Art. 15 DSGVO und Personalakteneinsicht: Zwei unterschiedliche Ansprüche mit unterschiedlichen Grenzen

Das Landesarbeitsgericht München setzte sich in seinem Urteil vom 12. Juni 2025 (Az. 2 SLa 70/25) mit zwei in der Praxis häufig vermengten Anspruchsgrundlagen auseinander: dem datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DSGVO einerseits und dem arbeitsrechtlichen Anspruch auf Einsicht in die Personalakte andererseits. Gerade im Kontext interner Compliance-Untersuchungen zeigt sich, dass beide Ansprüche unterschiedliche Zwecke verfolgen, unterschiedlichen Grenzen unterliegen und zu unterschiedlichen Rechtsfolgen führen.

Dem Verfahren lag eine interne Compliance-Untersuchung wegen behaupteten Führungsfehlverhaltens einer leitenden Angestellten zugrunde. Der Arbeitgeber hatte einen extern erstellten Compliance-Abschlussbericht als Grundlage für personalrechtliche Maßnahmen herangezogen, verweigerte der Betroffenen jedoch sowohl die Herausgabe einer Kopie als auch die Einsicht in den Bericht. Der Arbeitgeber berief sich auf den Schutz von Geschäftsgeheimnissen, die Vertraulichkeit interner Ermittlungsprozesse sowie auf die Rechte von Hinweisgebern und Zeugen, insbesondere im Hinblick auf datenschutzrechtliche Schutzpflichten und das Hinweisgeberschutzgesetz (HinSchG).

Begründet Art. 15 DSGVO einen Anspruch auf die Herausgabe kompletter Compliance-Berichte?

Während das Arbeitsgericht der Klage überwiegend stattgegeben hatte, setzte die Beklagte ihre Verweigerung der Herausgabe in der Berufung fort. Das Landesarbeitsgericht musste daher über Umfang und Grenzen sowohl des datenschutzrechtlichen Auskunftsanspruchs als auch des arbeitsrechtlichen Einsichtsrechts erneut entscheiden.

Auskunft nach Art. 15 DSGVO
Der Auskunftsanspruch nach Art. 15 DSGVO dient der Transparenz der Datenverarbeitung. Betroffene sollen überprüfen können, ob und in welchem Umfang personenbezogene Daten über sie verarbeitet werden und ob diese Verarbeitung rechtmäßig erfolgt. Das Gericht stellte klar, dass der Anspruch grundsätzlich auf Informationen über personenbezogene Daten gerichtet ist, nicht jedoch auf die pauschale Herausgabe ganzer interner Dokumente.

Zwar sieht Art. 15 Abs. 3 DSGVO vor, dass eine Kopie der personenbezogenen Daten zur Verfügung zu stellen ist. Das Gericht präzisierte jedoch, dass sich dieser Anspruch auf die personenbezogenen Daten als solche bezieht, nicht auf das vollständige Dokument, in dem diese enthalten sind. Ein Compliance-Abschlussbericht ist regelmäßig ein komplexes internes Dokument, das neben personenbezogenen Daten der betroffenen Person auch Bewertungen, rechtliche Würdigungen, Organisationsinformationen und personenbezogene Daten Dritter enthält. Die DSGVO begründet keinen Anspruch auf das Dokument als Ganzes.

Das Gericht berücksichtigte zudem ausdrücklich die Rechte und Schutzinteressen Dritter, darunter Hinweisgeber, Zeugen und interne Ermittlungsstrukturen. Eine vollständige Kopie des Berichts würde typischerweise Rückschlüsse auf Identitäten, Aussageverhalten und interne Abläufe zulassen und damit schutzwürdige Interessen Dritter verletzen. Vor diesem Hintergrund verneinte das LAG einen Anspruch auf Kopienherausgabe nach der DSGVO.

Einsichtsrecht in die Personalakte
Unabhängig davon bejahte das LAG einen Anspruch auf Einsichtnahme in den Compliance-Abschlussbericht als Bestandteil der Personalakte. Rechtsgrundlage ist das arbeitsrechtliche Einsichtsrecht nach § 26 Abs. 2 SprAuG, das inhaltlich § 83 Abs. 1 BetrVG entspricht.

Maßgeblich war, dass der Bericht nach Abschluss der internen Untersuchung Grundlage für personalrechtliche Maßnahmen gegenüber der Klägerin war. Entscheidend ist nicht die interne Qualifikation oder Kennzeichnung als vertraulich, sondern die tatsächliche Funktion des Dokuments im Arbeitsverhältnis. Wird ein Bericht zur Beurteilung des Arbeitnehmers herangezogen, ist er der Personalakte zuzuordnen und unterliegt grundsätzlich dem Einsichtsrecht. Soweit Hinweise von Mitarbeitern enthalten sind, denen Anonymität zugesichert wurde, kann der Arbeitgeber diese Passagen vor der Einsichtnahme schwärzen oder unkenntlich machen, sodass weder die Person des Hinweisgebers erkennbar ist noch Rückschlüsse möglich sind. Das Einsichtsrecht des Arbeitnehmers wird dadurch nicht eingeschränkt.

Der Arbeitgeber konnte sich der Einsichtnahme insbesondere nicht mit Hinweis auf das HinSchG entziehen. Das LAG stellte klar, dass der sachliche Anwendungsbereich des HinSchG im vorliegenden Fall nicht eröffnet war: Gegenstand der internen Untersuchung waren Vorwürfe eines Führungsfehlverhaltens, die keinen Bezug zu den in § 2 HinSchG genannten Rechtsverstößen hatten. Allein die interne Meldung und Aufarbeitung von Informationen im Rahmen einer Compliance-Struktur genügt nicht, um den besonderen Schutzmechanismus des HinSchG auszulösen.

Vor diesem Hintergrund differenzierte das LAG klar: Der datenschutzrechtliche Auskunftsanspruch nach Art. 15 DSGVO rechtfertigt keine Herausgabe einer Kopie des Compliance-Abschlussberichts, insbesondere zum Schutz Dritter und interner Prozesse. Zugleich besteht jedoch ein arbeitsrechtlicher Anspruch auf Einsicht in den Bericht, soweit er Teil der Personalakte geworden ist. Die Entscheidung verdeutlicht, dass Datenschutzrecht und Arbeitsrecht unterschiedliche Schutzrichtungen verfolgen. Art. 15 DSGVO dient der Kontrolle der Datenverarbeitung, während die Personalakteneinsicht Transparenz über die Grundlagen personalrechtlicher Maßnahmen schaffen soll.

Hinweis

Dieser Beitrag dient ausschließlich der allgemeinen Information und ist keine abschließende Darstellung aller denkbaren Konstellationen und Umstände. Es ersetzt keine individuelle Rechtsberatung und kann eine Prüfung des Einzelfalls nicht ersetzen.

Trotz sorgfältiger Erstellung wird keine Haftung für die inhaltliche Richtigkeit, Vollständigkeit oder Aktualität übernommen. Für eine rechtliche Bewertung oder konkrete Umsetzungsempfehlungen im Einzelfall sollte Rechtsrat eingeholt werden.