EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →

FRIA: Grundrechte-Folgenabschätzung

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

Eine FRIA (Fundamental Rights Impact Assessment) nach Art. 27 EU AI Act ist eine Pflicht-Bewertung der Grundrechtsauswirkungen vor Einsatz eines Hochrisiko-KI-Systems. Pflichtig: öffentliche Einrichtungen sowie private Akteure in Sozialleistungen, Krediten und Lebens-/Krankenversicherung.

Die FRIA wurde im Trilog-Verfahren aufgenommen und ergänzt die Datenschutz-Folgenabschätzung (DPIA) der DSGVO. Während die DPIA Datenschutz-Risiken behandelt, beleuchtet die FRIA breitere Grundrechte: Diskriminierung, Würde, Meinungsfreiheit, faires Verfahren, Gleichbehandlung.

Wer muss eine FRIA durchführen?

Art. 27 verpflichtet folgende Deployer: - Öffentliche Stellen (Behörden, staatliche Einrichtungen) - Akteure, die im Auftrag öffentlicher Stellen handeln - Private Anbieter wesentlicher öffentlicher Dienste (Annex III Nr. 5 lit. a) - Banken und Kreditinstitute (Annex III Nr. 5 lit. b) - Lebens- und Krankenversicherer (Annex III Nr. 5 lit. c)

Nicht pflichtig sind reine private Anwendungen ausserhalb dieser Bereiche — auch wenn das System Hochrisiko ist (z.B. Recruiting-KI in Privat-Unternehmen).

Inhalte der FRIA (Art. 27 Abs. 1)

  • Beschreibung der Verwendungszwecke
  • Zeitraum und Häufigkeit des Einsatzes
  • Betroffene Personen und Gruppen
  • Spezifische Schadens-Risiken für Grundrechte
  • Beschreibung menschlicher Aufsichtsmassnahmen
  • Massnahmen bei Risiko-Materialisierung
  • Governance-Strukturen für interne Beschwerden

Wann durchgeführt?

Vor erstem produktivem Einsatz. Bei wesentlicher Änderung der Nutzungsumstände muss die FRIA aktualisiert werden. Praktischer Tipp: FRIA-Erstellung 2-3 Monate vor Go-Live, damit identifizierte Risiken noch behoben werden können.

FRIA vs. DPIA

  • DPIA (Art. 35 DSGVO): Fokus Datenschutz und Datenverarbeitung
  • FRIA (Art. 27 AI Act): Fokus auf alle Grundrechte (Diskriminierung, Würde, Meinungsfreiheit, etc.)

Überschneidungen sind möglich und beide Dokumente können gemeinsam erstellt werden — sie ersetzen sich aber nicht. Wer eine DPIA hat, muss zusätzlich eine FRIA durchführen.

Häufige Fragen

Brauche ich für Recruiting-KI eine FRIA?
Als Privatunternehmen: nein, weil Annex III Nr. 4 nicht in der Art. 27-Pflichtliste steht. Aber: aufgeklärte Compliance-Programme empfehlen FRIA als Best Practice auch bei Recruiting wegen Diskriminierungs-Risiken.
Wie lang ist eine FRIA gültig?
Solange sich Nutzungsumstände nicht wesentlich ändern. Best Practice: jährliche Review, Aktualisierung bei Modell-Updates, neuen Anwendungsfällen oder veränderten Betroffenen-Gruppen.
Muss die FRIA veröffentlicht werden?
Nein. Sie wird der zuständigen Marktaufsichtsbehörde vorgelegt. Es gibt keine Pflicht zur Veröffentlichung gegenüber der Allgemeinheit.

Relevante Rechtsgrundlagen

Art. 27 EU AI ActRecital 96 EU AI ActArt. 35 DSGVO

Klassifizieren Sie Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jedes KI-System.

Kostenloser EU AI Act Quick-Check →
Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle GlossarQuick-Check