Wer interne Untersuchungen führt, wer Hinweisgebersysteme aufsetzt, wer als Unternehmensverteidiger Compliance-Berichte verantwortet – für all diese Akteure verändert das Urteil des LAG München vom 12. Juni 2025 die Architektur der Risikolandschaft. Die Entscheidung (Az. 2 SLa 70/25) ist nicht rechtskräftig; die Revision ist beim BAG unter dem Az. 8 AZR 169/25 anhängig. Doch schon jetzt steht fest: Die Verteidigungslinien müssen neu gezogen werden.
Das Gericht hat eine doppelte Weichenstellung vorgenommen, deren strategische Folgen in der Praxis bislang unterschätzt werden. Die Richter schließen den Anspruch auf Herausgabe einer vollständigen Kopie nach Art. 15 DSGVO weitgehend aus – und öffnen zugleich über das Einsichtsrecht in die Personalakte (§ 26 Abs. 2 S. 1 SprAuG bzw. § 83 Abs. 1 S. 1 BetrVG) die Hintertür zum Bericht. Was auf den ersten Blick wie ein Sieg für den Arbeitgeber aussieht, ist bei genauer Betrachtung ein nüchterner Hinweis auf strukturelle Schwachstellen interner Untersuchungen.
Der Sachverhalt: Compliance-Untersuchung gegen leitende Angestellte
Eine leitende Angestellte mit einer Jahreszielvergütung von 179.600 Euro brutto zzgl. Aktienvergütung wurde im April 2023 von drei Mitarbeitern bei der Ombudsperson wegen ihres Führungsstils angezeigt – einschüchternd, herabwürdigend, respektlos und unehrlich. Das Unternehmen beauftragte daraufhin eine externe Kanzlei mit einer internen Compliance-Untersuchung. Vom 25. August 2023 bis zum 11. Januar 2024 wurde ermittelt; der Abschlussbericht datiert auf den 31. Januar 2024, eine finale Fassung folgte am 6. Februar 2024.
Mit Schreiben vom 20. Februar 2024 beantragte das Unternehmen beim Gewerbeaufsichtsamt nach § 18 Abs. 1 S. 2 BEEG, die außerordentliche, hilfsweise ordentliche Kündigung des Arbeitsverhältnisses während der Elternzeit für zulässig zu erklären – gestützt auf die Ergebnisse der Untersuchung. Die Mitarbeiterin wollte den Bericht sehen. Sie bezweifelte die Objektivität der Untersuchung, verwies auf einen vermeintlichen Interessenkonflikt der untersuchungsführenden Kanzlei und beanspruchte unter Art. 15 DSGVO eine vollständige Kopie – allenfalls mit Schwärzungen einzelner Namen und Passagen. Das ArbG München gab ihr in erster Instanz im Hauptantrag recht (Endurteil v. 16.1.2025). Das LAG München kassierte diese Entscheidung in diesem Punkt – sprach ihr aber über das Einsichtsrecht in die Personalakte den faktischen Zugang zum Bericht in seiner Fassung vom 6.2.2024 doch zu.
Erste Weichenstellung: Art. 15 DSGVO eng ausgelegt
Das LAG vollzieht hier konsequent die Linie nach, die EuGH und BFH vorgezeichnet haben. Drei Punkte sind aus Sicht der Unternehmensverteidigung entscheidend.
Kein eigenständiger Anspruch auf Dokumentenkopie
Art. 15 Abs. 3 S. 1 DSGVO gewährt keinen eigenständigen Anspruch auf Herausgabe von Dokumenten gegenüber Art. 15 Abs. 1 DSGVO. Die „Kopie“ bezieht sich auf die personenbezogenen Daten – nicht auf das Trägerdokument als solches. Wer Akten oder Berichte will, muss konkret begründen, warum genau dieses Dokument unerlässlich ist, um seine Rechte aus der DSGVO wahrzunehmen. Das Gericht knüpft hier an die EuGH-Entscheidungen C-307/22 und C-487/21 sowie die BFH-Rechtsprechung (IX R 35/21) an: Eine generelle Vermutung der Unerlässlichkeit existiert nicht. Die Darlegungslast trägt der Anspruchsteller.
Enge Definition personenbezogener Daten im Compliance-Bericht
Dogmatisch besonders interessant ist die scharfe Trennlinie, die das Gericht zwischen „personenbezogenen Daten“ und „Bewertung/Kontext“ zieht. Personenbezogene Daten der Betroffenen sind nur jene Angaben, die Tatsachen über sie bzw. ihr Verhalten betreffen. Empfindungen der Zeugen über das Arbeitsumfeld, ordnende und vergleichende Ausführungen der Ermittler, rechtliche Würdigungen der untersuchungsführenden Kanzlei, Empfehlungen für arbeitsrechtliche Konsequenzen – all das qualifiziert das Gericht ausdrücklich nicht als personenbezogene Daten der Betroffenen. Der Bericht als Ganzes gehe „weit über“ eine Verarbeitung ihrer personenbezogenen Daten hinaus.
Restriktive Anwendung des Unerlässlichkeitsmaßstabs
Den EuGH-Maßstab der „Unerlässlichkeit“ wendet das LAG bemerkenswert restriktiv an. Das Argument der Klägerin, sie wolle die Objektivität der Untersuchung, die Interviewführung und die Einordnung der Aussagen prüfen, lief ins Leere. Die datenschutzrechtliche Prüfung, so das Gericht, erfordere keine Kenntnis der Schlüsse, die das Unternehmen oder die Kanzlei aus den Daten ziehen. Diese Linie ist rechtsdogmatisch sauber, aber praktisch streitbar. Der EuGH hat in der Rechtssache C-307/22 (FT/DW) ausdrücklich anerkannt, dass die Kontextualisierung verarbeiteter Daten Voraussetzung ihrer Verständlichkeit sein kann – etwa bei medizinischen Befunden, die nur durch ihre Einbettung verständlich werden. Bei narrativ aufgebauten Compliance-Berichten kann die Einbettung einzelner Äußerungen entscheidend dafür sein, ob die Verarbeitung aus Sicht des Betroffenen fair und transparent erscheint.
Die unaufgelöste Spannung: Motivunabhängigkeit versus strenge Unerlässlichkeitsprüfung
Eine dogmatische Schwachstelle der Entscheidung verdient besondere Aufmerksamkeit. Das LAG betont ausdrücklich, der Auslegungsmaßstab gelte „ungeachtet der Motivation“ der Betroffenen – im Einklang mit der EuGH-Rechtsprechung, wonach das Motiv des Antragstellers für die Auslegung des Art. 15 DSGVO unerheblich ist. Zugleich verlangt das Gericht aber eine konkrete Darlegung, warum gerade eine Dokumentenkopie unerlässlich sei. Diese Konstruktion ist nicht bruchfrei: Wenn das Motiv unerheblich ist, dann ist die Hürde, das konkrete Erkenntnisinteresse zu plausibilisieren, schwer zu rechtfertigen. Genau hier könnte das BAG im Revisionsverfahren ansetzen.
Zweite Weichenstellung: Personalaktenzugang weit eröffnet
Hier wird das Urteil unangenehm – und genau hier liegt der eigentliche Brennpunkt für die Unternehmensverteidigung. Das LAG qualifiziert den Compliance-Abschlussbericht als Bestandteil der Personalakte. § 26 Abs. 2 S. 1 SprAuG (für leitende Angestellte) bzw. § 83 Abs. 1 S. 1 BetrVG (für Arbeitnehmer) gewährt darauf ein gesetzlich nicht eingeschränktes Einsichtsrecht. Der Personalaktenbegriff ist dabei materiell zu verstehen: Auch Sonder- oder Nebenakten gehören dazu, gleichgültig wo sie geführt werden. Was zählt, ist der innere Zusammenhang mit dem Arbeitsverhältnis – und der ist gegeben, wenn der Bericht das Verhalten im Arbeitsverhältnis dokumentiert und als Grundlage einer Kündigungsentscheidung dient.
Damit hebelt das Gericht die kunstvoll konstruierten DSGVO-Schranken aus. Was über Art. 15 DSGVO nicht zu erlangen war, fließt über § 83 BetrVG bzw. § 26 SprAuG zurück.
Hinweisgeberschutz nach § 8 Abs. 1 HinSchG: ausdrücklich offen gelassen
Zur Frage, ob der Hinweisgeberschutz nach § 8 Abs. 1 HinSchG das Einsichtsrecht in die Personalakte beschränken kann, äußert sich das LAG nicht abschließend. Das Gericht lässt die Frage ausdrücklich offen (Rn. 85) und verweist auf Musiol (NZA 2024, 28, 31 f.), der eine solche Einschränkung bejaht. Im konkreten Fall war der sachliche Anwendungsbereich des HinSchG nicht eröffnet, weil sich die Vorwürfe gegen die Klägerin nicht auf einen Verstoß im Sinne von § 2 HinSchG bezogen.
Das ist eine bemerkenswerte Feststellung für die Praxis: § 2 HinSchG zieht enge sachliche Grenzen. Bei interpersonellen Konflikten ohne strafrechtlichen oder ordnungswidrigkeitsrechtlichen Bezug ist der Hinweisgeberschutz nach HinSchG bereits sachlich nicht eröffnet. Mobbing- oder Führungsfehlverhalten kann allerdings sehr wohl in den Anwendungsbereich fallen, sobald straf- (§§ 185 ff., 240, 223 StGB) oder ordnungswidrigkeitsrechtliche Tatbestände berührt werden.
Schutz berechtigter Interessen Dritter
Beim Schutz berechtigter Interessen Dritter wird das Gericht geradezu schroff. Sichert der Arbeitgeber Hinweisgebern Anonymität zu, ist er verpflichtet, diese Anonymität durch Schwärzung oder andere technische Vorkehrungen zu wahren – und zwar bevor der Bericht zur Personalakte genommen wird. Versäumt er das, kann er die Einsichtnahme nicht mehr unter Verweis auf die fehlende Anonymisierung verweigern. Der selbst verursachte Mangel wird dem Arbeitgeber abgeschnitten.
Strategische Konsequenzen für die Unternehmensverteidigung
Aus Sicht der Unternehmensverteidigung ist das Urteil ein Weckruf in zwei Richtungen.
Zum einen zeigt es, dass die Verteidigungsstrategie „Wir geben nichts heraus“ angesichts dieser Rechtsprechung nicht mehr trägt. Wer auf Art. 15 DSGVO als alleinige Schranke vertraut, übersieht den Personalaktenzugang. Die Frage ist nicht mehr, ob der Bericht den Betroffenen erreicht, sondern in welcher Form – und mit welchen Kollateralwirkungen für laufende oder bevorstehende arbeits- und strafrechtliche Verfahren.
Zum anderen verschiebt sich der Schwerpunkt der Verteidigungsarbeit nach vorne: in die Konzeptions- und Dokumentationsphase der internen Untersuchung selbst. Was beim Aufsetzen des Verfahrens versäumt wird, lässt sich im späteren Streit nicht mehr korrigieren.
Sechs Gestaltungshinweise für interne Untersuchungen
1. Doppelspur-Dokumentation – mit realistischem Erwartungshorizont
Der monolithische Compliance-Abschlussbericht, der Tatsachen, Wertungen, rechtliche Würdigung und Handlungsempfehlungen in einem einzigen Dokument vereint, ist riskant. Es liegt daher nahe, strategische, prozessuale und rechtliche Beratungselemente in ein separates Mandantenmemorandum außerhalb des Personalaktenkontexts zu verlagern. Wichtig ist allerdings ein realistischer Erwartungshorizont: Das LAG hat den Compliance-Bericht gerade deshalb zur Personalakte gezählt, weil er als Grundlage der Kündigung diente. Die Konstruktion ist deshalb sauber zu führen: Das Memorandum darf nicht heimlich die Funktion des personalaktenechten Tatsachenberichts übernehmen.
2. Anonymisierung als Pflichtbestandteil, nicht als Versprechen
Wer Hinweisgebern Vertraulichkeit zusichert, muss diese technisch und organisatorisch absichern, bevor der Bericht zur Personalakte gereicht wird. Das LAG-Urteil macht aus der Anonymitätszusage eine harte Pflicht: Das nachträgliche Berufen auf Drittschutz scheitert, wenn die Anonymisierung nicht vorab erfolgt ist. Praktisch bedeutet das: gestufte Berichtsfassungen, dokumentierte Anonymisierungsentscheidungen, klare Verantwortlichkeiten zwischen interner Compliance-Abteilung und externer Kanzlei.
3. HinSchG-Anwendbarkeit fallspezifisch prüfen
Nicht jede interne Untersuchung fällt in den Anwendungsbereich des HinSchG. § 2 HinSchG zieht enge sachliche Grenzen. Bei interpersonellen Konflikten ohne strafrechtliche oder ordnungswidrigkeitsrechtliche Komponente greift der Hinweisgeberschutz nach HinSchG nicht; sobald die Vorwürfe aber straf- oder bußgeldrechtlich relevante Tatbestände berühren können, kann der Anwendungsbereich eröffnet sein. Wer dem Hinweisgeber außerhalb des HinSchG-Anwendungsbereichs Vertraulichkeit zusichern will, muss den Schutz vertraglich oder durch eine eigene Compliance-Richtlinie konstruieren.
4. Gestufte Berichtsfassungen als Standard
Der Bericht, der zur Personalakte gereicht wird, sollte bereits in der personalaktenechten Fassung vorliegen. Im entschiedenen Fall existierten zwei Fassungen (31.1.2024 und 6.2.2024); das LAG hat das Einsichtsrecht spezifisch in der Fassung vom 6.2.2024 zugesprochen. Die saubere Trennung verschiedener Fassungen und die Dokumentation, welche Fassung zu welchem Zweck dient, ist verteidigungsrelevante Aktenführung. Geheimakten innerhalb der Personalakte sind nach allgemeiner Auffassung unzulässig – sie schaffen keine Schutzschicht, sondern zusätzliche Angriffsfläche.
5. Frühzeitige Datenklassifizierung
Welche Daten sind personenbezogen im Sinne der engen LAG-Definition? Welche Bewertungen, Kontextausführungen, Empfehlungen liegen außerhalb? Diese Abgrenzung sollte bereits im Untersuchungskonzept erfasst werden – nicht erst, wenn ein Auskunftsantrag eingeht. Eine vorab durchdachte Datenklassifizierung beschleunigt die spätere Reaktion und vermeidet ad-hoc-Schwärzungen, die in der gerichtlichen Auseinandersetzung selten überzeugen.
6. Antizipation des Auskunftsantrags
Jede interne Untersuchung sollte von Beginn an mit der Annahme geführt werden, dass die Betroffene später Einsicht verlangen wird. Das ändert Tonfall, Wortwahl und Strukturierung des Berichts. Eine professionell geführte Untersuchung dokumentiert sachlich, vermeidet wertende Adjektive in der Tatsachenebene und trennt empirische Befunde sauber von rechtlichen Schlussfolgerungen.
Bewertung und Ausblick
Die Revision zum BAG (Az. 8 AZR 169/25) ist zugelassen. Es ist gut möglich, dass das BAG die strenge Linie des LAG zur DSGVO-Auslegung im Lichte der EuGH-Rechtsprechung relativiert – insbesondere die enge Definition personenbezogener Daten und die restriktive Anwendung des Unerlässlichkeitsmaßstabs könnten höchstrichterlich präzisiert werden. Auch die unaufgelöste Spannung zwischen Motivunabhängigkeit und strenger Darlegungslast sowie das Verhältnis zwischen § 83 BetrVG und § 8 HinSchG werden Gegenstand der weiteren Klärung sein.
Was bleibt: Selbst wenn das BAG den Kopieanspruch nach Art. 15 DSGVO weiter zieht, wird der Personalaktenzugang bestehen. Die Doppelspur-Strategie ist daher unabhängig vom Revisionsausgang die richtige Antwort. Für die Unternehmensverteidigung lautet die Botschaft des LAG München: Der Compliance-Abschlussbericht, der unter externer Mandatierung entsteht, ist kein Privatdokument des Vorstands. Er ist – mit hoher Wahrscheinlichkeit – Bestandteil der Personalakte der Betroffenen, sobald er für arbeitsrechtliche Maßnahmen herangezogen wird. Die Konsequenz ist nicht weniger Compliance, sondern bessere.
Fundstelle: LAG München, Urteil v. 12.6.2025 – 2 SLa 70/25 (nicht rechtskräftig); Volltext: BeckRS 2025, 29469; ZD 2026, 228 mit Anmerkung Reuter/Groh. Revision anhängig: BAG, Az. 8 AZR 169/25.
