Der Verantwortliche hat für eine Datenverarbeitungstätigkeit dann eine Datenschutz-Folgenabschätzung (auch „Privacy Impact Assessment“) durchzuführen, wenn die Datenverarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Betroffenen begründet.
Ein solches hohes Risiko ist grundsätzlich in folgenden Fällen gegeben (siehe im Detail Frage 23 f):
