EU AI Act FRIA: So führen Sie eine Grundrechte-Folgenabschätzung durch
Sie bauen ein Medizinprodukt? Eine FRIA gilt dafür in der Regel nicht, siehe Brauchen Sie eine FRIA für medizinische KI?.
TL;DR, die wichtigsten Fakten zur FRIA-Pflicht
- Wer sie durchführen muss: Öffentliche Stellen, private Einrichtungen, die wesentliche Dienste erbringen (Banken, Versicherungen, Energie, Gesundheit, Verkehr), sowie Bildungs- und Berufsbildungseinrichtungen, die Hochrisiko-KI-Systeme betreiben.
- Wann: Bevor das Hochrisiko-KI-System in Betrieb genommen wird. Sie ist eine Voraussetzung für den rechtmäßigen Betrieb, keine nachträgliche Übung.
- Was sie abdeckt: Alle Grundrechte der EU-Charta, nicht nur den Datenschutz. Dazu gehören Menschenwürde, Nichtdiskriminierung, Meinungsfreiheit, Rechte von Kindern, Rechte von Menschen mit Behinderungen, Zugang zum Recht und mehr.
- Wie sie sich von einer DSFA unterscheidet: Eine DSFA nach DSGVO deckt nur Risiken für personenbezogene Daten ab. Eine FRIA deckt die breiteren Grundrechte ab und gilt auch dann, wenn keine personenbezogenen Daten verarbeitet werden.
- Lässt sie sich mit einer DSFA verbinden? Ja, Artikel 27 Absatz 4 erlaubt ausdrücklich, beide in einer einzigen Bewertung zusammenzuführen.
- Registrierung: Die FRIA-Ergebnisse müssen der Marktüberwachungsbehörde übermittelt und in der EU-Datenbank registriert werden.
- Fortlaufende Pflicht: Die FRIA muss aktualisiert werden, wenn sich die Umstände ändern, bei neuen Systemversionen, neuen Einsatzkontexten oder neuen Erkenntnissen über die Auswirkungen auf die Grundrechte.
Was ist eine FRIA und warum ist sie wichtig?
Die Grundrechte-Folgenabschätzung (FRIA) ist eine der bedeutendsten und zugleich am wenigsten verstandenen Pflichten für Betreiber von Hochrisiko-KI-Systemen unter dem EU AI Act. Sie verlangt von Betreibern in bestimmten Kategorien, systematisch zu bewerten, wie ihre Nutzung eines Hochrisiko-KI-Systems die Grundrechte der betroffenen Personen beeinträchtigen kann.
Anders als die Datenschutz-Folgenabschätzung (DSFA) nach DSGVO deckt die FRIA die volle Breite der EU-Charta der Grundrechte ab: Menschenwürde, Nichtdiskriminierung, Meinungsfreiheit, Zugang zu wirksamen Rechtsbehelfen, Rechte von Kindern, Rechte von Menschen mit Behinderungen und mehr. Die FRIA gibt es, weil der EU-Gesetzgeber erkannt hat, dass KI-Systeme Menschen auf eine Weise schaden können, die weit über den Datenschutz hinausgeht, durch voreingenommene Entscheidungen, undurchsichtige Prozesse und systematische Diskriminierung.
Wenn Sie eine öffentliche Stelle, ein Anbieter wesentlicher Dienste oder eine Bildungseinrichtung sind und Hochrisiko-KI betreiben, zeigt Ihnen dieser Leitfaden, wie Sie die Pflicht vor der Frist am 2. August 2026 erfüllen.
Ist Ihr KI-System hochriskant?
Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.
Jetzt prüfenWer muss eine FRIA durchführen?
Artikel 27 verlangt eine FRIA von Betreibern, die in eine von drei Kategorien fallen:
Kategorie 1: Einrichtungen des öffentlichen Rechts
Behörden, öffentliche Krankenhäuser, öffentliche Universitäten, Sozialverwaltungen, öffentliche Arbeitsvermittlungen, kommunale Behörden, Finanzämter, Gerichte, Ausländerbehörden und jede Einrichtung, die Aufgaben nach öffentlichem Recht wahrnimmt.
Beispiel: Eine Kommunalverwaltung setzt ein KI-System ein, um Anträge auf Sozialwohnungen zu priorisieren. Das System ordnet Antragstellende nach Dringlichkeit und Bedarf und beeinflusst damit direkt den Zugang zu Wohnraum, ein Grundrecht nach Artikel 34 der EU-Charta (soziale Sicherheit und soziale Unterstützung).
Kategorie 2: Private Einrichtungen, die wesentliche Dienste erbringen
Dazu gehören Banken und Kreditinstitute, Versicherungsunternehmen, Energieversorger, Wasserversorger, Verkehrsbetriebe, Telekommunikationsanbieter, Anbieter digitaler Gesundheitsdienste und andere, die in Bereichen tätig sind, die nach EU-Recht oder nationalem Recht als wesentliche Dienste eingestuft sind.
Beispiel: Eine Privatkundenbank setzt ein KI-System eines Drittanbieters zur Kreditrisikobewertung ein. Das System bewertet Kreditanträge und erzeugt Risiko-Scores, die unmittelbar beeinflussen, ob Einzelpersonen Zugang zu Krediten erhalten. Das betrifft die wirtschaftliche Teilhabe, die Nichtdiskriminierung (Artikel 21 der Charta) und möglicherweise das Recht auf Eigentum (Artikel 17 der Charta).
Kategorie 3: Bildungs- und Berufsbildungseinrichtungen
Schulen, Universitäten und Bildungsträger, die Hochrisiko-KI-Systeme einsetzen, um Lernende zu bewerten, Lernprozesse zu steuern, Zulassungsentscheidungen zu treffen oder Bildungsressourcen zu verteilen.
Beispiel: Eine Universität nutzt ein KI-System, um Bewerbungen für Masterstudiengänge vorzuprüfen und Kandidaten zu ranken. Das System betrifft den Zugang zu Bildung (Artikel 14 der Charta), die Nichtdiskriminierung (Artikel 21 der Charta) und möglicherweise die Berufsfreiheit (Artikel 15 der Charta).
Wenn keine dieser Kategorien auf Sie zutrifft, ist die FRIA rechtlich nicht verpflichtend. Eine freiwillige Grundrechte-Folgenabschätzung gilt jedoch als gute Praxis und kann Ihre gesamte Compliance-Position im Rahmen der Betreiberpflichten stärken.
Wann muss die FRIA abgeschlossen sein?
Die FRIA muss abgeschlossen sein, bevor das Hochrisiko-KI-System in Betrieb genommen wird. Das ist eine Voraussetzung, keine nachträgliche Übung. Erst einzusetzen und später zu bewerten ist ein direkter Verstoß gegen Artikel 27.
Die Bewertung muss immer dann aktualisiert werden, wenn:
- Sich der Einsatz oder der Einsatzkontext des Systems wesentlich ändert
- Neue Informationen über die Auswirkungen des Systems auf die Grundrechte verfügbar werden
- Das System wesentlich verändert wird (neue Version, neue Trainingsdaten, geänderte Parameter)
- Die Marktbeobachtung unerwartete Auswirkungen aufdeckt
- Sich die betroffene Bevölkerung ändert (neue Nutzergruppen, neuer geografischer Anwendungsbereich)
Alle Pflichtfelder der FRIA
Artikel 27 Absatz 3 legt den Mindestinhalt fest, den jede FRIA enthalten muss. Im Folgenden wird jedes Feld mit praktischen Hinweisen behandelt:
1. Beschreibung der Prozesse des Betreibers, in denen das Hochrisiko-KI-System entsprechend seinem Verwendungszweck eingesetzt wird. Beschreiben Sie den konkreten operativen Ablauf, nicht nur, was das KI-System abstrakt tut, sondern wie es in Ihren Entscheidungsprozess passt.
2. Häufigkeit und Zeitraum, für die das System eingesetzt werden soll, samt konkretem geografischem, zeitlichem und demografischem Anwendungsbereich. Geben Sie an, ob der Einsatz dauerhaft, periodisch oder ereignisgesteuert ist. Legen Sie fest, welche Standorte, Zeiträume und Bevölkerungsgruppen erfasst werden.
3. Kategorien natürlicher Personen und Gruppen, die durch die Nutzung des Systems im konkreten Kontext voraussichtlich betroffen sind. Bestimmen Sie sowohl direkt Betroffene (Personen, die die KI bewertet) als auch indirekt Betroffene (Personen, die von Entscheidungen auf Basis der KI-Ergebnisse betroffen sind).
4. Konkrete Schadensrisiken, die die ermittelten Kategorien voraussichtlich betreffen, unter Berücksichtigung der Informationen, die der Anbieter nach Artikel 13 bereitgestellt hat. Nutzen Sie die Betriebsanleitung des Anbieters als Ausgangspunkt, ergänzen Sie sie aber um eine eigene Analyse der Risiken, die für Ihren Einsatzkontext spezifisch sind.
5. Beschreibung der Maßnahmen zur menschlichen Aufsicht, die entsprechend der Betriebsanleitung des Anbieters umgesetzt werden. Legen Sie fest, wer die Aufsicht ausübt, welche Qualifikationen diese Personen haben, welche Werkzeuge ihnen zur Verfügung stehen und unter welchen Umständen sie das System außer Kraft setzen können.
6. Zu ergreifende Maßnahmen für den Fall, dass sich die Risiken verwirklichen, einschließlich Regelungen zur internen Governance und zu Beschwerdemechanismen. Dazu gehören Eskalationswege, Verfahren zur Abhilfe und die Frage, wie betroffene Personen KI-beeinflusste Entscheidungen anfechten können.
7. Möglicherweise betroffene Grundrechte, unter Verweis auf konkrete Rechte aus der EU-Charta der Grundrechte (siehe die ausführliche Liste unten).
8. Bewertung von Wahrscheinlichkeit und Schwere für jedes ermittelte Risiko: wie wahrscheinlich es ist, dass sich das Risiko verwirklicht, und wie schwer die Auswirkungen auf betroffene Personen oder Gruppen wären.
9. Beiträge von Interessengruppen, sofern relevant, sollte der Betreiber Beiträge von Vertretern der voraussichtlich betroffenen Personen oder Gruppen berücksichtigen.
10. Überwachungsverfahren, wie der Betreiber die Auswirkungen des Systems auf die Grundrechte während des Betriebs überwacht, einschließlich Kennzahlen, Häufigkeit und verantwortlicher Stellen.
11. Eskalationswege, klare Verfahren für den Fall, dass die Überwachung unerwartete Auswirkungen aufdeckt, einschließlich der Frage, wer benachrichtigt wird, welche Maßnahmen ergriffen werden und welche Schwellenwerte eine Eskalation auslösen.
12. Protokolle zur Aufbewahrung von Aufzeichnungen, wie die FRIA-Dokumentation, die Überwachungsdaten und die Aktualisierungshistorie gepflegt und den Behörden zur Verfügung gestellt werden.
13. Überprüfungspläne, die Häufigkeit regelmäßiger FRIA-Überprüfungen, einschließlich der Kriterien, die eine außerplanmäßige Überprüfung auslösen.
14. Zuweisung von Verantwortlichkeiten, benannte Rollen oder Funktionen, die für die FRIA, die laufende Überwachung und die Aktualisierungen verantwortlich sind.
15. Einbindung in bestehende Governance-Strukturen, wie die FRIA an die bestehenden Strukturen des Betreibers für Risikomanagement, Compliance und Governance angebunden ist (einschließlich der DSGVO-Governance, sofern zutreffend).
Betroffene Grundrechte der EU-Charta bestimmen
Die FRIA verlangt, dass Sie bestimmen, welche konkreten Charta-Rechte betroffen sein können. Hier fassen die meisten Betreiber ihre Bewertung zu eng. Die folgenden Rechte werden am häufigsten von Hochrisiko-KI-Systemen berührt:
Beschränken Sie Ihre Bewertung nicht auf die Rechte, die Ihnen am naheliegendsten erscheinen. Prüfer erwarten eine umfassende Zuordnung. Ein Kredit-Scoring-System betrifft nicht nur das Recht auf Eigentum, es kann auch die Nichtdiskriminierung (Artikel 21), die Gleichheit vor dem Gesetz (Artikel 20), das Privatleben (Artikel 7, wenn es personenbezogene Finanzdaten nutzt) und möglicherweise die Rechte älterer Menschen und von Menschen mit Behinderungen (wenn es diese Gruppen systematisch benachteiligt) berühren.
FRIA im Vergleich zur DSFA: umfassender Überblick
Wenn beide gelten: Wenn ein Hochrisiko-KI-System personenbezogene Daten verarbeitet, sind beide Bewertungen erforderlich. Artikel 27 Absatz 4 erlaubt Betreibern ausdrücklich, sie in einem einzigen Dokument zusammenzuführen. Der praktische Ansatz ist eine einheitliche Bewertung mit zwei klar gekennzeichneten Abschnitten, einer für die DSGVO-Datenschutzrisiken, der andere für die breiteren Grundrechte der EU-Charta. So vermeiden Sie Doppelarbeit und erfüllen zugleich beide rechtlichen Anforderungen.
Schritt für Schritt: eine FRIA durchführen
Schritt 1: Feststellen, ob eine FRIA erforderlich ist
Bestätigen Sie, dass Ihre Organisation in eine der drei auslösenden Kategorien fällt (öffentliche Stelle, Anbieter wesentlicher Dienste, Bildungseinrichtung) und dass das eingesetzte KI-System nach Artikel 6 und Anhang III als Hochrisiko eingestuft ist. Ist eine der Bedingungen nicht erfüllt, ist die FRIA nicht verpflichtend, eine freiwillige Bewertung ist jedoch gute Praxis. Nutzen Sie das kostenlose Tool zur Risikoklassifizierung, um die Einstufung Ihres Systems zu bestätigen.
Schritt 2: Das KI-System in Ihrem Einsatzkontext umreißen und beschreiben
Dokumentieren Sie, was das System tut, wie es in Ihrem konkreten operativen Kontext eingesetzt wird, welche Entscheidungen es unterstützt oder automatisiert und wie sein geografischer und demografischer Anwendungsbereich aussieht. Nutzen Sie die vom Anbieter in seiner Betriebsanleitung bereitgestellten Informationen als Ausgangspunkt, gehen Sie aber darüber hinaus. Der Anbieter beschreibt das System allgemein; Sie müssen es in Ihrem konkreten Kontext beschreiben.
Beispiel: Eine öffentliche Arbeitsvermittlung, die ein KI-System einsetzt, um Arbeitsuchende mit offenen Stellen zusammenzubringen, muss nicht nur den Matching-Algorithmus des Systems beschreiben, sondern auch, wie Sachbearbeitende die Vorschläge nutzen (folgen sie ihnen immer? können sie sie überstimmen?), welche Arbeitsuchenden dem System unterliegen (alle Gemeldeten oder bestimmte Kategorien?) und was passiert, wenn eine arbeitsuchende Person keiner Stelle zugeordnet wird.
Schritt 3: Alle betroffenen Personen und Gruppen bestimmen
Erfassen Sie alle, die direkt und indirekt von den Ergebnissen des Systems betroffen sind. Achten Sie besonders auf:
- Schutzbedürftige Gruppen: Kinder, ältere Menschen, Menschen mit Behinderungen, Menschen in wirtschaftlicher Not, Asylsuchende, Menschen mit geringer digitaler Kompetenz
- Gruppen mit Risiko unverhältnismäßiger Auswirkungen: ethnische Minderheiten, Frauen, Menschen bestimmter religiöser Überzeugungen, LGBTQ+-Personen, Menschen aus bestimmten sozioökonomischen Verhältnissen
- Personen mit eingeschränkter Möglichkeit zum Widerspruch: Einzelpersonen, die möglicherweise nicht verstehen, dass sie einer KI unterliegen, oder denen die Mittel fehlen, KI-beeinflusste Entscheidungen anzufechten
Schritt 4: Betroffene Grundrechte zuordnen
Bestimmen Sie für jede betroffene Gruppe, welche konkreten Charta-Rechte berührt sein können. Nutzen Sie die obige Tabelle als Ausgangspunkt. Seien Sie umfassend, der AI Act erwartet von Betreibern, die volle Breite der Charta zu berücksichtigen, nicht nur die naheliegendsten Rechte. Dokumentieren Sie die Wirkungskette: Wie führt das Ergebnis des Systems zu einer Auswirkung auf ein bestimmtes Recht einer bestimmten Gruppe?
Beispiel: Für die KI der öffentlichen Arbeitsvermittlung gehören zu den betroffenen Rechten: die Berufsfreiheit (Artikel 15 der Charta, wenn das System einschränkt, welche Stellen bestimmten Suchenden angezeigt werden), die Nichtdiskriminierung (Artikel 21 der Charta, wenn der Matching-Algorithmus bestimmte Gruppen benachteiligt), das Recht auf eine gute Verwaltung (Artikel 41 der Charta, wenn automatisches Matching die individuelle Fallbearbeitung ersetzt) und die soziale Sicherheit (Artikel 34 der Charta, wenn ein Nicht-Match zu reduzierten Leistungen führt).
Schritt 5: Wahrscheinlichkeit und Schwere bewerten
Schätzen Sie für jedes ermittelte Risiko:
- Wahrscheinlichkeit: Wie wahrscheinlich ist es, dass sich das Risiko verwirklicht? Berücksichtigen Sie die bekannten Grenzen des Systems (aus der Dokumentation des Anbieters), Ihren Einsatzkontext, die Zahl der betroffenen Personen und etwaige historische Belege für ähnliche Schäden.
- Schwere: Wie schwer sind die Auswirkungen, wenn sich das Risiko verwirklicht? Berücksichtigen Sie die Unumkehrbarkeit (kann sich die Person erholen?), die Zahl der betroffenen Personen, die Bedeutung des betroffenen Rechts und ob betroffene Personen über einen wirksamen Rechtsbehelf verfügen.
Nutzen Sie eine strukturierte Skala (z. B. niedrig/mittel/hoch/kritisch für beide Dimensionen) und dokumentieren Sie Ihre Begründung. Vermeiden Sie vage qualitative Bewertungen ohne belegende Nachweise.
Schritt 6: Minderungsmaßnahmen festlegen
Dokumentieren Sie für jedes Risiko oberhalb von niedrig konkrete Maßnahmen:
- Technische Maßnahmen: Überwachung der Genauigkeit, Bias-Tests, Kalibrierung von Schwellenwerten, Eingabevalidierung, Konfidenzanzeigen
- Organisatorische Maßnahmen: Verfahren zur menschlichen Aufsicht (wer prüft, wann, mit welcher Befugnis), Schulung des Personals zu den Grenzen des Systems und zu Bias-Risiken, Eskalationswege für Grenzfälle
- Verfahrensbezogene Maßnahmen: Beschwerdemechanismen, die betroffenen Personen zugänglich sind, Widerspruchsverfahren mit menschlichen Entscheidungsträgern, regelmäßige Überprüfung KI-beeinflusster Entscheidungen
- Kommunikationsmaßnahmen: Information betroffener Personen über die Rolle des KI-Systems, Erläuterung, wie man KI-beeinflusste Entscheidungen anfechten kann, Bereitstellung von Ansprechstellen für Rückfragen
Schritt 7: Überwachung, Überprüfung und Registrierung einrichten
Überwachung:
- Legen Sie Kennzahlen fest, um die tatsächlichen Auswirkungen nach dem Einsatz zu verfolgen (z. B. Entscheidungsergebnisse aufgeschlüsselt nach demografischen Gruppen, Beschwerdeaufkommen, Überstimmungsraten der Aufsichtspersonen).
- Setzen Sie Warnschwellen, die eine Untersuchung auslösen.
- Weisen Sie die Verantwortung für die laufende Überwachung einer benannten Rolle oder Funktion zu.
Überprüfung:
- Legen Sie einen Überprüfungsrhythmus fest, mindestens jährlich oder ausgelöst durch wesentliche Änderungen, Vorfälle oder neue Erkenntnisse.
- Dokumentieren Sie, wer die Überprüfung durchführt, was bewertet wird und wie auf Ergebnisse reagiert wird.
Registrierung:
- Übermitteln Sie nach Artikel 27 Absatz 5 eine Zusammenfassung der FRIA-Ergebnisse an die zuständige Marktüberwachungsbehörde.
- Registrieren Sie sie in der EU-Datenbank nach Artikel 49.
- Bewahren Sie die vollständige FRIA-Dokumentation intern auf und stellen Sie sie den Behörden auf Anfrage zur Verfügung.
Praxisbeispiele
Szenario 1: Öffentliches Krankenhaus setzt Diagnose-KI ein
Ein öffentliches Krankenhaus setzt ein KI-System ein, das Radiologen dabei unterstützt, Bildaufnahmen nach vermuteter Schwere zu priorisieren. Die FRIA muss bewerten: das Risiko einer Fehlklassifizierung, die zu verzögerter Behandlung führt (Recht auf Leben und körperliche Unversehrtheit, Artikel 2-3 der Charta), das Risiko, dass das System bei Patienten unterschiedlichen Alters oder unterschiedlicher ethnischer Herkunft unterschiedlich funktioniert (Nichtdiskriminierung, Artikel 21 der Charta), das Risiko, dass Patienten nicht wissen, dass die Priorität ihrer Aufnahme durch KI beeinflusst wurde (Recht auf eine gute Verwaltung, Artikel 41 der Charta), und das Risiko, dass schutzbedürftige Patienten (ältere Menschen, Menschen mit Behinderungen) systematisch nachrangig behandelt werden, wenn das System auf Daten trainiert wurde, die sie unterrepräsentieren.
Szenario 2: Bank setzt Kredit-Scoring-KI ein
Eine Bank, die ein KI-Kredit-Scoring-System eines Drittanbieters einsetzt, muss bewerten: das Risiko systematischer Benachteiligung von Antragstellenden aus bestimmten Postleitzahlen, Altersgruppen oder Beschäftigungsarten (Nichtdiskriminierung, Artikel 21 der Charta), das Risiko, dass abgelehnte Antragstellende die Entscheidung nicht verstehen oder anfechten können (Recht auf einen wirksamen Rechtsbehelf, Artikel 47 der Charta), und das Risiko, dass die Nutzung historischer Kreditdaten vergangene Diskriminierung fortschreibt. Die Bank muss die FRIA außerdem mit einer DSGVO-DSFA koordinieren, da personenbezogene Finanzdaten verarbeitet werden.
Szenario 3: Universität setzt KI zur Zulassungsprüfung ein
Eine Universität, die KI nutzt, um Bewerbungen für Masterstudiengänge vorzuprüfen und zu ranken, muss bewerten: das Risiko, dass das System Bewerbende aus nicht-traditionellen Bildungswegen benachteiligt (Recht auf Bildung, Artikel 14 der Charta), das Risiko einer geschlechts- oder herkunftsbezogenen Benachteiligung im Ranking (Nichtdiskriminierung, Artikel 21 der Charta), das Risiko, dass Bewerbende mit Behinderungen durch Eingabeformate benachteiligt werden, für die das System nicht ausgelegt war (Rechte von Menschen mit Behinderungen, Artikel 26 der Charta), und das Risiko, dass abgelehnte Bewerbende keine sinnvolle Möglichkeit haben zu verstehen, warum sie nicht ausgewählt wurden.
FRIA und DSGVO-DSFA koordinieren
Wenn das Hochrisiko-KI-System personenbezogene Daten verarbeitet, was bei den meisten Betreibern der Fall ist, sind sowohl eine FRIA als auch eine DSFA erforderlich. Artikel 27 Absatz 4 des AI Act erlaubt ausdrücklich, sie zusammenzuführen. Der empfohlene Ansatz:
- Ein Dokument, zwei Abschnitte. Nutzen Sie eine einheitliche Struktur mit einem klar gekennzeichneten DSFA-Abschnitt (für die DSGVO-Datenschutzrisiken) und einem FRIA-Abschnitt (für die breiteren Charta-Rechte).
- Gemeinsame Risikoermittlung. Viele Risiken überschneiden sich, Bias in personenbezogenen Daten, Transparenz über automatisierte Entscheidungen, Datensicherheit. Ermitteln Sie sie einmal und ordnen Sie sie beiden Rahmenwerken zu.
- Unterschiedlichen Umfang anerkennen. Die FRIA deckt Rechte ab, die die DSFA nicht abdeckt (Würde, Meinungsäußerung, Rechte von Kindern, Umweltschutz). Gehen Sie nicht davon aus, dass die DSFA die FRIA abdeckt.
- Koordinierte Konsultation. Wenn die DSFA eine Konsultation der Datenschutzbehörde verlangt (DSGVO Artikel 36) und die FRIA eine Registrierung bei der Marktüberwachungsbehörde verlangt (AI Act Artikel 27 Absatz 5), koordinieren Sie beides, um widersprüchliche Angaben zu vermeiden.
- Einheitliche Überwachung. Gestalten Sie ein einziges Überwachungssystem, das sowohl Datenschutzkennzahlen als auch Kennzahlen zu den Auswirkungen auf die Grundrechte verfolgt.
Mehr zum Verhältnis dieser beiden Rahmenwerke finden Sie im Vergleichsleitfaden AI Act und DSGVO.
Häufige Fehler
Fehler 1: Die FRIA als Datenschutzübung behandeln
Die FRIA ist keine DSFA mit neuem Namen. Sie deckt Rechte ab, die die DSGVO nicht berührt: Würde, Nichtdiskriminierung, Meinungsfreiheit, Rechte von Kindern, Umweltschutz, Zugang zum Recht. Wenn sich Ihre FRIA wie eine Datenschutzbewertung liest, die nur Privatsphäre und Datensicherheit behandelt, ist sie unvollständig. Bilden Sie die gesamte Charta ab.
Fehler 2: Die FRIA nach dem Einsatz abschließen
Der AI Act ist eindeutig: Die FRIA muss abgeschlossen sein, bevor das System in Betrieb genommen wird. Erst einzusetzen und später zu bewerten ist ein Verstoß gegen Artikel 27, egal wie schnell Sie die Bewertung nach dem Einsatz durchführen. Bauen Sie den Abschluss der FRIA als Kontrollpunkt in Ihren Beschaffungs- und Einführungsprozess ein.
Fehler 3: Interessengruppen nicht einbinden
Artikel 27 verlangt, sofern relevant, Beiträge von Vertretern der betroffenen Personen. Im öffentlichen Sektor, bei Sozialleistungen, Justiz, Migration, Bildung, bedeutet das, zivilgesellschaftliche Organisationen, betroffene Gemeinschaften, Patientenvertretungen, Studierendenvertretungen oder ihre benannten Vertreter zu konsultieren. Der Beitrag von Interessengruppen ist keine schmückende Nebensache; er ist eine substanzielle Anforderung, auf die Prüfer achten werden.
Fehler 4: Die FRIA als einmalige Übung behandeln
Die FRIA muss aktualisiert werden, wenn sich die Umstände ändern, bei neuen Systemversionen, neuen Anwendungsfällen, neuen betroffenen Bevölkerungsgruppen, neuen Einsatzkontexten oder neuen Erkenntnissen über die Auswirkungen des Systems. Eine 2026 abgeschlossene und nie aktualisierte FRIA ist 2027 eine Compliance-Lücke.
Fehler 5: Generische Risikobeschreibungen verwenden
"Es besteht ein Diskriminierungsrisiko" reicht nicht aus. Die FRIA verlangt eine konkrete Risikoermittlung: welche Gruppen, welche Rechte, über welchen Mechanismus, mit welcher Wahrscheinlichkeit und mit welcher Schwere. Generische Risikoaussagen ohne belegende Analyse überstehen eine Prüfung durch eine Marktüberwachungsbehörde nicht.
Fehler 6: Sich nicht mit dem Anbieter abstimmen
Die FRIA liegt in der Verantwortung des Betreibers, aber die Dokumentation des Anbieters nach Artikel 13, einschließlich bekannter Grenzen, Genauigkeitskennzahlen und vorhersehbarer Risiken, ist wesentlicher Input. Betreiber, die FRIAs durchführen, ohne die Betriebsanleitung des Anbieters zu prüfen, arbeiten mit unvollständigen Informationen. Fordern Sie diese Dokumentation an und verweisen Sie in Ihrer Bewertung ausdrücklich darauf.
Praktische Struktur einer FRIA-Vorlage
Ein praxistaugliches FRIA-Dokument könnte dieser Struktur folgen:
- Deckblatt: Systemname, Name des Betreibers, Datum, Version, Verfasser, Freigebender
- Zusammenfassung: Einseitiger Überblick über das System, die wesentlichen Risiken und die Gesamtbewertung
- Systembeschreibung: Verwendungszweck, Einsatzkontext, operativer Ablauf, geografischer und demografischer Anwendungsbereich (Felder 1-2)
- Zuordnung betroffener Personen: Direkt und indirekt Betroffene, schutzbedürftige Gruppen, geschätzte Zahlen (Feld 3)
- Zuordnung der Grundrechte: Tabelle, die jede betroffene Gruppe konkreten Charta-Rechten mit Wirkungserklärung zuordnet (Feld 7)
- Risikobewertung: Für jede Kombination aus Recht und Gruppe: konkrete Risikobeschreibung, Wahrscheinlichkeit, Schwere, belegende Nachweise (Felder 4, 8)
- Maßnahmen zur menschlichen Aufsicht: Wer, wie, mit welcher Befugnis, unter welchen Umständen (Feld 5)
- Minderungsmaßnahmen: Technische, organisatorische, verfahrensbezogene und kommunikative Maßnahmen für jedes ermittelte Risiko (Feld 6)
- Beiträge von Interessengruppen: Wer wurde konsultiert, wann, welche Beiträge kamen, wie wurden sie einbezogen (Feld 9)
- Überwachungsplan: Kennzahlen, Häufigkeit, Verantwortlichkeit, Warnschwellen (Feld 10)
- Governance-Einbindung: Wie die FRIA an bestehende Governance-, Eskalations- und Überprüfungsprozesse anknüpft (Felder 11-15)
- DSFA-Einbindung (sofern zutreffend): Kombinierter Datenschutz-Bewertungsabschnitt
- Anhänge: Referenzierte Anbieterdokumentation, Aufzeichnungen zur Konsultation von Interessengruppen, belegende Daten
Nächste Schritte
- Stellen Sie fest, ob Ihre Organisation in eine FRIA-auslösende Kategorie fällt (öffentliche Stelle, wesentlicher Dienst, Bildung).
- Erstellen Sie ein Inventar Ihrer KI-Systeme und bestimmen Sie die Hochrisiko-Systeme, die Sie betreiben.
- Nutzen Sie die obige Vorlagenstruktur als Ausgangspunkt für Ihre FRIA.
- Wenn das System auch personenbezogene Daten verarbeitet, verbinden Sie die FRIA mit Ihrer DSFA.
- Registrieren Sie die FRIA-Ergebnisse vor dem Einsatz in der EU-Datenbank.
- Prüfen Sie die vollständige EU-AI-Act-Compliance-Checkliste, um sicherzustellen, dass die FRIA in Ihr umfassenderes Compliance-Programm passt.
Führen Sie die kostenlose AI-Act-Bewertung durch, um Ihre Systeme einzustufen und die geltenden Pflichten zu bestimmen, einschließlich der FRIA-Anforderungen.
Den vollständigen Rechtstext finden Sie unter Artikel 27 im vollständigen AI-Act-Leitfaden.
Häufig gestellte Fragen
Ist die FRIA für alle Betreiber von Hochrisiko-KI-Systemen verpflichtend?
Nein. Die FRIA ist nur für Betreiber verpflichtend, die Einrichtungen des öffentlichen Rechts sind, private Einrichtungen, die wesentliche Dienste erbringen (Banken, Versicherungen, Energie, Wasser, Verkehr, digitale Gesundheit), oder Bildungs- und Berufsbildungseinrichtungen. Andere Betreiber von Hochrisiko-KI-Systemen sind rechtlich nicht zur Durchführung einer FRIA verpflichtet, haben aber weiterhin andere Betreiberpflichten (menschliche Aufsicht, Aufbewahrung von Protokollen, Information betroffener Personen). Freiwillige FRIAs gelten als gute Praxis und könnten in künftigen Leitlinien von Marktüberwachungsbehörden erwartet werden.
Kann ich meine bestehende DSFA anstelle einer FRIA nutzen?
Nein, aber Sie können sie verbinden. Eine DSFA deckt nur Datenschutzrisiken nach DSGVO ab. Eine FRIA deckt alle Grundrechte der EU-Charta ab, von denen viele nichts mit personenbezogenen Daten zu tun haben (Würde, Nichtdiskriminierung, Meinungsfreiheit, Rechte von Kindern). Artikel 27 Absatz 4 erlaubt, beide Bewertungen als ein einziges Dokument durchzuführen, was der empfohlene Ansatz ist, aber der FRIA-Abschnitt muss die Charta-Rechte behandeln, die die DSFA nicht abdeckt.
Was passiert, wenn ich ein Hochrisiko-KI-System ohne abgeschlossene FRIA einsetze?
Ein System ohne abgeschlossene FRIA einzusetzen, wenn eine erforderlich ist, ist ein direkter Verstoß gegen Artikel 27. Sanktionen bei Nichteinhaltung der Betreiberpflichten nach dem AI Act können bis zu 15 Millionen EUR oder 3 % des weltweiten Jahresumsatzes erreichen. Über Bußgelder hinaus können Marktüberwachungsbehörden anordnen, die Nutzung des KI-Systems auszusetzen oder einzustellen, bis die FRIA abgeschlossen ist. Siehe den Leitfaden zu Sanktionen und Bußgeldern.
Wie ausführlich muss die Konsultation der Interessengruppen sein?
Artikel 27 verlangt von Betreibern, Beiträge von Vertretern der betroffenen Personen "sofern relevant" zu berücksichtigen. Die Schwelle für Relevanz ist nicht genau definiert, aber in der Praxis gilt: Wenn Ihr KI-System unmittelbar Mitglieder der Öffentlichkeit betrifft (Sozialleistungsempfänger, Lernende, Patienten, Arbeitsuchende), ist eine Konsultation von Interessengruppen eindeutig relevant. Die Konsultation erfordert keine förmlichen öffentlichen Anhörungen, ein strukturierter Austausch mit Interessenvertretungen, Feedbackmechanismen oder Beiräte können die Anforderung erfüllen. Dokumentieren Sie, wer konsultiert wurde, welche Beiträge kamen und wie sie die Bewertung beeinflusst haben.
Muss die FRIA veröffentlicht werden?
Die vollständige FRIA muss nicht veröffentlicht werden, aber eine Zusammenfassung muss der zuständigen Marktüberwachungsbehörde übermittelt und nach Artikel 49 in der EU-Datenbank registriert werden. Die EU-Datenbank ist öffentlich zugänglich, die Zusammenfassung wird also sichtbar sein. Die vollständige interne FRIA muss aufbewahrt und den Behörden bei Prüfungen oder Untersuchungen auf Anfrage vorgelegt werden.
Wie verhält sich die FRIA zur Konformitätsbewertung?
Die FRIA ist eine Betreiberpflicht; die Konformitätsbewertung ist eine Anbieterpflicht. Sie sind rechtlich getrennt, aber praktisch verbunden. Die Konformitätsbewertung und die technische Dokumentation des Anbieters (Anhang IV) liefern wesentlichen Input für die FRIA des Betreibers, insbesondere Informationen über die bekannten Grenzen des Systems, Genauigkeitskennzahlen und vorhersehbare Risiken. Hat der Anbieter die Konformitätsbewertung nicht abgeschlossen, fehlen dem Betreiber möglicherweise die Informationen, die er für eine gründliche FRIA benötigt.
Legalithm ist ein KI-gestütztes Compliance-Workflow-Tool, keine Rechtsberatung. Endgültige Compliance-Entscheidungen sollten von qualifizierten Rechtsberatern geprüft werden.


