Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
§ 35 Abs.1 KDG ist eng an die Europäische Datenschutz-Grundverordnung angelehnt. Sie berücksichtigt aber nicht, dass es gerade im kirchlichen Bereich zahlreiche Dienststellen gibt, für welche die Durchfrührung eines solchen Verfahrens eine kaum zumutbare Aufgabe darstellen würde. Deswegen wurde bei Schaffung des KDG mit Absatz 3 der Vorschrift eine Erleichterung eingebaut:
Ist der Verantwortliche nach Anhörung des betrieblichen Datenschutzbeauftragten der Ansicht, dass ohne Hinzuziehung der Datenschutzaufsicht eine Datenschutz-Folgenabschätzung nicht möglich ist, kann er der Datenschutzaufsicht den Sachverhalt zur Stellungnahme vorlegen.
Das bedeutet nun allerdings nicht, dass der Verantwortliche die notwendige Arbeit dem Diözesandatenschutzbeauftragten zuschieben könnte. Er kann aber dessen Hilfe bei Klärung schwieriger Rechtsfragen einholen. In manchen Fällen kann man auch auf vorhandene frühere Freigaben im kirchlichen oder staatlichen Bereich zurückgreifen.