Zurück zum Blog

Betriebsrat-Zustimmung für Phishing-Simulationen: Checkliste für IT- und Security-Teams

Praktische Vorbereitung für die Abstimmung mit Betriebsrat, Datenschutz, HR und Legal.

Von Autophish Team|Veröffentlicht am 7/17/2026
Cover image for Betriebsrat-Zustimmung für Phishing-Simulationen: Checkliste für IT- und Security-Teams

Diese Checkliste hilft IT- und Security-Teams, eine Phishing-Simulation strukturiert für die Abstimmung mit Betriebsrat, Datenschutz, HR und Legal vorzubereiten. Sie ist keine Rechtsberatung und ersetzt keine Prüfung durch die zuständigen internen oder externen Stellen.

Das Wichtigste zuerst

Die Zustimmung wird wahrscheinlicher, wenn die Simulation als Lern- und Schutzmaßnahme geplant ist, nicht als verdeckte Leistungs- oder Verhaltenskontrolle. Ein gutes Zustimmungspaket erklärt Ziel, Umfang, Datenverarbeitung, Reporting, Kommunikation, Aufbewahrung und Schutzmaßnahmen so konkret, dass offene Fragen vor dem Start geklärt werden können.

Wann der Betriebsrat früh eingebunden werden sollte

Der Betriebsrat sollte nicht erst kurz vor dem Kampagnenstart informiert werden. Frühzeitige Einbindung ist besonders wichtig, wenn eine oder mehrere dieser Fragen mit "ja" beantwortet werden:

  • Werden einzelne Beschäftigte in der Simulation erfasst oder ausgewertet?
  • Gibt es Reports mit personenbezogenen Ergebnissen, Klicks, Meldungen oder Trainingsstatus?
  • Werden Ergebnisse an Führungskräfte, HR oder andere Stellen weitergegeben?
  • Soll die Simulation regelmäßig wiederholt werden?
  • Werden externe Dienstleister oder Cloud-Systeme eingesetzt?
  • Gibt es Folgeprozesse wie Nachschulung, Reminder oder Eskalationen?

Zustimmungspaket: Inhalte, die vorbereitet sein sollten

1. Ziel und Nutzen

Beschreiben Sie den Zweck der Maßnahme in einem Satz: Die Simulation soll Mitarbeitende für reale Phishing-Risiken sensibilisieren, Meldewege trainieren und die Sicherheitskultur verbessern.

Gute Formulierungen vermeiden Druck und Schuldzuweisung. Besser: "Lernen und Melden stärken." Schlechter: "Fehlverhalten identifizieren."

2. Umfang der Simulation

Dokumentieren Sie, wer teilnimmt und was genau simuliert wird:

  • betroffene Standorte, Abteilungen oder Gruppen
  • geplanter Zeitraum und Häufigkeit
  • Kanal der Simulation, zum Beispiel E-Mail, SMS oder QR-Code
  • Schwierigkeitsgrad und typische Szenarien
  • Ausschlüsse, etwa besonders sensible Rollen oder laufende interne Ausnahmesituationen

3. Datenkategorien

Listen Sie nur die Daten auf, die wirklich benötigt werden. Typische Kategorien können sein:

  • geschäftliche E-Mail-Adresse oder Nutzerkennung
  • Kampagnenzuordnung
  • Zustellung, Öffnung, Klick, Formularinteraktion
  • Meldung über den vorgesehenen Meldekanal
  • Trainingsstatus, falls eine Lernsequenz angeschlossen ist

Prüfen Sie, ob bestimmte Daten entfallen können. Für viele Programme reichen aggregierte Auswertungen, Trenddaten und anonyme Lernindikatoren.

4. Reporting und Anonymisierung

Definieren Sie vorab, wer welche Auswertung sieht. Ein privacy-freundliches Modell kann so aussehen:

  • Security-Team: operative Kampagnenmetriken und technische Zustellinformationen
  • Management: aggregierte Trends, Risikobereiche und Verbesserungen
  • Führungskräfte: keine personenbezogenen Ranglisten
  • HR: keine Nutzung für Disziplinarmaßnahmen
  • Betriebsrat und Datenschutz: vereinbarte Kontroll- oder Review-Informationen

Vermeiden Sie Pranger-Mechaniken, individuelle Rankings und dauerhafte personenbezogene Vergleichslisten. Wenn personenbezogene Auswertungen nötig sind, sollten Zweck, Zugriff, Frist und Löschung eng begrenzt sein.

Wenn der Betriebsrat besonders auf personenbezogene Auswertungen achtet, ist der anonyme Modus ein guter Diskussionspunkt: Die AutoPhish-Anonymisierung zeigt, wie E-Mail-Adressen in Kampagnen und Reports maskiert werden können, während aggregierte Sicherheitskennzahlen erhalten bleiben.

5. Kommunikation an Mitarbeitende

Ein Kommunikationsplan senkt Reibung. Klären Sie:

  • Werden Mitarbeitende vorab allgemein informiert?
  • Wie wird erklärt, dass die Maßnahme ein Lernprogramm ist?
  • Welche Meldewege sollen genutzt werden?
  • Was passiert nach einem Klick oder einer Meldung?
  • Welche Unterstützung erhalten Teilnehmende nach der Simulation?

Die Kommunikation sollte positiv und klar sein: Es geht um Erkennen, Melden und Lernen, nicht um Bloßstellung.

6. Aufbewahrung und Löschung

Legen Sie klare Fristen fest:

  • Rohdaten nur so lange wie für Kampagnenauswertung und Support nötig
  • aggregierte Reports länger, wenn sie für Sicherheitssteuerung oder Audit-Nachweise gebraucht werden
  • personenbezogene Detaildaten mit kurzer, begründeter Aufbewahrung
  • Lösch- oder Anonymisierungszeitpunkt dokumentiert

7. Rollen und Verantwortlichkeiten

Benennen Sie die internen Verantwortlichen:

  • fachlicher Owner für Security Awareness
  • Datenschutzansprechpartner
  • Betriebsratskontakt
  • technischer Administrator
  • externer Dienstleister, falls eingesetzt
  • Ansprechpartner für Rückfragen von Mitarbeitenden

8. Technische und organisatorische Schutzmaßnahmen

Das Paket sollte auch Schutzmaßnahmen enthalten:

  • Zugriffsbeschränkung auf Kampagnen- und Reportdaten
  • rollenbasierte Rechte
  • sichere Verarbeitung und Übertragung
  • Mandanten- und Kundentrennung beim Dienstleister
  • Protokollierung administrativer Zugriffe
  • Auftragsverarbeitung und Datenschutzdokumentation, falls relevant

Freigabefragen für die Abstimmung

Diese Fragen eignen sich als Agenda für die Freigaberunde:

  • Welches konkrete Sicherheitsziel verfolgt die Simulation?
  • Welche Daten sind wirklich erforderlich?
  • Welche Reports werden erstellt und wer erhält sie?
  • Werden Einzelpersonen identifizierbar ausgewertet?
  • Wie wird verhindert, dass Ergebnisse für Leistungs- oder Disziplinarzwecke genutzt werden?
  • Wie lange werden Detaildaten aufbewahrt?
  • Wie werden Mitarbeitende informiert und unterstützt?
  • Welche Review-Schleife gibt es nach der ersten Kampagne?

Wie AutoPhish dabei unterstützen kann

AutoPhish kann als Plattform helfen, solche Programme kontrolliert umzusetzen:

  • strukturierte Kampagnenplanung
  • klare Auswertung von Meldungen, Klicks und Lernfortschritt
  • anonyme Reports ohne sichtbare individuelle E-Mail-Adressen, wenn der anonyme Modus aktiviert ist
  • Reporting für Security-Teams und Management
  • kontrollierbare Kommunikations- und Lernbausteine
  • Nachweise für Awareness- und Verbesserungsprogramme

Die konkrete Ausgestaltung von Reporting, Rollen, Aufbewahrung und Kommunikation sollte immer zur internen Betriebsvereinbarung und Datenschutzprüfung passen. Details zur technischen Ausgestaltung finden Sie auf der Seite zur AutoPhish-Anonymisierung.

Häufige Fragen

Braucht jede Phishing-Simulation eine Betriebsratszustimmung?

Das hängt von der konkreten Ausgestaltung, den eingesetzten Systemen und der internen Rechtslage ab. Sobald Verhalten oder Leistung von Beschäftigten technisch erfasst oder ausgewertet werden kann, sollte der Betriebsrat früh eingebunden werden.

Sollte vorab angekündigt werden, dass simuliert wird?

Viele Organisationen informieren allgemein über das Awareness-Programm, ohne jedes konkrete Szenario anzukündigen. Wichtig ist, dass Ziel, Meldewege und Umgang mit Ergebnissen transparent geregelt sind.

Sind personenbezogene Reports nötig?

Nicht immer. Für viele Steuerungszwecke reichen aggregierte Kennzahlen und Trenddaten. Wenn personenbezogene Daten genutzt werden, sollten Zweck, Zugriff und Löschung eng begrenzt und dokumentiert sein.

Was ist ein gutes Ergebnis der Abstimmung?

Ein gutes Ergebnis ist eine klare, nachvollziehbare Vereinbarung: Lernziel, Umfang, Datenschutz, Reporting, Kommunikation und Review sind geregelt, bevor die erste Kampagne startet.

Weiterführende interne Inhalte


Starte deinen ersten Phishing-Test in 10 Minuten.

Kostenlose Anmeldung — keine Kreditkarte. Probiere Pro 7 Tage gratis, wenn du so weit bist.