LAG München: Keine Kopie des Compliance-Berichts nach Art. 15 DSGVO, aber Einsicht über die Personalakte
Viele Unternehmen kennen das Muster. Es läuft eine interne Compliance-Untersuchung. Am Ende fragt die betroffene Führungskraft nach dem Abschlussbericht und beruft sich auf Art. 15 DSGVO. Das Landesarbeitsgericht München hat dazu am 12. Juni 2025 entschieden, was geht und was nicht, Az. 2 SLa 70/25. Die Revision ist zugelassen, beim BAG läuft das Verfahren unter 8 AZR 169/25, ein Termin ist für den 21. April 2026 angekündigt.
Hintergrund
Art. 15 DSGVO gibt ein Auskunftsrecht und auch ein Recht auf eine Kopie. In der Praxis wird das oft als Anspruch auf komplette Dokumente verstanden, zum Beispiel auf ganze Ermittlungsberichte. Gleichzeitig wollen Unternehmen Hinweisgeber und Zeugen schützen und interne Untersuchungen nicht entwerten. Genau diese Spannung landet gerade oft vor Gericht.
Was wurde entschieden?
Das LAG München hat klar getrennt.
Ein Anspruch auf eine Kopie des ganzen Compliance-Abschlussberichts nach Art. 15 Abs. 3 DSGVO besteht hier nicht. Der Anspruch richtet sich auf eine Kopie der personenbezogenen Daten, nicht auf das gesamte Dokument. Eine vollständige Dokumentkopie gibt es nur ausnahmsweise, wenn sie für die Ausübung der Datenschutzrechte wirklich nötig ist und das muss die betroffene Person begründen.
Gleichzeitig hat das Gericht ein Einsichtsrecht bejaht. Die Klägerin durfte den Bericht als Teil der Personalakte einsehen, hier über § 26 Abs. 2 SprAuG. Das Gericht sagt auch, dass interne Ermittlungsunterlagen zur Personalakte gehören können, wenn sie das Arbeitsverhältnis betreffen.
Bedeutung für Unternehmen
Für Arbeitgeber ist die wichtigste Linie einfach. Art. 15 DSGVO zwingt nicht automatisch zur Herausgabe kompletter interner Berichte. Das reduziert das Risiko, dass ein gemischtes Dokument mit Fremddaten, Bewertungen und Taktikhinweisen komplett herausgegeben werden muss. Aber das Thema ist nicht erledigt, weil das Personalaktenrecht daneben steht. Wenn der Bericht zur Personalakte gehört, kann ein Einsichtsrecht greifen, auch wenn keine DSGVO-Kopie geschuldet ist. Dann müssen Sie sauber trennen, was in die Personalakte gehört und was nicht.
Praxisbeispiel
Ihr Unternehmen lässt eine externe Kanzlei Interviews führen. Der Abschlussbericht enthält Aussagen von Zeugen, eine Zusammenfassung, Bewertungen und am Ende rechtliche Hinweise an die Geschäftsleitung.
So können Sie das praktikabel aufsetzen:
Sie erstellen zwei Fassungen. Eine Aktenfassung mit den arbeitsverhältnisbezogenen Feststellungen. Und ein separates Legal Memo für Rechtsrat, Prozessstrategie und Mandantenhinweise. Dann vermeiden Sie, dass sich alles in einem Dokument vermischt und später über Akteneinsicht sichtbar wird.
So reagieren Sie richtig
Diese Punkte helfen bei Auskunft und Akteneinsicht.
-
Bauen Sie Art. 15 DSGVO Antworten datenbasiert auf, Sie liefern die personenbezogenen Daten und die Pflichtinfos aus Art. 15 Abs. 1 DSGVO, nicht automatisch ganze Dokumente.
-
Prüfen Sie, ob eine Kopie von Auszügen wirklich nötig wäre, und dokumentieren Sie Ihre Begründung.
-
Ordnen Sie Internal Investigations konsequent ein, was arbeitsverhältnisbezogen ist, kann Personalakte sein, was Rechtsrat ist, gehört getrennt.
-
Schützen Sie Hinweisgeber und Zeugen durch Anonymisierung, bevor Einsicht gewährt wird, sonst schaffen Sie sich ein Problem.
-
Vermeiden Sie Geheimakten, wenn etwas materiell zur Personalakte gehört, dürfen Sie es nicht parallel verstecken und dann Einsicht verweigern.
-
Legen Sie einen Standardprozess fest, wer schwärzt, wer prüft, wer freigibt, und wie Sie jede Entscheidung nachvollziehbar dokumentieren.
Unsere Empfehlung
Nehmen Sie das Urteil als Anlass, Ihre Prozesse für Art. 15 DSGVO und für Personalakten zu verbinden. Trennen Sie Ermittlungsfakten und Rechtsrat in der Dokumentation. Und anonymisieren Sie konsequent, bevor Sie Einsicht geben, dann bleiben Compliance und Datenschutz handhabbar.
Sind Sie sich sicher, ob Ihr Unternehmen im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks
Sie möchten über neue Beiträge automatisch informiert werden? Dann jetzt anmelden!
Abonnieren