Entgelttransparenzrichtlinie und Datenschutz: Neue Anforderungen an Unternehmen

Entgelttransparenzgesetzund Datenschutz
Categories:
,
Picture of Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, Editorial Director at 2B Advice, combines legal and journalistic expertise in Data protectionIT compliance and AI regulation.

Mit der Entgelttransparenzrichtlinie (EU) 2023/970 kommen auf Unternehmen in Deutschland bis zur Umsetzung spätestens am 7. Juni 2026 neue Pflichten zu. Dazu gehören Auskunftsansprüche zu Entgelt und Vergleichswerten, Transparenzberichte und gegebenenfalls gemeinsame Entgeltbewertungen. Gleichzeitig sind Entgeltdaten personenbezogene Informationen. Dieser Beitrag zeigt, an welchen Punkten die Richtlinie datenschutzrechtlich problematisch ist und wie Unternehmen Auskunfts-, Reporting- und Zugriffskonzepte schon jetzt DSGVO-konform vorbereiten können.

Hintergrund und Umsetzung der EU-Entgelttransparenzrichtlinie

Die EU-Entgelttransparenzrichtlinie (Richtlinie (EU) 2023/970) ist am 6. Juni 2023 in Kraft getreten. Ziel der Richtlinie ist es, den Grundsatz „gleiches Entgelt für gleiche oder gleichwertige Arbeit“ effektiver durchzusetzen und das geschlechtsspezifische Lohngefälle abzubauen. Deutschland ist verpflichtet, die Richtlinie bis spätestens zum 7. Juni 2026 in nationales Recht umzusetzen. Entsprechend ist bis zu diesem Datum eine Novellierung des deutschen Entgelttransparenzgesetzes (EntgTranspG) zu erwarten. Bereits im November 2025 hat eine Expertenkommission Umsetzungsvorschläge vorgelegt, das Gesetzgebungsverfahren soll Anfang 2026 starten.

Note: Bis zur Umsetzung kann sich der konkrete Pflichtenumfang noch ändern. Der deutsche Gesetzgeber muss u.a. entscheiden, wie genau die Richtlinienvorgaben national ausgestaltet werden. Etwa ob eine Mindestgröße von Vergleichsgruppen (analog zur derzeitigen 6-Personen-Grenze im EntgTranspG) beibehalten wird und in welcher Form Art. 12 Abs. 3 der Richtlinie umgesetzt wird. Unternehmen sollten sich jedoch bereits jetzt mit den kommenden Neuregelungen befassen, da umfangreiche Anpassungen von Vergütungssystemen und internen Prozessen erforderlich sein werden.

Datenschutzrechtlich brisant an diesen Vorgaben ist, dass sie eine hohe Transparency über Gehälter erfordern. Ein Thema, das bislang häufig vertraulich behandelt wurde. So müssen Arbeitgeber erhebliche Mengen an personenbezogenen Entgeltdaten sammeln, auswerten und an Third (Beschäftigte, Works Council, Behörden) weitergeben: Dies muss datenschutzkonform gestaltet werden.

Spannungsverhältnis zwischen Entgelttransparenz und Datenschutz

Die Richtlinie betont in Art. 12 Abs. 1 ausdrücklich, dass jede Erhebung, Processing und Offenlegung von Informationen im Rahmen von Art. 7, 9 und 10 im Einklang mit der GDPR erfolgen muss. Datenschutzrechtliche Grundprinzipien gelten somit uneingeschränkt auch bei der Umsetzung von Entgelttransparenzmaßnahmen.

Entgeltdaten sind personal data. Dies ist nicht nur dann der Fall, wenn der Name eines Mitarbeiters direkt genannt wird. Auch scheinbar anonymisierte Angaben können indirekt personenbezogen sein. Etwa wenn aufgrund einer kleinen Vergleichsgruppe oder anderer Kontextinformationen die Einzelperson ermittelbar ist. Da die Richtlinie, anders als das geltende EntgTranspG, keine Mindestgröße für Vergleichsgruppen vorschreibt, kann insbesondere bei sehr kleinen Vergleichsgruppen das durchschnittliche Vergleichsentgelt das individuelle Gehalt einer Person preisgeben. Beispiel: Fragt ein männlicher Beschäftigter nach dem Durchschnittsgehalt der Frauen in seiner engen Vergleichsgruppe und gibt es dort nur eine Frau, so würde die Auskunft deren Gehalt offenlegen. Der deutsche Gesetzgeber war sich dieses Risikos bereits im bisherigen Gesetz bewusst: § 12 Abs. 3 Satz 2 EntgTranspG sieht vor, dass kein Vergleichsentgelt angegeben wird, wenn die Vergleichstätigkeit von weniger als sechs Beschäftigten des jeweils anderen Geschlechts ausgeübt wird. Diese Schutzklausel verhinderte eine Identifizierung einzelner Gehälter. Allerdings führt sie auch dazu, dass in kleinen Unternehmen der Auskunftsanspruch oft ins Leere läuft.

Zwar verzichtet die EU-Richtlinie nun auf starre Schwellenwerte, sie liefert aber mit Art. 12 Abs. 3 EntgTranspRL ein Instrument, um das Spannungsverhältnis abzumildern. Demnach können die Mitgliedstaaten vorsehen, dass in Fällen drohender indirekter Offenlegung individueller Gehälter die sensiblen Entgeltinformationen nicht unmittelbar dem anfragenden Beschäftigten, sondern nur einer intermediären Stelle gegeben werden. Dies kann der Works Councilwhich Supervisory authority oder die Gleichstellungsstelle sein. Diese Stellen sollen den Arbeitnehmer dann über seine Rechte beraten, ohne die konkreten Entgelthöhen offenzulegen. Damit würde die affected Person zwar über mögliche Ansprüche (z. B. wegen Diskriminierung) informiert, zugleich bliebe aber das Gehalt der Vergleichsperson geschützt.

Zweckbindung für Gehaltsdaten

Die Richtlinie enthält darüber hinaus in Art. 12 Abs. 2 eine klare Earmarking: Personal data, die im Rahmen der Transparenzmaßnahmen erhoben werden, dürfen ausschließlich zur Durchsetzung des Gleichheitsgrundsatzes verwendet werden. Eine Weiterverarbeitung dieser Daten für andere, mit der Entgelttransparenz unvereinbare Zwecke (z. B. allgemeine Gehaltsbenchmarking-Analysen, die über das vorgeschriebene Maß hinausgehen) ist unzulässig.

Unternehmen sollten daher darauf achten, dass sie Entgeltdaten, die für Auskünfte oder Berichte erhoben wurden, nicht zweckentfremdet anderweitig nutzen.

Wichtige Vorgaben der Entgelttransparenzrichtlinie mit Datenschutzbezug

Die Entgelttransparenzrichtlinie beinhaltet mehrere Transparenz- und Berichtspflichten, die die Processing von Entgeltdaten der Beschäftigten erfordern. Insbesondere die folgenden Vorgaben stehen in einem Spannungsverhältnis zum Datenschutz:

  • Individueller Auskunftsanspruch (Art. 7 EntgTranspRL): Beschäftigte haben das Recht, Auskunft über ihr individuelles Entgelt sowie über die durchschnittlichen Entgelthöhen von Kollegen mit gleicher oder gleichwertiger Tätigkeit zu erhalten. Diese Auskünfte müssen nach Geschlecht aufgeschlüsselt werden. Dem Auskunftsbegehren muss innerhalb von zwei Monaten schriftlich stattgegeben werden. Im Unterschied zur bisherigen Rechtslage entfällt die Beschränkung auf Betriebe mit mehr als 200 Beschäftigten. Das Recht gilt künftig unabhängig von der Betriebsgröße. Zudem sind alle Arbeitnehmer jährlich über dieses Right to information zu informieren.

  • Entgelttransparenzbericht (Art. 9 EntgTranspRL): Arbeitgeber mit mindestens 100 Beschäftigten sind dazu verpflichtet, regelmäßig einen Bericht über das geschlechtsspezifische Entgeltgefälle in ihrem Unternehmen zu erstellen. Darin sind unter anderem der allgemeine Gender Pay Gap sowie die Unterschiede innerhalb einzelner Gruppen von Arbeitnehmern mit gleicher bzw. gleichwertiger Tätigkeit anzugeben, jeweils aufgeschlüsselt nach Entgeltbestandteilen. Die Berichte sind den Beschäftigten und der Arbeitnehmervertretung zugänglich zu machen. Auf Anfrage erhalten auch die Supervisory authority oder die Gleichstellungsstelle Einsicht. Unternehmen mit 250 oder mehr Beschäftigten müssen jährlich berichten (erstmals bis zum 7. Juni 2027, betreffend das Jahr 2026). Unternehmen mit 100 bis 249 Beschäftigten hingegen müssen nur alle drei Jahre berichten.

  • Gemeinsame Entgeltbewertung (Art. 10 EntgTranspRL): Stellt der Transparenzbericht ungleiche Durchschnittsentgelte von Frauen und Männern in einer Vergleichsgruppe fest, die um mehr als 5 % abweichen, und kann der Arbeitgeber diesen Gender Pay Gap nicht objektiv rechtfertigen, muss er gemeinsam mit der Arbeitnehmervertretung eine detaillierte Entgeltbewertung durchführen. Im Rahmen dieser gemeinsamen Analyse sind die Ursachen des Entgeltgefälles zu erforschen und Korrekturmaßnahmen zu entwickeln. Das Ergebnis der Entgeltbewertung ist anschließend der Belegschaft und der Supervisory authority zugänglich zu machen. Außerdem muss der Arbeitgeber binnen sechs Monaten nach Erscheinen des Berichts etwaige ungerechtfertigte Unterschiede beseitigen.

Handlungsempfehlungen für eine datenschutzkonforme Umsetzung

Angesichts der bevorstehenden Pflichten sollten Unternehmen frühzeitig Maßnahmen ergreifen, um die DSGVO-Compliance bei der Processing von Entgeltdaten sicherzustellen. Dabei haben sich insbesondere die folgenden Prinzipien und Vorkehrungen als wesentlich erwiesen:

  • Earmarking sicherstellen: Entgeltdaten dürfen ausschließlich zur Umsetzung der Entgelttransparenzvorgaben genutzt werden. Eine Nutzung für andere Zwecke (etwa allgemeine Personalplanungsstatistiken oder Gehaltsvergleiche außerhalb des Equal-Pay-Kontextes) ist zu unterlassen (Art. 12 Abs. 2 EntgTranspRL). Unternehmen sollten daher intern klar kommunizieren, wozu die erhobenen Gehaltsdaten verwendet werden dürfen und wozu nicht.

  • Data minimization und Speicherbegrenzung: Es gilt, so wenige personal data wie möglich zu verarbeiten. Nur die zur Erfüllung der Transparenzpflichten erforderlichen Daten (Art. 5 Abs. 1 lit. c GDPR) dürfen verarbeitet werden. Darüber hinaus ist ein Deletion concept ratsam: Neu erhobene Datensätze (z.B. Gehaltslisten für den Bericht) sollten nur so lange gespeichert werden, wie es nötig ist. Nach Zweckerreichung sollten die Daten zeitnah gelöscht oder anonymisiert werden.

  • Need-to-know principle umsetzen (Zugriffsbeschränkung, Art. 5 lit. f GDPR): Hochsensible Entgeltdaten dürfen nur einem eng begrenzten Personenkreis zugänglich sein. Erstellen Sie deshalb ein Zugriffskonzept, das festlegt, welche Personen aus welchen Funktionen Zugriff auf welche Entgeltdaten erhalten. Zugriffe sollten nur so weit gewährt werden, wie es zur Aufgabenerfüllung wirklich notwendig ist. Zugriffe auf Rohdaten könnten beispielsweise auf ausgewählte HR- oder Compliance-Mitarbeiter beschränkt werden. Dokumentieren Sie die Vergabe der Berechtigungen und halten Sie den Kreis der Berechtigten bewusst so klein wie möglich. Zusätzlich sollten alle berechtigten Personen ausdrücklich auf die Confidentiality der Daten verpflichtet und sensibilisiert werden (Stichwort: Dienstgeheimnis). Wenn Daten an den Works Council oder andere Arbeitnehmervertreter fließen, ist sicherzustellen, dass auch dort nur die unbedingt notwendigen Informationen weitergegeben und die Empfänger auf ihre gesetzliche Verschwiegenheitspflicht hingewiesen werden. So sind nach § 79 BetrVG Betriebsräte zur Geheimhaltung verpflichtet, sobald der Arbeitgeber die Confidentiality der übermittelten Informationen ausdrücklich betont.

TOMs und Dokumentation

  • Technical and organizational measures: Entwickeln Sie ein Datenmanagement-Konzept, das festlegt, wie und wo Entgeltdaten sicher gespeichert werden. Gehaltsdaten sollten ausschließlich an definierten, geschützten Orten abgelegt und nur von dort abgerufen werden. Der unkontrollierte Umlauf von Gehaltslisten, etwa per E-Mail an breite Verteiler oder als Excel-Datei an unsicheren Speicherorten, ist strikt zu vermeiden. Solche Szenarien bergen ein hohes Leckage- und Missbrauchsrisiko: Gelangen umfangreiche Gehaltsdaten in falsche Hände, drohen nicht nur DSGVO-Bußgelder, sondern auch ein erheblicher Imageschaden und Vertrauensverlust. Nutzen Sie nach Möglichkeit technische Lösungen, die Privacy-by-Default bereits umgesetzt haben. Spezial-Software zur Lohntransparenz kann beispielsweise rollenbasierte Zugriffsrechte, die automatische Protokollierung jeder Einsichtnahme und voreingestellte Sicherheitsvorkehrungen bieten. So wird sichergestellt, dass sensible Daten nicht unbemerkt kopiert oder entwendet werden können. In jedem Fall sollten Unternehmen geeignete Technical and organizational measures (TOMs) nach Art. 32 GDPR implementieren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zwar zählen Gehaltsdaten nicht zu den besonders sensiblen Daten i.S.v. Art. 9 GDPR, sie sind für die meisten Beschäftigten jedoch höchst persönlich und vertraulich, sodass ein erhöhtes Schutzniveau gerechtfertigt ist.

  • Documentation und Rechenschaftspflicht: Unternehmen sollten alle getroffenen Maßnahmen und Konzepte schriftlich dokumentieren (Art. 5 Abs. 2 GDPR). So kann im Prüfungsfall gegenüber den Aufsichtsbehörden belegt werden, dass die Prinzipien der GDPR eingehalten wurden. Eine saubere Documentation schafft zudem intern Klarheit und kann das Vertrauen der Mitarbeiter gewinnen.

Reading tip: Health data in the event of continued illness as a data protection challenge

Entgelttransparenz und Datenschutz: 2B Advice unterstützt Sie bei der Umsetzung

Unternehmen sollten bereits jetzt organisatorische Weichen stellen, um am Stichtag 7. Juni 2026 nicht unvorbereitet zu sein. Dazu gehört, frühzeitig Rollen- und Berechtigungskonzepte zu entwickeln sowie interne Richtlinien zum Umgang mit Entgeltdaten aufzusetzen. Gegebenenfalls sind auch Betriebsvereinbarungen mit dem Works Council empfehlenswert, um die Umsetzung der Transparenzmaßnahmen im Betrieb verbindlich zu regeln. Schließlich sollten alle beteiligten Akteure – von der Personalabteilung über den Datenschutzbeauftragten bis zum Management – durch Schulungen auf die neuen Anforderungen vorbereitet werden.

Ein sorgfältiger und vertraulicher Umgang mit Gehaltsinformationen ist unerlässlich, damit das noble Ziel der Richtlinie – gleicher Lohn für alle Geschlechter – ohne Verletzung der Privacy der Beschäftigten erreicht werden kann.

2B Advice unterstützt Sie dabei, u. a. mit:

  • Readiness-Check / Gap-Analyse (EntgTranspRL-Anforderungen vs. Ist-Prozesse, Datenlage)
  • Datenschutzkonzept für Entgelttransparenz (Legal basis, Earmarking, Data minimization, Deletion concept)
  • Zugriffs- und Berechtigungskonzept (Need-to-know, Rollen, Protokollierung, Governance)
  • Prozessdesign für Auskunftsersuchen und Reporting
  • TOM-Review und Risikobewertung praxisnaher Maßnahmenpläne
  • Schulungen für HR, Legal, Datenschutz & Compliance (inkl. Kommunikationsleitfaden)


Wenn Sie die Umsetzung frühzeitig rechtssicher und pragmatisch aufsetzen möchten, sprechen Sie uns an! Wir unterstützen Sie gern bei der Planung und der operativen Umsetzung.

Source: Richtlinie EU 2023/970 vom 10. Mai 2023 zur Stärkung der Anwendung des Grundsatzes des gleichen Entgelts für Männer und Frauen bei gleicher oder gleichwertiger Arbeit durch Entgelttransparenz und Durchsetzungsmechanismen

Aristotelis Zervos is Editorial Director at 2B Advice, a lawyer and journalist with profound expertise in data protection, GDPRIT compliance and AI governance. He regularly publishes in-depth articles on AI regulation, GDPR compliance and risk management. You can find out more about him on his Author profile page.

Contact us
Tags:
Share this post :

Popular categories

Newsletter

Subscribe to our data protection newsletter to receive the latest updates, tips and insights straight to your inbox.
Subscribe

Latest posts