Interne Compliance-Untersuchungen gehören inzwischen zum Alltag vieler Unternehmen. Kommt es zu Vorwürfen gegen Beschäftigte, werden häufig externe Kanzleien oder interne Ermittler eingeschaltet, die den Sachverhalt prüfen und ihre Ergebnisse in einem Bericht festhalten. Doch was passiert, wenn ein betroffener Arbeitnehmer wissen möchte, welche Informationen über ihn gesammelt wurden? Darf er den vollständigen Bericht verlangen oder zumindest eine Kopie davon erhalten? Mit genau dieser Frage hat sich das Landesarbeitsgericht (LAG) München beschäftigt und wichtige Leitlinien zum datenschutzrechtlichen Auskunftsanspruch nach der DSGVO aufgestellt (LAG München 12. Juni 2025 – 2 SLa 70/25).

Der Hintergrund

Eine leitende Angestellte war seit 2015 bei ihrem Arbeitgeber beschäftigt. Während sie in Elternzeit war, gingen über eine Ombudsfrau Beschwerden über ihr Führungsverhalten ein (einschüchternd, respektlos). Daraufhin führte das Unternehmen eine interne Compliance-Untersuchung durch. Der dabei erstellte Abschlussbericht diente auch als Grundlage für eine Kündigungsabsicht des Arbeitgebers. Die Arbeitnehmerin verlangte daraufhin vom Arbeitgeber die Herausgabe einer Kopie des Compliance-Berichts bzw. mindestens die Einsichtnahme.

Was sind Compliance-Untersuchungen und Internal Investigations?

Compliance-Untersuchungen, auch Internal Investigations genannt, sind interne Ermittlungen eines Unternehmens bei Verdacht auf Regelverstöße. Dabei kann es um ganz unterschiedliche Vorwürfe gehen, etwa um Diskriminierung, Machtmissbrauch, Korruption, Betrug oder Verstöße gegen interne Richtlinien. Die Untersuchungen beruhen häufig auf Hinweisen aus einem Hinweisgebersystem oder auf internen Beschwerden. Am Ende steht in der Regel ein schriftlicher Bericht, der Sachverhalte zusammenfasst, Aussagen bewertet und rechtliche Einschätzungen enthält. Diese Berichte enthalten fast immer personenbezogene Daten – sowohl über die beschuldigte Person als auch über Zeugen oder Hinweisgeber.

Der Auskunftsanspruch nach der DSGVO

Nach Art. 15 der Datenschutz-Grundverordnung (DSGVO) hat jede Person das Recht zu erfahren, ob und welche personenbezogenen Daten über sie verarbeitet werden. Dazu gehört grundsätzlich auch das Recht, eine Kopie dieser personenbezogenen Daten zu erhalten. In der Praxis wurde dieser Anspruch von Beschäftigten zunehmend genutzt, um vollständige Compliance-Berichte anzufordern, insbesondere wenn sie sich gegen arbeitsrechtliche Maßnahmen wie Abmahnungen oder Kündigungen verteidigen wollten.

Das LAG München hat nun klargestellt, dass dieser Auskunftsanspruch Grenzen hat. Entscheidend ist nicht das Dokument als solches, sondern der Inhalt: Geschützt sind nur die personenbezogenen Daten der betroffenen Person, nicht der gesamte Bericht als Einheit. Der Sinn des Auskunftsrechts liegt darin, betroffenen Personen einen Überblick über die sie betreffenden Daten zu verschaffen. Dazu reicht es grundsätzlich aus, wenn ihnen die Inhalte mitgeteilt oder zur Einsicht bereitgestellt werden. Ein Anspruch auf vollständige Kopien besteht nur dann, wenn eine bloße Einsicht nicht genügt, um die Rechte der betroffenen Person wirksam zu schützen.

Im vorliegenden Fall reicht es nach Auffassung des Gerichts jedoch aus, dass der Klägerin der Bericht zur Einsicht vorgelegt wird. Auf diese Weise konnte sie nachvollziehen, welche Informationen über sie vorhanden sind und zu welchem Zweck diese genutzt werden. Gründe, warum eine Kopie des gesamten Berichts für die Wahrnehmung ihrer Rechte erforderlich sei, hat die Klägerin nach Auffassung des Gerichts nicht hinreichend dargelegt.

Zudem überzeugte der Einwand des Arbeitgebers nicht, der Compliance-Bericht beziehungsweise dessen Inhalte als Geschäftsgeheimnis geschützt seien. Eine Art „verdeckte Personalakte“ ist arbeitsrechtlich nicht zulässig. Informationen, die inhaltlich zur Personalakte gehören, können gegenüber der betroffenen Arbeitnehmerin nicht als Geschäftsgeheimnis abgeschirmt werden.

Schwärzungen zum Schutz von Hinweisgebern und Zeugen

Der Auskunftsanspruch ist jedoch einzuschränken, wenn Rechte und Interessen Dritter dadurch tangiert werden. Der Arbeitgeber darf daher bestimmte Stellen im Bericht schwärzen. Das ist vor allem dann nötig, wenn sonst die Personen erkennbar wären, die Hinweise gegeben oder als Zeugen ausgesagt haben. Wenn ihnen Anonymität versprochen wurde, muss der Arbeitgeber diese Zusage einhalten. Er darf also nur den Teil des Berichts zur Personalakte nehmen, der nichts über die Identität dieser Personen verrät.

Auch rechtliche Einschätzungen der Anwaltskanzlei, die die Untersuchung durchgeführt hat, muss der Arbeitgeber nicht zeigen. Diese Einschätzungen gehören nach Ansicht des Gerichts nicht zur Personalakte der Arbeitnehmerin, weil sie keinen direkten Bezug zu ihrem Arbeitsverhältnis haben.

Wichtig für das Gericht war außerdem Folgendes: Compliance-Untersuchungen funktionieren nur, wenn Hinweisgeber und Zeugen keine Angst vor Konsequenzen haben. Deshalb dürfen alle Infos, die Rückschlüsse auf andere Personen zulassen, unkenntlich gemacht werden. Allerdings kann sich der Arbeitgeber nicht einfach auf den Schutz anderer Personen berufen, um gar nichts herauszugeben. Er muss genau prüfen, welche Teile gezeigt werden können und welche geschwärzt werden müssen, um die Rechte aller Beteiligten zu schützen.

Bedeutung für die Praxis in Unternehmen

Für Unternehmen bedeutet das Urteil, dass sie ihre internen Prozesse überprüfen sollten. Compliance-Berichte sollten klar strukturiert sein und personenbezogene Daten möglichst sauber von rechtlichen Bewertungen trennen. Das erleichtert es, später Auskunftsansprüche zu erfüllen, ohne sensible Informationen unnötig preiszugeben. Gleichzeitig zeigt die Entscheidung, dass Arbeitgeber nicht verpflichtet sind, interne Ermittlungsberichte vollständig herauszugeben, was die Funktionsfähigkeit von Compliance-Systemen stärkt.

Auswirkungen für Arbeitnehmer und Betroffene

Für Arbeitnehmer ist das Urteil ebenfalls bedeutsam. Es bestätigt, dass sie ein Recht auf Transparenz haben und erfahren dürfen, welche personenbezogenen Daten über sie im Rahmen einer Compliance-Untersuchung verarbeitet wurden. Gleichzeitig müssen sie akzeptieren, dass dieses Recht nicht so weit geht, komplette interne Berichte zu erhalten. Wer Einsicht verlangt, sollte daher konkret benennen, welche Informationen ihn betreffen und warum diese für ihn relevant sind.

Kernaussage: Klarere Grenzen beim DSGVO-Auskunftsanspruch

Das Urteil des LAG München schafft somit mehr Rechtssicherheit im Spannungsfeld zwischen Datenschutz, Arbeitsrecht und Compliance. Es stärkt den Auskunftsanspruch von Beschäftigten, zieht aber klare Grenzen beim Anspruch auf Kopien interner Ermittlungsberichte. Unternehmen müssen Transparenz herstellen, dürfen jedoch sensible interne Dokumente und die Interessen von Hinweisgebern schützen. Für beide Seiten gilt: Der Auskunftsanspruch nach Art. 15 DSGVO ist ein wichtiges Instrument – aber kein Freifahrtschein für uneingeschränkten Dokumentenzugang.

Lesen Sie auch: Arbeitsrecht trifft Datenschutz – Was Arbeitgeber und Arbeitnehmer wissen sollten | Urteil im Volltext: LAG München, 12. Juni 2025 – 2 SLa 70/25