FRIA-Generator: Kreditwürdigkeits-KI — automatisierte Scoring-Entscheidungen
KI-System zur Bewertung der Kreditwürdigkeit natürlicher Personen mit teilautomatisierten Entscheidungen. Annex III.5(b) — vollständig generiertes Beispiel-Dokument.
Free-Tier ohne Kreditkarte · Engine läuft live · 5 Minuten zum eigenen Dokument
Beispiel-Dokument: Dieses Dokument wurde live generiert auf Basis fiktiver Eingaben für „CreditScore-AI". Es ersetzt keine Rechtsberatung. Platzhalter mit 〔...〕 markieren Stellen, die im echten Dokument vom Compliance-Officer ergänzt werden müssen.
Folgenabschätzung für Grundrechte (FRIA) — CreditScore-AI
Live-generated · Engine v4.15
Folgenabschätzung für Grundrechte (FRIA) gemäss Art. 27 EU AI Act
| Feld | Wert |
|---|---|
| Einsetzende Stelle (Deployer) | [Beispiel-Unternehmen GmbH] |
| KI-System | CreditScore-AI |
| Land | DE |
| Annex-Pfad | annexiii5essentialservices |
| Klassifikation | highrisk |
| Engine-Bewertung | clearhigh_risk |
| Erstellt am | 2026-05-13 |
| Engine-Version | AI-ACT-2024-1689-v5.12.0 |
---
1. Beschreibung des Einsatzkontextes (Art. 27(1)(a))
1.1 Use-Case und Anwendungsbereich
Das KI-System CreditScore-AI wird im Bereich Kreditwürdigkeits-Bewertung eingesetzt.
Konkrete Geschäftsprozesse, in denen das System verwendet wird:
〔Hier konkret beschreiben, in welchen Verwaltungs-/Geschäftsprozessen das System eingesetzt wird. Mindestens 3 konkrete Prozess-Schritte.〕
1.2 Beabsichtigte Zweckbestimmung
Die Zweckbestimmung gemäss Provider-Anweisung ist:
〔Zweckbestimmung aus den Instructions for Use (Art. 13) übernehmen. Wichtig: jede Abweichung von der ursprünglichen Zweckbestimmung kann zu einer Substantial-Modification nach Art. 25(1)(b) führen — dann wird die einsetzende Stelle zum Provider.〕
1.3 Entscheidungs-Autonomie
Das System operiert mit vollautomatischer (fully-automated) Autonomie-Stufe. Bei vollautomatischer Entscheidung greift Art. 22 DSGVO — die betroffene Person hat das Recht, nicht ausschliesslich einer automatisierten Entscheidung unterworfen zu werden.
---
2. Einsatz-Zeitraum und -Frequenz (Art. 27(1)(b))
| Aspekt | Wert |
|---|---|
| Geplanter Einsatz-Beginn | 〔Datum YYYY-MM-DD〕 |
| Geplante Einsatz-Dauer | 〔befristet bis YYYY-MM-DD ODER unbefristet〕 |
| Anwendungs-Frequenz | 〔permanent / täglich / wöchentlich / situativ〕 |
| Erwartetes Volumen pro Quartal | 〔Anzahl Entscheidungen / verarbeitete Personen〕 |
2.1 Re-Assessment-Cadence
Auf Basis der Engine-Empfehlung (onceatmilestone) ist mindestens einmalig zum Roll-Out und bei wesentlichen Änderungen ein Re-Assessment durchzuführen.
---
3. Betroffene Personengruppen (Art. 27(1)(c))
Das System wirkt direkt auf natürliche Personen ein und führt Profiling durch. Folgende Gruppen sind betroffen:
- Direkt Betroffene:
〔z.B. Antragsteller, Mitarbeiter, Bürger, Kunden — konkret nennen〕 - Mittelbar Betroffene:
〔Familienmitglieder, betreute Personen, Geschäftspartner〕
3.1 Anzahl betroffener Personen
| Gruppe | Geschätzte Anzahl pro Jahr |
|---|---|
〔Gruppe 1〕 | 〔Anzahl〕 |
〔Gruppe 2〕 | 〔Anzahl〕 |
---
4. Spezifische Grundrechts-Risiken (Art. 27(1)(d))
Die folgenden Grundrechte sind im konkreten Einsatzkontext zu prüfen:
4.1 Identifizierte Risiken (engine-detected)
- FRIA-Pflicht ausgelöst (Engine-Flag:
FRIAREQUIRED) - deadline annex iii 2026 (Engine-Flag:
DEADLINEANNEXIII2026)
4.2 Grundrechts-Mapping
| Grundrecht (Charta) | Risiko-Kontext | Schweregrad | Eintritts-Wahrscheinlichkeit |
|---|---|---|---|
| Art. 1 Würde | 〔Beurteilen〕 | 〔Niedrig/Mittel/Hoch〕 | 〔Niedrig/Mittel/Hoch〕 |
| Art. 7 Privatleben | 〔Personenbezogene Daten verarbeitet〕 | 〔...〕 | 〔...〕 |
| Art. 8 Datenschutz | 〔DSGVO-Compliance erforderlich〕 | 〔...〕 | 〔...〕 |
| Art. 21 Nichtdiskriminierung | 〔Bias-Risiko durch Profiling — Bias-Audit zwingend〕 | 〔...〕 | 〔...〕 |
| Art. 47 Wirksamer Rechtsbehelf | 〔Abänderbarkeit der KI-Entscheidung beurteilen〕 | 〔...〕 | 〔...〕 |
4.3 Provider-Information (Art. 13)
Folgende Informationen wurden vom Provider übermittelt und sind in dieser FRIA zu berücksichtigen:
〔Verweise auf die Instructions-for-Use des Providers. Wenn keine vorliegen: vom Provider anfordern oder das System nicht in Betrieb nehmen.〕
---
5. Massnahmen zur menschlichen Aufsicht (Art. 27(1)(e), Art. 14)
5.1 Aufsichts-Architektur
⚠️ Vollautomatische Entscheidung — Art. 22 DSGVO greift; Recht auf menschliche Überprüfung muss explizit verfügbar sein.
5.2 Aufsichts-Verantwortliche
| Rolle | Person / Funktion | Qualifikation |
|---|---|---|
| Aufsichts-Verantwortlich (Art. 14) | 〔Name + Funktion〕 | 〔Schulung absolviert: ja/nein, Datum〕 |
| Stellvertretung | 〔Name + Funktion〕 | 〔...〕 |
| Eskalations-Empfänger | 〔Name + Funktion〕 | 〔...〕 |
5.3 Override-Verfahren
〔Beschreibe konkret, wie ein Aufsichts-Verantwortlicher (a) eine KI-Entscheidung erkennen, (b) hinterfragen, und (c) überstimmen kann. Inkl. Reaktionszeit, Eskalationsweg und Dokumentations-Pflicht.〕
5.4 Anomalie-Erkennung
〔Welche Mechanismen sind in Place, um anomalous Outputs des KI-Systems zu erkennen? z.B. Confidence-Thresholds, Drift-Monitoring, Stichproben-Reviews.〕
---
6. Massnahmen bei Risiko-Materialisierung (Art. 27(1)(f))
6.1 Interne Governance-Struktur
| Funktion | Verantwortliche Person | Eskalationspfad |
|---|---|---|
| Compliance-Officer | 〔Name〕 | 〔...〕 |
| Datenschutz-Beauftragter | 〔Name〕 | 〔...〕 |
| Fachbereichs-Leitung | 〔Name〕 | 〔...〕 |
| Geschäftsleitung / CEO | 〔Name〕 | Final Eskalation |
6.2 Beschwerde-Mechanismen
Betroffene Personen müssen folgende Wege haben, um Beschwerde einzulegen:
- Erste Anlaufstelle:
〔E-Mail-Adresse / Web-Formular / Hotline〕 - Externe Beschwerde-Stelle: Marktaufsichtsbehörde des Bundeslandes (BNetzA als zentrale Stelle für AI Act) + zuständige Datenschutz-Aufsichtsbehörde
- Antwort-SLA:
〔innerhalb von X Werktagen〕 - Eskalation an Aufsichtsbehörde:
〔in Schwerwiegenden Fällen〕
6.3 Notfall-Plan
Bei Eintritt eines Grundrechts-Risikos sind folgende Schritte zu unternehmen:
1. Sofort-Massnahme (innerhalb 24h): 〔z.B. System pausieren, manuelle Überprüfung aller laufenden Entscheidungen〕 2. Untersuchung (innerhalb 5 Werktage): 〔Root-Cause-Analyse durch Compliance + IT〕 3. Korrektur (innerhalb 30 Werktage): 〔Modell-Update / Prozess-Anpassung / Schulung〕 4. Meldepflicht (nach Art. 73 EU AI Act): 〔Bei serious incident: Marktaufsichtsbehörde innerhalb 15 Tagen melden〕 5. Kommunikation: 〔Betroffene informieren, Korrektur dokumentieren〕
---
7. Sektorale Overlays
Zusätzlich zum AI Act sind folgende sektoralen Vorschriften zu beachten:
- GDPR: System verarbeitet personenbezogene Daten — DSGVO Art. 5, 6, 13/14, 32 sind anwendbar.
- DORA: Finanzdienstleister-Kontext — DORA (EU 2022/2554) gilt zusätzlich für ICT-Risikomanagement und Drittparteien.
---
8. Engine-Klassifikations-Trail
Die Engine hat folgende 5 regulatorischen Pfade als anwendbar identifiziert:
1. Hochrisiko durch Annex III (art62annexiii) - Risiko: high_risk - Grundlage: Art. 6(2) EU AI Act, Annex III.5(b) EU AI Act, Art. 4 EU AI Act
2. Art. 27 — Fundamental Rights Impact Assessment (FRIA) (art27fria) - Risiko: high_risk - Grundlage: Art. 27 EU AI Act, Recital 96
3. Art. 4 — KI-Kompetenz aller Anwender (art4ai_literacy) - Risiko: minimal - Grundlage: Art. 4 EU AI Act, Recital 20
4. DSGVO Overlay (gdpr_overlay) - Risiko: high_risk - Grundlage: Art. 5 DSGVO, Art. 6 DSGVO, Art. 13/14 DSGVO, Art. 22 DSGVO, Art. 32 DSGVO
5. DORA Overlay (sectoral_overlay) - Risiko: high_risk - Grundlage: Art. 5 DORA (ICT Risk Management Framework), Art. 17 DORA (Incident Reporting), Art. 28 DORA (ICT Third-Party Risk), Art. 24 DORA (Digital Operational Resilience Testing)
8.1 Offene Klärungspunkte
Die Engine hat 1 offene Punkte identifiziert. Diese müssen vor Finalisierung der FRIA geklärt werden:
1. Setzt eine öffentliche Stelle (Bund, Kanton, Kommune, Land, halbstaatliche Organisation) das System ein — selbst wenn der Anbieter privat ist? (Priorität: medium)
---
9. Unterzeichnung
| Rolle | Name | Funktion | Datum | Unterschrift |
|---|---|---|---|---|
| Compliance-Officer | 〔Name〕 | 〔Funktion〕 | 〔YYYY-MM-DD〕 | 〔...〕 |
| Datenschutz-Beauftragter | 〔Name〕 | 〔Funktion〕 | 〔YYYY-MM-DD〕 | 〔...〕 |
| Fachbereichs-Leitung | 〔Name〕 | 〔Funktion〕 | 〔YYYY-MM-DD〕 | 〔...〕 |
| Geschäftsleitung | 〔Name〕 | 〔Funktion〕 | 〔YYYY-MM-DD〕 | 〔...〕 |
---
> Diese FRIA wurde am 2026-05-13 mit ai-risk-check.com (Engine AI-ACT-2024-1689-v5.12.0) auf Basis von 16 Pflichten und 5 regulatorischen Pfaden erzeugt. > > Artikel-Referenzen: Art. 6(2) EU AI Act, Annex III.5(b) EU AI Act, Art. 4 EU AI Act > > Audit-Trail-Hash: 〔Hash aus Audit-Package einfügen〕
Erzeuge dasselbe Dokument für DEIN System
5 Minuten Wizard · Engine klassifiziert nach 491 validierten EU-AI-Act-Cases · im Professional-Plan inklusive (€89/Mt.)
Mehr Beispiele für FRIA-Generator
Weitere Live-Beispiele aus anderen Branchen + Use-Cases
HR-Screen-AI
HR-Recruiting-KI — automatisierte Bewerber-Vorauswahl
Beispiel ansehen
MedAI-Diagnostic
Medizinisches Diagnose-KI-System (Annex I MDR-Software)
Beispiel ansehen
SocialBenefitTriage
Sozialleistungs-KI öffentlicher Stellen (FRIA-Pflicht)
Beispiel ansehen
EnterpriseAssistant-GPAI
GPAI-Integration im Hochrisiko-System (Chapter V)
Beispiel ansehen
„CreditScore-AI" in anderen Compliance-Dokumenten
Die EU-AI-Act-Pflichten erstrecken sich über mehrere Dokumenttypen. So sieht dasselbe System in allen 5 Dokumenten aus:
Rechtlicher Hinweis
Dieses Beispiel-Dokument wurde live generiert von der ai-risk-check Compliance-Engine v4.15 auf Basis fiktiver Wizard-Eingaben für „CreditScore-AI". Es stellt keine Rechtsberatung dar und ist nicht für die direkte Verwendung in der eigenen Compliance-Praxis vorgesehen. Für die Erstellung Deines eigenen Compliance-Dokuments führe das vollständige Assessment durch — die Engine bezieht dann Deine spezifischen Country-, Industry- und Use-Case-Inputs ein und passt das generierte Dokument entsprechend an.