Zum Hauptinhalt springen
Kostenlose Diagnose

Glossar

25 Schlüsseldefinitionen der Verordnung

Pflichten

24 detaillierte Artikel mit Fristen

Zeitplan

Wichtige Termine von 2025 bis 2027

Diagnose

Identifizieren Sie Ihre Pflichten in 3 Minuten

KMU-Konformität

Prüfen Sie Ihre AI-Act-Pflichten in 30 Sekunden

Europäische Souveränität

100% in Frankreich gehostet

KI-Assistent

Kontextuelle KI mit abschnittsübergreifendem Gedächtnis

Dokumentenerstellung

Anhang-IV-konformer Text per KI generiert

Diagnose

Automatische Klassifizierung Ihres Systems

Versionierung

Vollständige Rückverfolgbarkeit Ihrer Projekte

Multi-Client

Multi-Client-Verwaltung für Agenturen

PDF-Export

Professionelle PDFs für das Audit

PreiseBlogAnmelden
fria ki-gesetzfria betreiber

KI-Gesetz FRIA: Wer muss eine Grundrechte-Folgenabschätzung durchführen, wie - und bis wann?

23. März 20268 min9
KI-Gesetz FRIA: Wer muss eine Grundrechte-Folgenabschätzung durchführen, wie - und bis wann?

Auf einen Blick

  • Pflicht nach Artikel 27: Die FRIA (Fundamental Rights Impact Assessment) ist für Betreiber von KI-Hochrisikosystemen in bestimmten Kontexten vorgeschrieben - öffentliche Stellen, Betreiber wesentlicher Dienste und Bildungs- oder Berufsausbildungseinrichtungen
  • Anders als die DSFA: Die FRIA geht über den Datenschutz hinaus - sie bewertet die Auswirkungen auf alle Grundrechte (Nichtdiskriminierung, Würde, Zugang zur Justiz, Meinungsfreiheit...)
  • Vor der Inbetriebnahme: Die FRIA muss vor der Inbetriebnahme des Systems durchgeführt werden, nicht danach. Sie ist eine Voraussetzung für einen legitimen Einsatz.
  • Mindestens 15 Felder: Die Verordnung verlangt strukturierten Inhalt, der die Systembeschreibung, potenziell betroffene Rechte, Abhilfemaßnahmen und einen Überwachungsplan umfasst
  • Obligatorische Registrierung: Die FRIA-Ergebnisse müssen in der EU-Datenbank für KI-Hochrisikosysteme registriert werden
  • Frist August 2026: Betroffene Betreiber müssen ihre FRIA vor dem 2. August 2026 abgeschlossen haben, sofern keine Verschiebung durch den Digital Omnibus erfolgt

Wenn es um die Einhaltung des KI-Gesetzes geht, steht die technische Dokumentation der Anbieter meist im Mittelpunkt der Aufmerksamkeit. Dabei haben Betreiber ihre eigenen spezifischen Pflichten - darunter eine Bewertung, die häufig übersehen wird: die FRIA, oder Fundamental Rights Impact Assessment. Sie ist nach Artikel 27 der Verordnung (EU) 2024/1689 für bestimmte Kategorien von Betreibern vorgeschrieben und muss vor der Inbetriebnahme eines KI-Hochrisikosystems durchgeführt werden.

Über die FRIA in verständlicher Sprache wurde bisher wenig geschrieben. Viele betroffene Organisationen wissen daher nicht, dass sie ihr unterliegen, oder verwechseln sie mit der Datenschutz-Folgenabschätzung (DSFA) der DSGVO. Dieser Leitfaden schafft Klarheit.

Was ist die FRIA und woher kommt sie?

Die FRIA ist eine strukturierte Bewertung, die der Betreiber eines KI-Hochrisikosystems durchführen muss, um die potenziellen Auswirkungen dieses Systems auf die Grundrechte der betroffenen Personen zu messen. Sie orientiert sich an bestehenden Folgenabschätzungen im EU-Recht - insbesondere der DSFA der DSGVO - hat aber einen deutlich breiteren Anwendungsbereich.

Während sich die DSFA auf Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten konzentriert, deckt die FRIA den gesamten Umfang der EU-Grundrechtecharta ab:

  • Menschenwürde und persönliche Integrität
  • Das Recht auf Nichtdiskriminierung (Artikel 21 der Charta)
  • Datenschutz und Achtung des Privatlebens
  • Meinungs- und Informationsfreiheit
  • Das Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren
  • Rechte des Kindes und Rechte schutzbedürftiger Personen
  • Gleichheit von Frauen und Männern
  • Arbeitnehmerrechte, insbesondere hinsichtlich der Arbeitsbedingungen

In der Praxis verpflichtet die FRIA den Betreiber, eine grundlegende Frage zu beantworten: "Riskiere ich durch den Einsatz dieses KI-Systems, die Grundrechte der Personen zu verletzen, die dieses System betrifft?"

Wer ist von der FRIA betroffen?

Entgegen dem, was der Name vermuten lässt, gilt die FRIA nicht für alle Betreiber von Hochrisikosystemen. Artikel 27 beschränkt sie auf bestimmte Kategorien:

Öffentlich-rechtliche Stellen

Jede Behörde oder staatlich verwaltete Stelle, die ein KI-Hochrisikosystem einsetzt, unterliegt der FRIA. Dazu gehören Bundes- und Landesbehörden sowie kommunale Stellen, öffentliche Einrichtungen (Krankenhäuser, öffentliche Universitäten, Arbeitsagenturen...), Sozialversicherungsträger, Justiz- und Strafverfolgungsbehörden sowie Grenzkontrollbehörden.

Betreiber wesentlicher Dienste

Privatunternehmen, die kritische Infrastrukturen verwalten oder wesentliche Dienste erbringen, sind ebenfalls betroffen. Dazu gehören Betreiber in den Bereichen Energie, Verkehr, Wasser, digitale Gesundheit oder systemrelevantes Bankwesen, die KI-Hochrisikosysteme einsetzen.

Bildungs- und Berufsausbildungseinrichtungen

Schulen, Universitäten und Ausbildungsorganisationen, die KI-Systeme zur Bewertung von Schülerinnen und Schülern, zur Verwaltung des Zugangs zu Ausbildungsgängen oder zur Lenkung von Lernwegen einsetzen, unterliegen der FRIA, wenn diese Systeme unter Anhang III fallen.

Wenn Sie ein standardmäßiges Privatunternehmen sind - kein Betreiber kritischer Infrastrukturen - das lediglich ein KI-gestütztes HR-Tool oder ein kommerzielles Scoring-Tool nutzt, unterliegen Sie grundsätzlich nicht der FRIA. Ihre Pflichten sind jene aus Artikel 26 (menschliche Aufsicht, Protokolle, Information betroffener Personen), nicht jedoch die formale Bewertung des Artikels 27.

FRIA vs. DSFA: Die konkreten Unterschiede

  • Rechtsgrundlage: Die DSFA ergibt sich aus Artikel 35 der DSGVO, die FRIA aus Artikel 27 des KI-Gesetzes. Es handelt sich um zwei eigenständige Pflichten aus zwei verschiedenen Verordnungen.
  • Umfang: Die DSFA deckt nur Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten ab. Die FRIA erfasst alle Grundrechte, einschließlich jener ohne Bezug zur Privatsphäre.
  • Auslöser: Die DSFA wird durch risikoreiches Datenverarbeitungsvorhaben ausgelöst. Die FRIA wird durch den Einsatz eines Hochrisiko-KI-Systems durch einen betroffenen Betreiber ausgelöst.
  • Mögliche Koordination: Beide Bewertungen können gemeinsam durchgeführt werden, und ihr Inhalt kann sich überschneiden - insbesondere beim Datenschutz und bei der Nichtdiskriminierung. Die Verordnung fördert diese Koordination ausdrücklich.

Wie man eine FRIA durchführt: die Schritte

Schritt 1 - System- und Kontextbeschreibung

Dokumentieren Sie zunächst das betreffende KI-System genau: seinen Zweck, seine vereinfachte technische Funktionsweise, die Entscheidungen, die es trifft oder beeinflusst, und den organisatorischen Kontext, in dem es eingesetzt wird.

Schritt 2 - Identifizierung betroffener Personen

Bestimmen Sie, wer vom System betroffen ist - direkt (Personen, die seinen Entscheidungen unterliegen) oder indirekt (Personen, deren Rechte beeinträchtigt sein könnten, ohne direkten Kontakt mit dem System). Besondere Aufmerksamkeit gilt schutzbedürftigen Gruppen: Minderjährige, ältere Menschen, Menschen mit Behinderungen, Minderheiten.

Schritt 3 - Kartierung potenziell betroffener Grundrechte

Bewerten Sie für jedes in der Charta aufgeführte Grundrecht, ob dieses Recht durch das System in Ihrem Einsatzkontext beeinträchtigt werden kann, und schätzen Sie Wahrscheinlichkeit und Schwere der potenziellen Auswirkung ein.

Schritt 4 - Identifizierung und Bewertung konkreter Risiken

Übersetzen Sie potenzielle Auswirkungen in konkrete Risiken. Beispiel: Ein Kredit-Scoring-System kann ein Risiko indirekter Diskriminierung schaffen, wenn seine Trainingsdaten historische Vorurteile in Bezug auf Geschlecht oder Herkunft widerspiegeln.

Schritt 5 - Abhilfemaßnahmen

Dokumentieren Sie für jedes identifizierte Risiko die Maßnahmen, die ergriffen wurden oder geplant sind: menschliche Aufsicht bei sensiblen Entscheidungen, Widerspruchs- und Beschwerdeverfahren für Betroffene, Verfahren zur Erkennung und Korrektur von Verzerrungen, Nutzungsbeschränkungen, Schulungen des Personals.

Schritt 6 - Überwachungs- und Überprüfungsplan

Die FRIA ist keine einmalige Übung. Legen Sie einen Überprüfungskalender, Überwachungsindikatoren und die Bedingungen fest, die eine neue Bewertung auslösen würden (wesentliche Systemänderung, Änderung des Einsatzkontexts, gemeldete Vorfälle...).

Schritt 7 - Registrierung und Veröffentlichung

Die FRIA-Ergebnisse müssen in der EU-Datenbank für KI-Hochrisikosysteme (Artikel 71) registriert werden. Bestimmte Informationen können aus Vertraulichkeitsgründen von der Veröffentlichung ausgenommen werden.

Häufige Fehler, die vermieden werden sollten

  • Die FRIA nach der Inbetriebnahme durchführen: Artikel 27 ist eindeutig - die Bewertung muss vor der Inbetriebnahme erfolgen.
  • Sich auf personenbezogene Daten beschränken: Die FRIA auf eine erweiterte DSFA zu reduzieren ist ein häufiger Fehler.
  • Betroffene Personen nicht einbeziehen: Die Konsultation von Vertretern der betroffenen Bevölkerungsgruppen stärkt die Qualität der Bewertung erheblich.
  • Indirekte Risiken ignorieren: Ein System kann Rechte beeinträchtigen, ohne dass die betroffenen Personen direkten Kontakt damit haben.
  • Die FRIA nie überarbeiten: Planen Sie regelmäßige Überprüfungen ein.

Das AiActo-Betreibermodul begleitet Organisationen durch die Erstellung ihrer FRIA mit mehr als 15 strukturierten Feldern, die alle Anforderungen des Artikels 27 abdecken, und erzeugt ein exportierbares Dokument zur Vorlage bei der Regulierungsbehörde.

Häufig gestellte Fragen

Ist die FRIA für ein Privatunternehmen obligatorisch, das KI-gestützte HR-Software nutzt?

Grundsätzlich nein, wenn es sich um ein standardmäßiges Wirtschaftsunternehmen handelt. Artikel 27 richtet sich an öffentlich-rechtliche Stellen, Betreiber wesentlicher Dienste und Bildungseinrichtungen. Ein KMU, das ein KI-gestütztes Bewerbungsscreening-Tool verwendet, muss die Pflichten aus Artikel 26 erfüllen, aber nicht unbedingt eine formale FRIA durchführen.

Kann die FRIA mit der DSFA der DSGVO kombiniert werden?

Ja, und die Verordnung fördert dies ausdrücklich. Beide Bewertungen können gemeinsam durchgeführt werden, wenn das KI-System personenbezogene Daten verarbeitet. Wichtig ist, sicherzustellen, dass die FRIA den gesamten Umfang der Grundrechte abdeckt, über den Datenschutzfokus der DSFA hinaus.

Was passiert, wenn das KI-System nach der FRIA geändert wird?

Jede wesentliche Änderung des KI-Systems löst eine Pflicht zur Überarbeitung der FRIA aus. Die Verordnung definiert "wesentliche Änderung" nicht genau, aber der allgemeine Grundsatz ist, dass eine Änderung der Systemfähigkeiten, Trainingsdaten oder des Anwendungsbereichs eine Neubewertung erfordert.

Muss die FRIA öffentlich zugänglich sein?

Die FRIA-Ergebnisse müssen in der EU-Datenbank für KI-Hochrisikosysteme registriert werden. Gewerblich sensible Informationen können von der Veröffentlichung ausgenommen sein. Die allgemeine Regel ist Transparenz, mit begrenzten Ausnahmen zum Schutz legitimer Geschäftsgeheimnisse.

Was ist die Sanktion, wenn keine FRIA durchgeführt wird?

Die Nichteinhaltung der Pflichten aus Artikel 27 ist ein Verstoß gegen Kapitel III des KI-Gesetzes und kann mit Bußgeldern von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes geahndet werden.

Die FRIA ist eine der am wenigsten bekannten Pflichten des KI-Gesetzes - und dennoch eine der bedeutsamsten für öffentliche Stellen und Betreiber wesentlicher Dienste. Sie sorgfältig vor der Inbetriebnahme durchzuführen ist sowohl eine gesetzliche Anforderung als auch ein Akt der Verantwortung gegenüber den Menschen, die Ihre KI-Systeme betreffen. Verfolgen Sie den KI-Gesetz-Zeitplan auf AiActo, um diesen Schritt in Ihren Compliance-Kalender einzuplanen.

Diesen Artikel teilen