Entgelttransparenz und DS-GVO: Warum Geschäftsführer bereits jetzt handeln müssen

Entgelttransparenz, EntgTranspRL, Gesetzgebung: DS-GVO

Viele Geschäftsführer gehen derzeit davon aus, dass Handlungsbedarf erst mit Inkrafttreten des deutschen Umsetzungsgesetzes zur Entgelttranspa­renzrichtlinie besteht. Diese Annahme ist juristisch riskant – nicht nur arbeitsrechtlich, sondern auch datenschutzrechtlich. Denn die EU-Entgelttranspa­renzrichtlinie greift tief in die Verarbeitung personenbezogener Beschäftigtendaten ein und ist damit untrennbar mit der DS-GVO verknüpft. Wer sich heute nicht vorbereitet, riskiert künftig parallele Verstöße: gegen arbeitsrechtliche Transparenzpflichten und gegen datenschutzrechtliche Vorgaben.

1. Die Entgelttransparenzrichtlinie – rechtlicher Rahmen

Die Richtlinie (EU) 2023/970 wurde im Mai 2023 im Amtsblatt der Europäischen Union veröffentlicht und ist Anfang Juni 2023 in Kraft getreten. Sie muss bis spätestens 7. Juni 2026 in nationales Recht umgesetzt werden. Sie verpflichtet die Mitgliedstaaten, unter anderem folgende Regelungsinhalte vorzusehen, die nach nationaler Umsetzung von Unternehmen einzuhalten sein werden:
  • erweiterte Auskunftsrechte für Beschäftigte,
  • Transparenzpflichten bereits im Bewerbungsverfahren,
  • regelmäßige Berichte zum geschlechtsspezifischen Entgeltgefälle,
  • gemeinsame Entgeltbewertungen bei Abweichungen von mehr als 5 %,
  • wirksame Sanktionen sowie eine Beweislastumkehr zulasten des Arbeitgebers.
All diese Pflichten betreffen Entgelt-, Leistungs-, Tätigkeits- und Vergleichsdaten und damit eindeutig personenbezogene Daten im Sinne der DS-GVO.

2. Entgelttransparenz ist immer auch Datenschutz

Spätestens an dieser Stelle wird deutlich: Die Umsetzung der Entgelttransparenzrichtlinie ist kein reines Thema des Personalbereichs oder des Arbeitsrechts.
 
Betroffen sind insbesondere:
  • Gehaltsdaten,
  • Stellen- und Tätigkeitsbewertungen,
  • Vergleichsgruppen und Vergleichsstrukturen,
  • statistische Auswertungen nach Geschlecht,
  • Bewerberdaten,
  • interne Berichte, Analysen und Nachweise.
Diese Daten unterfallen regelmäßig der Datenschutz-Grundverordnung. WDF-
 
Die im Rahmen der Entgelttransparenz verarbeiteten Informationen sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO. Ihre Erhebung, Auswertung, ihr Vergleich sowie ihre Weitergabe stellen Verarbeitungen nach Art. 4 Nr. 2 DS-GVO dar. Da keine Ausnahme nach Art. 2 Abs. 2 DS-GVO greift, unterfallen diese Daten – soweit sie personenbezogen verarbeitet werden – dem Anwendungsbereich der DS-GVO.
 
Merke: Jede Maßnahme zur Entgelttransparenz ist zugleich eine Datenverarbeitung, die einer tragfähigen datenschutzrechtlichen Grundlage bedarf.

3. Keine unmittelbare Pflicht – haftungsrelevante Organpflichten

Richtig ist:
  • EU-Richtlinien entfalten grundsätzlich keine unmittelbare Wirkung zwischen Privaten (keine horizontale Direktwirkung).
  • Ein deutsches Umsetzungsgesetz zur Entgelttransparenzrichtlinie ist zum Zeitpunkt der Veröffentlichung dieses Beitrags (10. Januar 2026) noch nicht verkündet worden.
Falsch – und haftungsrechtlich gefährlich – wäre jedoch der Schluss: „Solange das Gesetz fehlt, besteht kein Handlungsbedarf.
 
Denn Geschäftsführer sind bereits heute verpflichtet, vorhersehbare, erhebliche Rechts- und Haftungsrisiken aktiv zu erkennen, zu bewerten und organisatorisch zu adressieren.
 
Diese Pflicht ergibt sich insbesondere aus:
  • den gesellschaftsrechtlichen Organpflichten (§ 43 GmbHG, § 93 AktG),
  • der Legalitäts- und Organisationspflicht zur Einrichtung angemessener Compliance-Strukturen,
  • der Business-Judgment-Rule, allerdings nur bei angemessener Informationsgrundlage und dokumentierter Risikobewertung,
  • sowie den unmittelbar geltenden Pflichten aus der DS-GVO, insbesondere nach Art. 5, 24, 25 und 32.
Die Entgelttransparenzrichtlinie ist:
  • in Kraft (als unionsrechtlicher Umsetzungsauftrag an die Mitgliedstaaten),
  • inhaltlich konkret ausgestaltet,
  • mit einer festen Umsetzungsfrist versehen,
  • mit Sanktionen, Beweislastumkehr und Schadensersatzrisiken verbunden.
Damit handelt es sich um ein klar vorhersehbares Compliance-Risiko.
 
Konsequenz: Wer als Geschäftsführer heute keinerlei vorbereitende Maßnahmen ergreift, setzt sich regelmäßig dem Vorwurf einer pflichtwidrigen Organisation aus.
 
Diese Organisations- und Vorsorgepflichten bestehen unabhängig vom nationalen Umsetzungsgesetz und können bereits jetzt haftungsrelevante Wirkung entfalten.

4. DS-GVO-Pflichten, die bereits heute relevant sind

Auch ohne neue gesetzliche Umsetzungsakte ergeben sich bereits heute konkrete, verbindliche Pflichten aus der DS-GVO, deren Missachtung erhebliche rechtliche und wirtschaftliche Risiken nach sich ziehen kann.

4.1 Rechtmäßigkeit und Zweckbindung (Art. 5 Abs. 1 DS-GVO)

Künftige Transparenz-, Auskunfts- und Berichtspflichten setzen voraus, dass:
  • Zwecke der Datenverarbeitung klar definiert und dokumentiert sind,
  • Daten nur im erforderlichen Umfang verarbeitet werden,
  • Vergleichsgruppen anhand objektiver, sachlich nachvollziehbarer und diskriminierungsfreier Kriterien gebildet werden.
Ohne vorbereitende Struktur drohen ungeplante Zweckänderungen „auf Zuruf“ – ein klassischer Verstoß gegen die Grundsätze der DS-GVO.

4.2 Datenschutz durch Technikgestaltung (Art. 25 DS-GVO)

Geschäftsführer sind verpflichtet, bereits bei der Planung von Entgelt- und Auswertungsprozessen:
  • datenschutzfreundliche Strukturen zu etablieren,
  • klare Rollen-, Zugriffs- und Berechtigungskonzepte umzusetzen,
  • Auswertungen soweit möglich zu anonymisieren oder zumindest zu aggregieren.
Ad-hoc-Auswertungen ohne definierte Methodik, ohne Zugriffsbeschränkung und ohne dokumentierte Zweckbindung sind künftig weder rechtlich noch organisatorisch vertretbar.

4.3 Rechenschaftspflicht und Dokumentation (Art. 5 Abs. 2 DS-GVO)

Die Entgelttransparenzrichtlinie verlangt belastbare, nachvollziehbare Nachweise. Die DS-GVO verpflichtet darüber hinaus zu:
  • der Dokumentation einschlägiger Verarbeitungstätigkeiten im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO),
  • klar benannten und belegbaren Rechtsgrundlagen für jede Datenverarbeitung,
  • dokumentierten Zweck- und Interessenabwägungen,
  • sowie – abhängig von Umfang und Risiko – zur Durchführung und Dokumentation von Datenschutz-Folgenabschätzungen.
Dabei ist je Verarbeitungsvorgang zu prüfen, ob die Rechtsgrundlage aus Art. 6 Abs. 1 DS-GVO (insbesondere lit. b, c oder f) und – bei Beschäftigtendaten – ergänzend aus Art. 88 DS-GVO in Verbindung mit § 26 BDSG folgt. Zudem sind regelmäßig die Transparenzpflichten nach Art. 13 und 14 DS-GVO zu berücksichtigen.
 
Praxisfolge: Wer hier erst im zweiten Halbjahr 2026 mit dem Aufbau beginnt, wird organisatorisch und rechtlich überfordert sein.

5. Haftungsrisiken für Geschäftsführer – doppelt relevant

Unterlässt die Geschäftsleitung bereits heute jede vorbereitende Maßnahme, drohen nach Inkrafttreten des nationalen Umsetzungsgesetzes insbesondere:
  • Bußgelder und sonstige Sanktionen wegen Verstößen gegen entgelttransparenzrechtliche Pflichten (je nach Ausgestaltung des Umsetzungsgesetzes),
  • Bußgelder nach der DS-GVO aufgrund unzulässiger oder unzureichend organisierter Datenverarbeitung, insbesondere infolge fehlender Rechtsgrundlagen, mangelhafter Zweckdefinition, unzureichender Zugriffsbeschränkungen oder fehlender Dokumentation,
  • Schadensersatz- und/oder Entschädigungsansprüche von Beschäftigten (insbesondere nach Umsetzung), etwa wegen Verstößen gegen Entgelttransparenzpflichten, diskriminierender Vergütungsstrukturen oder datenschutzrechtlich unzulässiger Verarbeitung personenbezogener Entgeltdaten,
  • persönliche Innenhaftung gegenüber der Gesellschaft wegen Pflichtverletzung.
Das häufig vorgebrachte Argument: „Das Gesetz galt damals noch nicht“ bietet regelmäßig keinen haftungsrechtlichen Schutz, wenn:
  • das rechtliche Risiko vorhersehbar war,
  • eine angemessene Vorbereitungszeit zur Verfügung stand,
  • die Organisations- und Sorgfaltspflichten der Geschäftsleitung verletzt wurden.
Merke: Maßgeblich ist nicht der Zeitpunkt des Inkrafttretens, sondern die Pflicht zur vorausschauenden Risikovorsorge.

6. Was Geschäftsführer jetzt tun müssen

Angesichts des engen Zeitrahmens bis zur Umsetzung der Entgelttransparenzrichtlinie sind Unternehmen gut beraten, unverzüglich mit der strukturierten Vorbereitung zu beginnen. Ziel ist es, die Voraussetzungen für ein transparentes und diskriminierungsfreies Vergütungssystem zu schaffen, ohne die nationale Gesetzgebung vorwegzunehmen.
 
Erforderlich ist insbesondere eine systematische und dokumentierbare Vorbereitung, unter anderem durch frühzeitige Analyse, strukturierte Planung und nachvollziehbare organisatorische Maßnahmen, die sowohl arbeitsrechtlichen als auch datenschutzrechtlichen Anforderungen Rechnung tragen und eine spätere rechtssichere Umsetzung ermöglichen, insbesondere durch:
  • Analyse der bestehenden Entgelt- und Stellenstrukturen,
  • Festlegung einer belastbaren Methodik zur Stellen- und Tätigkeitsbewertung (z. B. Kriterienkatalog, Funktionsfamilien, Anforderungsniveaus) und deren Dokumentation,
  • datenschutzkonforme und sachlich begründete Definition von Vergleichsgruppen anhand objektiver Kriterien,
  • Prüfung und Dokumentation der Rechtsgrundlagen für Entgeltauswertungen und -vergleiche,
  • Ergänzung der einschlägigen Verarbeitungstätigkeiten im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO) sowie Aktualisierung der Informationspflichten (Art. 13/14 DS-GVO),
  • frühzeitige Einbindung von Datenschutz, Personalbereich und Compliance,
  • Aufbau belastbarer Dokumentations-, Nachweis- und Kontrollprozesse (inkl. Rollen-/Rechtekonzept und Protokollierung).
Konsequenz: Dies ist keine freiwillige Mehrarbeit, sondern Ausdruck der gesetzlichen Sorgfalts- und Organisationspflicht der Geschäftsleitung.

7. Fazit: Entgelttransparenz erfordert Datenschutz

Geschäftsführer sind bereits jetzt verpflichtet, sich auf die Entgelttransparenzrichtlinie einzustellen – nicht erst mit Inkrafttreten des nationalen Umsetzungsgesetzes, sondern bereits im Rahmen ihrer bestehenden Organ-, Compliance- und Datenschutzpflichten.
 
 
Diese Pflicht ergibt sich:
  • aus den gesellschaftsrechtlichen Organ- und Sorgfaltspflichten,
  • aus der Pflicht zur vorausschauenden Compliance-Risikosteuerung und angemessenen Organisation, insbesondere zur frühzeitigen Identifikation, Bewertung und Steuerung vorhersehbarer rechtlicher, wirtschaftlicher und reputationsbezogener Risiken,
  • sowie unmittelbar aus den geltenden Anforderungen der DS-GVO.
Die Entgelttransparenzrichtlinie ist kein isoliertes arbeitsrechtliches Regelwerk. Sie ist ein datenschutzrechtlich hochsensibles und haftungsrelevantes Compliance-Projekt. Wer sich heute strukturiert vorbereitet, handelt:
  • rechtssicher,
  • haftungsminimierend,
  • und im Einklang mit den Grundsätzen ordnungsgemäßer Unternehmensführung.
Wer untätig bleibt, setzt sich vermeidbaren rechtlichen und persönlichen Haftungsrisiken aus.

Dies bedeutet nicht, dass Unternehmen bereits jetzt sämtliche künftigen Berichtspflichten materiell erfüllen müssten, sondern dass die organisatorischen, datenschutzrechtlichen und strukturellen Voraussetzungen rechtzeitig geschaffen werden müssen.