Phishing-Simulationen sind ein wirksames Awareness-Werkzeug — wenn der rechtliche Rahmen passt. Mitbestimmung, Datenschutz und Mitarbeiter-Information werden in vielen Programmen unterschätzt.
Drei Pflicht-Schritte vor der ersten Simulation
- Mitbestimmung: Betriebsrat einbeziehen, sobald Verhaltens- oder Leistungsdaten erhoben werden (§ 87 Abs. 1 Nr. 6 BetrVG).
- Datenschutz: Verarbeitungs-Verzeichnis erweitern, Rechtsgrundlage prüfen (Art. 6 Abs. 1 lit. f DSGVO ist häufig tragfähig — bei klarer Interessensabwägung).
- Mitarbeiter-Information: Vorab kommunizieren, dass Phishing-Simulationen stattfinden — ohne konkrete Termine zu nennen.
Was nicht erlaubt ist
- Persönliche Auswertung mit Namensnennung in Reports
- Sanktionen für „Klicker“ — das verbrennt das Programm
- Pretexting-Anrufe ohne explizite Mitbestimmung
Was Best Practice ist
- Aggregierte Reports nach Abteilung — nicht nach Person
- Begleitende Awareness-Maßnahmen direkt nach dem Klick (z. B. 60-Sekunden-Lernmodul)
- Externe Begleitung durch DSB und ggf. Anwalt für Arbeitsrecht
Vorlagen im Download
Vorlage für die Betriebsvereinbarung, Vorlage für die DSGVO-Information an Mitarbeitende, Vorlage für die Aushangmail vor Programm-Start.