Für die Untersuchung mehrerer ähnlicher/gleichartiger Verarbeitungsvorgänge (im Hinblick auf die Art, den Umfang, die Umstände, den Zweck und die Risiken) mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden (Art. 35 Abs. 1 Satz 2 DSGVO).
Ähnliche Risiken können beispielsweise dann gegeben sein, wenn ähnliche Technologien zur Verarbeitung vergleichbarer Daten(-kategorien) zu gleichen Zwecken eingesetzt werden (vgl. auch Erwägungsgrund 92 DSGVO).
Es kann „unter bestimmten Umständen vernünftig und unter ökonomischen Gesichtspunkten zweckmäßig sein, eine Datenschutz-Folgenabschätzung nicht lediglich auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen – beispielsweise
- wenn Behörden oder öffentliche Stellen eine gemeinsame Anwendung oder Verarbeitungsplattform schaffen möchten oder
- wenn mehrere Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung
- für einen gesamten Wirtschaftssektor,
- für ein bestimmtes Marktsegment oder
- für eine weit verbreitete horizontale Tätigkeit
einführen möchten" (Erwägungsgrund 92 zur Datenschutz-Grundverordnung).
Da es das Ziel von Datenschutz-Folgenabschätzungen ist, systematisch neue Situationen zu untersuchen, von denen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen ausgehen könnte, ist eine Datenschutz-Folgenabschätzung für bereits untersuchte Fälle (d. h. für in einem bestimmten Zusammenhang und zu einem bestimmten Zweck durchgeführte Verarbeitungsvorgänge) nicht mehr erforderlich.
Dies gilt unter Umständen auch für ähnliche Verarbeitungsvorgänge, die von verschiedenen für die Datenverarbeitung Verantwortlichen durchgeführt werden. In diesen Fällen ist es ratsam, eine Referenz-Datenschutz-Folgenabschätzung gemeinsam zu nutzen bzw. öffentlich zugänglich zu machen; zudem müssen die in der Datenschutz-Folgenabschätzung beschriebenen Maßnahmen umgesetzt und eine Begründung vorgelegt werden, warum eine einzige Datenschutz-Folgenabschätzung ausreichend ist.
Sollten für den fraglichen Verarbeitungsvorgang mehrere Verantwortliche gemeinsam für die Verarbeitung zuständig sein, müssen deren jeweilige Aufgaben genau festgelegt sein. In ihrer Datenschutz-Folgenabschätzung müssen sie angeben, welcher Beteiligte für die verschiedenen Maßnahmen zuständig ist, mit denen die Risiken bearbeitet und die Rechte und Freiheiten der Betroffenen geschützt werden. Jeder für die Datenverarbeitung Verantwortliche muss angeben, was er benötigt, und den anderen Beteiligten hilfreiche Informationen bereitstellen, ohne Geheimnisse (z. B. Schutz von Betriebsgeheimnissen, von geistigem Eigentum, von vertraulichen Geschäftsinformationen) oder Schwachstellen preiszugeben.