Wird bei einer Phishing-Simulation die Zustimmung des Betriebsrats benötigt?

  • Die rechtliche Situation:

    • Nach Art. 6 Abs. 1 lit. f DSGVO gehört das Thema IT-Sicherheit zu den berechtigen Interessen eines Unternehmens. Wenn die Interessen der Mitarbeiter am Schutz derer Daten nicht überwiegen, ist in solchen Fällen die Weitergabe erlaubt. Davon ist bei den von uns benötigten, allgemeinen personenbezogenen Daten auszugehen. Daher muss der Mitarbeiter nicht zustimmen, ebensowenig muss der Betriebsrat um Zustimmung gebeten werden. Allerdings ist es richtig, dass der Betriebsrat informiert werden muss, damit er darüber wachen kann, dass die Datenschutzvorschriften eingehalten werden.
  • Für die Praxis:

    • Um kein böses Blut mit Betriebsräten zu riskieren empfehlen wir den Betriebsrat möglichst früh einzubinden. Bisher konnten wir immer belegen und überzeugen, dass unser Vorgehen mitarbeiterfreundlich und datenschutzkonform ist.