Datenschutzinformation für die Phishing-Simulation

Welche Zwecke verfolgt die Verarbeitung?
Die Phishing-Simulation erfolgt zum Zweck des Trainings der Mitarbeiter:innen in Sachen Erkennung von Phishing-Angriffen und soll damit die IT-Sicherheit und den Informationsschutz stärken. Dafür wird primär die Mailadresse und der Name benötigt, damit angepasste Phishing-Mails versendet werden können.

Wer bekommt meine personenbezogenen Daten?
Ihre personenbezogene Daten werden im Auftrag der PLUS durch die SoSafe GmbH auf Basis eines Auftragsverarbeitungsvertrages verarbeitet und dienen 
Der PLUS selbst ist es weder technisch, noch rechtlich möglich, eine personenbezogene Auswertung der Phishing-Simulation zu erhalten. Ergebnisse sind lediglich auf Ebene der Organisationseinheit vorhanden, wobei Organisationseinheiten mit 5 oder weniger Personen mit anderen Organisationseinheiten aggreggiert wurden. Feedback-Daten werden der PLUS lediglich anonym bereitgestellt.

Welche Kategorien an Daten werden verarbeitet?
Es werden folgende Kategorien an Daten verarbeitet:
– Nutzerdaten (Name, berufliche Mailadresse, IDM-Zugehörigkeit)
– Mailprotokolldaten aus technischen und Sicherheitsgründen. Diese werden nach 12 Wochen gelöscht.
– Wenn Mitarbeiter:innen mit der Phishing-E-Mail interagieren, werden auch technische Daten und optionale Feedback-Daten, sofern diese angegeben werden, verarbeitet.

Auf welchen Rechtsgrundlagen werden meine Daten verarbeitet?
– Art 6 Abs 1 lit c DSGVO: Die PLUS ist dazu verpflichtet, technisch-organisatorische Maßnahmen zu treffen, um die Sicherheit der Verarbeitung zu gewährleisten (Art 32 DSGVO). Die Phishing-Simulation ist eine solche technisch-organisatorische Maßnhame. Die Simulation trainiert Mitarbeitende dahingehend, auch echte Phishing Mails zu melden. Dies führt dazu, dass Phishing-Wellen technisch besser und früher erkannt werden können und führt insgesamt zu einer geringeren Belastung durch derartige Mails.
– Art 6 Abs 1 lit e DSGVO: Es ist das berechtigte Interesse der PLUS, die Bedrohung durch Phishing quantifizieren zu können und das von Phishing ausgehende Risiko messbar zu reduzieren. Dieses Interesse überwiegt dem Interesse der Mitarbeitenden, keine solche Mails zu erhalten. 

Wie lange werden die Daten gespeichert?
Wenn Daten nicht bereits früher gelöscht werden, werden sie spätestens mit Ablauf der aktuellen Kampagne, somit 31.12.2024, gelöscht.

Weitere Informationen
Die übrigen Informationen wie etwa Ihre Rechte, Kontaktdaten der PLUS oder die Möglichkeit der Beschwerde bei der Datenschutzbehörde können Sie dem allgemeinen Teil unserer Datenschutzinformation entnehmen.