Phishing-Test für Mitarbeiter: Darf der Arbeitgeber das?

Phishing-Mails haben sich längst vom kuriosen Randphänomen zu einem echten Sicherheitsrisiko gemausert, weshalb Unternehmen immer häufiger eigene Köder auswerfen, um herauszufinden wie stabil die menschliche Firewall tatsächlich ist.

Dabei entsteht schnell die Frage, ob solche Simulationen rechtlich sauber ablaufen oder ob sie heimlich auf dünnem Eis tanzen. In diesem Spannungsfeld aus IT-Sicherheit, Arbeitsrecht und persönlicher Integrität entfaltet sich eine Debatte mit vielen Nuancen rund um Klicks, Kontrolle und Vertrauen.

Phishing-Simulationen als Sicherheitswerkzeug im Unternehmensalltag

Ein Phishing-Test verfolgt zudem einen ausgesprochen praktischen Zweck, denn er prüft grundlegende Sicherheitsroutinen, die gern in der Hektik des Arbeitsalltags untergehen. Passwörter brauchen einen sorgsamen Umgang, wie es mit einem Passwortmanager für Unternehmen möglich ist. Zudem müssen vertrauliche Informationen geschützt bleiben und verdächtige Nachrichten sollen ihren Weg zur IT-Abteilung finden, bevor sie Schaden anrichten.

Phishing-Tests wirken im ersten Moment wie kleine Täuschungsmanöver, dienen allerdings einem klaren Zweck, denn sie zeigen Schwachstellen im Sicherheitsverhalten und entlarven Routinen, die im Ernstfall fatale Folgen hätten. Arbeitgeber dürfen solche Überprüfungen grundsätzlich durchführen solange sie erforderlich und verhältnismäßig bleiben. Der arbeitsrechtliche Rahmen lässt ihnen den Spielraum, die eigenen Systeme vor Angriffen zu schützen und die Belegschaft zugleich für Risiken zu sensibilisieren.

Datenschutz als leitende Schutzschicht

Die DSGVO sitzt bei diesem Thema wie ein stiller Beobachter im Hintergrund, doch ihre Rolle ist alles andere als passiv. Für Phishing-Tests gilt meist das berechtigte Interesse an IT- und Betriebssicherheit als Rechtsgrundlage, allerdings verlangt dieses Interesse eine nachvollziehbare Abwägung.

Unternehmen müssen verständlich darlegen, weshalb der Test notwendig ist und wie mit den gewonnenen Daten umgegangen wird. Kurze Speicherfristen, transparente Abläufe sowie weitgehende Pseudonymisierung tragen dazu bei, dass persönliche Fehlgriffe nicht dauerhaft festgehalten werden.

Die Grenze zur Überwachung rückt schneller in Sicht als viele annehmen, denn sobald die Übung nicht mehr der Sensibilisierung dient, sondern auf individuelle Schwächen abzielt, verliert sie ihren legitimen Charakter. Ein Gedanke führt zum nächsten und markiert die Fragilität dieser Grenze, denn technische Analyse und persönliches Verhalten liegen nur wenige Schritte auseinander.

Technik macht Verhalten sichtbar und der Betriebsrat erhält Einfluss

Sobald ein technisches System Reaktionen oder Muster erfassen kann, meldet sich der Betriebsrat zuverlässig. § 87 Abs. 1 Nr. 6 BetrVG verleiht ihm ein Mitbestimmungsrecht, das auch bei Phishing-Simulationen greift, denn die Erfassung von Klickverhalten berührt unmittelbar die Interessen der Beschäftigten.

Aus diesem Grund entstehen in vielen Unternehmen Betriebsvereinbarungen, die Zweck, Umfang und Auswertungsformen definieren, außerdem beschreiben sie genau, welche Daten sichtbar bleiben und in welchem Rahmen Schulungen folgen. Klar formulierte Grenzen verhindern, dass ein Werkzeug der Sensibilisierung ungewollt zum Prüfmechanismus wird. Ein kurzer gedanklicher Sprung macht spürbar, wie nah Technik und Kontrolle beieinander liegen, obwohl beide unterschiedliche Ziele verfolgen.

Überwachung rückt in den Fokus

Die Rechtsprechung hat mehrfach deutlich gemacht, dass verdeckte Dauerbeobachtungen unzulässig sind, auch wenn sie technisch leicht umzusetzen wären. Phishing-Tests gehören deshalb auf die Seite der Sensibilisierung, nicht auf die Seite der Sanktionierung, denn je stärker der Fokus auf einzelne Fehlgriffe gelegt wird, desto fragwürdiger wird die Maßnahme. Ein letztes Innehalten zeigt, weshalb arbeitsrechtliche Konsequenzen aus einem Fehlklick kaum tragfähig sind, denn ein Klick sagt wenig über Kompetenz aus, viel jedoch über Alltagssituationen, Ablenkung oder die Qualität eines Täuschungsversuchs. Die Übung soll Lernprozesse anstoßen und nicht Druck erzeugen, der jede Mail zum Risiko macht.

Ein funktionierendes Konzept lebt von klaren Zielen, verständlichen Ratgebern und nachvollziehbaren Abläufen. Unternehmen können Testkampagnen so gestalten, dass Ergebnisse ausschließlich aggregiert ausgewertet werden und die IT-Abteilung daraus nur allgemeine Schwachstellen ableitet.

Lesen Sie mehr zu diesem Thema:

• Vorteile und Herausforderungen des In-House-Marketings
• Zukunftssichere Unternehmen: Strategien für Datenschutz und Compliance
• Kay Schönewerk
• Infrastrukturanalyse – Schlüssel zur Optimierung einer IT-Umgebung
• Digitaler Druck auf Big Tech: Warum Jugendschutz zur Marketingstrategie wird
• Die digitale Identität in Europa
• Digitalisierung überall – vom Konzern bis zum Klassenzimmer
• Starker Aufwärtstrend auch im dritten Quartal

• Über
• Letzte Artikel

Kay Schönewerk

Kay Schönewerk ist seit dem Jahr 2000 Geschäftsführer der Marketing-Agentur 4iMEDIA. Der Gründer und Gesellschafter leitet ein Team aus erfahrenen Fachleuten aus den Bereichen Online Marketing, Corporate Publishing, SEO, Werbung und Social Media. Gemeinsam mit diesem Team betreut er seit mehr als 20 Jahren diese Webseite. Als Experte mit weitreichenden Erfahrungen hält er Vorträge als Speaker in der DACH-Region. Zudem ist er seit vielen Jahren Dozent und Seminar-Leiter an mehreren Fach-Akademien in Deutschland. Er agiert als Coach und Berater für Unternehmen, Institutionen und NGOs. Er ist Buchautor und engagiert sich als Fachbeirat in Verbänden und Institutionen. Kay Schönewerk und sein Team erreichen Sie für Ihre Anfragen unter marketing@4imedia.com und der Telefonnumer +49 (0) 341 870 98 - 415. Weitere Links: [XING] / [LinkedIn]

Letzte Artikel von Kay Schönewerk (Alle anzeigen)

• Das Comeback des Brandings: Ist der Hype um die generative KI vorbei? - 01/2026
• Phishing-Test für Mitarbeiter: Darf der Arbeitgeber das? - 01/2026
• So gestalten wir echte Live-Kommunikation auf Konferenz & Kongressen der DACH-Region - 12/2025