Zurück zur Übersicht
12.06.2026 Fachbeitrag

LAG München: Kein Anspruch auf Zugriff auf Compliance-Abschlussberichte nach DSGVO – aber Einfallstor für Personalakte

Update Compliance 7/2026

Art. 15 DSGVO vermittelt keinen Anspruch auf Herausgabe eines vollständigen Compliance-Abschlussberichts. Das hat das Landesarbeitsgericht München genau vor einem Jahr – mit Urteil vom 12. Juni 2025 – klargestellt. Die Entscheidung zieht eine überfällige Grenze zwischen berechtigtem Datenschutzinteresse und dem Versuch, unter dem Deckmantel der DSGVO Einblick in interne Ermittlungsergebnisse zu erzwingen. Zugleich bejahte das Gericht jedoch das Einsichtsrecht in die Personalakte nach § 26 Abs. 2 Satz 1 SprAuG (bzw. § 83 Abs. 1 Satz 1 BetrVG). Das wirft erhebliche Folgefragen auf, insbesondere zum Umfang der Einsicht und zur praktischen Umsetzung der Schwärzungen.

Der Fall: Interne Untersuchung nach Hinweisgeberbeschwerden

Die Klägerin war seit 2015 als leitende Angestellte bei der Beklagten beschäftigt. Anfang April 2023 informierte die betriebsinterne Ombudsfrau die Compliance-Abteilung über Beschwerden mehrerer Hinweisgeber, die den Führungsstil der Klägerin als einschüchternd, herabwürdigend und respektlos beschrieben. Die Beklagte führte daraufhin von August 2023 bis Januar 2024 eine interne Compliance-Untersuchung durch. Eine externe Kanzlei erstellte einen Abschlussbericht mit Zeugenaussagen, Bewertungen und Empfehlungen. Gestützt auf diesen Bericht beantragte die Beklagte die Zustimmung zur außerordentlichen Kündigung während der Elternzeit. Die Klägerin verlangte daraufhin unter Berufung auf Art. 15 DSGVO eine vollständige Kopie des Berichts. Das Arbeitsgericht München gab der Klage erstinstanzlich statt. Die Entscheidung: Keine Berichtskopie, aber Einsicht über die Personalakte. Das LAG München hob die erstinstanzliche Entscheidung teilweise auf: Einen Anspruch auf Herausgabe des vollständigen Abschlussberichts verneinte es. Zugleich bejahte es jedoch ein Einsichtsrecht in den Bericht als Bestandteil der Personalakte. Die Revision ist beim BAG anhängig (Az. 8 AZR 169/25).

Art. 15 DSGVO: Datenkopie ja, Berichtskopie nein

Ausgangspunkt ist die gefestigte EuGH-Rechtsprechung: Art. 15 Abs. 3 Satz 1 DSGVO begründet keinen eigenständigen Anspruch auf Dokumentenherausgabe, sondern konkretisiert den Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO. Der Begriff „Kopie“ bezieht sich auf die personenbezogenen Daten – nicht auf das Dokument (EuGH, Urt. v. 4.5.2023 – C 487/21, Rn. 32; EuGH, Urt. v. 26.10.2023 – C-307/22, Rn. 72). Nur ausnahmsweise besteht ein Anspruch auf Dokumentenkopien, wenn deren Zurverfügungstellung unerlässlich ist, um der betroffenen Person die wirksame Rechtsausübung zu ermöglichen. Das LAG betonte – im Anschluss an den BFH (Urt. v. 12.3.2024 – IX R 35/21) –, dass keine Vermutung zugunsten dieser Unerlässlichkeit besteht und die Darlegungslast bei der betroffenen Person liegt.

Für Compliance-Berichte zog das LAG eine klare Trennlinie: Personenbezogene Daten der Klägerin seien nur Angaben, die Tatsachen über sie betreffen. Bewertungen, rechtliche Würdigungen, Empfehlungen sowie weite Teile der Zeugenaussagen qualifizierte das Gericht ausdrücklich nicht als personenbezogene Daten der Klägerin. Der Bericht gehe „weit über“ die Verarbeitung ihrer personenbezogenen Daten hinaus.

Das Argument, die Klägerin müsse die Objektivität der Untersuchung und die Gewichtung der Zeugenaussagen überprüfen können, überzeugte das Gericht ebenfalls nicht. Maßgeblich für die datenschutzrechtliche Prüfung sei allein die Kenntnis der verarbeiteten personenbezogenen Daten und der Verarbeitungszwecke – nicht die Frage, welche Schlüsse der Arbeitgeber zieht. Auch der pauschale Verweis auf Informationsasymmetrien und prozessuale Waffengleichheit begründe nicht die Unerlässlichkeit einer Dokumentenkopie.

Personalakte als Einfallstor: Einsicht nach § 26 Abs. 2 Satz 1 SprAuG

Während das Gericht den datenschutzrechtlichen Kopieanspruch ablehnte, bejahte es das Einsichtsrecht in den Compliance-Abschlussbericht als Teil der Personalakte. Personalakten umfassen alle Urkunden und Vorgänge, die die persönlichen und dienstlichen Verhältnisse eines Mitarbeiters betreffen und in einem inneren Zusammenhang mit dem Arbeitsverhältnis stehen (BAG, Urt. v. 19.7.2012 – 2 AZR 782/11, Rn. 18). Da sich der Bericht auf das Führungsverhalten der Klägerin beziehe und die Beklagte ihn zur Begründung des Kündigungsantrags herangezogen habe, sei der erforderliche innere Zusammenhang gegeben. Das Einsichtsrecht sei gesetzlich nicht eingeschränkt.

Den Einwand der Beklagten, die Einsicht müsse zum Schutz der befragten Mitarbeiter verweigert werden, wies das LAG zurück: Das Führen von Geheimakten sei unzulässig. Habe der Arbeitgeber Hinweisgebern Anonymität zugesichert, müsse er dem durch Schwärzung entsprechender Passagen Rechnung tragen. Unterlasse er dies, könne er die Einsicht nicht deshalb verweigern. Zudem sei die Ermittlung abgeschlossen, sodass keine Gefährdung mehr bestehe.

Klare Datenschutzgrenze, offene Personalaktenfragen

Datenschutz ist kein Discovery-Instrument

Soweit das LAG den Kopieanspruch aus Art. 15 DSGVO ablehnt, überzeugt die Entscheidung. Der Fall illustriert ein zunehmendes Problem: Art. 15 DSGVO wird nicht zur Kontrolle der Datenverarbeitung genutzt, sondern als Hebel, um Zugang zu internen Ermittlungsergebnissen zu erzwingen. Die Klägerin begründete ihr Begehren formal mit dem Wunsch, die Rechtmäßigkeit der Datenverarbeitung zu überprüfen. Tatsächlich ging es erkennbar um Einblick in das gesamte Compliance-Verfahren – in die Zeugenaussagen, deren Würdigung und die Ermittlungsstrategie des Arbeitgebers.

Indem das LAG den Begriff der personenbezogenen Daten im Compliance-Kontext eng fasst und klarstellt, dass pauschale Verweise auf Informationsasymmetrien nicht genügen, schiebt es dieser Instrumentalisierung überzeugend einen Riegel vor.

Es wäre kaum tragfähig, wenn interne Untersuchungsberichte unter dem Deckmantel des Datenschutzes an die Gegenseite gelangen müssten. Art. 15 DSGVO dient der Transparenz – nicht der Ausforschung interner Ermittlungsergebnisse für arbeitsgerichtliche Auseinandersetzungen.

Die Personalakten-Hintertür überzeugt nicht

Soweit das LAG der Klägerin über das Einsichtsrecht faktisch dennoch Zugang zum Bericht gewährt, überzeugt die Entscheidung hingegen nicht. Das Gericht schließt die datenschutzrechtliche Tür mit überzeugender Begründung – und öffnet über das Einsichtsrecht eine andere, ohne die berechtigten Interessen des Arbeitgebers und der Hinweisgeber – spätestens über § 242 BGB – hinreichend zu berücksichtigen.

Das LAG spricht zwar nur ein Einsichtsrecht dem Grunde nach zu und verweist darauf, dass der Arbeitgeber Passagen schwärzen müsse, die Rückschlüsse auf die Identität anonymisierter Hinweisgeber zulassen. Was das praktisch bedeutet, insbesondere wenn eine Schwärzung unterblieben ist, bleibt jedoch offen.

Das Gericht beantwortet nicht, welche Teile des Berichts der Einsicht unterliegen, wie weit die Schwärzungsobliegenheit reicht und ob auch die Bewertungen und Empfehlungen der Kanzlei – die das Gericht bei Art. 15 DSGVO gerade nicht als personenbezogene Daten qualifiziert hat – Gegenstand des Einsichtsrechts sein sollen. Ist dies der Fall, gelangt der Bericht doch an die Klägerin – einschließlich der taktisch relevanten Inhalte. Auch das Argument, die Einsichtnahme störe keine laufende Ermittlung mehr, überzeugt nicht: Zum einen schließt sich hier ein streitiges Verfahren an. Zum anderen liefe ein Schutz, der nach Ermittlungsabschluss entfällt, praktisch ins Leere.

Hinzu kommt: Das LAG subsumiert Compliance-Abschlussberichte als solche unter den materiellen Personalaktenbegriff. Ein Bericht, der sich auf das Verhalten eines Mitarbeiters bezieht, ist nach Auffassung des Gerichts kraft seines Inhalts Teil der Personalakte – unabhängig davon, ob der Arbeitgeber ihn dort ablegen will. Diese Sichtweise verkennt, dass ein Compliance-Abschlussbericht primär der internen Sachverhaltsaufklärung und rechtlichen Bewertung dient – nicht der Dokumentation der persönlichen Verhältnisse. Indem das LAG allein auf den inhaltlichen Bezug abstellt, droht der materielle Personalaktenbegriff konturenlos zu werden.

Die praktischen Konsequenzen sind erheblich: Wird ein Compliance-Abschlussbericht über die Personalakte zugänglich, verliert er seine Vertraulichkeit. Arbeitgeber müssten bei jeder Untersuchung damit rechnen, dass der Bericht später offengelegt wird. Das kann die Bereitschaft von Zeugen zur Mitwirkung beeinträchtigen und gefährdet damit die Wahrheitsfindung, die das Compliance-Verfahren gewährleisten soll.

Ausblick: Entscheidung des BAG steht aus

Die Entscheidung fügt sich in die wachsende Kritik ein, dass Art. 15 DSGVO zunehmend über seinen Transparenzzweck hinaus als allgemeines Informationsinstrument zweckentfremdet wird. Dass das LAG dieser Entwicklung einen Riegel vorschiebt, ist zu begrüßen. Dass es über das Einsichtsrecht eine Hintertür öffnet, deren Reichweite unklar bleibt, schmälert jedoch die Tragweite der Entscheidung.

Es bleibt zu hoffen, dass das BAG die strenge Linie zum Kopieanspruch bestätigt und die offenen Fragen zum Einsichtsrecht klärt – insbesondere, ob ein Einsichtsrecht überhaupt besteht, und wenn ja, in welchem Umfang und mit welchen Schwärzungspflichten.

Praxistipps für Arbeitgeber

Berichtsstruktur klar trennen: Sachliche Feststellungen zum Verhalten des betroffenen Mitarbeiters sollten fortan in einem separaten Dokument festgehalten werden, das ohne erkennbare Risiken zur Personalakte genommen werden kann. Rechtliche Analysen, strategische Bewertungen und Handlungsempfehlungen sollten in einem gesonderten Mandantenmemorandum dokumentiert werden, das nicht den persönlichen und dienstlichen Verhältnissen des Mitarbeiters zugeordnet werden kann – und damit voraussichtlich nicht dem materiellen Personalaktenbegriff unterfällt.

Anonymität von Beginn an absichern: Zugesicherte Anonymität muss technisch und organisatorisch abgesichert werden. Wer dies versäumt, kann die Einsicht nicht unter Verweis auf die eigene Unterlassung verweigern.

Als PDF herunterladen
Compliance & Internal Investigations
Als PDF herunterladen

Ansprechpartner

Laura-Felicia Bokranz, LL.M. (University of Cape Town)
Düsseldorf

Ansprechpartner

Laura-Felicia Bokranz, LL.M. (University of Cape Town)
Düsseldorf

Weitere Artikel

04.05.2026
Deutschlandweite Razzien: Ermittlungsbehörden nehmen „deutsche Steueroasen” ins Visier
10.03.2026
BGH präzisiert Schwelle zum „großen Ausmaß“ bei Steuerhinterziehung durch unrichtige Feststellungserklärung
10.02.2026
EuGH: Verbandsgeldbuße wegen AML-Verstößen künftig auch ohne festgestellte Tat einer Leitungsperson – Fortsetzung der Entscheidung zu Deutsche Wohnen SE
03.02.2026
Bußgeldregress gegen Geschäftsführer – BGH und OLG Frankfurt setzen neue Maßstäbe
27.01.2026
Bundestag verschärft Sanktionen im Außenwirtschaftsstrafrecht: Wichtige Änderungen für Unternehmen
23.01.2026
BGH unterstreicht Pflicht des Aufsichtsrats zur aktiven Informationsbeschaffung
17.12.2025
LAG Berlin Brandenburg: Konsequente Compliance-Maßnahmen schützen den Arbeitgeber vor AGG-Haftung
15.12.2025
Ankauf von Steuer-Daten: NRW erwirbt riesigen Datensatz zu Offshore-Strukturen – Einleitung von Steuerstrafverfahren erwartet
11.12.2025
Listing Act – Erleichterungen bei Directors' Dealings: BaFin erhöht Schwellenwert für Transaktionsmeldungen
25.11.2025
Foreign Corrupt Practices Acts (FCPA): Erheblich gestiegenes Compliance-Risiko für Unternehmen mit Bezug zu Lateinamerika
20.11.2025
Bundesverfassungsgericht kippt Triage-Regelung des Infektionsschutzgesetzes – Konsequenzen auch für Strafbarkeitsrisiken
29.10.2025
Machtmissbrauch im Chefsessel: LAG Köln erklärt Fortsetzung des Arbeitsverhältnisses für Arbeitnehmerin als unzumutbar

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.