Wiss. Mitarbeiter Dr. Johannes Tegel, Ruprecht-Karls-Universität Heidelberg
Heft 5/2026
Angesichts der Flut der im Arbeitsverhältnis verarbeiteten Daten bereitet der datenschutzrechtliche Auskunfts- und Kopieanspruch aus Art. 15 I, III DS-GVO gewisses Kopfzerbrechen. Beim Versuch, Art. 15 DS-GVO für die (arbeitsrechtliche) Praxis handhabbar zu machen, ist bei Gerichten mitunter ein Fremdeln mit der Norm zu beobachten. Teilweise werden Voraussetzungen aufgestellt, die vom Gesetz nicht vorgesehen sind bzw. das unionsrechtliche Effektivitätsgebot verletzen. Dazu gehört auch die Tendenz einiger Gerichte, den Kopieanspruch nur dann zu gewähren, wenn der Arbeitnehmer darlegt und nachweist, die Kopie eines Dokuments sei „unerlässlich“, um die durch die DS-GVO verliehenen Rechte auf Löschung, Berichtigung, Schadensersatz etc. wirksam ausüben zu können.
In diesem Sinne entschied kürzlich das LAG München, aus Art. 15 III DS-GVO folge kein Anspruch der von einer Compliance-Untersuchung betroffenen Arbeitnehmerin auf eine Kopie des Abschlussberichts (LAG München 12.6.2025 – 2 SLa 70/25, BeckRS 2025, 29469; kritisch dazu Tegel/Lembke NZA-RR 2026, 121). Der Begriff „Kopie“ beziehe sich nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthalte und die vollständig sein müssten. Nur wenn die Zurverfügungstellung einer Kopie unerlässlich sei, um der betroffenen Person die wirksame Ausübung der ihr durch die DS-GVO verliehenen Rechte zu ermöglichen, bestehe nach Art. 15 III 1 DS-GVO ein Anspruch darauf, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken zu erhalten. Dies müsse die betroffene Person darlegen (Rn. 64 f.). Der Bericht als Ganzes gehe hier weit über eine Verarbeitung personenbezogener Daten der Klägerin hinaus. Personenbezogene Daten der Klägerin seien nur Behauptungen von Tatsachen über sie bzw. ihr Verhalten, nicht hingegen die vergleichenden und wertenden Ausführungen und die Empfehlungen der Ermittler zu Konsequenzen der Beklagten aus den Ergebnissen der Ermittlung (Rn. 69).
Dies überzeugt allerdings nicht. „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen (Art. 4 Nr. 1 DS-GVO). Dem EuGH zufolge ist dem Begriff eine weite Bedeutung beizumessen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt und diese aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft sind (EuGH 3.4.2025 – C-710/23, NZA 2025, 623 Rn. 21). Da sich der Compliance-Bericht bestimmungsgemäß auf die Klägerin und deren angebliches Fehlverhalten bezieht, handelt es sich bei dem gesamten Bericht um personenbezogene Daten der Klägerin. Daher hat sie einen Anspruch auf eine Kopie des Berichts (ggf. teilweise geschwärzt zum Drittschutz).
Nun liegt der Ball beim 8. Senat des BAG, der am 16.4.2026 über die Revision verhandeln wird (Az. 8 AZR 169/25). Vielleicht wird der Senat die Sache zur Klärung dem EuGH vorlegen (Art. 267 III AEUV); wir blicken also zunächst gespannt nach Erfurt.
