Skip to content
Innopulse Consulting
Navigate
EnglishDeutsch
Get in touch
Contact
info@innopulse.io+41 79 508 28 06
Gotthardstrasse 30, 6300 Zug
EU AI Act

FRIA: Grundrechte-Folgenabschätzung nach Art. 27 EU AI Act

Wann die Grundrechte-Folgenabschätzung (FRIA) nach Art. 27 EU AI Act Pflicht wird, wer sie durchführen muss und wie eine belastbare FRIA-Vorlage aussieht.

Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO
·3 min read
In this article
  1. Wer eine FRIA durchführen muss
  2. Was in eine belastbare FRIA gehört
  3. Die Schnittstelle zur DSFA
  4. Häufige Fehler aus unseren Mandaten
  5. Zeitplan und nächste Schritte
  6. Wer die FRIA freigibt und dokumentiert

Die Fundamental Rights Impact Assessment (FRIA) — auf Deutsch Grundrechte-Folgenabschätzung — ist eine der am wenigsten verstandenen Pflichten des EU AI Act. Sie wird in Art. 27 geregelt und betrifft nicht die Anbieter von KI-Systemen, sondern bestimmte Betreiber (Deployer). Wer ein Hochrisiko-KI-System einsetzt, muss unter Umständen prüfen, welche Auswirkungen der Einsatz auf die Grundrechte betroffener Personen hat — bevor das System produktiv geht. In der Praxis übersehen viele DACH-Organisationen diese Pflicht, weil sie davon ausgehen, mit der Konformitätsbewertung des Herstellers sei alles erledigt. Das ist ein teurer Irrtum.

Wer eine FRIA durchführen muss

Art. 27 adressiert ausdrücklich Betreiber, die öffentliche Stellen sind oder öffentliche Dienste erbringen, sowie Betreiber von Hochrisiko-Systemen in zwei sensiblen Bereichen: Kreditwürdigkeitsprüfung natürlicher Personen und Risikobewertung sowie Preisbildung bei Lebens- und Krankenversicherungen. Konkret heisst das: Eine Gemeinde, die ein KI-System zur Vergabe von Sozialleistungen nutzt, eine Bank mit einem automatisierten Scoring oder ein Versicherer mit KI-gestützter Tarifierung fallen in den Anwendungsbereich. Reine Privatunternehmen ausserhalb dieser Felder sind von der FRIA-Pflicht nicht direkt betroffen — wohl aber häufig von der parallel laufenden Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO.

Der wichtige Punkt für Schweizer KMU: Sobald Sie ein solches System für den EU-Markt betreiben oder betroffene Personen in der EU haben, greift der AI Act extraterritorial. Die FRIA ist dann keine Kür, sondern Voraussetzung für den rechtmässigen Betrieb.

Was in eine belastbare FRIA gehört

Art. 27 Abs. 1 nennt die Mindestbestandteile. Eine prüffeste FRIA dokumentiert: erstens eine Beschreibung der Betreiberprozesse, in denen das Hochrisiko-System eingesetzt wird; zweitens den Zeitraum und die Häufigkeit der Nutzung; drittens die Kategorien betroffener natürlicher Personen und Gruppen; viertens die spezifischen Risiken eines Schadens für diese Personen unter Berücksichtigung der Herstellerinformationen; fünftens die Massnahmen menschlicher Aufsicht gemäss Gebrauchsanweisung; und sechstens die Massnahmen, die bei Eintritt der Risiken ergriffen werden — einschliesslich interner Governance und Beschwerdemechanismen.

Wir empfehlen, die FRIA als lebendes Dokument zu führen, nicht als einmaliges PDF. Strukturieren Sie es in fünf Blöcken: Kontext und Zweck, betroffene Grundrechte, Risikoanalyse mit Eintrittswahrscheinlichkeit und Schwere, Minderungsmassnahmen, sowie Rest-Risiko und Freigabeentscheidung. Jeder Block bekommt eine verantwortliche Person und ein Überprüfungsdatum.

Die Schnittstelle zur DSFA

In den meisten realen Fällen verarbeitet ein Hochrisiko-System auch personenbezogene Daten. Dann läuft neben der FRIA eine Datenschutz-Folgenabschätzung. Art. 27 Abs. 4 erlaubt ausdrücklich, dass die FRIA bestehende DSFA-Dokumentation ergänzt statt dupliziert. Praktisch bedeutet das: Bauen Sie ein integriertes Assessment, in dem die DSFA die datenschutzrechtliche Perspektive abdeckt und die FRIA die breitere Grundrechtsdimension — Diskriminierungsfreiheit, Meinungsfreiheit, Menschenwürde, Rechtsschutz. Doppelarbeit ist nicht nur ineffizient, sondern erzeugt widersprüchliche Versionen, die in einem Audit gegen Sie verwendet werden.

Häufige Fehler aus unseren Mandaten

Erstens: die FRIA zu spät zu starten. Sie muss vor der ersten Nutzung vorliegen, nicht im Nachhinein erstellt werden. Zweitens: die Risikoanalyse zu abstrakt zu halten. Ein Satz wie «Es besteht ein Diskriminierungsrisiko» ist wertlos; prüffest ist «Das Trainingsdatenset überrepräsentiert urbane Antragsteller, wodurch ländliche Antragsteller systematisch niedriger bewertet werden könnten — Minderung durch Stratifizierung und Fairness-Metrik pro Region». Drittens: keine menschliche Letztentscheidung vorzusehen, obwohl Art. 14 sie für Hochrisiko-Systeme verlangt. Viertens: die Meldung an die zuständige Marktaufsichtsbehörde zu vergessen, die Art. 27 Abs. 3 für öffentliche Stellen vorsieht.

Zeitplan und nächste Schritte

Die Hochrisiko-Pflichten des AI Act greifen gestaffelt; die meisten Anhang-III-Systeme unterliegen ihnen ab August 2026. Wer heute ein betroffenes System plant, sollte die FRIA-Methodik jetzt aufsetzen — nicht weil die Frist morgen abläuft, sondern weil eine FRIA Trainingsdaten, Aufsichtskonzept und Beschwerdeweg betrifft, die in der Architektur verankert werden müssen. Nachträglich lässt sich menschliche Aufsicht nur teuer einbauen.

Beginnen Sie mit einer einseitigen Bestandsaufnahme: Welche KI-Systeme setzen wir ein, welche fallen unter Anhang III, und für welche sind wir Betreiber im Sinne von Art. 27? Daraus ergibt sich die Liste der FRIA-pflichtigen Systeme. Für jedes davon erstellen Sie ein integriertes Assessment mit klarer Freigabeentscheidung. Wenn Sie dabei Unterstützung brauchen — die methodische Verzahnung von FRIA und DSFA ist genau die Stelle, an der eine externe Perspektive die blinden Flecken sichtbar macht, die das eigene Team naturgemäss übersieht.

Wer die FRIA freigibt und dokumentiert

Die FRIA ist Chefsache, nicht Aufgabe einer einzelnen Fachabteilung. In der Praxis bewährt sich ein kleines, interdisziplinäres Gremium: eine fachlich verantwortliche Person aus dem einsetzenden Bereich, der Datenschutzbeauftragte (sofern bestellt), eine Person mit technischem Verständnis des Systems und — bei besonders grundrechtssensiblen Anwendungen — rechtliche Begleitung. Dieses Gremium trifft die dokumentierte Freigabeentscheidung und legt fest, unter welchen Bedingungen das System betrieben werden darf. Wichtig ist die Versionierung: Ändert sich der Einsatzzweck, die Datengrundlage oder das System selbst, wird die FRIA überprüft und neu freigegeben.

Das europäische AI Office hat angekündigt, ein standardisiertes FRIA-Template bereitzustellen, das die Mindestangaben strukturiert. Wer heute schon dokumentiert, sollte seine Struktur so wählen, dass sie sich später auf ein solches Template abbilden lässt — die sechs in Art. 27 genannten Inhaltspunkte sind dafür der verlässliche Anker. Verlassen Sie sich nicht auf ein künftiges Tool, sondern bauen Sie die Substanz jetzt; das Template ist Form, nicht Inhalt.

Ein letzter praktischer Hinweis: Behandeln Sie die FRIA nicht isoliert, sondern als Teil Ihrer KI-Governance. Wenn Sie ohnehin ein KI-Risikoinventar führen, ist die FRIA der vertiefte Eintrag für die grundrechtssensiblen Hochrisiko-Systeme. So vermeiden Sie ein Nebeneinander unverbundener Dokumente und können in einem Audit den roten Faden von der Systemübersicht über die Risikobewertung bis zur Freigabeentscheidung lückenlos zeigen.

About the author
Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO · Innopulse Consulting

Gründer und leitender Ingenieur von Innopulse Consulting. MSc Innovation Management (FFHS). Autor von „Identity Over Discipline".

Topics
FRIAGrundrechte-FolgenabschätzungArt. 27 AI Actfundamental rights impact assessment
Keep reading

Related insights.

Datenschutz & DSGVO

Wann brauchen Sie eine DSFA, und wie führen Sie eine durch?

DSFA-Auslöser, Methodik und die häufigen KI-Zeitalter-Szenarien, die Standardverarbeitung nach Artikel 35 zu Hochrisiko machen.

Leutrim·8 min
EU AI Act

EU AI Act Konformitätsbewertung: CE-Kennzeichnung für Hochrisiko-KI

Artikel 43 verlangt eine Konformitätsbewertung vor dem Inverkehrbringen. Modul A (Interne Kontrolle) vs. Modul H1 (Qualitätsmanagementsystem). Der Prozess in Detail.

Leutrim·5 min
Datenschutz & DSGVO

Datenschutz-Folgenabschätzung (DSFA): Vollständige Anleitung mit Template

Artikel 35 DSGVO verlangt DSFA bei hohem Risiko. Wann eine DSFA nötig ist, wie sie strukturiert wird, und was Aufsichtsbehörden prüfen.

Leutrim·5 min
Working on something similar?

Let's talk.

If this article maps to a problem you're actively working on, send us a short description — we'll respond with a practical next step.

Get in touch