Die Grundlage ist stets ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), das gegen die Rechte der betroffenen Personen abgewogen werden muss. Die Erfassung darf nur auf den notwendigen Bereich beschränkt sein. Zudem sind technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu treffen, etwa Zugriffsschutz und Verschlüsselung. Die Maßnahme muss dokumentiert und im Verarbeitungsverzeichnis erfasst sein (Art. 30 DSGVO).
