// Recht & Compliance · Phishing 14. Mai 2026

Phishing-Simulation legal –
Was Unternehmen 2026 beachten müssen

„Dürfen wir unsere Mitarbeiter überhaupt testen, ohne dass sie es wissen?" – Das ist die häufigste Frage, die wir von Geschäftsführern bekommen. Die Antwort ist: Ja, unter bestimmten Voraussetzungen. Dieser Artikel erklärt, was in Österreich rechtlich erlaubt ist und wie Sie eine Phishing-Simulation rechtssicher durchführen.

Inhalt: Rechtsgrundlage in Österreich Betriebsrat: Wann Zustimmung nötig? DSGVO & Datenschutz Anonymisierung der Ergebnisse Rechtssichere Checkliste Fazit

Rechtsgrundlage für Phishing-Tests in Österreich

Phishing-Simulationen sind in Österreich grundsätzlich legal – wenn sie im Auftrag des Unternehmens und mit Zustimmung der Geschäftsführung durchgeführt werden. Die rechtliche Basis bilden:

Arbeitgeberpflicht zur Sicherheit: § 3 ArbeitnehmerInnenschutzgesetz verpflichtet Arbeitgeber, Risiken zu evaluieren – dazu zählen auch Cyber-Risiken durch menschliches Fehlverhalten.
Direktionsrecht des Arbeitgebers: Sicherheitsmaßnahmen und Tests fallen grundsätzlich unter das unternehmerische Weisungsrecht.
IT-Sicherheitspflicht: NIS2-Richtlinie (seit Oktober 2024 in Österreich umgesetzt) verpflichtet viele Unternehmen explizit zu Awareness-Maßnahmen.

Wichtig: Der Test muss vom Unternehmen selbst beauftragt werden. Ein Dritter, der ohne Auftrag des Unternehmens eine Phishing-Simulation durchführt, begeht eine Straftat (§ 118a StGB – Widerrechtlicher Zugriff auf ein Computersystem).

Betriebsrat: Wann ist eine Zustimmung erforderlich?

Das ist der kritischste rechtliche Punkt für österreichische Unternehmen. Gemäß § 96 ArbVG hat der Betriebsrat ein Mitbestimmungsrecht bei Maßnahmen, die der „Kontrolle der Arbeitnehmer dienen".

Die entscheidende Frage: Dient die Phishing-Simulation der Kontrolle einzelner Mitarbeiter – oder der Verbesserung der Gesamtsicherheit des Unternehmens?

Szenario	Betriebsrat nötig?	Warum
Anonymisierter Report (nur Gesamtquoten)	✓ Nein	Keine Kontrolle einzelner Personen möglich
Namentliche Auswertung pro Mitarbeiter	✗ Ja	Direktes Kontroll- und Überwachungsinstrument
Abteilungsweise Auswertung	~ Grauzone	Abhängig von Unternehmensgröße und BR-Vereinbarung
Schulungsmaßnahme nach Klick	✓ Empfohlen	BR-Einbindung schafft Vertrauen, verhindert Konflikte

Unsere Empfehlung: Bindet den Betriebsrat proaktiv ein – nicht weil es rechtlich immer nötig ist, sondern weil es die Akzeptanz des Tests erhöht und spätere Konflikte verhindert.

DSGVO und Datenschutz bei Phishing-Simulationen

Phishing-Simulationen verarbeiten personenbezogene Daten – zumindest wenn aufgezeichnet wird, wer auf einen Link geklickt hat. Das unterliegt der DSGVO.

Rechtsgrundlage nach DSGVO

Die Verarbeitung ist auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen des Verantwortlichen) zulässig, wenn:

Die Simulation dem Schutz der IT-Infrastruktur dient (berechtigtes Interesse)
Die Ergebnisse nicht für arbeitsrechtliche Konsequenzen genutzt werden
Die Daten nach Abschluss des Tests gelöscht oder anonymisiert werden
Mitarbeiter vorab allgemein über mögliche Sicherheitstests informiert wurden (z.B. im Arbeitsvertrag oder einer IT-Richtlinie)

Achtung: Mitarbeiter müssen nicht über den konkreten Test informiert werden – aber über die Tatsache, dass Sicherheitstests stattfinden können. Das sollte in einer IT-Sicherheitsrichtlinie oder einem Anhang zum Arbeitsvertrag festgehalten sein.

Anonymisierung der Ergebnisse: Der sichere Weg

Alle unsere Phishing-Simulationen liefern standardmäßig anonymisierte Ergebnisse:

Gesamte Klickrate des Unternehmens (z.B. 28 %)
Klickraten nach Abteilung (z.B. Vertrieb 42 %, IT 8 %)
Zeitpunkt des ersten Klicks
Geräte-Kategorie (Desktop / Mobile)

Keine namentliche Zuordnung, keine E-Mail-Adressen in Reports, keine Einzelfallnachverfolgung. Das schützt Sie rechtlich und schafft Vertrauen bei Mitarbeitern und Betriebsrat.

Rechtssichere Checkliste für Ihre Phishing-Simulation

✅

Schriftliche Genehmigung der Geschäftsführung
Dokumentieren Sie den Auftrag intern.

✅

Betriebsrat informieren (oder einbinden)
Bei anonymisierten Tests keine Pflicht, aber empfohlen.

✅

IT-Sicherheitsrichtlinie vorhanden
Mitarbeiter sollten wissen, dass Tests möglich sind.

✅

DSGVO-konformes Vorgehen
Daten werden nicht zur Mitarbeiterkontrolle, sondern zur Risikobewertung genutzt.

✅

Anonymisierte Ergebnisse vereinbaren
Keine namentliche Auswertung ohne Betriebsratsvereinbarung.

✅

Keine arbeitsrechtlichen Konsequenzen
Der Test dient der Verbesserung, nicht der Bestrafung.

✅

Ergebnisse nach Test löschen oder anonymisieren
Rohdaten haben keine langfristige Aufbewahrungspflicht.

Fazit: Ja, Phishing-Simulationen sind legal – wenn richtig gemacht

Phishing-Tests sind in Österreich legal und werden von Datenschutzbehörden und Arbeitsrechtlern zunehmend als notwendige Sicherheitsmaßnahme anerkannt. Der Schlüssel liegt in der korrekten Durchführung: anonymisierte Ergebnisse, transparente Kommunikation mit dem Betriebsrat und klarer Fokus auf Verbesserung statt Kontrolle.

Als österreichischer Anbieter führen wir alle Simulationen nach diesen Grundsätzen durch – DSGVO-konform, mit vollständiger Dokumentation für Betriebsrat und Datenschutzbeauftragte.

Phishing-Simulation für Ihr Unternehmen?

In einem kostenlosen 30-Minuten-Gespräch klären wir Scope, rechtliche Anforderungen und was ein Test für Ihr Unternehmen bedeutet.

Kostenloses Erstgespräch buchen Produkte ansehen