Personenbezogene Daten müssen stets rechtmäßig und nach Treu und Glauben (§ 242 BGB) verarbeitet werden.

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und verwendet werden.

Personenbezogene Daten müssen für den Zweck, für den sie verarbeitet werden, relevant sein und dürfen nicht über das Notwendige hinausgehen.

Die Betroffenen müssen Informationen über die Zweckbestimmung der Verarbeitung erhalten.

Daten, die eine Identitifizierung von Personen ermöglichen, dürfen nicht länger als notwendig aufbewahrt werden.

Die Daten müssen sachlich richtig sein und erforderlichenfalls auf den neuesten Stand gebracht werden.

Die für die Verarbeitung der Daten Verantwortlichen müssen den Betroffenen angemessene Möglichkeiten zur Berechtigung, Löschung oder Sperrung unrichtiger Daten einräumen.

Es müssen geeignete technische und organisatorische Maßnahmen zum Schutz gegen unberechtigte oder unrechtmäßige Verarbeitung personenbezogener Daten getroffen werden.

Sensible Daten (Angaben zur Gesundheit, Religionszugehörigkeit, Rasse, etc.) genießen verstärkten Schutz.

Personenbezogene Daten dürfen grundsätzlich nur in ein Land oder Gebiet außerhalb des Europäischen Wirtschaftraumes übermittelt werden, wenn dort ein “angemessenes Datenschutzniveau“ für die Betroffenen gewährleistet ist.