Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Die Datenschutz-Grundverordnung ("DS-GVO")¹ führt das Konzept einer (verpflichtenden) Datenschutz-Folgenabschätzung² ("DSFA") in das österreichische Datenschutzrecht ein. Nach Art 35 DS-GVO ist eine DSFA durchzuführen, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dieser Beitrag untersucht, wann eine DSFA zwingend durchzuführen ist, und analysiert zur Beleuchtung dieser Frage die Leitlinien der Artikel-29-Datenschutzgruppe zur DSFA.