Zurück zum Blog

Datenschutzgerechtes Phishing-Training: Betriebsräte, Einwilligungen und GDPR-Grundlagen

Wie man ein Programm entwickelt, das effektiv *und* arbeitnehmerfreundlich ist: Anonymisierungsoptionen, Datenspeicherung und klare Hinweise

Von Autophish Team|Veröffentlicht am 8/24/2025
Cover image for Datenschutzgerechtes Phishing-Training: Betriebsräte, Einwilligungen und GDPR-Grundlagen

⚖️ Dieser Artikel ist eine allgemeine Information - für spezifische Entscheidungen, die dein Unternehmen betreffen, wende dich an einen qualifizierten Anwalt in deinem Land.

TL;DR

Du kannst in der EU wirkungsvolle Phishing-Simulationen durchführen, ohne deine Mitarbeiter zu verärgern oder eine Nichteinhaltung der Vorschriften zu riskieren:

  1. berechtigte Interessen (nicht Zustimmung) als primäre Rechtsgrundlage verwendest und eine Abwägungsprüfung dokumentierst;
  2. die Betriebsräte frühzeitig einbeziehen und bei Bedarf Leitplanken in einer Betriebsvereinbarung festschreiben;
  3. priorisierung von Anonymisierung/Pseudonymisierung, kurzer Speicherung und transparenten Hinweisen; und
  4. durchführung einer Datenschutzfolgenabschätzung, wenn der Kontext auf ein hohes Risiko hindeutet (z.B. systematische Überwachung).

1) Rechtsgrundlage: Warum berechtigte Interessen in der Regel über der Einwilligung stehen

Im Beschäftigungskontext wird die Einwilligung aufgrund des Machtungleichgewichts zwischen Arbeitgeber und Arbeitnehmer nur selten freiwillig erteilt. Die Leitlinien 05/2020 zur Einwilligung des Europäischen Datenschutzausschusses betonen, dass die Einwilligung des Arbeitnehmers nur in Ausnahmefällen gültig ist, ohne dass die Verweigerung nachteilige Folgen hat. Für Phishing-Simulationen ist es besser, sich auf Artikel 6 Absatz 1 Buchstabe f) legitime Interessen zu berufen und dies mit einer Bewertung der legitimen Interessen (LIA) zu dokumentieren, die deine Sicherheitsbedürfnisse mit den Rechten und Erwartungen der Beschäftigten abwägt.

Gute Praxis für die LIA

  • Definiere das Interesse (Sicherheitsbewusstsein; Betrugsprävention).
  • Lege die angemessenen Erwartungen der Beschäftigten fest (Schulungen sind normal, verdecktes Profiling ist es nicht).
  • Nenne Abhilfemaßnahmen (siehe Abschnitte 3-5).
  • Halte fest, warum eine Zustimmung in deinem Kontext unangemessen wäre.

Referenzen: EDPB Guidelines 05/2020 on Consent; GDPR Erwägungsgrund 47 (vernünftige Erwartungen).

2) Betriebsräte: Deutschland und Österreich im Fokus

Wenn du in Ländern mit starker Mitbestimmung tätig bist, solltest du den Betriebsrat vor der Einführung einbeziehen.

  • Deutschland (BetrVG §87(1) Nr. 6): Der Betriebsrat bestimmt mit über die "Einführung und Verwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung von Arbeitnehmern zu überwachen. " Selbst einfache Dashboards können dies auslösen, daher ist eine Betriebsvereinbarung (Betriebsvereinbarung), die den Umfang, die Datenverarbeitung und die Schutzmaßnahmen festlegt, gängige Praxis.
  • Österreich (ArbVG §96(1) Nr. 3): Überwachungsmaßnahmen und technische Systeme, die die Menschenwürde beeinträchtigen können, bedürfen der Zustimmung des Betriebsrats (oder der Einzelzustimmung, wenn kein Betriebsrat besteht).

Was in die Vereinbarung/Betriebsrichtlinie aufgenommen werden sollte Zweck und Umfang, Rechtsgrundlage, minimale erfasste Daten, keine disziplinarische Verwendung der Messdaten allein, wer sieht was, Zeitplan für die Aufbewahrung und Anonymisierung, Lieferantenliste (Verarbeiter/Unterverarbeiter), Arbeitnehmerrechte und eine Klausel zur jährlichen Überprüfung.

Quellen: Deutschland-BetrVG §87(1) Nr. 6 (offizieller englischer Text); Analyse von Luther Law. Österreich-Eurofound Zusammenfassung von ArbVG §96(1) Nr. 3; Erläuterung von Schönherr.

3) Anonymisierung vs. Pseudonymisierung (und was das für Berichte bedeutet)

  • Anonymisierung (GDPR Erwägungsgrund 26): Sobald die Daten wirklich anonym sind, gilt die GDPR nicht mehr.
  • Pseudonymisierung (GDPR Art. 4(5)): Daten sind immer noch personenbezogen, wenn sie über separate Schlüssel wieder verknüpft werden können; behandle sie entsprechend.

Datenschutzorientiertes Berichtsmodell

  • Standardmäßig Aggregate nach Team/Standort.
  • Verwende stabile, zufällige IDs für Trendanalysen anstelle von Namen; halte den Schlüssel mit strenger Zugriffskontrolle getrennt.
  • Zeige individuelle Ergebnisse nur einer kleinen Gruppe (z.B. dem Verantwortlichen für Sicherheitsbewusstsein und der Personalabteilung) und nur, wenn es für ein gezieltes Coaching notwendig ist.
  • Erfasse niemals echte Passwörter; wenn ein/e Nutzer/in versucht, seine/ihre Anmeldedaten zu übermitteln, zeige eine Trainingsseite an und verwerfe jede Eingabe.

Ein praktisches Beispiel dafür, wie eine Plattform diese Konzepte umsetzt, findest du im Überblick über die Anonymisierung von AutoPhish: https://autophish.io/anonymization

4) Vorratsdatenspeicherung: kürzer ist sicherer (und vom Grundsatz her erforderlich)

Das Prinzip der Speicherbegrenzung der GDPR verlangt, dass personenbezogene Daten in identifizierbarer Form nicht länger als für den angegebenen Zweck notwendig aufbewahrt werden. Für Phishing-Programme verwenden viele KMU ein zweistufiges Fenster:

  • Betriebszeitfenster (z.B. 30-90 Tage): identifizierbare Daten, die für Coaching und Abhilfemaßnahmen zur Verfügung stehen.
  • Analysen nach der Kampagne: danach aggregieren/anonymisieren und nur nicht identifizierbare Trends für die langfristige Verfolgung von KPIs aufbewahren.

Dokumentiere dies in deinem Artikel 30-Verarbeitungsnachweis und in deinem Datenschutzhinweis für Arbeitnehmer.

5) Hinweise: Seien Sie transparent und klar verständlich (Art. 13)

Erstelle vor deiner ersten Kampagne eine kurze interne Mitteilung (oder aktualisiere deine Datenschutzrichtlinie für Mitarbeiter), in der du Folgendes erklärst: den Zweck (Sicherheitsbewusstsein), die rechtswidrige Grundlage (berechtigte Interessen), welche Daten du erhebst (z.B. E-Mail, Abteilung, Klick-/Berichtsereignisse), die Aufbewahrung, wer auf Daten auf individueller Ebene zugreifen kann (begrenzte Rollen), keine disziplinarische Verwendung einzelner Ereignisse, Beschäftigtenrechte (Zugang/Widerspruch) und einen Ansprechpartner (DSB oder Datenschutzbeauftragter).

Copy-Paste-Starter (an deinen Kontext anpassen)

Wir führen regelmäßig Phishing-Simulationen durch, um das Sicherheitsbewusstsein zu stärken und das Betrugsrisiko zu verringern. Wir verarbeiten deinen Namen, deine Arbeits-E-Mail, deine Abteilung und die Interaktionen mit der Simulation (z. B. geöffnet/gemeldet/eingereicht). Unsere rechtmäßige Grundlage sind legitime Interessen (GDPR Art. 6(1)(f)). Daten auf individueller Ebene sind nur für das Security Awareness Team sichtbar (und für die Personalabteilung, wenn dies für gezieltes Coaching erforderlich ist). Wir speichern identifizierbare Daten für [X Tage] und aggregieren/anonymisieren sie dann. Wir speichern niemals echte Passwörter. Du kannst deine Datenrechte (Zugriff/Widerspruch, etc.) über [Kontakt] ausüben. Siehe [Link zum vollständigen Datenschutzhinweis für Arbeitnehmer].

6) Brauchst du eine DPIA?

Eine Datenschutz-Folgenabschätzung (DPIA) ist erforderlich, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für den Einzelnen führt (Art. 35). Die Aufsichtsbehörden und der EDPB weisen darauf hin, dass Mitarbeiterkontrollen eine Datenschutz-Folgenabschätzung auslösen können - vor allem, wenn die Verarbeitung systematisch erfolgt oder schutzbedürftige Personen betroffen sind. Wenn dein Programm neue Tools, umfangreiche Messdaten oder grenzüberschreitende Übertragungen vorsieht, solltest du auf jeden Fall eine Datenschutzfolgenabschätzung durchführen.

Was ist zu beachten: Zweck/Notwendigkeit, Alternativen (weniger einschneidende Optionen), Datenflüsse, Risiken, Abhilfemaßnahmen (Anonymisierung, Minimierung, rollenbasierter Zugriff, kurze Aufbewahrung, No-Blame-Coaching) und ein Plan zur regelmäßigen Überprüfung.

7) Anbieter & internationale Übertragungen

Wenn du einen Plattformanbieter nutzt, bist du der Kontrolleur und er ist der Verarbeiter. Unterschreibe eine Datenverarbeitungsvereinbarung, die die Anforderungen von Artikel 28 erfüllt (Sicherheit, Kontrolle des Unterverarbeiters, Unterstützung bei den Datenrechten, Löschung am Ende des Dienstes). Wenn sich der Anbieter oder seine Unterauftragsverarbeiter außerhalb des EWR befinden, setze die Standardvertragsklauseln um und führe eine Risikobewertung für die Übertragung durch.

8) NIS2: Wenn du in den Anwendungsbereich fällst, ist die Schulung nicht mehr optional

Für Unternehmen, die unter die NIS2-Richtlinie fallen, muss die Geschäftsleitung die Maßnahmen zum Cybersecurity-Risikomanagement überwachen (Art. 20) und angemessene Schulungen und Prozesse für Zwischenfälle sicherstellen (Art. 21). Auch wenn du nicht in den Geltungsbereich der Richtlinie fällst, ist die Messlatte, die NIS2 setzt, ein nützlicher Anhaltspunkt für KMU.

9) Eine praktische, datenschutzfreundliche Architektur (die trotzdem funktioniert)

  • Daten in: Name, E-Mail, Team und Manager (optional). Keine persönlichen Emails; keine speziellen Kategorien.
  • Während der Kampagne: sammle nur Ereignisdaten (zugestellt, angeklickt, gemeldet, abgeschickt). Wenn ein Nutzer versucht, Anmeldedaten einzugeben, zeige eine Schulung an und erfasse keine Geheimnisse.
  • Zugangskontrolle: Das Awareness-Team kann Kohorten und anonymisierte IDs sehen
  • Aufbewahrung: 30-90 Tage für identifizierte Daten → automatische Anonymisierung; Aggregate für Jahrestrends aufbewahren.
  • Outputs: Der Bericht zeigt Raten und Trends, keine Namen.
  • Verwaltung: LIA + (falls erforderlich) DPIA in den Akten; Artikel 30 Register aktualisiert; Betriebsvereinbarung genehmigt.

Abschließende Gedanken

Datenschutzfreundliche Phishing-Schulungen sind kein Widerspruch. Mit der richtigen Rechtsgrundlage, einer echten Arbeitnehmervertretung und technischen Leitplanken wie Anonymisierung und kurzer Vorratsspeicherung kann dein Programm die Menschen und ihre Daten schützen und gleichzeitig das Risiko messbar verringern. Hol dir im Zweifelsfall eine auf deinen Sachverhalt zugeschnittene Rechtsberatung.

Rechtliche Hinweise (Deutschland & Österreich)

Weitere Lektüre

Zurück zu allen Beiträgen

Bereit, deine menschliche Firewall zu stärken?

Melde dich an und starte deine erste Phishing-Simulation in wenigen Minuten.

Jetzt Simulation startenKontakt aufnehmen