LAG München: Neue Grenzen für Datenzugang bei Compliance-Untersuchungen

FRANKFURT/MÜNCHEN – Whistleblower oder gläserne Verdächtige? Diese Woche bringt Klarheit in einen Konflikt, der Compliance-Abteilungen seit Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) umtreibt. Eine heute veröffentlichte Rechtsanalyse zu einem wegweisenden Urteil des Landesarbeitsgerichts (LAG) München sowie ein frisches EuGH-Urteil definieren neu, wo die Informationsrechte Beschuldigter enden und der Schutz interner Ermittlungen beginnt.

Für Unternehmen bedeutet das: Transparenz bleibt Pflicht, doch die Ära kompletter Ermittlungsberichte für Beschuldigte scheint vorbei. Die DSGVO gewährt kein Akteneinsichtsrecht durch die Hintertür.

Die entscheidende Weichenstellung für die Praxis kommt heute, am 8. Dezember 2025, vom Expertenforum Arbeitsrecht (EFAR). Die Juristen Tobias Neufeld und Christian Judis analysierten darin die Tragweite des LAG-München-Urteils vom 12. Juni 2025 (Az. 2 SLa 70/25) – mittlerweile ein Grundpfeiler im Umgang mit Auskunftsansprüchen während interner Untersuchungen.

Viele Unternehmen sind unsicher, wie sie das Hinweisgeberschutzgesetz und die DSGVO in internen Ermittlungen gleichzeitig rechtskonform umsetzen. Ein kostenloser Praxisleitfaden erklärt Schritt für Schritt, welche Meldekanäle datenschutzkonform organisiert werden müssen, wie Schwärzungen zu begründen sind und welche Checklisten Compliance-Manager jetzt benötigen, um Re-Identifizierungen und Bußgelder zu vermeiden. Inklusive 14 FAQ, konkreten Handlungsanweisungen für interne und externe Meldestellen sowie Musterprozessen für Ermittlungen. Jetzt kostenlosen HinSchG-Praxisleitfaden herunterladen

Der Fall: Eine leitende Angestellte, über das Hinweisgebersystem wegen “Führungsfehlverhaltens” gemeldet, verlangte nach Art. 15 Abs. 3 DSGVO eine vollständige Kopie des Abschlussberichts der Compliance-Abteilung. Ihre Argumentation? Nur so könne sie die Rechtmäßigkeit der Datenverarbeitung prüfen.

Das LAG München erteilte diesem weitreichenden Anspruch eine klare Absage. Das Gericht etablierte zwei Grundsätze, die nun in der gesamten DACH-Region Compliance-Strategien prägen:

1. Kein automatisches Dokumentenrecht: Art. 15 DSGVO gewährt Zugang zu den verarbeiteten personenbezogenen Daten, nicht zwingend eine Kopie der Originaldokumente (wie eines kompletten Ermittlungsberichts), die diese Daten enthalten.

2. Hinweisgeberschutz geht vor: Die Vertraulichkeitsrechte von Whistleblowern und Zeugen – durch das HinSchG geschützt – überwiegen regelmäßig das Transparenzinteresse der beschuldigten Person.

“Das Urteil bestätigt: Das Auskunftsrecht ist kein Instrument zur Prozessvorbereitung”, heißt es in der Analyse. Unternehmen wird nun geraten, aussagekräftige Zusammenfassungen oder stark geschwärzte Auszüge bereitzustellen – ein deutlich geringeres Risiko für Vergeltungsmaßnahmen gegen Hinweisgeber.

Der “Russmedia”-Schock: Gemeinsame Verantwortlichkeit weiter gefasst

Während das LAG München die Haftung beim Datenzugang begrenzt, hat der Europäische Gerichtshof (EuGH) am 2. Dezember 2025 die Haftung bei der Datenkontrolle potenziell ausgeweitet.

Im Fall C-492/23 (Russmedia) entschied der EuGH zwar über Online-Plattformen, doch Rechtsexperten warnen: Die Grundsätze gelten unmittelbar für Konzerne mit grenzüberschreitenden internen Ermittlungen. Das Gericht urteilte, dass ein Unternehmen “gemeinsam Verantwortlicher” (Art. 26 DSGVO) sein kann, selbst wenn es keinen direkten Datenzugang hat – sofern es “Mittel und Zwecke” der Verarbeitung beeinflusst, etwa durch Vorgabe der Ermittlungsregeln.

Konsequenzen für interne Untersuchungen:

• Mutter-Tochter-Haftung: Ordnet eine Konzernmutter eine interne Ermittlung bei einer Tochtergesellschaft an und definiert Umfang oder Meldekanäle, ist sie nach der Russmedia-Logik gemeinsam verantwortlich.
• Geteilte Verantwortung: Dies erfordert explizite Vereinbarungen über gemeinsame Verantwortlichkeit (Joint Controller Agreements) vor Beginn einer Ermittlung. Fehlen diese, drohen beiden Seiten Bußgelder bei Datenschutzverstößen.

“Die Russmedia-Entscheidung senkt die Schwelle zur gemeinsamen Verantwortlichkeit erheblich”, warnt Datenschutzexperte Dr. Thomas Ferner. “Unternehmen können sich nicht mehr als bloße ‘Empfänger’ von Ermittlungsdaten darstellen, wenn sie den Prozess orchestriert haben.”

Branchenspezifische Standards: Höhere Hürden bei sensiblen Daten

Die regulatorische Dichte nimmt weiter zu: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) und die Deutsche Gesellschaft für Innere Medizin (DGIM) veröffentlichten Anfang Dezember 2025 gemeinsame Leitlinien.

Diese beziehen sich zwar auf medizinische Forschung, setzen aber wichtige Maßstäbe für alle internen Ermittlungen mit “besonderen Kategorien personenbezogener Daten” (Art. 9 DSGVO). Die Leitlinien präzisieren die strengen Anforderungen an Anonymisierung – eine Technik, die in Compliance-Berichten häufig zum Whistleblower-Schutz eingesetzt wird.

Der HBDI betont: Damit Daten wirklich “anonym” sind (und somit außerhalb des DSGVO-Anwendungsbereichs liegen), muss das Risiko der Re-Identifizierung nicht nur für das Unternehmen, sondern für jeden Dritten vernachlässigbar sein. Für interne Ermittler bedeutet das: Ein simples Ersetzen von Namen durch “Mitarbeiter A” reicht nicht, wenn der Kontext (“Vertriebsleiter Niederlassung München”) eine Identifizierung ermöglicht. In solchen Fällen bleibt das volle Datenschutzregime anwendbar.

Die Compliance-Gratwanderung: Zwischen zwei Rechtswelten

Das Zusammentreffen dieser drei Entwicklungen – LAG-München-Analyse, Russmedia-Urteil und HBDI-Leitlinien – markiert die Reifung des deutschen Compliance-Rahmens.

Als das Hinweisgeberschutzgesetz Mitte 2023 in Kraft trat, befürchteten viele eine Kollision mit den DSGVO-Transparenzanforderungen. Das LAG-München-Urteil liefert nun die erste robuste gerichtliche Bestätigung: Whistleblower-Schutz kann Auskunftsrechte rechtmäßig einschränken. Ein wichtiger Erfolg für die Integrität interner Meldesysteme.

Gleichzeitig dreht der EuGH die Daumenschrauben bei der Corporate Governance fester. Compliance-Verantwortliche müssen eine schwierige Balance halten: Sie dürfen den vollständigen Bericht vor Beschuldigten schützen (LAG München), müssen aber sicherstellen, dass der Prozess der Berichterstellung durch solide Vereinbarungen zur gemeinsamen Verantwortlichkeit abgedeckt ist, wenn mehrere Konzerneinheiten beteiligt sind (EuGH).

Was kommt 2026? Experten rechnen mit weiterer Klärung

Für Anfang 2026 erwarten Rechtsexperten weitere Gerichtsverfahren zur “Erforderlichkeit” von Schwärzungen. Während das LAG München einen vertraulichkeitsfreundlichen Präzedenzfall geschaffen hat, muss das Bundesarbeitsgericht (BAG) noch endgültig über das Zusammenspiel von HinSchG und Art. 15 DSGVO entscheiden.

Handlungsempfehlungen für Unternehmen:

1. DSGVO-Antwortvorlagen aktualisieren: Überarbeiten Sie Standardantworten auf Auskunftsersuchen und verweisen Sie explizit auf das LAG-München-Urteil (Az. 2 SLa 70/25), wenn vollständige Dokumenteneinsicht verweigert wird.
2. Konzern-Protokolle prüfen: Auditieren Sie Ermittlungsrichtlinien und stellen Sie sicher, dass Vereinbarungen zur gemeinsamen Verantwortlichkeit zwischen Mutter- und Tochtergesellschaften im Lichte des Russmedia-Urteils aktiv sind.
3. Schwärzungspraxis verfeinern: Gewährleisten Sie, dass Anonymisierungstechniken den hohen Standards aktueller Regulierungsleitlinien entsprechen, um versehentliche Re-Identifizierung von Hinweisgebern zu verhindern.

Die Machtverhältnisse bei internen Ermittlungen haben sich verschoben – zugunsten der Ermittler und Whistleblower, sofern das Datenschutz-Governance-Framework rechtlich solide aufgestellt ist.

PS: Sie brauchen sofort umsetzbare Vorlagen für Meldestellen, Schwärzungs-Checklisten und Musterprozesse für interne Ermittlungen? Der Gratis-Leitfaden zum Hinweisgeberschutzgesetz liefert 14 FAQ, konkrete Handlungsanweisungen für interne und externe Meldekanäle sowie praxiserprobte Checklisten für Compliance- und Rechtsabteilungen. Ideal, um Auskunftsersuchen DSGVO-konform zu beantworten und Whistleblower zu schützen. Kostenlosen HinSchG-Leitfaden jetzt anfordern