Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten. Um diese verarbeiten zu können, muss es entweder einen Grund geben (also eine Rechtsnorm wie einen Vertrag oder eine Vorschrift) oder der Betroffene muss eingewilligt haben, dass sie verarbeitet werden dürfen.

In diesem Fall spricht man von einem Verbot mit Erlaubnisvorbehalt. Nach den Vorgaben der DS-GVO umfasst dies jegliche Verarbeitung von Daten, also Erhebung, Erfassung, Anpassung, Veränderung, sowie Löschung und Vernichtung. Dabei ist es irrelevant, ob die Verarbeitung automatisch erfolgt oder nicht, d.h. auch beispielsweise Eintragungen in Papierkalender oder Bestellbücher sind als Datenverarbeitung anzusehen.

In jedem Fall gilt der Grundsatz der Datenminimierung, es sollten also so wenige personenbezogene Daten wie möglich erfasst werden, d.h. die grundsätzliche Frage muss lauten: Welche Daten benötige ich unbedingt, um einen Auftrag ausführen zu können? (Ein Frisör benötigt für seine Dienstleistung i.d.R. keine Anschrift eines Kunden, ein Dachdecker hingegen schon. Angaben über die Religion des Auftraggebers sind in beiden Fällen nicht notwendig.)