Folgenabschätzung für Grundrechte (FRIA) gemäss Art. 27 EU AI Act

Feld	Wert
Einsetzende Stelle (Deployer)	[Beispiel-Unternehmen GmbH]
KI-System	EnterpriseAssistant-GPAI
Land	DE
Annex-Pfad	annexiii4employment
Klassifikation	highrisk
Engine-Bewertung	legalupdatesensitive
Erstellt am	2026-05-13
Engine-Version	AI-ACT-2024-1689-v5.12.0

> Rechtsgrundlage: Art. 27 EU AI Act (Verordnung (EU) 2024/1689), Recital 96. > > Diese FRIA ist nach Art. 27(1)(b) für Annex III.5(a) / Bank-Sektor zwingend vor der Inbetriebnahme oder bei wesentlichen Änderungen durchzuführen. > > Verbindlich: Diese Vorlage ist ein automatisch erstellter Entwurf. Die endgültige FRIA muss von der einsetzenden Stelle (oder einem von ihr beauftragten Sachverständigen) inhaltlich geprüft und unterzeichnet werden.

---

1. Beschreibung des Einsatzkontextes (Art. 27(1)(a))

1.1 Use-Case und Anwendungsbereich

Das KI-System EnterpriseAssistant-GPAI wird im Bereich HR / Recruiting eingesetzt.

Konkrete Geschäftsprozesse, in denen das System verwendet wird:

〔Hier konkret beschreiben, in welchen Verwaltungs-/Geschäftsprozessen das System eingesetzt wird. Mindestens 3 konkrete Prozess-Schritte.〕

1.2 Beabsichtigte Zweckbestimmung

Die Zweckbestimmung gemäss Provider-Anweisung ist:

〔Zweckbestimmung aus den Instructions for Use (Art. 13) übernehmen. Wichtig: jede Abweichung von der ursprünglichen Zweckbestimmung kann zu einer Substantial-Modification nach Art. 25(1)(b) führen — dann wird die einsetzende Stelle zum Provider.〕

1.3 Entscheidungs-Autonomie

Das System operiert mit unterstützender mit Mensch-Final-OK (assisted) Autonomie-Stufe. Der Mensch hat die finale Entscheidungs-Autorität; das KI-System liefert eine Empfehlung mit Begründung.

---

2. Einsatz-Zeitraum und -Frequenz (Art. 27(1)(b))

Aspekt	Wert
Geplanter Einsatz-Beginn	〔Datum YYYY-MM-DD〕
Geplante Einsatz-Dauer	〔befristet bis YYYY-MM-DD ODER unbefristet〕
Anwendungs-Frequenz	〔permanent / täglich / wöchentlich / situativ〕
Erwartetes Volumen pro Quartal	〔Anzahl Entscheidungen / verarbeitete Personen〕

2.1 Re-Assessment-Cadence

Auf Basis der Engine-Empfehlung (quarterly) ist mindestens quartalsweise ein Re-Assessment durchzuführen.

---

3. Betroffene Personengruppen (Art. 27(1)(c))

Das System wirkt direkt auf natürliche Personen ein und führt Profiling durch. Folgende Gruppen sind betroffen:

• Direkt Betroffene: 〔z.B. Antragsteller, Mitarbeiter, Bürger, Kunden — konkret nennen〕
• Mittelbar Betroffene: 〔Familienmitglieder, betreute Personen, Geschäftspartner〕

3.1 Anzahl betroffener Personen

Gruppe	Geschätzte Anzahl pro Jahr
〔Gruppe 1〕	〔Anzahl〕
〔Gruppe 2〕	〔Anzahl〕

---

4. Spezifische Grundrechts-Risiken (Art. 27(1)(d))

Die folgenden Grundrechte sind im konkreten Einsatzkontext zu prüfen:

4.1 Identifizierte Risiken (engine-detected)

• uses gpai (Engine-Flag: USESGPAI)
• gpai in high risk (Engine-Flag: GPAIINHIGHRISK)
• deadline annex iii 2026 (Engine-Flag: DEADLINEANNEXIII_2026)

4.2 Grundrechts-Mapping

Grundrecht (Charta)	Risiko-Kontext	Schweregrad	Eintritts-Wahrscheinlichkeit
Art. 1 Würde	〔Beurteilen〕	〔Niedrig/Mittel/Hoch〕	〔Niedrig/Mittel/Hoch〕
Art. 7 Privatleben	〔Personenbezogene Daten verarbeitet〕	〔...〕	〔...〕
Art. 8 Datenschutz	〔DSGVO-Compliance erforderlich〕	〔...〕	〔...〕
Art. 21 Nichtdiskriminierung	〔Bias-Risiko durch Profiling — Bias-Audit zwingend〕	〔...〕	〔...〕
Art. 47 Wirksamer Rechtsbehelf	〔Abänderbarkeit der KI-Entscheidung beurteilen〕	〔...〕	〔...〕

4.3 Provider-Information (Art. 13)

Folgende Informationen wurden vom Provider übermittelt und sind in dieser FRIA zu berücksichtigen:

〔Verweise auf die Instructions-for-Use des Providers. Wenn keine vorliegen: vom Provider anfordern oder das System nicht in Betrieb nehmen.〕

---

5. Massnahmen zur menschlichen Aufsicht (Art. 27(1)(e), Art. 14)

5.1 Aufsichts-Architektur

Mensch-im-Loop mit finaler Entscheidung — Entscheidungs-Vorbehalt der natürlichen Person.

5.2 Aufsichts-Verantwortliche

Rolle	Person / Funktion	Qualifikation
Aufsichts-Verantwortlich (Art. 14)	〔Name + Funktion〕	〔Schulung absolviert: ja/nein, Datum〕
Stellvertretung	〔Name + Funktion〕	〔...〕
Eskalations-Empfänger	〔Name + Funktion〕	〔...〕

5.3 Override-Verfahren

〔Beschreibe konkret, wie ein Aufsichts-Verantwortlicher (a) eine KI-Entscheidung erkennen, (b) hinterfragen, und (c) überstimmen kann. Inkl. Reaktionszeit, Eskalationsweg und Dokumentations-Pflicht.〕

5.4 Anomalie-Erkennung

〔Welche Mechanismen sind in Place, um anomalous Outputs des KI-Systems zu erkennen? z.B. Confidence-Thresholds, Drift-Monitoring, Stichproben-Reviews.〕

---

6. Massnahmen bei Risiko-Materialisierung (Art. 27(1)(f))

6.1 Interne Governance-Struktur

Funktion	Verantwortliche Person	Eskalationspfad
Compliance-Officer	〔Name〕	〔...〕
Datenschutz-Beauftragter	〔Name〕	〔...〕
Fachbereichs-Leitung	〔Name〕	〔...〕
Geschäftsleitung / CEO	〔Name〕	Final Eskalation

6.2 Beschwerde-Mechanismen

Betroffene Personen müssen folgende Wege haben, um Beschwerde einzulegen:

• Erste Anlaufstelle: 〔E-Mail-Adresse / Web-Formular / Hotline〕
• Externe Beschwerde-Stelle: Marktaufsichtsbehörde des Bundeslandes (BNetzA als zentrale Stelle für AI Act) + zuständige Datenschutz-Aufsichtsbehörde
• Antwort-SLA: 〔innerhalb von X Werktagen〕
• Eskalation an Aufsichtsbehörde: 〔in Schwerwiegenden Fällen〕

6.3 Notfall-Plan

Bei Eintritt eines Grundrechts-Risikos sind folgende Schritte zu unternehmen:

1. Sofort-Massnahme (innerhalb 24h): 〔z.B. System pausieren, manuelle Überprüfung aller laufenden Entscheidungen〕 2. Untersuchung (innerhalb 5 Werktage): 〔Root-Cause-Analyse durch Compliance + IT〕 3. Korrektur (innerhalb 30 Werktage): 〔Modell-Update / Prozess-Anpassung / Schulung〕 4. Meldepflicht (nach Art. 73 EU AI Act): 〔Bei serious incident: Marktaufsichtsbehörde innerhalb 15 Tagen melden〕 5. Kommunikation: 〔Betroffene informieren, Korrektur dokumentieren〕

---

7. Sektorale Overlays

Zusätzlich zum AI Act sind folgende sektoralen Vorschriften zu beachten:

• GDPR: System verarbeitet personenbezogene Daten — DSGVO Art. 5, 6, 13/14, 32 sind anwendbar.

- Grundlage: Art. 5 DSGVO, Art. 6 DSGVO, Art. 13/14 DSGVO, Art. 22 DSGVO, Art. 32 DSGVO

• EMPLOYMENT LAW: KI-Einsatz im Arbeitsverhältnis — Mitbestimmungsrecht (DE BetrVG / AT ArbVG / CH Mitwirkungsgesetz) ist parallel zu EU AI Act Art. 26 Abs. 7 anwendbar.

- Grundlage: § 87 Abs. 1 Nr. 6 BetrVG (DE — technische Überwachungseinrichtungen), § 96a ArbVG (AT — Personalinformationssysteme), Mitwirkungsgesetz Art. 9 ff. (CH — Anhörungsrecht)

---

8. Engine-Klassifikations-Trail

Die Engine hat folgende 6 regulatorischen Pfade als anwendbar identifiziert:

1. Hochrisiko durch Annex III (art62annexiii) - Risiko: high_risk - Grundlage: Art. 6(2) EU AI Act, Annex III.4(a) EU AI Act, Art. 4 EU AI Act, Art. 50 EU AI Act

2. GPAI-Overlay (Art. 51-56 EU AI Act) (chaptervgpai) - Risiko: limited - Grundlage: Art. 51 EU AI Act, Art. 53 EU AI Act

3. Kapitel V — GPAI Pflichten (Standard) (chaptervgpai) - Risiko: limited - Grundlage: Art. 53 EU AI Act, Annex IX EU AI Act

4. Art. 4 — KI-Kompetenz aller Anwender (art4ai_literacy) - Risiko: minimal - Grundlage: Art. 4 EU AI Act, Recital 20

5. DSGVO Overlay (gdpr_overlay) - Risiko: high_risk - Grundlage: Art. 5 DSGVO, Art. 6 DSGVO, Art. 13/14 DSGVO, Art. 22 DSGVO, Art. 32 DSGVO

6. Arbeitsrecht Overlay (sectoral_overlay) - Risiko: high_risk - Grundlage: § 87 Abs. 1 Nr. 6 BetrVG (DE — technische Überwachungseinrichtungen), § 96a ArbVG (AT — Personalinformationssysteme), Mitwirkungsgesetz Art. 9 ff. (CH — Anhörungsrecht)

---

9. Unterzeichnung

Rolle	Name	Funktion	Datum	Unterschrift
Compliance-Officer	〔Name〕	〔Funktion〕	〔YYYY-MM-DD〕	〔...〕
Datenschutz-Beauftragter	〔Name〕	〔Funktion〕	〔YYYY-MM-DD〕	〔...〕
Fachbereichs-Leitung	〔Name〕	〔Funktion〕	〔YYYY-MM-DD〕	〔...〕
Geschäftsleitung	〔Name〕	〔Funktion〕	〔YYYY-MM-DD〕	〔...〕

---

> Diese FRIA wurde am 2026-05-13 mit ai-risk-check.com (Engine AI-ACT-2024-1689-v5.12.0) auf Basis von 15 Pflichten und 6 regulatorischen Pfaden erzeugt. > > Artikel-Referenzen: Art. 6(2) EU AI Act, Annex III.4(a) EU AI Act, Art. 4 EU AI Act, Art. 50 EU AI Act > > Audit-Trail-Hash: 〔Hash aus Audit-Package einfügen〕