Antwort und Beispiel: Personenbezogene Daten sollten nur verarbeitet werden, wenn es nach allgemeinem Ermessen unmöglich ist, die Verarbeitung auf andere Weise durchzuführen. Sofern es möglich ist, sollten möglichst anonyme Daten verwendet werden.
Wenn personenbezogene Daten erforderlich sind, sollten diese dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt sein („Datenminimierung“). Es obliegt der Verantwortung Ihres Unternehmens/Ihrer Organisation, als Verantwortlicher zu bewerten, wie viele Daten erforderlich sind, und zu gewährleisten, dass nicht relevante Daten nicht erhoben werden.
Beispiel:
Ihr Unternehmen/Ihre Organisation bietet Car Sharing-Dienstleistungen für Privatpersonen an. Für diese Dienste benötigt es/sie Name, Adresse und Kreditkartennummer der Kunden und eventuell Informationen darüber, ob die Person eine Behinderung hat (also Gesundheitsdaten), nicht aber über die rassische Herkunft.
Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/data-minimisation/how-much-data-can-be-collected_de