Die Artikel-29-Datenschutzgruppe hat eine Faustregel formuliert, wann außer in den Fällen, die die DSGVO selbst nennt (siehe Frage 23), ein hohes Risiko gegeben ist und daher eine Datenschutz-Folgenabschätzung erforderlich ist. Diese ist leider eine eher komplizierte und vage Faustregel.
