Nach Art. 22 DSG muss ein Verantwortlicher vorgängig eine Datenschutz-Folgenabschätzung (DSFA) erstellen, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt gemäss Gesetz namentlich vor bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten. Die DSFA muss eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte enthalten. Von der Erstellung einer DSFA ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind. Der private Verantwortliche kann zudem von der Erstellung einer DSFA absehen, wenn er ein System, ein Produkt oder eine Dienstleistung einsetzt, das oder die für die vorgesehene Verwendung nach Art. 13 DSG zertifiziert, ist oder wenn er einen Verhaltenskodex nach Art. 11 DSG einhält, der die folgenden Voraussetzungen erfüllt: Der Verhaltenskodex beruht auf einer DSFA; er sieht Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Person vor; er wurde dem Eidg. Datenschutz- und Öffentlichkeitsverantwortlichen (EDÖB) vorgelegt. Ergibt sich aus der DSFA, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so muss der Verantwortliche gemäss Art. 23 DSG den EDÖB konsultieren, der seinerseits Einwände gegen die geplante Bearbeitung vorbringen und geeignete Massnahmen vorschlagen kann. Der private Verantwortliche kann von der Konsultation des EDÖB absehen, wenn er seine/n Datenschutzberater/in nach Art. 10 DSG konsultiert hat.