Die DSGVO stellt bestimmte Anforderungen für Unternehmen auf, wenn sie personenbezogene Daten verarbeiten.
Hierzu ist es zunächst wichtig zu wissen, was personenbezogene Daten sind und festzustellen in welchem Maße diese in Ihrem Unternehmen verarbeitet werden.
Die Verordnung definiert personenbezogene Daten als: "alle Informationen, die sich auf eine identifizierbare oder identifizierte Person beziehen."
Hierunter versteht man alle Informationen, die sich direkt oder indirekt auf einen Menschen beziehen. Dies ist weit auszulegen und umfasst z.B.:
Was nach wie vor gilt, ist das Verbot personenbezogene Daten ohne ausdrückliche Erlaubnis zu verarbeiten. Hierfür ist ein ausdrücklicher Erlaubnistatbestand der DS-GVO oder in einer sonstigen Rechtsvorschrift (z.B. Telekommunikationsgesetz oder Telemediengesetz) erforderlich. Man spricht insoweit vom „Grundprinzip Verbot mit Erlaubnisvorbehalt“. Die gängigen bisherigen Erlaubnistatbestände für die Datenverarbeitung bleiben insoweit erhalten.
Ebenso bestehen weiterhin für die Verarbeitung besonders sensibler Daten besondere Voraussetzungen. So sieht Art. 9 DSGVO für die Verarbeitung von sensiblen Daten z.B. eine „explizite Einwilligung“ des Betroffenen vor.