Brauchen Sie eine FRIA für Ihre Medizin-KI?
TL;DR
Kurze Antwort für die meiste Medizin-KI: wahrscheinlich nicht, über den Standardweg.
- Die Grundrechte-Folgenabschätzung (FRIA) nach Artikel 27 ist an Hochrisiko-Systeme im Anhang-III-Anwendungsfallweg (Artikel 6(2)) gebunden und ist eine Betreiber-Pflicht, keine Anbieterpflicht.
- Medizinprodukte sind über Artikel 6(1) hochriskant, den Produktweg (Anhang I), also generell außerhalb der FRIA-Pflicht des Artikels 27.
- Was Sie wahrscheinlich brauchen, ist eine DSGVO-Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35, ein eigenes Instrument, das oft durch die Verarbeitung von Gesundheitsdaten ausgelöst wird.
- Als Medtech-Anbieter ist die FRIA ohnehin selten Ihre Aufgabe; sie liegt bei bestimmten Betreibern.
Verwechseln Sie die DSFA (wahrscheinlich ja) nicht mit der FRIA (meist nein). Dieser Leitfaden zieht die Linie.
Jede Rechtsaussage unten ist belegt. Siehe Quellen.
Was eine FRIA ist
Eine FRIA ist eine Bewertung, die ein Betreiber vor der Inbetriebnahme bestimmter Hochrisiko-KI-Systeme durchführt, um die Risiken für Grundrechte und die Abhilfen zu ermitteln. Nach Artikel 27 beschreibt sie die Prozesse des Betreibers, in denen das System genutzt wird, Zeitraum und Häufigkeit der Nutzung, die wahrscheinlich betroffenen Personengruppen, die konkreten Schadensrisiken für sie, die Maßnahmen der menschlichen Aufsicht sowie die Governance- und Beschwerdemechanismen, falls diese Risiken eintreten.
Ist Ihr KI-System hochriskant?
Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.
Jetzt prüfenWer sie durchführen muss (und wer nicht)
Artikel 27(1) ist beim Anwendungsbereich präzise. Er beginnt: "Vor der Inbetriebnahme eines Hochrisiko-KI-Systems im Sinne des Artikels 6(2), mit Ausnahme von Hochrisiko-KI-Systemen, die in dem in Anhang III Nummer 2 genannten Bereich eingesetzt werden sollen, führen Betreiber, die Einrichtungen des öffentlichen Rechts oder private Einrichtungen sind, die öffentliche Dienste erbringen, sowie Betreiber von Hochrisiko-KI-Systemen im Sinne von Anhang III Nummer 5 Buchstaben b und c eine Abschätzung durch..."
Daraus folgt zweierlei:
- Sie wird durch Artikel 6(2) ausgelöst, den Anhang-III-Anwendungsfallweg (Dinge wie Beschäftigung, Bildung, wesentliche Dienste, Strafverfolgung), nicht durch den Artikel-6(1)-Produktweg.
- Sie ist eine Pflicht bestimmter Betreiber (öffentliche Stellen, private Erbringer öffentlicher Dienste und Betreiber bestimmter Anhang-III-Kredit- und Versicherungssysteme), nicht der Anbieter.
Warum Medizinprodukte meist außerhalb der FRIA liegen
Ein Medizinprodukt ist nach Artikel 6(1) hochriskant, weil es eine Benannte Stelle benötigt (siehe Ist meine Medizin-KI hochriskant?). Es wird nicht durch einen Anhang-III-Anwendungsfall hochriskant. Da Artikel 27 auf Artikel 6(2)/Anhang III-Systeme beschränkt ist, unterliegt eine Medizin-KI, die nur über den Produktweg hochriskant ist, generell nicht der FRIA-Pflicht. Das ist ein häufiger Irrtum: "hochriskant" bedeutet nicht automatisch "braucht eine FRIA".
Ein enger Randfall bleibt zu bedenken: Wenn ein System sowohl über den Produktweg als auch über einen Anhang-III-Anwendungsfall hochriskant ist und von einer öffentlichen Stelle oder einem Erbringer öffentlicher Dienste betrieben wird, könnte die FRIA für diesen Betreiber relevant sein. Für eine typische SaMD oder ein KI-Medizinprodukt ist die FRIA jedoch nicht Ihre Pflicht.
Was Sie stattdessen brauchen: eine DSFA
Das Instrument, das tatsächlich häufig für Medizin-KI gilt, ist die DSGVO-DSFA nach Artikel 35, ausgelöst durch risikoreiche Verarbeitung personenbezogener Daten, was Gesundheitsdaten häufig sind. DSFA und FRIA sind verschiedene Werkzeuge: die DSFA betrifft das Datenschutzrisiko, die FRIA das Grundrechtsrisiko beim Einsatz. Wo beide zufällig gelten, sagt Artikel 27(4), dass die FRIA die DSFA ergänzt, statt sie zu ersetzen. Für Medizin-KI planen Sie die DSFA; behandeln Sie die FRIA als betreiberseitige Anhang-III-Frage. Siehe DSGVO × AI Act × MDR für Gesundheitsdaten.
Wenn Sie ein Medtech-Anbieter sind, hier Ihr Vorgehen
Weil die FRIA eine an Anhang III gebundene Betreiberpflicht ist, führt ein Produkthersteller sie selten durch. Nützlich ist:
- Konzentrieren Sie sich auf Ihre Anbieterpflichten (Artikel 16) und Ihre integrierte MDR/IVDR-Konformität, nicht auf eine FRIA, die Sie wahrscheinlich nicht schulden.
- Unterstützen Sie Ihre Betreiberkunden: Krankenhäuser und Gesundheitssysteme schulden ggf. eine DSFA (und in seltenen Anhang-III-Überschneidungen eine FRIA). Geben Sie ihnen die nötigen Informationen, was auch Ihr Produkt stärkt.
- Kennen Sie den Unterschied, um die Frage souverän zu beantworten, wenn die Beschaffung fragt.
Häufige Fehler
- "Hochrisiko bedeutet, wir brauchen eine FRIA." Nein. Die FRIA ist auf Anhang III (Artikel 6(2)) beschränkt; Medizinprodukte sind über Artikel 6(1) hochriskant.
- "Der Anbieter macht die FRIA." Sie ist eine Betreiberpflicht bestimmter Betreiber, keine Anbieterpflicht.
- "Eine FRIA ersetzt die DSFA." Sie sind getrennt; wo beide gelten, ergänzt die FRIA die DSFA (Artikel 27(4)).
- "Wir brauchen keine DSFA, weil wir den AI Act machen." Die Verarbeitung von Gesundheitsdaten löst unabhängig davon häufig eine DSFA aus.
Häufige Fragen
Muss mein Medizin-KI-Startup eine FRIA durchführen?
Fast sicher nicht. Die FRIA nach Artikel 27 ist an Anhang-III-Hochrisiko-Systeme (Artikel 6(2)) gebunden und ist eine Betreiberpflicht. Medizinprodukte sind über Artikel 6(1) hochriskant, den Produktweg, also generell außerhalb der FRIA-Pflicht. Konzentrieren Sie sich auf Ihre Anbieterpflichten und Ihre DSFA.
Was ist der Unterschied zwischen einer DSFA und einer FRIA?
Eine DSFA (DSGVO Artikel 35) bewertet das Datenschutzrisiko aus der Verarbeitung personenbezogener Daten. Eine FRIA (AI-Act Artikel 27) bewertet das Grundrechtsrisiko aus dem Einsatz bestimmter Hochrisiko-KI-Systeme. Es sind verschiedene Instrumente; wo beide gelten, ergänzt die FRIA die DSFA.
Kann eine Medizin-KI je eine FRIA erfordern?
In engen Fällen, zum Beispiel wenn ein System sowohl über den Produktweg als auch über einen Anhang-III-Anwendungsfall hochriskant ist und von einer öffentlichen Stelle oder einem Erbringer öffentlicher Dienste betrieben wird. Für ein typisches Medizinprodukt, das nur über Artikel 6(1) hochriskant ist, gilt die FRIA nicht.
Wer führt die FRIA durch, der Anbieter oder der Betreiber?
Der Betreiber, und nur bestimmte Betreiberkategorien (öffentliche Stellen, private Erbringer öffentlicher Dienste und Betreiber bestimmter Anhang-III-Kredit- und Versicherungssysteme). Anbieter führen die FRIA nicht durch.
Quellen (offiziell)
- EU AI Act, Verordnung (EU) 2024/1689: artikelweise beim AI Act Service Desk der Europäischen Kommission. Zitiert: Artikel 27 (Grundrechte-Folgenabschätzung, beschränkt auf Artikel 6(2)/Anhang III, eine Betreiberpflicht, ergänzt die DSFA nach Artikel 27(4)), Artikel 6 (Einstufung; 6(1) Produktweg vs. 6(2) Anhang-III-Weg), Artikel 26 (Betreiberpflichten); amtlicher Text auf EUR-Lex.
- DSGVO, Verordnung (EU) 2016/679: amtlicher Text auf EUR-Lex. Zitiert: Artikel 35 (Datenschutz-Folgenabschätzung).
Legalithm stellt Compliance-Informationen und Werkzeuge bereit, keine Rechtsberatung. Ob eine FRIA oder DSFA gilt, hängt von Ihrem konkreten System und Einsatz ab; bestätigen Sie es mit qualifizierter Rechtsberatung. Artikelverweise beziehen sich auf die Verordnung (EU) 2024/1689 (AI Act) und die Verordnung (EU) 2016/679 (DSGVO).


