Mit der EU-Datenschutz-Grundverordnung (DSGVO) gelten seit Mai 2018 neue gesetzliche Verpflichtungen für die Gewährleistung von Datenschutz und Datensicherheit. Neu ist die Anforderung an einen „risikobasierten Ansatz“ im Datenschutz, bekannt etwa aus Risikomanagement & Informationssicherheit. Für besonders risikobehaftete Datenverarbeitungen schreibt die DSGVO eine sogenannte Datenschutz-Folgenabschätzung (DSFA) vor. Viele Unternehmen hadern, in welchen Fällen sie eine DSFA vornehmen müssen und wie sie diese genau dokumentieren sollen.