EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Alle Ratgeber
FRIA

FRIA-Vorlage 2026: Grundrechte-Folgenabschätzung nach Art. 27 EU AI Act

Zuletzt aktualisiert: Mai 2026·11 min Lesezeit
TL;DR

Die FRIA (Fundamental Rights Impact Assessment) ist nach Art. 27 EU AI Act für Deployer von Hochrisiko-KI Pflicht — speziell für öffentliche Stellen, Banken (Bonität) und Versicherer (Lebens-/Krankenversicherung). Sie umfasst 6 Schritte: Beschreibung, betroffene Personen, Risikoanalyse, Schadensbewertung, Massnahmen, Aufsicht.

Die Fundamental Rights Impact Assessment (FRIA) ist die Grundrechte-Folgenabschätzung nach Art. 27 EU AI Act. Sie ist getrennt von der DSFA (Datenschutz-Folgenabschätzung nach Art. 35 DSGVO) und für Deployer von Hochrisiko-KI Pflicht.

Wer muss eine FRIA durchführen?

Art. 27 Abs. 1 EU AI Act definiert drei Pflichtgruppen:

1. Öffentliche Stellen (Behörden, Ministerien, Universitäten in öffentlicher Hand) 2. Private Stellen, die öffentliche Dienste erbringen (z.B. private Schulen, ÖPNV-Betreiber) 3. Banken bei Bonitätsprüfung (Annex III Nr. 5 lit. b) 4. Versicherer bei Lebens- und Krankenversicherung (Annex III Nr. 5 lit. c)

Andere Deployer von Hochrisiko-KI sind nicht zwingend FRIA-pflichtig — können aber freiwillig eine durchführen, was wir empfehlen.

Wann muss die FRIA durchgeführt werden?

Vor erster Nutzung des Hochrisiko-KI-Systems. Bei wesentlichen Änderungen — auch der Einsatzweise — ist eine Aktualisierung erforderlich.

Die 6 Schritte der FRIA

Schritt 1: Beschreibung des Einsatzszenarios

  • Welche Hochrisiko-KI? (Annex III-Nummer, Anbieter, Version)
  • Welcher Zeitraum (auch wiederkehrend)?
  • In welchem Kontext (z.B. "Bonitätsprüfung Privatkunden")?
  • Wie häufig (Anzahl Entscheidungen pro Monat)?

Schritt 2: Betroffene natürliche Personen

  • Welche Kategorien von Personen?
  • Wieviele insgesamt?
  • Besonders schutzbedürftige Gruppen (Minderjährige, Migranten, Personen in finanzieller Not)?

Schritt 3: Spezifische Risiken für Grundrechte

Welche Grundrechte sind betroffen? Mindestens prüfen:

  • Würde des Menschen (Art. 1 EU-Grundrechtecharta)
  • Recht auf Privatleben & Datenschutz (Art. 7, 8)
  • Diskriminierungsverbot (Art. 21)
  • Recht auf Asyl, faires Verfahren (Art. 18, 47)
  • Verbraucherschutz (Art. 38)
  • Schutz vor unzulässiger Diskriminierung in Beschäftigung (Art. 23, 31)

Pro Grundrecht: Welches konkrete Risiko? Welche Wahrscheinlichkeit? Welche Schwere?

Schritt 4: Schadens-Szenarien

  • Was passiert bei Fehlentscheidung? (z.B. unrechtmässige Ablehnung Bonität)
  • Reversibilität: kann der Schaden rückgängig gemacht werden?
  • Anzahl betroffener Personen
  • Aggregations-Effekt (z.B. systematische Diskriminierung einer Gruppe)

Schritt 5: Massnahmen zur Minderung

  • Technisch: Bias-Tests, Robustheits-Tests, Logging
  • Organisatorisch: Menschliche Aufsicht, Beschwerdeverfahren, Schulungen
  • Vertraglich: Kontrolle des Anbieters, SLAs
  • Prozessual: Eskalation bei Anomalien, Recht auf Erklärung

Schritt 6: Aufsicht & Update-Mechanismus

  • Wer im Unternehmen ist verantwortlich?
  • Wer prüft die FRIA regelmässig (mindestens jährlich)?
  • Welche Trigger lösen einen Re-Assessment aus?
  • Wie wird die FRIA bei wesentlichen Änderungen aktualisiert?

Verhältnis zur DSGVO-DSFA (Art. 35 DSGVO)

  • Wenn DSFA bereits vorliegt: FRIA kann darauf aufbauen, der grundrechtsrelevante Teil ist zu ergänzen.
  • Wenn keine DSFA nötig: FRIA ist eigenständig durchzuführen.
  • Beide haben: denselben Risiko-orientierten Ansatz, aber unterschiedlichen Fokus (DSFA: Datenschutz; FRIA: alle Grundrechte).

Notifizierungspflicht (Art. 27 Abs. 3)

Nach Abschluss der FRIA muss ein Auszug an die nationale Marktaufsichtsbehörde übermittelt werden — über das von der EU-Kommission bereitgestellte Template. In Deutschland: Bundesnetzagentur. In Österreich: RTR. In der Schweiz: noch nicht gesetzlich geregelt (Anwendung freiwillig).

Häufige Fehler

1. FRIA mit DSFA verwechseln — andere Schutzgüter, andere Methodik 2. Keine besonders schutzbedürftigen Gruppen identifizieren 3. Nur Worst-Case betrachten — Realisten-Szenarien sind wichtiger 4. Vergessen, Massnahmen zu implementieren — Plan ohne Umsetzung ist wertlos 5. Keine Re-Evaluation einplanen — Hochrisiko-Systeme entwickeln sich

Werkzeug

ai-risk-check.com bietet einen 6-Schritt-FRIA-Wizard. Der Wizard generiert ein auditfähiges PDF mit Hash-Signatur, das öffentlich verifizierbar ist.

Häufig gestellte Fragen

Was ist die FRIA und wer muss sie durchführen?+

Die Fundamental Rights Impact Assessment (FRIA) nach Art. 27 EU AI Act ist eine Grundrechte-Folgenabschätzung für Deployer von Hochrisiko-KI. Pflichtgruppen sind: öffentliche Stellen, private Anbieter öffentlicher Dienste, Banken bei Bonitätsprüfung und Versicherer bei Lebens-/Krankenversicherung. Andere Deployer können freiwillig eine FRIA durchführen.

Worin unterscheidet sich die FRIA von der DSGVO-DSFA?+

Die DSFA nach Art. 35 DSGVO fokussiert auf Datenschutzrisiken. Die FRIA umfasst alle Grundrechte: Würde, Privatleben, Diskriminierungsverbot, Recht auf Asyl, faires Verfahren, Verbraucherschutz, Schutz in Beschäftigung. Wenn eine DSFA bereits vorliegt, kann die FRIA darauf aufbauen, muss aber den grundrechtsrelevanten Teil zusätzlich abdecken.

Welche Grundrechte muss die FRIA prüfen?+

Mindestens sechs Bereiche der EU-Grundrechtecharta: Würde des Menschen (Art. 1), Recht auf Privatleben (Art. 7) und Datenschutz (Art. 8), Diskriminierungsverbot (Art. 21), Recht auf Asyl und faires Verfahren (Art. 18, 47), Verbraucherschutz (Art. 38) sowie Schutz vor Diskriminierung in Beschäftigung (Art. 23, 31).

Müssen FRIA-Ergebnisse einer Behörde gemeldet werden?+

Ja. Art. 27 Abs. 3 verpflichtet zur Übermittlung eines Auszugs an die nationale Marktaufsichtsbehörde — in Deutschland die Bundesnetzagentur, in Österreich die RTR. Die EU-Kommission stellt ein einheitliches Template bereit. In der Schweiz besteht aktuell keine Übermittlungspflicht, da das nDSG keine entsprechende Regelung enthält.

Wann muss die FRIA aktualisiert werden?+

Bei jeder wesentlichen Änderung — neuer Zweck, neue Personengruppen, signifikante Performance-Veränderung. Empfohlen ist zudem eine jährliche Routine-Überprüfung. Re-Assessment-Trigger sollten in der FRIA selbst dokumentiert sein.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Innopulse Legal Engine v3.8.0

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Mai 2026

Alle RatgeberWissenshub
FRIA Vorlage 2026 — Grundrechte-Folgenabschätzung Template | ai-risk-check.com