Was auf dem Notizzettel am Arbeitsplatz nichts zu suchen hat

Ein Notizzettel am Arbeitsplatz kann ein hilfreiches Arbeitsmittel sein, um Aufgaben, Telefonnummern oder andere Informationen schnell festzuhalten. Doch rechtlich gesehen gibt es im Sinne der DSGVO klare Grenzen, welche Inhalte darauf nicht vermerkt sein dürfen, insbesondere im Hinblick auf personenbezogene beziehungsweise sensible Daten.

Personenbezogene Daten gehören nicht auf Zettel

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, wie Name, Adresse oder Telefonnummer. Sensible Daten gehen noch weiter und umfassen z. B. Angaben über ethnische Herkunft, Gesundheitszustand oder politische Meinungen. Die Datenschutz-Grundverordnung (DSGVO) setzt hier strenge Regeln: Solche Daten dürfen nur verarbeitet und gespeichert werden, wenn eine rechtliche Grundlage vorliegt. Auf einem Notizzettel sind sie daher grundsätzlich fehl am Platz, da dieser in der Regel nicht ausreichend vor unbefugtem Zugriff geschützt ist.

Interne Informationen nicht öffentlich machen

Auch interne Informationen, die unter die Verschwiegenheitspflicht fallen, wie Kundendaten, Vertragsinhalte oder betriebliche Geheimnisse, sollten nicht auf lose Notizen geschrieben werden. Solche Informationen könnten leicht vom Kollegium oder externen Personen eingesehen werden – auch ein DSGVO-Verstoß. So entstehen schneller als gedacht Datenschutzverstöße. Um das zu vermeiden, ist es empfehlenswert, sichere digitale Systeme zu nutzen, die Zugriffsrechte und Verschlüsselung bieten.

Diese Projektmanagement-Tools sind geeignet:

Für die Ablage von Dokumenten oder Notizen mit sensiblen Daten bieten zudem Google Workspace, Microsoft OneDrive oder Nextcloud durch Verschlüsselung und Zugriffsrechte sichere Optionen.

Fazit: Nur unverfängliche, öffentliche Infos

Notizzettel sind demnach ausschließlich für unverfängliche, öffentliche Informationen geeignet, aber nicht für sensible oder personenbezogene Daten. Unternehmen sollten Mitarbeitende über ihre Datenschutzrichtlinien aufklären. Rechtliche Risiken lassen sich so von Beginn an vermeiden.