Die Datenschutzfolgenabschätzung ist neu  und jetzt in Art. 35 DS-GVO geregelt. Sie dient dazu, bei Verarbeitungen personenbezogener Daten der Betroffenen hohe Risiken abzuschätzen und geeignete Schutzmaßnahmen zum Schutze der Grundrechte zu entwickeln. In Art. 35 DS-GVO finden sich ein paar Beispiele, in welchen Fällen eine Datenschutz-Folgenabschätzung erforderlich ist, wie bspw. bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten (Art. 35 Abs. 3 b DSGVO) und einer umfangreichen Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 c DSGVO).

Die Aufsichtsbehörden werden in Art. 35 Abs. 4 S. 1 DSGVO jedoch verpflichtet, Listen von Verarbeitungsvorgängen (Positivliste)  zu veröffentlichen, für die eine DSFA durchzuführen ist. Inzwischen haben auch erste Aufsichtsbehörden erste Positivlisten entwickelt https://datenschutz-hamburg.de/assets/pdf/DSFA%20Muss-Liste%20für%20den%20nicht-öffentlicher%20Bereich-HmbBfDI%20Version%201.0%20%28Entwurf%29.pdf