Der Umfang der Datenverarbeitung bezieht sich auf die Art und Weise, das Ausmaß, den Kontext und die Zwecke, für die personenbezogene Daten verarbeitet werden. Die DSGVO verlangt, dass die Datenverarbeitung auf das für die Erreichung des Verarbeitungszwecks notwendige Maß beschränkt (Datenminimierung) wird und dass die verarbeiteten Daten relevant und begrenzt auf das Notwendige sind. Verantwortliche müssen den Umfang ihrer Datenverarbeitungsaktivitäten klar definieren und dokumentieren, um sicherzustellen, dass sie beispielsweise die Prinzipien der Datenminimierung und Zweckbindung einhalten und die Rechte der betroffenen Personen wahren.