Ja, auch für alte Datenanwendungen, die bereits vor dem 25. Mai 2018 in Betrieb genommen wurden, muss – wenn nach erster Betrachtung ein hohes Risiko vorliegt (siehe Frage 23 f) – eine Datenschutz-Folgenabschätzung durchgeführt werden. Die einzige Ausnahme hiervon ist, wenn die Datenanwendung:
