Compliance-Berichte: Keine Herausgabepflicht an Mitarbeiter

Das Landesarbeitsgericht München hat heute eine Grundsatzentscheidung getroffen, die HR-Abteilungen aufatmen lässt: Mitarbeiter haben keinen automatischen Anspruch auf eine vollständige Kopie interner Compliance-Untersuchungsberichte. Die Entscheidung bringt endlich Klarheit ins Spannungsfeld zwischen Datenschutzrechten und vertraulichen Ermittlungen.

Das Urteil (Az. 2 SLa 70/25) ist mehr als nur eine juristische Spitzfindigkeit. Es beendet einen Konflikt, der Personalabteilungen seit Jahren Kopfzerbrechen bereitet: Wie weit reicht das Auskunftsrecht von Mitarbeitern nach der DSGVO, wenn es um sensible Untersuchungsberichte geht? Die Münchner Richter haben nun eine klare Linie gezogen – und dabei besonders den Schutz von Hinweisgebern in den Fokus gerückt.

Im Zentrum stand eine leitende Angestellte, die nach einer internen Untersuchung ihres Führungsstils die vollständige Herausgabe des Untersuchungsberichts verlangte. Whistleblower hatten ihr zuvor ein “einschüchterndes und respektloses” Verhalten vorgeworfen. Der daraufhin erstellte Bericht enthielt Zeugenaussagen, rechtliche Bewertungen und eine Zusammenfassung der Erkenntnisse.

Doch das Gericht erteilte dem Kopie-Anspruch eine klare Absage. Die Richter stellten fest: Das “Recht auf Kopie” nach Artikel 15 Absatz 3 DSGVO bezieht sich auf die verarbeiteten personenbezogenen Daten – nicht auf das Dokument als Ganzes.

Das Hinweisgeberschutzgesetz und die DSGVO verlangen klare Meldewege und Vertraulichkeitsregeln – viele Unternehmen machen dabei formale Fehler. Unser kostenloser Praxisleitfaden erklärt, wie Sie interne Meldestellen DSGVO‑konform einrichten, Whistleblower schützen und rechtliche Fallstricke vermeiden. Enthalten: Checklisten, konkrete Handlungsanweisungen und Musterprozesse für Compliance‑ und HR‑Abteilungen. Kostenlosen Praxisleitfaden zum Hinweisgeberschutzgesetz herunterladen

“Das Urteil schiebt einen Riegel vor sogenannte Fishing Expeditions”, erklärt Rechtsexperte Tobias Neufeld im aktuellen Expertenforum Arbeitsrecht. “Mitarbeiter können nicht mehr unter dem Deckmantel der DSGVO versuchen, sich komplette Untersuchungsakten zu beschaffen, um daraus Material für Klagen zu gewinnen.”

Diese Unterscheidung ist entscheidend: Während Mitarbeiter ihre persönlichen Daten einsehen dürfen, bleiben rechtliche Analysen, Geschäftsgeheimnisse und Daten Dritter geschützt.

Einsichtsrecht ja – aber mit klaren Grenzen

Ganz ohne Zugang bleiben Betroffene dennoch nicht. Das LAG München räumt ein Einsichtsrecht nach § 83 Betriebsverfassungsgesetz ein – allerdings unter strengen Bedingungen. Wenn ein Compliance-Bericht zur Personalakte gehört und etwa einer Kündigung zugrunde liegt, darf der Mitarbeiter ihn einsehen.

Die Krux: Die Firma muss vorher sensible Informationen schwärzen. Was nach bürokratischem Aufwand klingt, dient einem höheren Zweck: dem Schutz von Zeugen und Hinweisgebern. Der Mitarbeiter kann die Vorwürfe nachvollziehen, ohne dass die Integrität der Untersuchung oder die Anonymität von Whistleblowern gefährdet wird.

Whistleblower-Schutz als rote Linie

Besonders bemerkenswert: Die Münchner Richter betonen die Pflicht zur Schwärzung identifizierender Informationen. Wer Hinweisgebern Vertraulichkeit zusichert, muss diese auch einhalten – notfalls gegen das Auskunftsinteresse des betroffenen Mitarbeiters.

“Das Hinweisgeberschutzgesetz setzt hier klare Grenzen”, so das Urteil. “Die Zusicherung der Vertraulichkeit ist rechtlich bindend.” Diese Klarstellung dürfte insbesondere für Compliance-Abteilungen Gold wert sein, die regelmäßig mit anonymen Meldungen arbeiten.

Kein Wunder also, dass die Entscheidung in der Fachwelt als Meilenstein gefeiert wird. Sie schafft ein stabiles Fundament für interne Ermittlungen, ohne die Rechte der Beschuldigten komplett auszuhebeln.

Was Unternehmen jetzt tun sollten

Die Praxisimplikationen sind weitreichend. Compliance- und HR-Verantwortliche können aufatmen – sollten aber nicht in Passivität verfallen. Drei Handlungsfelder kristallisieren sich heraus:

Datenstrukturierung: Berichte sollten so aufgebaut sein, dass personenbezogene Daten des Betroffenen klar von rechtlichen Bewertungen und Zeugenaussagen getrennt sind. Das erleichtert die spätere Herausgabe einzelner Datenpunkte erheblich.

Schwärzungsprozesse: Robuste Verfahren zur Anonymisierung sind unverzichtbar. Wer kann auf welcher Ebene was schwärzen? Welche Dokumentationspflichten bestehen? Diese Fragen sollten geklärt sein, bevor der erste Einsichtsantrag auf dem Tisch liegt.

Dokumentenklassifizierung: Was gehört zur Personalakte, was sind reine Arbeitsdokumente der Ermittlung? Eine saubere Trennung verhindert spätere Rechtsstreitigkeiten über den Umfang von Einsichtsrechten.

Ob das Bundesarbeitsgericht die Entscheidung bestätigen wird, bleibt abzuwarten. Rechtsbeobachter rechnen fest damit – und dann wäre die jahrelange Unsicherheit im Zusammenspiel von DSGVO und internen Untersuchungen endgültig Geschichte.

Vorerst aber gilt: Die Vertraulichkeit von Compliance-Prozessen hat einen wichtigen Verbündeten gefunden. Unternehmen können Fehlverhalten untersuchen, ohne befürchten zu müssen, dass ihre Erkenntnisse sofort vollständig offengelegt werden müssen.

PS: Sie wollen sofort handlungsfähig sein, wenn interne Hinweise eingehen? Der Gratis‑Leitfaden zur Umsetzung des Hinweisgeberschutzgesetzes zeigt Schritt für Schritt, wie Sie Meldekanäle datenschutzkonform gestalten, Vertraulichkeit sichern und Prozesse dokumentieren – ohne teure Berater. Ideal für Compliance‑Verantwortliche und HR. Gratis‑Leitfaden jetzt anfordern