Ein Verantwortlicher muss eine Datenschutz-Folgenabschätzung durchführen, wenn nach erster Betrachtung ein hohes Risiko für die Betroffenen gegeben ist (Art 35 Abs 1 DSGVO).
Ein solches hohes Risiko ist jedenfalls in folgenden Fällen gegeben (Art 35 Abs 3 und 4 DSGVO):
