Was auf dem Notizzettel am Arbeitsplatz nichts zu suchen hat
Ein Notizzettel am Arbeitsplatz kann ein hilfreiches Arbeitsmittel sein, um Aufgaben, Telefonnummern oder andere Informationen schnell festzuhalten. Doch rechtlich gesehen gibt es im Sinne der DSGVO klare Grenzen, welche Inhalte darauf nicht vermerkt sein dürfen, insbesondere im Hinblick auf personenbezogene beziehungsweise sensible Daten.
Personenbezogene Daten gehören nicht auf Zettel
Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, wie Name, Adresse oder Telefonnummer. Sensible Daten gehen noch weiter und umfassen z. B. Angaben über ethnische Herkunft, Gesundheitszustand oder politische Meinungen. Die Datenschutz-Grundverordnung (DSGVO) setzt hier strenge Regeln: Solche Daten dürfen nur verarbeitet und gespeichert werden, wenn eine rechtliche Grundlage vorliegt. Auf einem Notizzettel sind sie daher grundsätzlich fehl am Platz, da dieser in der Regel nicht ausreichend vor unbefugtem Zugriff geschützt ist.
Interne Informationen nicht öffentlich machen
Auch interne Informationen, die unter die Verschwiegenheitspflicht fallen, wie Kundendaten, Vertragsinhalte oder betriebliche Geheimnisse, sollten nicht auf lose Notizen geschrieben werden. Solche Informationen könnten leicht vom Kollegium oder externen Personen eingesehen werden – auch ein DSGVO-Verstoß. So entstehen schneller als gedacht Datenschutzverstöße. Um das zu vermeiden, ist es empfehlenswert, sichere digitale Systeme zu nutzen, die Zugriffsrechte und Verschlüsselung bieten.
Diese Projektmanagement-Tools sind geeignet:
Für die Ablage von Dokumenten oder Notizen mit sensiblen Daten bieten zudem Google Workspace, Microsoft OneDrive oder Nextcloud durch Verschlüsselung und Zugriffsrechte sichere Optionen.
Fazit: Nur unverfängliche, öffentliche Infos
Notizzettel sind demnach ausschließlich für unverfängliche, öffentliche Informationen geeignet, aber nicht für sensible oder personenbezogene Daten. Unternehmen sollten Mitarbeitende über ihre Datenschutzrichtlinien aufklären. Rechtliche Risiken lassen sich so von Beginn an vermeiden.

Miriam Harringer, Redakteurin
Weitere Artikel des Autoren
- 2-Faktor-Authentifizierung von Microsoft Azure wird verpflichtend
- Muss jeder Online-Shop bald barrierefrei sein?
- KI-Beauftragter: Schlüsselrolle in der Verordnung des EU AI Act
- BFSG Umsetzung meistern: Der 9-Schritte-Plan für Unternehmen
- AI Officer: Wegweiser für Compliance und Innovation unter dem EU AI Act
- 5 häufig gestellte Fragen und Antworten zum Barrierefreiheitsstärkungsgesetz