FRIA umsetzen: Grundrechte-Folgenabschätzung Schritt für Schritt
Die Grundrechte-Folgenabschätzung (FRIA) nach Art. 27 ist Pflicht für bestimmte Deployer von Hochrisiko-KI — vor allem öffentliche Stellen und private Betreiber in den Bereichen wesentliche Dienste, Kreditwürdigkeit und Versicherung. Sie beschreibt Einsatzzweck, betroffene Personen, Schadensrisiken für Grundrechte, menschliche Aufsicht und Abhilfemaßnahmen. Sie ist vor Inbetriebnahme zu erstellen und der Aufsichtsbehörde auf Anfrage vorzulegen.
Was die FRIA ist — und was nicht
Die FRIA (Fundamental Rights Impact Assessment, Grundrechte-Folgenabschätzung) nach Art. 27 ist eine Deployer-Pflicht, keine Provider-Pflicht. Sie verlangt von bestimmten Betreibern von Hochrisiko-KI, vor der Inbetriebnahme systematisch zu analysieren, welche Auswirkungen der Einsatz auf die Grundrechte betroffener Personen haben kann. Sie ist nicht dasselbe wie die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO — beide können sich aber ergänzen.
Wer eine FRIA durchführen muss
Die FRIA-Pflicht trifft nicht jeden Deployer. Nach Art. 27 betrifft sie:
- Öffentliche Stellen und private Akteure, die öffentliche Dienste erbringen, beim Einsatz von Hochrisiko-Systemen;
- Deployer von Hochrisiko-Systemen zur Kreditwürdigkeitsprüfung und zur Risikobewertung/Preisbildung in der Kranken- und Lebensversicherung (Annex III Nr. 5 Buchst. b und c).
Reine private Anwendungen außerhalb dieser Bereiche lösen die FRIA-Pflicht in der Regel nicht aus — die übrigen Deployer-Pflichten (Art. 26) gelten dennoch.
Die Pflichtinhalte einer FRIA
Art. 27 schreibt mindestens vor:
1. Beschreibung der Einsatzprozesse, in denen das Hochrisiko-System verwendet wird. 2. Zeitraum und Häufigkeit der vorgesehenen Nutzung. 3. Kategorien betroffener natürlicher Personen und Gruppen. 4. Spezifische Schadensrisiken für diese Personen, unter Berücksichtigung der Provider-Informationen. 5. Maßnahmen menschlicher Aufsicht gemäß Betriebsanleitung. 6. Abhilfemaßnahmen für den Fall, dass sich Risiken verwirklichen — inklusive interner Governance und Beschwerdemechanismen.
Schritt für Schritt zur FRIA
Schritt 1 — Auslösung prüfen: Klären Sie, ob Sie zum pflichtigen Deployer-Kreis gehören und ob das System hochriskant ist. Nur dann ist die FRIA Pflicht.
Schritt 2 — Provider-Informationen einsammeln: Nutzen Sie die technische Dokumentation und Betriebsanleitung des Providers (Art. 13). Sie sind die Grundlage für die Risikobewertung.
Schritt 3 — Betroffene und Grundrechte kartieren: Wer ist betroffen (Kunden, Antragsteller, Beschäftigte)? Welche Grundrechte stehen im Raum — Gleichbehandlung, Datenschutz, Zugang zu Dienstleistungen, Meinungsfreiheit?
Schritt 4 — Risiken bewerten: Beschreiben Sie konkrete Schadensszenarien (z. B. diskriminierende Ablehnung, fehlerhafte Priorisierung) und ihre Eintrittswahrscheinlichkeit und Schwere.
Schritt 5 — Maßnahmen festlegen: Definieren Sie menschliche Aufsicht, Eskalationswege, Beschwerdemechanismus und Korrekturmaßnahmen.
Schritt 6 — Behörde informieren: Teilen Sie der Marktüberwachungsbehörde die Ergebnisse mit, soweit vorgesehen, und halten Sie die FRIA aktuell.
Verhältnis zur DSGVO-DSFA
Wenn Sie für dasselbe System bereits eine DSFA nach Art. 35 DSGVO erstellt haben, dürfen Sie diese ergänzen, statt alles doppelt zu erfassen. Art. 27 erlaubt ausdrücklich, auf bestehende Folgenabschätzungen aufzusetzen — die FRIA geht aber über den reinen Datenschutz hinaus und betrachtet alle Grundrechte.
Praxis-Tipp
Behandeln Sie die FRIA als lebendes Dokument, nicht als einmalige Übung. Bei wesentlichen Änderungen am System oder am Einsatzkontext ist sie zu aktualisieren. Ein strukturierter FRIA-Wizard führt Sie durch die Pflichtfelder und erzeugt ein auditfähiges Dokument.
Häufig gestellte Fragen
Brauchen alle Deployer von Hochrisiko-KI eine FRIA?+
Nein. Die FRIA-Pflicht trifft vor allem öffentliche Stellen, Erbringer öffentlicher Dienste sowie Deployer in der Kreditwürdigkeitsprüfung und der Kranken-/Lebensversicherungs-Risikobewertung. Andere private Deployer von Hochrisiko-KI haben die übrigen Art.-26-Pflichten, aber nicht zwingend die FRIA.
Ist die FRIA dasselbe wie eine Datenschutz-Folgenabschätzung?+
Nein, aber sie überschneiden sich. Die DSFA nach Art. 35 DSGVO betrachtet Datenschutzrisiken; die FRIA nach Art. 27 EU AI Act alle Grundrechte. Eine bestehende DSFA kann als Grundlage dienen und ergänzt werden, ersetzt die FRIA aber nicht vollständig.
Wann muss die FRIA fertig sein?+
Vor der ersten Inbetriebnahme des Hochrisiko-Systems. Sie ist anschließend aktuell zu halten und bei wesentlichen Änderungen zu überarbeiten. Die Aufsichtsbehörde kann sie anfordern.
Was passiert ohne FRIA?+
Das Fehlen einer erforderlichen FRIA ist ein Compliance-Verstoß, der im Rahmen der Marktüberwachung sanktioniert werden kann. Wichtiger noch: Ohne FRIA fehlt die dokumentierte Grundlage, um Grundrechtsrisiken zu erkennen und zu steuern — das erhöht das Haftungs- und Reputationsrisiko erheblich.
Direkt prüfen — kostenlos
Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.
Kostenloser EU AI Act Check →Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.
Zuletzt aktualisiert: Juni 2026