Die DSGVO beinhaltet detaillierte Information welche Organisationen eine Risikoanalyse ihrer Datenverarbeitung durchführen müssen und wie diese sogenannte Datenschutzfolgenabschätzung, kurz DSFA, auszusehen hat. Eine Folgenabschätzung ist insbesondere erforderlich, wenn Fälle des Art. 35 Abs. 3 lit. a -c in Betracht kommen:
Profiling oder Scoring (systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen)
Umfangreiche Verarbeitung schützenswerter personenbezogener Daten wie biometrische Daten, Daten zu Herkunft oder Daten zur Weltanschauung
Systematische Überwachung öffentlicher Räume
Es gibt zudem eine Liste der Verarbeitungsvorgänge der zuständigen Aufsichtsbehörde, in denen Fälle aufgelistet sind, für die eine DSFA zwingend erforderlich ist.