressource (Video 90 Sekunden, Quiz 2 Fragen). Niemand wird öffentlich bloßgestellt, niemand wird diszipliniert.

Monat 2-3: Differenzierte Kampagnen. Unterschiedliche Szenarien pro Funktionsgruppe (medizinisch vs. kaufmännisch vs. IT), steigende Schwierigkeit.

Monat 4: Erste Auswertung mit BR. Trends vorstellen, Maßnahmen ableiten (z. B. gezieltes Training für Abteilungen mit hoher Klick-Rate), gemeinsames Commitment für den weiteren Ausbau.

Nach 12 Monaten sollte die Click-Rate typisch unter 10 % liegen, die Report-Rate (also: wie viele melden den Phish aktiv?) über 30 %. Das ist eine Awareness-Kultur, die in einem Audit und bei der Versicherung belastbar ist.

Fazit

Phishing-Simulation scheitert in Deutschland selten an der Technik. Sie scheitert an Projekten, die ohne saubere rechtliche Grundlage starten und dann vom BR gestoppt werden — oder an BR-Verhandlungen, die ins Leere laufen, weil die Sicherheitsseite nicht präzise antworten kann.

Eine tragfähige BV ist kein Hindernis, sondern ein Beschleuniger: Sie schafft Vertrauen, klärt Erwartungen und ermöglicht die lange Laufzeit, die Awareness-Arbeit wirksam macht.

Bei Entropy CS haben wir mehrere BV-Templates für Kliniken und Pflegebetriebe, die als Ausgangsbasis für Verhandlungen funktionieren. Im kostenlosen Risk Assessment ist ein kurzer Blick auf Ihre BR-Landschaft Teil des Gesprächs — so wissen Sie vor Projektstart, mit welchem Aufwand zu rechnen ist.

Sie planen eine Phishing-Simulation? Unser kostenloses Risk Assessment nimmt 30 Minuten und liefert eine Einschätzung zu Regulatorik, BR-Vorarbeit und passendem Kampagnen-Format.

Weitere Beiträge

Alle Beiträge ansehen

Alle Beiträge ansehen

NIS2 für MVZ und Praxisnetzwerke: Pflichten, Schwellenwerte, Roadmap

NIS2 für MVZ und Praxisnetzwerke: Pflichten, Schwellenwerte, Roadmap
ransomware,-cybersecurity,-cyber,-security,-computer,-technology,-hacker,-intern - katielwhite91 (pixabay)

Ransomware in der Klinik: Notfallplan für 24h, 72h und 30 Tage
ransomware,-cybersecurity,-cyber,-security,-computer,-technology,-hacker,-intern - katielwhite91 (pixabay)

Ransomware in der Klinik: Notfallplan für 24h, 72h und 30 Tage
cyber-brain,-computer,-brain,-the-internet,-web3,-0,-blockchain,-cyber,-artifici - deltaworks (pixabay)

Awareness-Training und Vulnerability Management nach § 30 BSIG
cyber-brain,-computer,-brain,-the-internet,-web3,-0,-blockchain,-cyber,-artifici - deltaworks (pixabay)

Awareness-Training und Vulnerability Management nach § 30 BSIG