FRIA Vorlage EU AI Act: Mustertext & Schritt-für-Schritt-Anleitung
Eine FRIA (Fundamental Rights Impact Assessment) nach Art. 27 EU AI Act ist Pflicht für Hochrisiko-KI-Deployer in öffentlichen Stellen, mit öffentlicher Aufgabe oder bei Annex III Nr. 5 lit. b/c (Kreditscoring, Versicherungs-Risikobewertung). Sie umfasst neun Pflichtbereiche und kann mit der DSGVO-DSFA kombiniert werden.
Wer eine FRIA durchführen muss
Pflichtige nach Art. 27 Abs. 1: öffentliche Stellen (Behörden, Gemeinden), private Stellen mit öffentlicher Aufgabe (z. B. private Schulen mit staatlicher Anerkennung), Deployer von Annex III Nr. 5 lit. b/c (Kreditscoring, Lebens-/Krankenversicherungs-Risikobewertung) — auch im rein privaten Sektor.
Wer nicht zur Pflichtgruppe gehört, kann die FRIA freiwillig durchführen — ESG- und Compliance-Mehrwert.
Die 9 Pflichtbereiche der FRIA
1. Beschreibung der Einsatzprozesse — wie wird die KI im Geschäftsablauf eingesetzt 2. Zeitraum und Häufigkeit — Dauerbetrieb, erwartete Personenzahl 3. Kategorien betroffener Personen — Bewerber, Antragsteller, Patienten, Schüler 4. Spezifische Schadensrisiken für Grundrechte — Diskriminierung Art. 21 GRC, Recht auf wirksamen Rechtsbehelf Art. 47, Datenschutz Art. 8, Würde Art. 1 5. Massnahmen menschlicher Aufsicht — Stop-Button, Eskalationspfad 6. Risiko-Eintrittsmassnahmen — Korrekturpfad, Wiedergutmachung 7. Interne Governance und Beschwerdeverfahren — Beschwerdestelle für Betroffene 8. Mitteilung an Marktüberwachungsbehörde — Notifikationspflicht (kein Genehmigungsvorbehalt) 9. Konsultation — bei sensiblen Einsätzen mit DSB, Gleichstellungsstelle, Ombudsperson
FRIA-Mustertext-Struktur
``` 1. Identifikation - Verantwortlicher (Deployer): {Firma, Adresse, UID} - System-ID, Provider, Version - Risikoklasse: Hochrisiko Annex III Nr. {X} - FRIA-Datum, Verantwortlicher Autor, Reviewer
2. Beschreibung des Einsatzes (Art. 27 Abs. 1 lit. a) 3. Zeitraum und Häufigkeit (lit. b) 4. Kategorien betroffener Personen (lit. c) 5. Schadensrisiken für Grundrechte (lit. d) 6. Menschliche Aufsicht (lit. e) 7. Risiko-Eintrittsmassnahmen (lit. f) 8. Beschwerdeverfahren (lit. g) 9. Notifikation an Marktüberwachungsbehörde (Art. 27 Abs. 3) 10. Konsultationen (Art. 27 Abs. 4) 11. Ergebnis und Freigabe Geschäftsleitung ```
FRIA versus DSFA
DSFA (Art. 35 DSGVO) bewertet Datenschutzrisiken; FRIA bewertet Grundrechtsrisiken im weiten Sinn — auch ohne personenbezogene Daten kann eine FRIA nötig sein. In der Praxis kombinierbar: gemeinsames Dokument mit DSFA-Sektion und FRIA-Sektion. Wichtig: alle Pflichtfelder beider Verfahren abdecken.
Häufige Fehler
- Zu generisch ("Diskriminierungsrisiko: niedrig" ohne Begründung) — konkrete Bias-Tests dokumentieren (Demographic Parity, Equal Opportunity)
- Konsultationspflicht ignoriert bei Sozialleistungs- und Bildungs-KI
- Nicht aktualisiert bei Modelländerungen
- Kein Beschwerdeverfahren — formaler Verstoss gegen Art. 27 Abs. 1 lit. g
Häufig gestellte Fragen
Wer muss eine FRIA erstellen?+
Öffentliche Stellen, private Stellen mit öffentlicher Aufgabe, Deployer von Annex III Nr. 5 lit. b/c (Kreditscoring, Lebens-/Krankenversicherung).
Was ist der Unterschied zwischen FRIA und DSFA?+
DSFA bewertet Datenschutzrisiken nach DSGVO, FRIA bewertet Grundrechtsrisiken im weiten Sinn nach EU AI Act. Kombinierbar, aber alle Pflichtfelder beider müssen abgedeckt sein.
Muss die FRIA jährlich wiederholt werden?+
Nicht zwingend jährlich. Aktualisierung bei wesentlichen Änderungen — neues Modell, neue Datenbasis, geänderter Einsatzkontext.
Wird die FRIA veröffentlicht?+
Nein, intern. An die Marktüberwachungsbehörde wird notifiziert (Art. 27 Abs. 3) — kein Genehmigungsvorbehalt.
Kann ein externer Berater die FRIA übernehmen?+
Ja, aber Verantwortung bleibt beim Deployer. Externer Erstentwurf, Geschäftsleitung freigibt, interner DPO/AI-Officer reviewt.
Direkt prüfen — kostenlos
Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.
Kostenloser EU AI Act Check →Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.
Zuletzt aktualisiert: 4. Mai 2026