„Spiel mir das Lied vom fairen Lohn“ – Entgelttransparenz und Datenschutz im Gleichklang

Im Mai 2023 verabschiedete die EU eine Richtlinie zur Verbesserung der Lohntransparenz, die dazu dienen soll, geschlechtsspezifische Diskriminierung bei der Gehaltszahlung aufzudecken und dem entgegenzuwirken (wir berichteten).

Bis zum 7. Juni 2026 ist Deutschland verpflichtet, die Richtlinie (EU) 2023/970 – sog. Entgelttransparenzrichtlinie (ETRL) – in nationales Recht umzusetzen. Daher ist es Zeit, einmal den Stand der Umsetzung anzuschauen, was dies konkret für die Personalabteilungen der Unternehmen bedeuten wird und wie dies DSGVO-konform umgesetzt werden kann.

In Deutschland liegt der Abschlussbericht der Expertenkommission zur Umsetzung vor. Das Bundesministerium für Bildung, Familie, Senioren, Frauen und Jugend (BMBFSFJ) wirbt dabei für eine „bürokratiearme“ Lösung – wir werden sehen.

Ziele der Richtlinie

Die Richtlinie (EU) 2023/970 soll – in Schlagworten – folgende Ziele erreichen:

Gleicher Lohn für gleiche Arbeit (Art. 4 ETRL)
Stärkung der Auskunftsrechte von Beschäftigten (Art. 7 ETRL)
verpflichtende Lohntransparenz für Arbeitgeber, insbesondere in mittelgroßen und großen Unternehmen
Bekämpfung einer strukturellen Diskriminierung – vor allem bei Frauen

Interessant wird die Richtlinie vor allem deshalb, weil sie Arbeitgeber zwingt etwas offenzulegen, was eher zu internen Angelegenheiten gehört: Entgeltstrukturen und, in aggregierter Form, Gehaltshöhen.

Die Richtlinie gilt grundsätzlich für alle Unternehmen. Allerdings gibt es für Unternehmen mit mehr als 50 Beschäftigten mehr Pflichten.

Neue Transparenzpflichten der Arbeitgeber

Arbeitgeber müssen Bewerbenden vorab Informationen zum Entgelt geben. Dies kann in Form von Gehaltsspannen oder Einstiegsvergütungen auf die konkrete Stelle sein (Art. 5 ETRL).

Aus datenschutzrechtlicher Sicht ist dies unproblematisch, da Gehaltsspannen keinen Rückschluss auf das konkrete Gehalt von (einzelnen) Beschäftigten zulassen.

Wichtig ist, dass der Arbeitgeber im Bewerbungsprozess nicht nach der Gehaltsentwicklung des Bewerbenden fragen darf (Art. 5 Abs. 2 ETRL). Dies ist ausdrücklich verboten und daher auch datenschutzrechtlich unzulässig.

Beschäftigte sollen künftig Auskunft darüber verlangen können, wie ihr eigenes Entgelt im Vergleich zu anderen Beschäftigten aussieht, die gleiche oder gleichwertige Arbeit leisten und wie hoch das durchschnittliche Entgelt dieser Vergleichsgruppe getrennt nach Geschlecht ist. Dabei geht es aber nicht um Namenslisten, sondern um aggregierte Daten einer Vergleichsgruppen (Art. 7 ETRL).

Soweit die Vergleichsgruppen groß genug sind, sollte auch dies keinen Rückschluss auf Gehälter einzelner Personen zulassen.

Sozusagen im Vorgriff auf die ETRL hat das Bundesarbeitsgericht (BAG) bereits am 23. Oktober 2025 in einem Urteil (8 AZR 300/24) klargestellt, dass sich Beschäftigte für ihre Klage auf eine einzelne Vergleichsperson des anderen Geschlechts berufen können (sog. Paarvergleich), selbst wenn die Vergleichsgruppe größer ist. Erhalten sie bei gleicher oder gleichwertiger Arbeit weniger Entgelt, liegt bereits eine Vermutung für eine geschlechtsbedingte Diskriminierung vor. Der Arbeitgeber muss dann beweisen, dass objektive, nicht geschlechtsbezogene Gründe die Entgeltdifferenz rechtfertigen. Datenschutzrechtlich hat das BAG zudem bestätigt, dass die Verwendung von Entgeltdaten namentlich benannter Vergleichspersonen im Prozess zulässig ist, wenn dies zur Rechtsdurchsetzung erforderlich ist.

Pay-Gap-Analysen

Ab einer bestimmten Unternehmensgröße – nach der Richtlinie ab 100 Beschäftigten, was die Expertenkommission auch für die nationale Umsetzung empfiehlt – sollen Arbeitgeber verpflichtet werden, das Lohngefälle zwischen Männern und Frauen zu ermitteln, regelmäßig Berichte zu veröffentlichen und bei signifikanten Differenzen eine Entgeltbewertung mit der Arbeitnehmervertretung (Betriebsrat, Mitarbeitervertretung, Personalrat) durchzuführen (Art. 9 ETRL).

An dieser Stelle wird ist datenschutzrechtlich interessant, da hierzu umfangreiche Personaldaten herangezogen werden müssen.

Spannungsverhältnis zum Datenschutz

Die Richtlinie selbst verweist auf die DSGVO. Im ErwGr 44 findet sich der Hinweis, dass die Verarbeitung oder Veröffentlichung von Informationen der DSGVO entsprechen. Sie gibt auch ausdrücklich den Hinweis mit auf den Weg, dass eine direkte oder indirekte Offenlegung von Informationen über identifizierbare Beschäftigte zu verhindern ist, auch wenn Beschäftigte nicht daran gehindert werden sollen, ihr Entgelt freiwillig offenzulegen, wenn es darum geht, den Grundsatz des gleichen Entgelts durchzusetzen.

Im Gesetzestext wird in Art. 12 ETRL explizit auf den Datenschutz eingegangen und klargestellt, dass personenbezogene Daten nicht für andere Zwecke als in der Richtlinie genannt, verarbeitet werden dürfen. Außerdem bietet der Artikel eine Öffnungsklausel für die Mitgliedstaaten. Danach können diese den Zugang zu Gehaltsdaten auf Arbeitnehmervertretung, Arbeitsaufsichtsbehörde oder Gleichbehandlungsstelle einschränken, wenn die Daten Beschäftigten zugeordnet werden könnten.

Rechtsgrundlage nach der DSGVO

Sobald personenbezogene Daten verarbeitet werden, ist die DSGVO zu beachten. Diese fordert, dass eine Verarbeitung nur auf Basis einer Rechtgrundlage erfolgen darf.

Die Verarbeitung der Personaldaten, um die Vorgaben zur Entgelttransparenz zu erfüllen, kann auf Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung zur Datenverarbeitung) gestützt werden, wenn die Richtlinie in deutsches Recht umgesetzt worden ist. Das Gesetz verpflichtet die Unternehmen zu der genannten Datenverarbeitung.

Vor der Umsetzung kann sich ein berechtigtes Interesse zur Datenverarbeitung ergeben, um die Ziele der Richtlinie zu erfüllen. Dies kommt vor allem dann in Betracht, wenn schon aus der Richtlinie individuelle Ansprüche abgeleitet werden können. Dann besteht nach der EuGH-Rechtsprechung die Möglichkeit, auch vor der Umsetzung von Richtlinien in das nationale Recht, Rechte geltend zu machen. Diese Datenverarbeitung kann dann auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) gestützt werden. Dabei ist zu beachten, dass die Unternehmen eine saubere Verhältnismäßigkeitsprüfung durchführen, die Rechte der betroffenen Personen gegeneinander abwägen und diese Abwägung entsprechend zu dokumentieren (Verpflichtung nach Art. 5 Abs. 2 DSGVO).

Zu denken ist auch noch an die Einwilligung in die Datenverarbeitung nach Art. 6 Abs. 1 lit. a DSGVO. Allerdings ist eine nach Art. 7 DSGVO geforderte Freiwilligkeit der Einwilligung im abhängigen Beschäftigtenverhältnis regelmäßig nicht denkbar, sodass diese Rechtsgrundlage nicht in Betracht kommt.

Identifizierbarkeit von Personen

Den Verpflichtungen aus der Entgelttransparenzrichtlinie nachzukommen ist dann kein Problem, wenn keine Rückschlüsse auf Einzelpersonen möglich sind. Da die Richtlinie nur Durchschnittswerte fordert und daher aggregierte Daten genutzt werden können, ist dies zunächst kein Problem.

Ein Problem wird es dann, wenn die Vergleichsgruppen zu klein werden oder in einer Gruppe nur ein einziger Mann in einer Gruppe von Frauen ist (oder umgekehrt). Hier ist Beratung gefragt.

Zweckbindung und Zweckänderung

Die Quelle der Gehaltsdaten werden HR-Systeme sein. In der Regel werden die Daten zur Vertragsdurchführung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO erhoben und verarbeitet. Mit der Verpflichtung aus der Richtlinie bzw. aus dem Gesetz ändert sich der Zweck der Datenverarbeitung. Hierzu muss der Arbeitgeber Art. 6 Abs. 4 DSGVO prüfen. Außerdem sind die Beschäftigten über die Zweckänderung nach Art. 13 DSGVO zu informieren.

Hier gibt es für die Unternehmen klare Aufgaben. Auch ist nicht zu vergessen, dass im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO entsprechende Anpassungen vorzunehmen sind.

Aufbewahrungsdauer der Daten

Auf den Weg zu den aggregierten Daten kann es passieren, dass zunächst eine Vielzahl von Gehaltsdaten von unterschiedlichen Mitarbeitenden in Exceltabellen, geordnet nach Abteilungen, Teams oder Arbeitsplatzbeschreibungen zusammengetragen werden. Sobald die entsprechenden aggregierten Daten erstellt worden sind, sind diese Übersichten gemäß Art. 17 DSGVO vollständig zu löschen.

In der Zeit der Erstellung von Übersichten sind diese Zusammenstellung von Daten vor den Zugriff von außen zu schützen. Jeglicher unberechtigte Zugriff zieht eine Datenpanne nach sich, die gemäß Art. 33 DSGVO bei der Aufsichtsbehörde gemeldet werden müsste und ggf. sind die Beschäftigten über unberechtigte Zugriffe ebenfalls nach Art. 34 DSGVO zu informieren.

Datenschutz-Folgenabschätzung

Es klang bereits im vorigen Absatz an. Die Ansammlung von großen Mengen von Gehaltsdaten kann dazu führen, dass die Datenverarbeitung ein hohes Risiko für die Beschäftigten nach sich ziehen kann, wenn Unberechtigte Zugriff darauf nehmen. Man stelle sich vor, eine Exceltabelle mit Gehaltsdaten von über 1000 Mitarbeitenden findet seinen Weg in das Internet (oder Intranet). Daher ist zumindest ernsthaft zu prüfen, ob für den Verarbeitungsprozess eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO notwendig wird. Im Zweifel fragen Sie Ihre*n Datenschutzbeauftragte*n.

Sicherheitsmaßnahmen

Um die den größten anzunehmenden Unfall einer Datenpanne mit anschließender Meldung bei der Aufsichtsbehörde und ggf. auch Schlagzeilen in der Presse zu vermeiden, sind Sicherheitsmaßnahmen zu treffen. Hierzu sollte sich man insbesondere über folgende Punkte Gedanken machen:

Wer darf die Angaben über die Gehaltsdaten einsehen? Wer ist mit der Erstellung der Entgeltberichte im Rahmen der Richtlinie betraut?
Kann nachvollzogen werden, wer Zugriff auf die Gehaltsdaten nimmt und zu welchem Zweck?
Wurde, wo immer möglich, der Grundsatz der Pseudonymisierung berücksichtigt und die Nutzung von Klarnamen vermieden?
Sind sich die beteiligten Beschäftigten, aber auch die beteiligten Gremien, der Sensibilität der Daten bewusst und halten die Vertraulichkeit und Verschwiegenheit auch in diesem Bereich ein?

Hier ist auch auf die Arbeitnehmervertretung zu schauen. So hat der Betriebsrat nach § 79a BetrVG den Datenschutz einzuhalten und muss ebenfalls eigene Maßnahmen zum Schutz der Beschäftigtendaten vorhalten und einhalten. Daher ist es sinnvoll auch hier die Sensibilität für dieses Thema zu schaffen.

Fazit

Die Richtlinie enthält für die Personalabteilungen dieser Unternehmen ein Mammutprojekt parat. Dabei ist dieses Projekt kein reines HR-Projekt. Es ist ein umfangreiches Compliance-Thema mit Schnittstellen zum Arbeitsrecht, Datenschutzrecht und Mitbestimmungsrecht. Eine gründliche Vorbereitung und Durchführung des Themas ist essenziell, um nicht das Risiko von Datenschutzverstößen zu begehen.

Olaf Rossow | 30. März 2026 | Beschäftigtendatenschutz, Compliance | Arbeitgeber, Arbeitnehmer, Auskunftsrecht, BAG, berechtigtes Interesse, Bericht, Betriebsrat, Bewerber, BMBFSFJ, Compliance, Datenschutz-Folgenabschätzung, Datenverarbeitung, DSGVO, Entgelttransparenzrichtlinie, ETRL, EU, Gehalt, Paarvergleich, Richtlinie (EU) 2023/970 | 1 Kommentar