Das BAG und das LAG München haben sich mit praxisrelevanten Fragen der Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO im Beschäftigungsverhältnis, bei Internal Investigation und dem klassischen Personalakteneinsichtsrecht befasst. Die Entscheidungen des BAG und des LAG München sind für Arbeitgeber bedeutsam
Vor knapp einem Jahr hat das LAG München entschieden, dass Art. 15 DSGVO grundsätzlich keinen Anspruch auf Herausgabe eines vollständigen Compliance-Abschlussberichts eröffnet (LAG München Urt. v. 12.06.2025 - 2 SLa 70/25). Die hiergegen eingelegte Revision wies das BAG am 16.04.2026 zurück. Die Entscheidungsgründe des BAG sind aktuell noch nicht veröffentlicht. Es lohnt sich daher, einen tieferen Blick auf die Entscheidung des LAG München zu werfen, um schon jetzt hieraus Folgen für die Praxis abzuleiten.
Worum ging es?
Ausgangspunkt des Rechtsstreits war eine interne Compliance-Untersuchung gegen eine leitende Angestellte wegen behaupteten Führungsfehlverhaltens. Nach Abschluss der Untersuchung verlangte die Arbeitnehmerin eine Kopie des Compliance-Abschlussberichts, hilfsweise Einsicht in den Bericht. Sie stützte sich dabei insbesondere auf Art. 15 DSGVO. Die Klägerin machte geltend, nachvollziehen zu müssen, welche personenbezogenen Daten über sie erhoben, gespeichert und bewertet worden seien; nach ihrer Auffassung gewähre Art. 15 Abs. 1 und 3 DSGVO einen entsprechenden Anspruch unabhängig von einem gesondert nachzuweisenden Informationsinteresse. Die Arbeitgeberin verweigerte die Auskunft u.a. mit dem Einwand, dass das Interesse an der Geheimhaltung des Compliance-Abschlussberichts als Geschäftsgeheimnis gemäß Art. 15 Abs. 4 DSGVO das Auskunftsinteresse überwiege und zudem Rechte Dritter berührt seien.
Die Entscheidung des LAG München
Das LAG München gab der Arbeitgeberin teilweise Recht: Ein Anspruch auf Überlassung einer vollständigen Kopie des Compliance-Abschlussberichts folge nicht aus Art. 15 Abs. 3 DSGVO. Der Auskunftsanspruch richte sich grundsätzlich auf die verarbeiteten personenbezogenen Daten, nicht auf ganze Dokumente. Eine vollständige Dokumentenkopie komme nur ausnahmsweise in Betracht, wenn sie erforderlich sei, damit die betroffene Person ihre Daten verstehen und ihre Datenschutzrechte wirksam ausüben könne. Damit folgte das LAG München der Linie des EuGH, wonach Art. 15 DSGVO keinen pauschalen Anspruch auf Herausgabe vollständiger Unterlagen vermittele.
Diese Voraussetzungen sah das LAG München hier nicht als erfüllt an. Der Bericht enthielt neben personenbezogenen Daten auch Aussagen, Bewertungen, rechtliche Einordnungen und Schlussfolgerungen der beauftragten Kanzlei. Solche Inhalte gingen über den datenschutzrechtlichen Auskunftsanspruch hinaus; die Arbeitnehmerin hätte darlegen müssen, weshalb die Mitteilung ihrer personenbezogenen Daten zur Wahrnehmung ihrer DSGVO-Rechte nicht ausreiche.
Zugleich bejahte das LAG München ein Einsichtsrecht nach personalaktenrechtlichen Grundsätzen. Entscheidend sei nicht, wo der Arbeitgeber den Bericht ablege oder wie er ihn bezeichne, sondern ob die Unterlage einen inhaltlichen Bezug zu den persönlichen oder beruflichen Verhältnissen der Arbeitnehmerin habe. Interne Ermittlungsakten können daher zur Personalakte gehören, wenn sie das Arbeitsverhältnis der betroffenen Beschäftigten berühren. Schutzinteressen, etwa zugunsten von Hinweisgebenden nach § 8 HinSchG, seien zwar zu berücksichtigen, rechtfertigten im konkreten Fall aber keine vollständige Verweigerung der Einsicht.
Kernaussagen der Entscheidung
Die Entscheidung stellt klar: Art. 15 DSGVO vermittelt keinen allgemeinen Anspruch auf Herausgabe vollständiger Dokumente, sondern grundsätzlich nur auf eine Kopie der verarbeiteten personenbezogenen Daten. Ein Compliance-Bericht kann jedoch über das personalaktenrechtliche Einsichtsrecht zugänglich sein, wenn er das Verhalten des Arbeitnehmers betrifft und Grundlage arbeitsrechtlicher Maßnahmen ist – unabhängig davon, ob der Arbeitgeber ihn formal in der Personalakte oder gesondert führt. Interessen von Hinweisgebenden, Zeugen oder Dritten sind dabei durch Anonymisierungen oder Schwärzungen zu schützen; sie rechtfertigen aber nicht ohne Weiteres eine vollständige Verweigerung der Einsicht. Ob das BAG diese Begründung des LAG München vollständig übernimmt, bleibt bis zur Veröffentlichung der Entscheidungsgründe abzuwarten.
Einordnung für die Praxis und Empfehlungen
Für Arbeitgeber ist die Entscheidung relevant, weil Art. 15 DSGVO in arbeitsrechtlichen Auseinandersetzungen häufig genutzt wird, um Informationen für Verteidigungs- oder Prozessstrategien zu erhalten. Pauschale Auskunftsverweigerungen bleiben riskant: Sie können Schadensersatzansprüche nach Art. 82 DSGVO auslösen und datenschutzbehördliche Prüfungen nach sich ziehen.
Zugleich begrenzt die Entscheidung den datenschutzrechtlichen Auskunftsanspruch: Beschäftigte können nicht allein deshalb die Herausgabe ganzer Compliance-Berichte verlangen, weil diese personenbezogene Daten enthalten. Wird ein Untersuchungsbericht jedoch zur Grundlage arbeitsrechtlicher Maßnahmen, kann er über das personalaktenrechtliche Einsichtsrecht zugänglich sein.
Arbeitgeber sollten Compliance-Berichte daher von Beginn an so strukturieren, dass Feststellungen, rechtliche Bewertungen, Empfehlungen und vertrauliche Angaben klar getrennt sind. So lässt sich im Streitfall gezielt Auskunft oder Einsicht gewähren, ohne berechtigte Interessen von Hinweisgebenden, Zeugen oder Dritten preiszugeben.
Zudem sollte frühzeitig ein tragfähiges Anonymisierungs- und Schwärzungskonzept mitgedacht werden, um berechtigte Interessen von Hinweisgebenden, Zeugen oder Dritten zu wahren. Vertraulichkeitszusagen sollten deshalb sorgfältig formuliert werden und gesetzliche Auskunfts- und Einsichtsrechte ausdrücklich vorbehalten.
Sie haben weitere Fragen zu diesem Thema?