Betriebsrat & Mitbestimmung
Phishing-Simulation und Betriebsrat: der mitbestimmungskonforme Weg

Eine Phishing-Simulation ist in Deutschland selten ein technisches Problem. Wenn sie scheitert, dann an einem übergangenen Betriebsrat. Das ist kein Widerspruch zur Sicherheit, im Gegenteil: Der Betriebsrat schützt genau das, was eine gute Simulation ohnehin schützen sollte, nämlich die Persönlichkeitsrechte der Belegschaft. Dieser Artikel erklärt, warum die Mitbestimmung greift, an welchen vier Stellschrauben eine konforme Lösung hängt, was in eine Betriebsvereinbarung gehört und wie Sie den Betriebsrat früh und ohne Reibung einbinden. Ohne Rechtsberatung, mit Blick auf die Praxis.
Warum der Betriebsrat mitbestimmt
Rechtsgrundlage ist §87 Absatz 1 Nummer 6 BetrVG. Der Betriebsrat bestimmt mit bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen." Eine Phishing-Simulation erfüllt diesen Tatbestand, weil die Plattform je Nutzer:in erfassen kann, wer einen Link geöffnet, wer Zugangsdaten eingegeben, wer einen Anhang angeklickt und wer die Mail gemeldet hat. Das ist individualisierbares Verhalten, technisch aufgezeichnet.
Entscheidend ist ein Punkt, der oft missverstanden wird: Es kommt nicht darauf an, ob Sie die Daten tatsächlich auf einzelne Personen hin auswerten wollen. Nach ständiger Rechtsprechung des Bundesarbeitsgerichts genügt die objektive Eignung der Einrichtung zur Überwachung. Die bloße Möglichkeit, individuelles Verhalten sichtbar zu machen, löst die Mitbestimmung aus. Eine gute Absicht ersetzt die Beteiligung nicht.
Die Folge ist deutlich. Ohne eine Betriebsvereinbarung (im öffentlichen Dienst: eine Dienstvereinbarung) darf die Simulation nicht starten. Der Betriebsrat kann die Einführung unterbinden, und Daten, die ohne wirksame Grundlage erhoben wurden, unterliegen im Streitfall einem Verwertungsverbot. Wer die Beteiligung überspringt, riskiert also nicht nur Vertrauen, sondern die Maßnahme selbst.
Der Zweck der Mitbestimmung ist dabei nicht, Sicherheit zu verhindern. Er ist, eine Grenze zu ziehen zwischen einer Übung, die Menschen wach macht, und einem Werkzeug, das sie unter Beobachtungsdruck setzt. Genau diese Grenze lässt sich sauber definieren.
Die vier Stellschrauben
Ob eine Phishing-Simulation mitbestimmungskonform ist, entscheidet sich an vier Punkten. Es sind zugleich die Punkte, an denen jede Betriebsratsverhandlung hängt.
Anonymisierung
Verhaltensdaten werden von der Identität der Person entkoppelt. Für Auswertung und Reporting zählt, dass geklickt wurde, nicht wer geklickt hat. Personenbezogene Rohdaten, soweit sie technisch überhaupt anfallen, bleiben eng zugriffsbeschränkt und werden nach einer festgelegten Frist gelöscht.
Mindestgruppengröße
Ausgewertet wird nur in Gruppen ab fünf Beschäftigten. Unterhalb dieser Schwelle ließe sich aus einer Quote auf einzelne Personen zurückschließen. Kleinere Einheiten werden deshalb zusammengefasst oder gar nicht separat ausgewiesen. Fünf ist die in der Praxis übliche Untergrenze und die, auf die Wachr ausgelegt ist.
Zweckbindung
Die Simulation dient der Awareness und dem Nachweis gesetzlicher Pflichten, etwa nach NIS2. Sie dient nicht der Leistungs- oder Verhaltenskontrolle. Der wichtigste Satz jeder Betriebsvereinbarung ist deshalb das ausdrückliche Verbot, Ergebnisse für arbeitsrechtliche Maßnahmen zu nutzen: keine Abmahnung, keine Kündigung, keine Rolle bei Beurteilung oder Beförderung. Ein Klick ist ein Lernanlass, kein Personalvorgang.
Transparenz
Die Belegschaft weiß, dass Simulationen stattfinden, auch wenn sie den Zeitpunkt einzelner Kampagnen nicht kennt. Eine klare Information, in der Regel einmal jährlich und als Teil der Datenschutzhinweise, genügt. Transparenz über das Ob, nicht über das Wann: So bleibt die Übung realistisch und trotzdem fair.
Eine Phishing-Simulation misst, ob Angriffe erkannt werden, nicht, wie gut jemand arbeitet. Wer diesen Unterschied in der Betriebsvereinbarung festschreibt, nimmt dem stärksten Einwand des Betriebsrats die Grundlage.
Die Betriebsvereinbarung als Anker
Die vier Stellschrauben werden in einer Betriebsvereinbarung verbindlich. Sie ist der Anker des ganzen Projekts, und sie sollte vor der ersten Simulation unterschrieben sein. Was hineingehört, lässt sich auf wenige Bausteine bringen:
- Zweck und Gegenstand: Awareness und gesetzlicher Nachweis, ausdrücklich keine Leistungs- oder Verhaltenskontrolle.
- Nutzungsverbot: Ergebnisse begründen keine arbeitsrechtlichen Maßnahmen; darauf gestützte Maßnahmen sind unzulässig und unterliegen einem Verwertungsverbot.
- Auswertung: ausschließlich aggregiert, ab einer Mindestgruppengröße von fünf Beschäftigten.
- Zugriff: individuelle Ergebnisse nur für die betroffene Person und ein eng begrenztes Security-Team, keine Weitergabe an Führungskräfte oder die Personalabteilung.
- Aufbewahrung und Löschung: feste Fristen für Rohdaten, danach nur noch aggregierte Statistik.
- Rechte der Beschäftigten: Einsicht in die eigenen Ergebnisse, Anspruch auf ergänzende Schulung ohne Nachteil.
- Evaluation: eine regelmäßige gemeinsame Überprüfung der Vereinbarung durch beide Seiten.
Zwei Hinweise zur Einordnung. Erstens ist all das kein Ersatz für Rechtsberatung: Musterbausteine sind ein guter Startpunkt, den endgültigen Text stimmen Sie mit Ihrer Rechts- und Datenschutzfunktion ab. Zweitens hat der Europäische Gerichtshof klargestellt, dass eine Betriebsvereinbarung eine Datenverarbeitung nur dann trägt, wenn diese auch nach der DSGVO zulässig ist. Für die Praxis heißt das: Rechtsgrundlage ist regelmäßig das berechtigte Interesse an der IT-Sicherheit nach Artikel 6 Absatz 1 Buchstabe f DSGVO, nicht eine Einwilligung, die im Arbeitsverhältnis selten wirklich freiwillig ist. Ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO mit dem Plattformanbieter gehört dazu, ebenso die Frage, wo die Daten liegen.
Wie Sie den Betriebsrat früh einbinden
Der häufigste Fehler ist nicht die falsche Klausel, sondern der falsche Zeitpunkt. Ein Betriebsrat, der von einer bereits laufenden Kampagne erfährt, blockiert zu Recht. Ein Betriebsrat, der von Anfang an mitgestaltet, wird zum Verbündeten. Bewährt hat sich diese Reihenfolge:
- Früh informieren. Holen Sie den Betriebsrat vor der Anbieterauswahl ins Boot, nicht danach. Legen Sie Zweck, Datenfluss und die vier Stellschrauben offen.
- Gemeinsam ausgestalten. Erarbeiten Sie die Betriebsvereinbarung zusammen mit dem Datenschutz und, falls nötig, der Rechtsabteilung. Der Betriebsrat ist hier „Hüter des Datenschutzes", kein Gegner der Sicherheit.
- Fehlerkultur zeigen. Machen Sie deutlich, dass niemand bloßgestellt wird. Auf einen Klick folgt keine Rüge, sondern eine kurze Lerneinheit. Das entkräftet den Verdacht der Überwachung in der Sache, nicht nur auf dem Papier.
- Gemeinsam auswerten. Stellen Sie Trends vor, keine Namen. Die erste gemeinsame Auswertung schafft das Vertrauen für den weiteren Ausbau.
Dieser Weg kostet ein paar Wochen mehr am Anfang. Er spart die Wochen, die eine gestoppte Kampagne und ein beschädigtes Verhältnis später kosten.
Wie Wachr das umsetzt
Wachr ist für diesen Weg gebaut. Auswertungen sind von Grund auf aggregiert, die Mindestgruppengröße von fünf ist im Rollen- und Rechtekonzept verankert, und Führungskräfte sehen Teamzahlen, keine Einzelergebnisse. Die Verarbeitung ist auf Zweckbindung ausgelegt, in Deutschland gehostet und mit einem Auftragsverarbeitungsvertrag hinterlegt. Auf Wunsch stellen wir Musterbausteine für die Betriebsvereinbarung bereit, die Sie mit Ihrem Betriebsrat und Ihrer Datenschutzfunktion finalisieren.
Ein guter Betriebsrat und gute Sicherheit wollen am Ende dasselbe: eine Belegschaft, die Angriffe erkennt, ohne sich überwacht zu fühlen. Wenn die Vereinbarung steht, ist das kein Zielkonflikt, sondern eine gemeinsame Grundlage.
Machen Sie den Nachweis, bevor ihn jemand verlangt.
Wachr übersetzt die Pflichten aus NIS2 in einen wiederholbaren Ablauf mit auditfestem Nachweis. Für Unternehmen und ihre IT-Partner.
