Entgelttransparenz: Risiko für den Datenschutz : Wie Arbeitgeber die neue EU-Richtlinie rechtssicher umsetzen
Brüssel will mehr tun für gerechte Bezahlung. Das Thema rückt nun mit der EU-Entgelttransparenzrichtlinie ((EU) 2023/970) näher. Die Mitgliedsstaaten müssen die Vorlage nun in nationales Recht umsetzen. In Deutschland wird dafür das bestehende Entgelttransparenzgesetz aus dem Jahr 2017 überarbeitet.
Für viele Unternehmen steht die operative Vorbereitung jetzt an. Dabei liegt der Fokus häufig auf dem Offensichtlichen: Gehaltsstrukturen prüfen, Lücken schließen, Berichte vorbereiten. Was dabei leicht übersehen wird: Entgelttransparenz ist auch ein Datenschutzthema – und zwar ein komplexes.
Denn die Richtlinie verpflichtet Arbeitgeber zu mehr Offenlegung. Und hier ist der Haken: Denn die DSGVO verlangt gleichzeitig Datenminimierung, Zweckbindung und Schutz personenbezogener Daten. Beides gilt uneingeschränkt – und beide Anforderungen können sich deshalb beißen…
Die gute Nachricht: Wer das Thema Entgelttransparenz jetzt strukturiert angeht, vermeidet später hektisches Nachbessern.
Was die Richtlinie konkret verlangt
So sieht es im Detail aus: Die Richtlinie bündelt mehrere Verpflichtungen, die jeweils eigene Datenschutzfragen aufwerfen:
- Transparenz im Bewerbungsverfahren (Art. 5): Arbeitgeber müssen Bewerberinnen und Bewerbern bereits vor oder während des Prozesses Informationen über das Einstiegsentgelt oder eine Gehaltsspanne bereitstellen. Gleichzeitig ist es verboten, nach dem bisherigen Gehalt zu fragen. Stellenausschreibungen und Berufsbezeichnungen sind geschlechtsneutral zu formulieren.
- Individueller Auskunftsanspruch (Art. 7): Beschäftigte können jederzeit schriftliche, nach Geschlecht aufgeschlüsselte Informationen zu ihrem eigenen Entgelt sowie zum Durchschnittsentgelt einer Vergleichsgruppe anfordern. Der Arbeitgeber muss innerhalb von zwei Monaten antworten und ist verpflichtet, jährlich aktiv über dieses Recht zu informieren.
- Berichtspflichten (Art. 9): Unternehmen müssen regelmäßig Daten über geschlechtsspezifische Entgeltunterschiede erheben und an die zuständige Überwachungsstelle übermitteln. Zu berichten sind u. a. der Gender Pay Gap, der Median-Gender-Pay-Gap, Unterschiede bei variablen Vergütungsbestandteilen sowie die Verteilung nach Vergütungsquartilen. Die Berichtspflicht greift gestaffelt nach Unternehmensgröße:
Unternehmensgröße | Beginn | Häufigkeit |
|---|---|---|
≥ 250 Beschäftigte | 7. Juni 2027 | jährlich |
150-249 Beschäftigte | 7. Juni 2027 | alle 3 Jahre |
100-149 Beschäftigte | 7. Juni 2031 | alle 3 Jahre |
Wichtig ist dabei: Alle weiteren Pflichten, insbesondere der individuelle Auskunftsanspruch, knüpfen nicht an eine Beschäftigtenzahl und gelten daher uneingeschränkt für alle Unternehmen, also ab Juni 2026. Gemeinsame Entgeltbewertung (Art. 10): Zeigt ein Bericht einen durch objektive Kriterien nicht sachlich gerechtfertigten Entgeltunterschied von mindestens 5%, der nicht innerhalb von sechs Monaten beseitigt wird, ist eine strukturierte Bewertung gemeinsam mit Arbeitnehmervertretungen durchzuführen.
- Beweislastumkehr (Art. 18): Im Streitfall müssen nicht Beschäftigte beweisen, dass sie diskriminiert wurden. Vielmehr muss der Arbeitgeber belegen, dass keine Diskriminierung vorliegt. Das erhöht die Bedeutung einer lückenlosen, nachvollziehbaren Dokumentation erheblich.
Achtung, hier entstehen Datenschutzrisiken
Entgeltdaten sind personenbezogene Daten: Das stellt Art. 12 Abs. 1 der Richtlinie ausdrücklich klar. Doch was heißt das nun in Verbindung mit der DSGVO? Ganz handfeste Risiken können an mehreren Stellen entstehen.
Risiko 1: Der Auskunftsanspruch in kleinen Vergleichsgruppen
Das gravierendste datenschutzrechtliche Problem ist strukturell: Wenn eine Vergleichsgruppe aus einer sehr kleinen Anzahl von Personen besteht oder besonders spezifisch definiert ist, kann aus einem Durchschnittswert für die Vergleichsgruppe das Einzelgehalt faktisch abgeleitet werden. Das gilt vor allem dann, wenn die anfragende Person ihr eigenes Gehalt kennt. Das ist keine theoretische Gefahr, sondern ein realistisches Szenario in vielen Fachabteilungen, Führungsebenen oder Spezialistenfunktionen.
Die Richtlinie enthält in Art. 12 Abs. 3 auch für solche Fälle eine Öffnungsklausel: Mitgliedstaaten können vorsehen, dass detaillierte Entgeltinformationen nur über vermittelnde Stellen – etwa Betriebsrat, Mitarbeitervertretungen oder Gleichbehandlungsstellen – zugänglich gemacht werden. Diese Stellen können Beschäftigte über mögliche Ansprüche beraten, ohne individuelle Gehälter offenzulegen.
Risiko 2: Berichtspflichten und neue Empfängerkreise
Die Berichtspflichten nach Art. 9 erfordern die Verarbeitung von Entgeltdaten in großem Umfang. Dabei entsteht nicht nur die Frage nach der passenden Rechtsgrundlage gemäß DSGVO, sondern auch die nach dem datenschutzkonformen Umgang mit den Daten auf dem Weg vom Rohdatensatz bis zum fertigen, übermittelbaren Bericht. Mit den Überwachungsstellen kommen neue Empfängerkreise hinzu: das erfordert klare Prozesse.
Risiko 3: Beweislastumkehr und Dokumentationsanforderungen
Die Beweislastumkehr nach Art. 18 hat eine direkte Rückwirkung auf die Datenhaltung: Arbeitgeber müssen belegen können, dass Entscheidungen sachlich gerechtfertigt waren. Das wiederum setzt voraus, dass Vergütungsentscheidungen nachvollziehbar dokumentiert und relevante Daten ausreichend lange vorgehalten werden. Und alles im Einklang mit Löschfristen und Zweckbindung nach der DSGVO.
Wie Arbeitgeber vorgehen können
Unternehmen scheitern bei solchen Anforderungen selten am Willen, sondern an fehlenden Strukturen; insbesondere an den Schnittstellen zwischen HR, Recht und Datenschutz. Die folgenden Maßnahmen helfen, diese Lücken zu schließen:
Gap-Analyse als Startpunkt
Vor jeder Maßnahme steht die ehrliche Bestandsaufnahme: Wo stehen wir heute – und was verlangt die Richtlinie konkret? Die Gap-Analyse sollte die Entgeltstruktur, die Datenlage, bestehende Auskunftsprozesse und das aktuelle Datenschutzkonzept umfassen. Besonders wichtig ist dabei Art. 10: Wenn bereits jetzt ein nicht zu rechtfertigender Gender Pay Gap von mehr als 5% besteht, ist frühzeitiges Handeln geboten – denn nach Inkrafttreten der Richtlinie ist in diesem Fall eine gemeinsame Entgeltbewertung mit der Arbeitnehmervertretung vorzunehmen.
Datenschutzkonzept für Entgelttransparenz entwickeln
Das bestehende Datenschutzkonzept muss um ein spezifisches Modul für Entgelttransparenz erweitert werden. Dazu gehören Rechtsgrundlagen, Zweckbindung, Datenminimierung, ein Löschkonzept sowie die Trennung von Roh- und Berichtsdaten.
Sichere Auskunftsprozesse gestalten
Der individuelle Auskunftsanspruch braucht einen definierten Prozess, vor allem wegen der Zwei-Monats-Frist und der Risiken in kleinen Vergleichsgruppen. Empfehlenswert ist ein abgestuftes Verfahren: Gibt es weniger als fünf oder sechs Personen in der Vergleichsgruppe, sollte die Auskunft grundsätzlich nur über den Betriebsrat oder eine Gleichbehandlungsstelle erfolgen. Eingehende Anfragen werden zentral erfasst, geprüft und dokumentiert. Die Zwei-Monats-Frist muss systemseitig oder prozessual gesichert sein.
Zugriffs- und Berechtigungskonzept einrichten
Entgeltdaten gehören zu den sensibelsten Daten im Unternehmen. Das Zugriffs- und Berechtigungskonzept muss auf dem Prinzip des „Need-to-know” basieren: Nur wer eine Aufgabe konkret erfüllen muss, erhält Zugriff – und auch das nur auf die dafür notwendigen Datenklassen. Rollen, Berechtigungen und Änderungen sind zu dokumentieren. Das ist keine reine Datenschutzmaßnahme, sondern auch ein wirksamer Schutz gegen interne Leaks.
Betriebsvereinbarungen als Gestaltungsinstrument nutzen
Eine Betriebsvereinbarung zur Entgelttransparenz schafft verbindliche Regelungen für die Belegschaft. Sie kann Auskunftsverfahren, die Rolle des Betriebsrats in sensiblen Fällen und die interne Kommunikation von Entgeltberichten festlegen. Zudem bietet sie die Möglichkeit, unternehmensweite Leitlinien für einen verantwortungsvollen Umgang mit den Anforderungen der digitalen Arbeitswelt zu verankern.
Die Umsetzung von Entgelttransparenz erfordert die enge Zusammenarbeit von HR, Datenschutz, Legal/Compliance und Betriebsrat. Als Schnittstellenthema verbindet sie Vergütungsstrategie, Datenschutz, rechtliche Anforderungen und Mitbestimmung. Ein interdisziplinäres Projektteam kann die Umsetzung koordinieren, Zuständigkeiten klären und ein gemeinsames Verständnis von Prozessen, Datenflüssen und Berechtigungen sicherstellen.
Entgelttransparenz und Datenschutz sind kein unauflösbarer Widerspruch. Sie lassen sich in Einklang bringen; aber nur mit sensibler Vorbereitung. Wer jetzt startet, sichere Auskunftsprozesse entwirft, das Datenschutzkonzept aktualisiert, Zugriffsrechte bereinigt und Betriebsvereinbarungen gezielt einsetzt, ist entsprechend gut aufgestellt.
Fabio Kilgenstein ist Rechtsanwalt und Consultant Datenschutz der Unternehmensberatung AGOR AG. Das Unternehmen berät seit 20 Jahren mit mittlerweile 25 Mitarbeitern Firmen aller Branchen und Größen im Bereich Datenschutz/Datensicherheit und Informationssicherheit.
Sascha Hesse ist Vorstand der Unternehmensberatung AGOR AG. Das Unternehmen berät seit 20 Jahren mit mittlerweile 25 Mitarbeitern Firmen aller Branchen und Größen im Bereich Datenschutz/Datensicherheit und Informationssicherheit.