Die Datenschutz-Folgenabschätzung (DSFA) ist abgeleitet aus Art. 35 der DSGVO. Die DSFA beinhaltet die Verpflichtung für den Verantwortlichen, vor dem Beginn einer geplanten Datenverarbeitung eine Bewertung der möglichen Auswirkungen durchzuführen und diese zu dokumentieren. Wenn mehrere Verarbeitungsvorgänge vorhanden sind, können die Untersuchungen zusammengeführt werden. In Deutschland war die Risikoabwägung bereits durch die Vorabkontrolle nach § 4d Abs. 5 BDSG alte Fassung geregelt. Nach der alten Fassung BDSG war eine Vorabkontrolle durchzuführen, wenn besonders sensible Daten (laut § 3 Abs. 9 BDSG) verarbeitet werden.
Die Einführung der DSGVO hat das BDSG abgelöst. Jetzt sollte eine DSFA gem. Art. 35. Abs. 1 DSGVO in der Regel dann durchgeführt werden, wenn eine Form der Datenverarbeitung, insbesondere unter Verwendung neuer Technologien, aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein erhebliches Risiko für die Rechte und Freiheiten von Einzelpersonen darstellt. Des Weiteren ermächtigt Art. 35 Abs. 5 der DSGVO die Aufsichtsbehörden, eine Liste von Datenverarbeitungsvorgängen zu erstellen und öffentlich zu machen, für die keine Datenschutz-Folgenabschätzungen durchgeführt werden müssen.
Gemäß Art. 35 Abs. 7 der DSGVO sind bei der Durchführung einer Datenschutz-Folgenabschätzung einige Aspekte zu berücksichtigen. Die DSFA muss eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung einschließlich möglicher berechtigter Interessen des Verantwortlichen enthalten. Zudem wird sowohl die Verhältnismäßigkeit und Notwendigkeit der Verarbeitung im Hinblick auf den intendierten Zweck als auch die Risiken der Rechte des Betroffenen bewertet. Die DSFA muss auch geplante Maßnahmen zur Risikobewältigung einschließlich Sicherheitsvorkehrungen und Verfahren zur Einhaltung der DSGVO, unter Berücksichtigung der Rechte und Interessen der Betroffenen, beinhalten. Außerdem ist bei der Durchführung der DSFA stets der Rat des Datenschutzbeauftragten (sofern vorhanden) einzuholen gemäß Art. 35 Abs. 2 der DSGVO. Eine fehlende oder mangelhafte Datenschutz-Folgenabschätzung kann gem. Art. 83 Abs. 4 zu hohen Bußgeldern führen, nämlich bis zu 10 Millionen Euro oder bis zu 2 % des gesamten Jahresumsatzes in einem Unternehmen.