FRIA nach Art. 27 AI Act: Grundrechte-Folgenabschätzung Schritt für Schritt
Die meisten KMU brauchen keine FRIA – aber manche schon, ohne es zu wissen. Dieser Artikel klärt den Adressatenkreis nach Art. 27, liefert die 6 Pflichtinhalte als Schritt-für-Schritt-Anleitung mit durchgängigem Beispiel, eine FRIA-vs.-DSFA-Vergleichstabelle mit 6 Dimensionen, den kombinierten FRIA+DSFA-Ablauf in 5 Schritten und das Omnibus-Fristen-Update.
Inhaltsverzeichnis
Brauchen Sie als KMU wirklich eine FRIA?
Die kurze Antwort: Wahrscheinlich nicht – zumindest nicht formal. Die längere Antwort: Es kommt darauf an, was Sie mit KI machen – und für wen.
Die Grundrechte-Folgenabschätzung (Fundamental Rights Impact Assessment, kurz FRIA) nach Art. 27 der KI-Verordnung gehört zu den am häufigsten missverstandenen Pflichten des EU AI Act. Viele Unternehmen glauben, sie müssten für jedes KI-System eine FRIA durchführen. Andere verwechseln sie mit der Datenschutz-Folgenabschätzung (DSFA) nach DSGVO. Beides ist falsch.
Dieser Artikel klärt drei Fragen: Wer muss eine FRIA durchführen? Was muss drin stehen? Und warum kann eine freiwillige FRIA auch ohne Pflicht sinnvoll sein?
Einordnung: Dieser Artikel ist Teil unseres AI-Act-Umsetzungsleitfadens. Er gehört zu Phase 3 (Dokumentation und Nachweise) und baut auf der Deployer-Dokumentation und der Risikoklassifizierung auf.
Was ist eine FRIA – und warum ist sie mehr als eine DSFA?
Die FRIA ist eine strukturierte Bewertung der Auswirkungen eines Hochrisiko-KI-Systems auf die Grundrechte der betroffenen Personen. Sie muss vor der Inbetriebnahme durchgeführt werden – nicht danach.
Der entscheidende Unterschied zur DSFA: Die DSFA nach Art. 35 DSGVO schützt personenbezogene Daten. Die FRIA schützt Grundrechte im weiteren Sinne – einschließlich Nichtdiskriminierung, Meinungsfreiheit, Menschenwürde, Recht auf ein faires Verfahren und Zugang zur Justiz.
Art. 27 Abs. 4 der KI-Verordnung stellt klar: Eine DSFA kann die FRIA nicht ersetzen. Die FRIA ergänzt die DSFA. Beide Instrumente überschneiden sich, decken aber unterschiedliche Risikodimensionen ab.
Konkret prüft die FRIA die Auswirkungen auf Rechte der EU-Grundrechtecharta: Menschenwürde (Art. 1), Nichtdiskriminierung (Art. 21), Gleichheit von Frauen und Männern (Art. 23), Recht auf Bildung (Art. 14), Berufsfreiheit (Art. 15), Verbraucherschutz (Art. 38) und das Recht auf einen wirksamen Rechtsbehelf (Art. 47). Die DSFA deckt davon nur den Datenschutzaspekt (Art. 8 GRCh) ab – die FRIA geht deutlich weiter.
Dimension | DSFA (Art. 35 DSGVO) | FRIA (Art. 27 AI Act) |
|---|---|---|
Rechtsgrundlage | DSGVO | KI-Verordnung (EU) 2024/1689 |
Schutzgegenstand | Personenbezogene Daten | Alle EU-Grundrechte (Charta) |
Auslöser | Hohes Risiko bei Datenverarbeitung | Einsatz eines Hochrisiko-KI-Systems durch bestimmte Betreiber |
Zeitpunkt | Vor Beginn der Verarbeitung | Vor Inbetriebnahme des KI-Systems |
Meldepflicht | Nur bei verbleibendem hohem Risiko (Art. 36 DSGVO) | Ergebnisse an Marktüberwachungsbehörde (Art. 27 Abs. 3) |
Kombination | Ausdrücklich möglich – die Verordnung fördert die gemeinsame Durchführung (Art. 27 Abs. 4) | |
Die DSFA schützt den Menschen hinter den Daten. FRIA schützt den Menschen vor der KI-Entscheidung. Zusammen bilden sie den doppelten Schutzschirm.
Wer muss eine FRIA durchführen?
Die FRIA-Pflicht nach Art. 27 gilt nicht für alle Deployer. Der Adressatenkreis ist eng begrenzt. Drei Gruppen sind betroffen:
Betreibergruppe | Beispiele | FRIA-Pflicht? |
|---|---|---|
Einrichtungen des öffentlichen Rechts | Behörden, Kommunen, Sozialämter, Jobcenter | Ja |
Private Stellen, die öffentliche Dienste erbringen | Private Kliniken, Bildungsträger, Sozialdienste, Wohnungsbaugesellschaften | Ja |
Betreiber von Anhang-III-Systemen Nr. 5 (b) und (c) | Kreditwürdigkeitsprüfung, Risikobewertung in Lebens-/Krankenversicherung | Ja |
Private KMU ohne öffentliche Dienste | Standardunternehmen mit ChatGPT, Personio, HubSpot | Nein (aber empfohlen) |
Wichtig für KMU: Ein mittelständisches Unternehmen, das Personio für Bewerber-Screening nutzt, muss die Deployer-Pflichten nach Art. 26 erfüllen – aber keine formale FRIA, solange es keine öffentlichen Dienste erbringt und nicht unter Anhang III Nr. 5 (b)/(c) fällt. Anders sieht es aus, wenn ein privater Bildungsträger KI im Zulassungsverfahren einsetzt – hier greift Art. 27.
Ausnahme: Hochrisiko-KI-Systeme im Bereich kritische Infrastruktur (Anhang III Nr. 2) sind von der FRIA-Pflicht ausgenommen. Der Gesetzgeber geht davon aus, dass die Risiken hier nicht primär grundrechtlicher, sondern sicherheitstechnischer Natur sind.
Sonderfall Anhang III Nr. 5 (b) und (c): Diese Kategorie verdient besondere Aufmerksamkeit, weil sie auch rein private Unternehmen betrifft. Konkret sind gemeint:
Nr. 5 (b): KI-Systeme zur Bewertung der Kreditwürdigkeit natürlicher Personen – also automatisierte Bonitätsprüfungen, Scoring-Modelle oder KI-gestützte Kreditentscheidungen.
Nr. 5 (c): KI-Systeme zur Risikobewertung und Preisfestsetzung bei Lebens- und Krankenversicherungen – etwa wenn ein Algorithmus Prämien anpasst oder Versicherungsanträge bewertet.
Wenn Ihr Unternehmen solche Systeme betreibt, greift die FRIA-Pflicht – unabhängig davon, ob Sie öffentliche Dienste erbringen oder nicht. Das betrifft Banken, Finanzdienstleister und Versicherungen unmittelbar, aber auch FinTech-Startups und KMU mit KI-gestütztem Kreditmanagement.
Die 6 Pflichtinhalte nach Art. 27 – Schritt für Schritt
Art. 27 Abs. 1 definiert sechs Elemente, die jede FRIA enthalten muss. Wir gehen sie nacheinander durch – mit einem durchgängigen Beispiel: Ein privater Bildungsträger setzt ein KI-System zur automatisierten Vorauswahl von Kursteilnehmern ein.
Schritt 1: Verfahrensbeschreibung (Art. 27 Abs. 1 lit. a)
Beschreiben Sie, in welchen Prozessen das KI-System eingesetzt wird – im Einklang mit seinem vorgesehenen Zweck. Nicht abstrakt, sondern konkret: Welcher Geschäftsprozess? Welche Entscheidung unterstützt oder trifft die KI?
Beispiel: Das KI-System wertet Anmeldeformulare aus, bewertet Qualifikationsprofile und erstellt eine Rangliste. Die finale Zulassungsentscheidung trifft eine Mitarbeiterin.
Schritt 2: Zeitraum und Häufigkeit (Art. 27 Abs. 1 lit. b)
Dokumentieren Sie, wie lange und wie oft das System eingesetzt wird. Einmaliger Pilotbetrieb oder Dauereinsatz? Saisonale Nutzung oder ganzjährig?
Beispiel: Einsatz dreimal jährlich zu den Anmeldefristen (Januar, Mai, September), jeweils über einen Zeitraum von 4 Wochen.
Schritt 3: Betroffene Personengruppen (Art. 27 Abs. 1 lit. c)
Identifizieren Sie, welche Kategorien natürlicher Personen betroffen sein könnten. Denken Sie über die offensichtlichen Nutzer hinaus: Wer wird indirekt beeinflusst?
Beispiel: Direkt betroffen – Bewerberinnen und Bewerber (darunter potenziell vulnerable Gruppen: Personen mit Behinderung, Migrationshintergrund, ältere Umschulungsteilnehmer). Indirekt betroffen – Mitarbeitende, die auf Basis der KI-Empfehlung entscheiden.
Schritt 4: Spezifische Schadensrisiken (Art. 27 Abs. 1 lit. d)
Bewerten Sie die konkreten Risiken für die Grundrechte der identifizierten Personengruppen. Berücksichtigen Sie dabei die vom Anbieter bereitgestellten Informationen (Art. 13).
Grundrecht | Risiko im Beispiel | Einstufung |
|---|---|---|
Nichtdiskriminierung (Art. 21 GRCh) | Systematische Benachteiligung bestimmter Altersgruppen oder Herkunft | Hoch |
Recht auf Bildung (Art. 14 GRCh) | Ausschluss qualifizierter Personen durch fehlerhafte Bewertung | Mittel |
Menschenwürde (Art. 1 GRCh) | Reduktion auf Datenpunkte ohne Berücksichtigung individueller Umstände | Mittel |
Datenschutz (Art. 8 GRCh) | Verarbeitung sensibler Daten (Qualifikation, Herkunft) durch KI | Hoch |
Schritt 5: Maßnahmen der menschlichen Aufsicht (Art. 27 Abs. 1 lit. e)
Beschreiben Sie, wie Human Oversight konkret umgesetzt wird – entsprechend den Betriebsanleitungen des Anbieters.
Beispiel: Jede KI-Empfehlung wird von einer geschulten Mitarbeiterin geprüft, bevor eine Ablehnung ausgesprochen wird. Bei Grenzfällen (KI-Score 40–60 %) erfolgt eine manuelle Vollprüfung. Jede Entscheidung wird mit Begründung dokumentiert.
Schritt 6: Risikominderungsmaßnahmen (Art. 27 Abs. 1 lit. f)
Definieren Sie Maßnahmen für den Fall, dass Risiken eintreten. Art. 27 verlangt ausdrücklich: Regelungen zur internen Unternehmensführung und Beschwerdemechanismen.
Beispiel: Abgelehnte Bewerber erhalten eine schriftliche Begründung und können innerhalb von 14 Tagen Einspruch einlegen. Einspruchsverfahren: manuelle Prüfung durch eine zweite Person. Vierteljährliche Bias-Analyse der Ablehnungsquoten nach Altersgruppe und Herkunft.
Vorlage für Ihre FRIA: Das FRIA Template der ComplianceWerkstatt enthält alle 6 Pflichtinhalte als vorstrukturiertes Dokument mit Ausfüllhilfen, Beispielformulierungen und einem vorausgefüllten Muster. Auch als Teil des AI Act Aufbau-Bundles.
FRIA als freiwillige Maßnahme – auch wenn Sie nicht müssen
Die formale FRIA-Pflicht betrifft nur die drei oben genannten Betreibergruppen. Trotzdem gibt es gute Gründe, eine freiwillige FRIA durchzuführen – gerade für KMU, die Hochrisiko-KI-Systeme im HR-Bereich oder im Kundenmanagement einsetzen:
Rechenschaftspflicht dokumentieren: Wenn eine Aufsichtsbehörde fragt, wie Sie Grundrechtsrisiken bewertet haben, stehen Sie mit einer FRIA besser da als ohne.
DSFA ergänzen: Wer ohnehin eine DSFA für sein KI-System durchführt, kann mit geringem Mehraufwand die grundrechtliche Dimension abdecken.
Lieferketten-Anforderungen: Großkunden und öffentliche Auftraggeber werden zunehmend Nachweise über verantwortungsvollen KI-Einsatz verlangen.
Omnibus-Unsicherheit: Das Digital-Omnibus-Paket verschiebt Fristen, ändert aber nicht die grundlegenden Anforderungen. Wer heute vorbereitet ist, muss später nicht nachrüsten.
Rollenwechsel-Risiko: Wer sein KI-System wesentlich verändert oder umwidmet, kann vom Deployer zum Provider werden – und dann gelten ohnehin strengere Pflichten.
Praxis-Tipp: Eine freiwillige FRIA für ein Nicht-Hochrisiko-System muss nicht alle 6 Pflichtinhalte in voller Tiefe abdecken. Es reicht eine FRIA Light: Einsatzzweck, betroffene Personen, wesentliche Grundrechtsrisiken, Maßnahmen. Zwei bis drei Seiten genügen.
Meldepflicht an die Marktüberwachungsbehörde
Art. 27 Abs. 3 schreibt vor: Nach Durchführung der FRIA müssen die Betreiber die Ergebnisse der zuständigen Marktüberwachungsbehörde mitteilen. Dies ist eine aktive Meldepflicht – nicht nur eine Aufbewahrungspflicht.
Konkret bedeutet das:
Die Meldung erfolgt über ein standardisiertes Formular, das vom EU AI Office entwickelt wird (Art. 27 Abs. 5).
Die FRIA-Ergebnisse werden in der EU-Datenbank für Hochrisiko-KI-Systeme registriert.
Die Meldepflicht gilt für die erste Inbetriebnahme. Bei wesentlichen Änderungen muss die FRIA aktualisiert und erneut gemeldet werden (Art. 27 Abs. 2).
Aktueller Stand: Das EU AI Office arbeitet an der Fragebogen-Vorlage. Bis diese veröffentlicht ist, orientieren Sie sich an den 6 Pflichtinhalten. Das standardisierte Formular wird die Meldung vereinfachen, nicht die inhaltlichen Anforderungen ersetzen.
Die Marktüberwachungsbehörde ist die auf nationaler Ebene zuständige Stelle. In Deutschland benennen die Länder oder der Bund die Behörde – die konkrete Zuordnung ist Stand April 2026 noch nicht abschließend geklärt. Die Bundesnetzagentur wird als wahrscheinliche Aufsichtsbehörde gehandelt.
FRIA und DSFA gemeinsam durchführen – so funktioniert es
Art. 27 Abs. 4 fördert ausdrücklich die Kombination von FRIA und DSFA. In der Praxis verarbeiten die meisten Hochrisiko-KI-Systeme personenbezogene Daten – Sie brauchen also ohnehin beides. Ein integrierter Ansatz spart Zeit und vermeidet Doppelarbeit.
Kombinierter Ablauf in 5 Schritten
Schritt | DSFA-Anteil | FRIA-Anteil |
|---|---|---|
1. Systembeschreibung | Datenverarbeitungszweck, Rechtsgrundlage, Datenflüsse | Einsatzzweck, Risikoklasse, vorgesehene Nutzung |
2. Betroffene identifizieren | Kategorien betroffener Personen (DSGVO) | Personengruppen + vulnerable Gruppen (Grundrechte) |
3. Risikobewertung | Datenschutzrisiken (Vertraulichkeit, Integrität) | Grundrechtsrisiken (Diskriminierung, Würde, Fairness) |
4. Maßnahmen | Technische und organisatorische Maßnahmen (TOMs) | Human Oversight, Beschwerdemechanismen, Governance |
5. Monitoring | Regelmäßige Überprüfung der Datenverarbeitung | Aktualisierung bei Änderungen (Art. 27 Abs. 2) |
Ergebnis: Ein Dokument, zwei Anforderungen erfüllt. Kennzeichnen Sie in Ihrem Bericht klar, welche Abschnitte die DSFA-Pflicht und welche die FRIA-Pflicht erfüllen. Das erleichtert die Prüfung durch Aufsichtsbehörden und vermeidet Rückfragen. Wichtig: Die DSFA-Anteile unterliegen der Aufsicht des Datenschutzbeauftragten, die FRIA-Anteile der Marktüberwachungsbehörde. Beide Perspektiven sollten im Dokument sichtbar getrennt sein.
Vertiefung: Die Schnittstellen zwischen AI Act und DSGVO gehen über die FRIA hinaus – Transparenzpflichten, automatisierte Entscheidungen und die Rolle des Datenschutzbeauftragten. Mehr dazu im Artikel AI Act und DSGVO: Was Compliance Officer wissen müssen.
Fristen und Omnibus-Update
Die FRIA-Pflicht hängt an den Fristen für Hochrisiko-KI-Systeme. Hier der aktuelle Stand nach dem Digital-Omnibus-Paket (Plenar-Abstimmung 26. März 2026, 569 Ja-Stimmen):
Pflicht | Frist | Status |
|---|---|---|
Verbotene KI-Praktiken (Art. 5) | 02.02.2025 | In Kraft |
AI Literacy (Art. 4) | 02.02.2025 | In Kraft |
Transparenzpflichten (Art. 50) | 02.08.2026 | Gilt |
Hochrisiko nach Anhang III (inkl. FRIA) | 02.12.2027 | Omnibus-Verschiebung |
Hochrisiko nach Anhang I | 02.08.2028 | Omnibus-Verschiebung |
Was bedeutet das für die FRIA? Die formale FRIA-Pflicht für Anhang-III-Systeme greift erst ab 2. Dezember 2027. Das heißt aber nicht, dass Sie bis dahin warten sollten. Die Grundrechtsrisiken bestehen ab dem ersten Einsatztag. Und wer eine DSFA durchführt, kann die FRIA-Erweiterung jetzt schon einbauen – bevor es Pflicht wird.
Verbreitung: Wo die FRIA in Ihre AI-Act-Dokumentation passt
Die FRIA ist kein isoliertes Dokument. Sie steht im Zusammenspiel mit der gesamten AI-Act-Compliance-Dokumentation. Wer sein KI-Inventar sauber pflegt und die Deployer-Dokumentation aufgebaut hat, kann die FRIA als logische Erweiterung nahtlos integrieren:
Dokument | Beziehung zur FRIA |
|---|---|
Identifiziert, welche Systeme Hochrisiko sind → Auslöser für FRIA | |
Bestimmt Risikoklasse → FRIA nur bei Hochrisiko nach Art. 6 Abs. 2 | |
FRIA ergänzt die Deployer-Pflichten aus Art. 26 um die Grundrechtsdimension | |
Regelt den Genehmigungsprozess – FRIA als Voraussetzung für Freigabe von Hochrisiko-Systemen | |
FRIA wird bei wesentlichen Änderungen aktualisiert (Art. 27 Abs. 2) | |
FRIA-Vorhandensein und -Aktualität als Prüfpunkt |
Bußgelder bei Verstößen
Eine fehlende oder mangelhafte FRIA fällt unter die allgemeinen Deployer-Pflichten. Die Bußgeldrahmen:
15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes für Verstöße gegen Betreiberpflichten (Art. 99 Abs. 4)
Für KMU gilt der jeweils niedrigere Betrag
Zusätzlich: Bei gleichzeitigem DSGVO-Verstoß (fehlende DSFA) können beide Aufsichtsbehörden separat ahnden
Neben den Geldbußen kommt die private Durchsetzung hinzu: Betroffene Personen können Schadensersatz geltend machen, wenn ein KI-System ihre Grundrechte verletzt und keine angemessene Folgenabschätzung vorlag. Art. 85 der KI-Verordnung gewährt natürlichen Personen ein Recht auf Erklärung bei Entscheidungen, die auf Hochrisiko-KI basieren. Eine dokumentierte FRIA zeigt, dass Sie Ihre Sorgfaltspflichten ernst nehmen – und kann im Streitfall den Unterschied zwischen Fahrlässigkeit und Compliance machen.
Zusätzlich: Wer gegen die Meldepflicht (Art. 27 Abs. 3) verstößt – also die FRIA durchführt, aber die Ergebnisse nicht an die Marktüberwachungsbehörde übermittelt – riskiert ebenfalls Bußgelder. Die Meldepflicht ist eine eigenständige Verpflichtung, nicht nur ein Formalismus.
Was jetzt zu tun ist – Ihre nächsten 3 Schritte
FRIA-Pflicht prüfen: Gehören Sie zu den drei verpflichteten Betreibergruppen? Betreiben Sie Hochrisiko-KI nach Anhang III Nr. 5 (b)/(c)? Wenn ja: FRIA planen. Wenn nein: Freiwillige FRIA Light erwägen.
Bestehende DSFA erweitern: Wenn Sie bereits DSFAs für KI-Systeme durchführen, ergänzen Sie die 6 FRIA-Elemente. Ein Dokument, zwei Anforderungen.
Dokumentation verknüpfen: FRIA in das KI-Inventar einbinden, im Monitoring-Zyklus verankern und im Audit-Katalog als Prüfpunkt aufnehmen.
Fertige Vorlage statt leeres Blatt: Das FRIA Template der ComplianceWerkstatt liefert alle 6 Pflichtinhalte als vorstrukturiertes Word-Dokument – mit Ausfüllhilfen, Beispielformulierungen und gelb markierten Platzhaltern. Auch enthalten im AI Act Aufbau-Bundle mit 9 Dokumenten für Ihre gesamte AI-Act-Compliance.
Passende Produkte zum Thema
EU AI Act Aufbau-Bundle
Komplettpaket zur Umsetzung des EU AI Act – von der KI-Inventarisierung bis zum Management Report. 9 aufeinander abgestimmte Dokumente in 5 Phasen. Stichtag 2. August 2026.
EU AI Act Deployer-Dokumentationstemplate
Steckbrief-Format pro KI-System mit 12 vorausgefüllten Tool-Profilen (ChatGPT, Copilot, Claude & Co.). Die Recherche ist erledigt – Sie ergänzen nur Ihre internen Daten.
EU AI Act FRIA Template
Grundrechte-Folgenabschätzung (FRIA) nach Art. 27 AI Act. Pflicht bei Hochrisiko-KI, Best Practice für alle. Strukturierte Vorlage mit Checkliste und Risikobewertung.
Marvin Zimbelmann
Head of Governance, Risk & Compliance · MBA-Dozent · Podcast-Host
Auf LinkedIn vernetzen →