Die Datenschutzfolgenabschätzung regelt der Art. 35 DSGVO wie folgt:
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. 2Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
Eine Datenschutzfolgenabschätzung ist beispielsweise in folgenden Fällen durchzuführen:
- Verwendung neuer Technologien
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche