AI Regulatory Intelligence — by YRproject

sachliche Einordnung · nachvollziehbar bis zur Primärquelle

Compliance-Plattform Zusammenarbeiten LinkedIn NL·EN·DE
Erläuterung

FRIA: Wann muss ich eine Grundrechte-Folgenabschätzung durchführen (KI-Verordnung Art. 27)?

Verabschiedet 2026-06-16 · ≈ 2 Min. Lesezeit · Dirk Baaijen

Setzen Sie Hochrisiko-KI als öffentliche Stelle, als Anbieter öffentlicher Dienste oder für Kreditwürdigkeit oder Lebens- und Krankenversicherung ein? Dann verlangt Art. 27 KI-Verordnung vor der Inbetriebnahme eine Grundrechte-Folgenabschätzung (FRIA).

Kurze Antwort: Nicht jeder Nutzer von Hochrisiko-KI muss eine Grundrechte-Folgenabschätzung (FRIA) durchführen. Artikel 27 KI-Verordnung legt diese Pflicht nur bestimmten Betreibern auf: öffentlichen Stellen, privaten Parteien, die öffentliche Dienste erbringen, und denjenigen, die Hochrisiko-KI für die Bewertung der Kreditwürdigkeit oder für die Risikobewertung und Preisbildung bei Lebens- und Krankenversicherungen einsetzen. Die FRIA muss vor der ersten Inbetriebnahme fertig sein.

Wer die FRIA durchführen muss

Artikel 27 der Verordnung (EU) 2024/1689 richtet sich an den Betreiber (deployer), nicht an den Anbieter. Die Pflicht gilt bei der Nutzung eines Hochrisiko-KI-Systems im Sinne des Anhangs III und nur für:

  • Einrichtungen des öffentlichen Rechts oder private Parteien, die öffentliche Dienste erbringen;
  • die Nutzung zur Bewertung der Kreditwürdigkeit oder zur Ermittlung eines Kredit-Scores (mit einer Ausnahme für die Aufdeckung von Finanzbetrug);
  • die Nutzung zur Risikobewertung und Preisbildung bei Lebens- und Krankenversicherungen.

Andere Betreiber von Hochrisiko-KI fallen grundsätzlich nicht unter die FRIA-Pflicht. Wer etwa als gewöhnliches Privatunternehmen ein Hochrisiko-Planungssystem ohne Kontext öffentlicher Dienste, Kredit- oder Versicherungszweck einsetzt, muss keine FRIA durchführen — andere Hochrisiko-Pflichten können jedoch gelten.

Was in der Abschätzung stehen muss

Die FRIA beschreibt, wie das System tatsächlich genutzt wird und welche Folgen das für die Grundrechte hat. Konkret:

  • die Prozesse, in denen das System genutzt wird, passend zum beabsichtigten Zweck;
  • der Zeitraum und die Häufigkeit der Nutzung;
  • die Kategorien von Personen, die betroffen sind;
  • die spezifischen Risiken für die Grundrechte dieser Personen;
  • die Maßnahmen zur menschlichen Aufsicht gemäß der Betriebsanleitung;
  • die mildernden Maßnahmen für den Fall der Verwirklichung der Risiken, einschließlich Beschwerde- und Governance-Regelungen.

Nach der Erstellung melden Sie das Ergebnis bei der Marktüberwachungsbehörde über das dafür vorgesehene Formular. Bei wesentlichen Änderungen aktualisieren Sie die Abschätzung.

Verhältnis zur DSGVO-DSFA

Die FRIA und die Datenschutz-Folgenabschätzung (DSFA) aus der DSGVO können sich teilweise überschneiden. Führen Sie bereits eine DSFA durch, ergänzt die FRIA diese: Sie ersetzt die DSFA nicht, aber Sie müssen zuvor erhobene Informationen nicht doppelt erstellen. Behandeln Sie sie als komplementäre Prüfungen — die DSFA betrachtet die Datenverarbeitung, die FRIA breiter die Auswirkung auf die Grundrechte.

Lesen Sie auch: Die Zeitleiste der Pflichten der KI-Verordnung. Machen Sie den Scan.

Quellen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordnung (EU) 2024/1689 (KI-Verordnung), Art. 27: Grundrechte-Folgenabschätzung.

Share on LinkedIn

Lesen Sie auch

A

DSFA für HR-KI: wann verpflichtend und wie kombiniert man sie mit der FRIA?

Eine DSFA (Art. 35 DSGVO) ist bei umfangreicher Überwachung und Hochrisiko-KI im HR verpflichtend. Dieser Artikel erklärt, was hineingehört und wie man die DSFA mit der FRIA (Art. 27 KI-Verordnung) zu einem Verfahren bündelt. Mit Schritt-für-Schritt-Plan.

U

KI-Beschaffung durch die öffentliche Hand: KI-Verordnungs-Konformität als Vergabeanforderung

Wer als Behörde ein KI-System beschafft, wird nach der KI-Verordnung Betreiber und manchmal selbst Anbieter. Machen Sie Konformität, Dokumentation und Grundrechtsprüfung zu harten Anforderungen in der Ausschreibung, nicht zu Restposten im Vertrag.

W

Registrierung von Hochrisiko-Systemen in der EU-Datenbank (Artikel 49)

Artikel 49 der KI-Verordnung verpflichtet Anbieter und bestimmte Betreiber, Hochrisiko-Systeme vor der Inbetriebnahme in einer öffentlichen EU-Datenbank zu registrieren. Die Registrierung macht sichtbar, welche Systeme am Markt sind, und ist Voraussetzung für die rechtmäßige Nutzung.

Dirk Baaijen

Über diese Wissensdatenbank

Zusammengestellt und gepflegt von YRproject — Programm- und Projektsteuerung an der Schnittstelle von digitaler Transformation, KI und Regulierung. Jede sachliche Aussage ist bis zur Primärquelle nachvollziehbar. Hinter YRproject steht Dirk Baaijen Über & Methode →

Ein Projekt oder Programm? Mit YRproject arbeiten →

Das monatliche Briefing

KI-Regulierung in fünf Minuten: was sich geändert hat, was kommt und was es bedeutet. Kein Spam, jederzeit abbestellbar.

Ihre Adresse wird nur hierfür verwendet und auf eigenen Servern gespeichert.