Compliance-Berichte: Beschuldigte haben keinen Anspruch auf Kopie

Das Landesarbeitsgericht München stärkt den Schutz von Hinweisgebern: Beschuldigte Mitarbeiter können nicht automatisch vollständige Kopien interner Compliance-Berichte verlangen – auch nicht unter Berufung auf die DSGVO. Ein Urteil mit weitreichenden Folgen für Unternehmen.

Die rechtliche Grauzone zwischen Auskunftsrecht und Whistleblower-Schutz hat endlich klarere Konturen bekommen. Jahrelang nutzten beschuldigte Arbeitnehmer Artikel 15 der Datenschutz-Grundverordnung (DSGVO) taktisch, um an komplette Untersuchungsberichte zu gelangen – oft mit dem Ziel, Hinweisgeber zu identifizieren oder interne Bewertungen anzufechten. Das Münchner Gericht schiebt dieser Praxis nun einen Riegel vor.

Die gestern veröffentlichte Analyse des Urteils (Az. 2 SLa 70/25) macht deutlich: Das Auskunftsrecht bedeutet nicht automatisch ein Recht auf Aushändigung ganzer Dokumente. Stattdessen kann das Recht auf Information oft durch bloße Einsichtnahme erfüllt werden – ohne dass der Beschuldigte eine Kopie mit nach Hause nimmt.

Viele Unternehmen unterschätzen die Anforderungen des Hinweisgeberschutzgesetzes – und riskieren dadurch Datenschutzverstöße und die Enttarnung von Hinweisgebern. Unser kostenloser Praxisleitfaden erklärt Schritt für Schritt, wie Sie Meldestellen DSGVO-konform aufsetzen, Untersuchungsberichte rechtssicher schwärzen und Einsichtnahmeprozesse gestalten, ohne die Rechte Beschuldigter zu verletzen. Enthalten: Checklisten, Vorlagen und Umsetzungspläne für Compliance- und Rechtsabteilungen. Kostenlosen Praxisleitfaden zum Hinweisgeberschutzgesetz herunterladen

„Diese Entscheidung schafft bedeutsame Leitplanken”, kommentierten Rechtsexperten die Entwicklung. „Sie bestätigt, dass der Schutz von Hinweisgebern und Geschäftsgeheimnissen die Form der Informationsgewährung begrenzen kann.”

Ausgangspunkt war ein Konflikt zwischen einer leitenden Angestellten und ihrem Arbeitgeber. Über die Ombudsstelle waren Meldungen eingegangen, die einen „problematischen Führungsstil” anprangerten – mit Vorwürfen von Einschüchterung und respektlosem Verhalten. Die Compliance-Abteilung leitete eine interne Untersuchung ein.

Nach Abschluss der Prüfung, die zu einem Kündigungsverfahren führte, forderte die Führungskraft die vollständige Kopie des Abschlussberichts unter Berufung auf Artikel 15 Absatz 3 DSGVO. Das Unternehmen lehnte ab: Der Bericht enthalte sensible Hinwegeberdaten und Geschäftsgeheimnisse.

Das LAG München gab dem Arbeitgeber weitgehend recht – zumindest beim Format der Auskunft. Die Richter stellten klar: Die Führungskraft habe zwar ein Recht zu erfahren, welche personenbezogenen Daten verarbeitet wurden. Einen Anspruch auf das Dokument selbst gebe es aber nur, wenn dies zur Rechtswahrnehmung „unerlässlich” sei. Im konkreten Fall genügte die Möglichkeit, den stark geschwärzten Bericht vor Ort einzusehen.

Schwärzungen sind Pflicht

Besonders bedeutsam für Compliance-Verantwortliche: Das Gericht betont, dass Arbeitgeber nicht nur schwärzen dürfen, sondern faktisch müssen. Alle Informationen, die Rückschlüsse auf die Identität eines Hinweisgebers erlauben könnten, sind zu entfernen. Dies entspricht den strikten Vertraulichkeitsgeboten des Hinweisgeberschutzgesetzes (HinSchG).

Die Richter stellten zudem klar: Zu den „personenbezogenen Daten” des Beschuldigten gehören weder die subjektiven Einschätzungen der Ermittler noch automatisch die ungeschwärzten Aussagen von Zeugen. Diese Interpretation engt den Rahmen dessen, was Beschuldigte erfolgreich verlangen können, erheblich ein – und schließt ein Schlupfloch, das bisher zum „Fishing” nach Informationen genutzt wurde.

Im konkreten Fall leitete sich das Einsichtsrecht der Führungskraft auch aus Paragraf 26 des Sprecherausschussgesetzes (SprAuG) ab, das leitenden Angestellten Zugang zu ihrer Personalakte gewährt. Doch selbst dieses Recht steht unter dem Vorbehalt des Schutzes Dritter und legitimer Geschäftsgeheimnisse.

Was Unternehmen jetzt tun sollten

Die Entwicklung dürfte den Umgang mit Auskunftsersuchen während und nach internen Ermittlungen grundlegend verändern. „Damit ist Schluss mit der Praxis, aus Angst vor DSGVO-Bußgeldern ungeschwärzte Untersuchungsakten herauszugeben”, kommentierte ein Compliance-Analyst.

Unternehmen wird geraten:
* Fakten von Bewertungen trennen: Klare Unterscheidung zwischen tatsächlichen Vorwürfen (auskunftspflichtig) und rechtlichen Bewertungen oder Ermittlernotizen (möglicherweise geschützt)
* Geschwärzte Versionen vorbereiten: Proaktiv „bereinigte” Berichtsversionen erstellen, die Beschuldigten gezeigt werden können, ohne die Anonymität von Hinweisgebern zu gefährden
* Kopien begrenzen: Standardmäßig nur Einsichtnahme vor Ort anbieten statt digitale Kopien zu versenden – es sei denn, die konkreten Umstände machen eine Kopie unverzichtbar

Zwar könnte die Angelegenheit letztlich noch das Bundesarbeitsgericht (BAG) erreichen. Bis dahin dient dieses Urteil jedoch als maßgeblicher Maßstab für deutsche Unternehmen an der komplexen Schnittstelle von Datenschutz und Compliance. Rechtsabteilungen im ganzen Land aktualisieren bereits ihre Leitlinien für interne Untersuchungen.

PS: Müssen Ihre Leitlinien für interne Ermittlungen aktualisiert werden? Der kostenlose HinSchG-Leitfaden liefert fertige Muster für geschwärzte Berichtsversionen, praktische Abläufe für Vor-Ort-Einsichten und Antworten zur Abgrenzung gegenüber Art. 15 DSGVO – ideal für Compliance-Teams, die schnell rechtssichere Prozesse implementieren wollen. Sofort-Download, direkt einsetzbare Vorlagen. Jetzt kostenlosen HinSchG-Leitfaden sichern