Das Thema
Dem Verfahren vor dem LAG München (Urt. v. 12.06.2025 – 2 SLa 70/25) lag folgender Sachverhalt zugrunde: Die Klägerin war seit 2015 als leitende Angestellte bei der Beklagten beschäftigt. Die Compliance-Abteilung erhielt über eine Ombudsfrau Hinweise auf ein problematisches Führungsverhalten der Klägerin. Ihr wurde ein einschüchternder, herabwürdigender und respektloser Führungsstil vorgeworfen. Daraufhin führte das Unternehmen eine Compliance-Untersuchung durch, deren Abschlussbericht Gegenstand des arbeitsgerichtlichen Verfahrens war. Von diesem Bericht existieren zwei Fassungen: eine Vorabfassung mit ergänzenden rechtlichen Ausführungen und Mandantenhinweisen sowie eine finale Version ohne diese Zusätze. Im Anschluss an die Untersuchung strengte die Beklagte die Kündigung der leitenden Angestellten an. Diese begehrte daraufhin die Herausgabe einer Kopie des Compliance-Berichts, hilfsweise Einsicht in den Bericht.
Kein Auskunftsanspruch nach Art. 15 DSGVO
Das LAG München stellt klar, dass Art. 15 Abs. 3 Satz 1 DSGVO keinen gegenüber Art. 15 Abs. 1 DSGVO eigenständigen Anspruch auf Zurverfügungstellung von Dokumenten gewährt. Der Begriff „Kopie“ bezieht sich nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält.
Nur wenn die Zurverfügungstellung einer Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer durch die DSGVO verliehenen Rechte zu ermöglichen, besteht ein Anspruch auf Kopien ganzer Dokumente (hier: kompletter Compliance-Bericht). Hierfür besteht keine generelle Vermutung. Vielmehr obliegt es der betroffenen Person darzulegen, dass die Kopie der personenbezogenen Daten sowie die Mitteilung der Informationen nach Art. 15 Abs. 1 DSGVO für die Wahrnehmung ihrer Rechte nicht genügen.
Das LAG München führt dazu aus, dass der streitige Compliance-Bericht über die personenbezogenen Daten der Klägerin hinaus eine Vielzahl weiterer (schutzwürdiger) Daten enthält:
- personenbezogene Daten der Zeugen,
- Zusammenfassungen der Aussagen,
- Wertungen und Würdigungen durch die Ermittler sowie rechtliche Bewertungen.
Bereits Aussagen der Zeugen über ihre eigenen Empfindungen seien keine personenbezogenen Daten der Klägerin. Diese benötigt zur Überprüfung der datenschutzrechtlichen Zulässigkeit keine Informationen darüber, welche Schlüsse der Arbeitgeber aus den erhobenen Daten zieht. Um personenbezogene Daten der Klägerin handelt es sich im Ergebnis laut LAG München nur, soweit Tatsachen über die Mitarbeiterin selbst bzw. ihr Verhalten behauptet werden.
Auswirkung des Hinweisgeberschutzes
Das Gericht ließ offen, ob der Arbeitgeber die Überlassung einer Kopie des Compliance-Berichts nach § 29 Abs. 1 Satz 2 BDSG zum Schutz der Hinweisgeber nach § 8 HinSchG verweigern konnte, da bereits aus anderen Gründen kein Anspruch bestand. Die Vorinstanz hatte hierzu zutreffend festgestellt, dass der sachliche Anwendungsbereich des HinSchG im vorliegenden Fall nicht eröffnet ist, weil sich die Hinweise nicht auf einen in § 2 HinSchG genannten Verstoß beziehen. Die Beklagte hatte lediglich ein Führungsfehlverhalten gemeldet, nicht aber eine Straftat oder Ordnungswidrigkeit.
Auswirkung des Schutzes von Geschäftsgeheimnissen
Auch die Frage, ob der Compliance-Bericht bzw. dessen Inhalte schutzwürdige Geschäftsgeheimnisse des Arbeitgebers darstellen, welche nach EG 63 Satz 5 DSGVO zu schützen wären, musste das Gericht nicht entscheiden, da bereits aus Art. 15 Abs. 3 DSGVO kein Anspruch auf Überlassung einer Kopie des gesamten Berichts folgt [1.8]. Diesen Aspekt hat das LAG München dafür bei den nachfolgenden Erwägungen zur Einsicht in die Personalakte aufgegriffen.
Compliance-Bericht als Teil der Personalakte
Nach § 26 Abs. 2 Satz 1 SprAuG hat ein leitender Angestellter das Recht, in die über ihn geführten Personalakten Einsicht zu nehmen. Personalakten sind eine Sammlung von Urkunden und Vorgängen, die die persönlichen und dienstlichen Verhältnisse eines Mitarbeiters betreffen und in einem inneren Zusammenhang mit dem Dienstverhältnis stehen. Die Zugehörigkeit bestimmt sich nach dem materiellen Personalaktenbegriff aufgrund inhaltlicher Kriterien. Auch interne Ermittlungsakten sind Teil der Personalakte der betroffenen Mitarbeiter.
Der streitgegenständliche Compliance-Bericht zählt zur Personalakte der Klägerin, da er sich auf ihr Verhalten im Arbeitsverhältnis, namentlich auf ihr Führungsverhalten, bezieht. Der innere Zusammenhang werde auch daran deutlich, dass das Unternehmen die Ergebnisse zum Anlass genommen hat, eine Kündigung anzustrengen.
Das Einsichtsrecht ist gesetzlich nicht eingeschränkt. Insbesondere gefährdet eine Einsichtnahme vorliegend keine laufende interne Untersuchung, da die Ermittlungen bereits abgeschlossen sind.
Der Einwand des Arbeitgebers, der Compliance-Bericht bzw. dessen Inhalte würden ein Geschäftsgeheimnis darstellen, greift aus Sicht des LAG München nicht durch. Eine geheime Personalakte sei nicht zulässig. Der Inhalt der Personalakte im materiellen Sinne kann kein gegenüber dem betroffenen Arbeitnehmer geschütztes Geschäftsgeheimnis darstellen.
Anonymisierung zulässig
Die vorstehenden Ausführungen des LAG München bedeuten jedoch nicht, dass die Arbeitnehmerin Einsicht in den vollständigen Compliance-Bericht bekommt. Aus Sicht des LAG München sind Schwärzungen des Compliance-Berichts zulässig und im Sinne eines Hinweisgeberschutzes auch zwingend. Sichert der Arbeitgeber bei Hinweisen aus der Belegschaft dem Hinweisgeber die Wahrung seiner Anonymität zu, so ist er nicht befugt, Daten weiterzugeben, die die Person offenlegen oder Rückschlüsse zulassen. Weil aber das Führen von Geheimakten im Rahmen der Personalakte unzulässig ist, kann der Arbeitgeber bei Zusicherung der Anonymität nur den Teil des Hinweises zur Personalakte nehmen, der die Person des Hinweisgebers nicht offenbart.
Die Teile der Mitteilungen eines Hinweisgebers, dem Anonymität zugesichert worden ist, sind durch Schwärzung oder eine sonstige technische Vorkehrung unkenntlich zu machen, sodass weder die Person erkennbar ist, noch Rückschlüsse möglich sind. Es obliegt dabei dem Arbeitgeber, eine angemessene Anonymisierung des Compliance-Berichts vorzunehmen, damit sowohl das Einsichtsrecht der Arbeitnehmerin in die eigene Personalakte als auch der Schutz der Hinweisgeber sichergestellt sind.
Zudem sind diejenigen Teile, die sich auf rechtliche Bewertungen der mit der Compliance-Untersuchung beauftragten Kanzlei beziehen, nicht zur Verfügung zu stellen, da diese laut LAG München mangels unmittelbaren Bezugs zum Arbeitsverhältnis der Klägerin nicht Bestandteil der Personalakte im materiellen Sinne waren.
Fazit und Handlungsempfehlung
Der Arbeitnehmerin steht nach dem LAG München im Ergebnis ein Einsichtsrecht in eine geschwärzte Fassung des finalen Compliance-Berichts zu. Rechtliche Einordnungen der beauftragten Rechtsanwälte und Informationen zu schutzwürdigen Zeugen sind zu anonymisieren.
Das LAG München hat eine sachgerechte Differenzierung vorgenommen:
- Arbeitnehmer haben keinen datenschutzrechtlichen Anspruch auf Herausgabe einer Kopie des vollständigen Compliance-Abschlussberichts aus Art. 15 Abs. 1 Hs. 2, Abs. 3 Satz 1 DSGVO.
- Ihnen steht jedoch ggf. aufgrund von § 26 Abs. 2 Satz 1 SprAuG ein Anspruch auf Einsichtnahme in Compliance-Berichte zu, soweit diese als Teil der Personalakte anzusehen sind.
- Arbeitgeber dürfen (und müssen) durch Anonymisierungen einen angemessenen Schutz von Hinweisgebern sicherstellen.
Damit gibt das Gericht den Beteiligten sinnvolle Leitplanken für den Umgang mit Ermittlungsergebnissen aus Internal Investigations an die Hand. Das Interesse des Arbeitgebers an der Aufklärung etwaiger Rechts- oder Richtlinienverstöße sowie der Schutz von Hinweisgebern bleiben gewahrt. Gleichzeitig stehen Arbeitnehmern, die von arbeitsrechtlichen Folgemaßnahmen betroffen sind, angemessene Einsichtsrechte zu, um ihre Rechte zu wahren.
Es empfiehlt sich, nicht nur die Durchführung einer Internal Investigation arbeits- und datenschutzrechtlich begleiten zu lassen, sondern auch die Dokumentation der Ergebnisse unter Beachtung der vorstehendenden Erwägungen so vorzunehmen, dass etwaigen Einsichtsansprüchen schnell und rechtssicher begegnet werden kann. In der Praxis sollte daher der arbeits- und datenschutzrechtliche Berater auf Basis des Compliance-Berichts eine Personalakten-taugliche (Zusammen-)Fassung erstellen, damit das Unternehmen sowohl angemessenen Compliance-Maßnahmen als auch arbeitsrechtlichen Dokumentations- und Transparenzpflichten genügen kann.
Es bleibt abzuwarten, wie das BAG in dieser Sache entscheidet.
