Mit der EU-Entgelttransparenzrichtlinie rückt ein Thema näher, das viele Unternehmen bislang vor allem als arbeitsrechtliche oder HR-seitige Herausforderung eingeordnet haben. Tatsächlich ist die Umsetzung aber mindestens genauso ein Datenschutzthema.
Sobald Unternehmen Entgeltstrukturen offenlegen, Vergleichsgruppen bilden, Gehaltsdaten auswerten und Berichte erstellen müssen, geht es zwangsläufig um die Verarbeitung sensibler Beschäftigtendaten.
Bis zum 7. Juni 2026 muss Deutschland die Richtlinie (EU) 2023/970 in nationales Recht umsetzen. Ziel ist es, geschlechtsspezifische Lohndiskriminierung besser aufzudecken und den Grundsatz des gleichen Entgelts für gleiche oder gleichwertige Arbeit wirksamer durchzusetzen. Die politische Diskussion dreht sich häufig um Transparenz, Auskunftsansprüche und Berichtspflichten. Aus Sicht des Datenschutzes stellt sich jedoch eine andere Kernfrage: Wie lässt sich diese Transparenz herstellen, ohne Beschäftigtendaten unzulässig offenzulegen?
Die Richtlinie fordert einerseits mehr Offenheit bei Entgeltstrukturen, verweist aber zugleich ausdrücklich auf die DSGVO. Informationen dürfen weder direkt noch indirekt dazu führen, dass einzelne Beschäftigte identifizierbar werden. In der Theorie klingt das beherrschbar, weil überwiegend mit Durchschnittswerten und aggregierten Daten gearbeitet werden soll. In der Praxis wird es deutlich schwieriger. Schon kleine Vergleichsgruppen, einzelne Sonderrollen oder ein stark männer- oder frauendominierter Bereich können dazu führen, dass Rückschlüsse auf konkrete Gehälter einzelner Personen möglich werden.
Damit wird klar: Die neuen Pflichten lassen sich nicht einfach nur mit einer zusätzlichen Excel-Auswertung erledigen. Unternehmen müssen sehr genau definieren,
- welche Daten tatsächlich erforderlich sind
- wie Re-Identifizierungsrisiken vermieden werden
- wie Vergleichsgruppen gebildet werden
- wer Zugriff auf Gehaltsdaten erhält, .
Werden Gehaltsdaten aus verschiedenen HR-Systemen zusammengeführt, entstehen schnell neue Datenbestände, die besonders schutzbedürftig sind. Gelangen solche Auswertungen an unbefugte Stellen, drohen nicht nur interne Konflikte, sondern auch meldepflichtige Datenschutzverletzungen.
Hinzu kommt die Frage nach der datenschutzrechtlichen Rechtsgrundlage. Sobald die Richtlinie in deutsches Recht umgesetzt ist, wird sich die hierfür erforderliche Verarbeitung personenbezogener Daten voraussichtlich auf die gesetzliche Verpflichtung stützen lassen. Bis dahin bleibt die Lage in einzelnen Konstellationen anspruchsvoller. Unternehmen, die sich frühzeitig vorbereiten und bereits Strukturen, Datenmodelle oder Prüfmechanismen aufbauen, müssen genau dokumentieren, auf welcher Rechtsgrundlage diese Verarbeitungen erfolgen und wie die Persönlichkeitsrechte der betroffenen Beschäftigten berücksichtigt werden.
Ebenso wichtig ist das Thema Zweckänderung. Die relevanten Gehaltsdaten liegen regelmäßig schon in den HR-Systemen vor, wurden dort aber ursprünglich vor allem zur Durchführung des Beschäftigungsverhältnisses verarbeitet. Werden diese Daten künftig zusätzlich für Entgeltanalysen, Transparenzberichte oder Auskunftsverfahren genutzt, reicht ein bloßer technischer Zugriff nicht aus. Vielmehr müssen Unternehmen prüfen, ob die neue Nutzung datenschutzrechtlich sauber abgebildet ist, ob Informationspflichten gegenüber Beschäftigten zu aktualisieren sind und ob das Verzeichnis der Verarbeitungstätigkeiten angepasst werden muss.
Auch die Datensicherheit verdient besondere Aufmerksamkeit. Die Richtlinie wird in vielen Unternehmen dazu führen, dass größere Mengen an Vergütungsdaten strukturiert ausgewertet, zusammengeführt und teilweise übergreifend analysiert werden. Gerade in solchen Phasen steigt das Risiko unberechtigter Zugriffe. Deshalb sollten technische und organisatorische Maßnahmen nicht erst am Ende des Projekts, sondern von Anfang an mitgedacht werden. Dazu gehören insbesondere
- restriktive Berechtigungskonzepte
- Protokollierung von Zugriffen
- Pseudonymisierung
- Löschkonzepte für temporäre Arbeitsdateien
- klare Vertraulichkeitsanforderungen für alle Beteiligten.
Je nach Umfang und Ausgestaltung der Verarbeitung kann zudem zu prüfen sein, ob eine Datenschutz-Folgenabschätzung erforderlich ist.
Vor diesem Hintergrund ist die Entgelttransparenzrichtlinie weit mehr als ein neues HR-Instrument. Sie schafft ein Compliance-Projekt mit erheblicher Datenschutzrelevanz. Das gilt umso mehr, als die arbeitsrechtliche Relevanz parallel zunimmt. Beschäftigte sollen künftig weitergehende Auskunftsrechte erhalten, Bewerbende müssen früher über Gehaltsspannen informiert werden und für Unternehmen ab einer bestimmten Größe werden Berichtspflichten zum Gender Pay Gap relevant. Gleichzeitig hat das Bundesarbeitsgericht mit seiner Entscheidung vom 23. Oktober 2025 den Druck auf Arbeitgeber erhöht, weil bei Entgeltunterschieden bereits der Vergleich mit einer einzelnen Person des anderen Geschlechts eine Vermutung für eine Benachteiligung begründen kann. Für Unternehmen bedeutet das: Wer seine Vergütungslogik nicht sauber dokumentiert und datenschutzkonform auswertbar gemacht hat, gerät gleich doppelt unter Druck.
Fazit: Die Entgelttransparenzrichtlinie ist aus Datenschutzsicht in ihrer praktischen Umsetzung anspruchsvoll. Wer das Thema ausschließlich als HR- oder Arbeitsrechtsprojekt behandelt, unterschätzt die Risiken. Erfolgreich wird die Umsetzung nur dort sein, wo Transparenz und Datenschutz von Anfang an zusammen gedacht werden.
Gez. Jörg Hagen
Jhcon Datenschutzberatung
