Die Erforderlichkeit ist ein in der DSGVO vielfach wiederkehrendes Kriterium für Verarbeitungen, insbesondere für die Rechtmäßigkeit der Verarbeitung, für das es keine Legaldefinition gibt, so dass es für die Auslegung stark auf den jeweiligen systematischen Zusammenhang der Norm ankommt, die als Tatbestandsmerkmal die Erforderlichkeit beinhaltet.
Eingrenzend lässt sich aber feststellen, dass es in jedem Falle für die Erforderlichkeit einer Finalität bedarf, die Verarbeitung muss also auf einen bestimmten Zweck (in der Regel den „Zweck der Verarbeitung) ausgerichtet sein. Die Frage ist, wieviel mehr an Verknüpfung zwischen Verarbeitung und Zweck gegeben sein muss, denn eine nur lose Unterstützung beziehungsweise ein „irgendwie dienlich oder förderlich [sein]“1) ist nicht ausreichend. Andererseits wäre es überzogen zu verlangen, dass die Erforderlichkeit nur gegeben ist, wenn ohne die Verarbeitung der Zweck unmöglich erreicht werden kann. Also überspitzt formuliert es kann nicht verlangt werden, auf ein IT-System mangels Erforderlichkeit zu verzichten, wenn bei hinreichend hohem zusätzlichem Personalaufwand der Zweck auch mittels Papierakten, mechanischer Schreibmaschinen und Durchschlagpapier erreicht werden kann.
Ein Mittelweg könnte daher sein, für die Erforderlichkeit zu verlangen, dass keine datenschutzfreundlicheren Alternativen zur Verfügung stehen, die objektiv sinnvoll2) und zumutbar3) sind.
Ein zusätzliches Erfordernis in Form einer Verhältnismäßigkeitsprüfung und damit einer Interessenabwägung zwischen Verarbeiter und betroffener Person ist im Rahmen der Erforderlichkeit abzulehnen,4) denn wo eine Interessenabwägung notwendig ist wird das in der DSGVO - in der Regel neben der Erforderlichkeit - ausdrücklich verlangt; siehe zum Beispiel Art. 6 Abs. 1 UA 1 lit. f sowie lit. e iVm Abs. 3 DSGVO.