Artikel 27 — Grundrechte-Folgenabschätzung (FRIA)
Zuletzt aktualisiert: 24. Mai 2026 · 6 Min. Lesezeit
Bestimmte Betreiber von Hochrisiko-KI-Systemen müssen vor dem Einsatz eine FRIA durchführen. Der geplante Assurance Pack Generator von Audact ist darauf ausgelegt, FRIA-Entwürfe automatisch zu erstellen.
FRIA vor dem ersten Einsatz erforderlich
Gilt nur für betroffene Betreiber; Umfang, Risiken und Gegenmaßnahmen dokumentieren.
Öffentliche Stellen + benannte private Betreiber
Umfasst Kredit, Versicherung, Bildung, Beschäftigung.
FRIA-Auto-Generator (zum Patent angemeldet)
Geplant: vorausgefüllt pro Branche und Rechtsraum.
Assurance Pack Generator (Roadmap)
Geplanter PDF-Export für die Einreichung bei der Datenschutzbehörde.
Was ist eine FRIA?
Eine Grundrechte-Folgenabschätzung ist eine strukturierte Analyse, die ein Betreiber erstellen muss, bevor er ein Hochrisiko-KI-System einsetzt. Die Abschätzung beschreibt den vorgesehenen Zweck des Systems, den Nutzungskontext, die Kategorien voraussichtlich betroffener Personen, die spezifischen Risiken einer Beeinträchtigung der Grundrechte (einschließlich Diskriminierung, Privatsphäre, Würde und Zugang zu Dienstleistungen), die vorhandenen Gegenmaßnahmen sowie die Vorkehrungen für die menschliche Aufsicht.
Das Ergebnis ist der zuständigen Marktüberwachungsbehörde beim Einsatz zu melden und immer dann erneut durchzuführen, wenn sich Zweck, Umfang oder Risikoprofil wesentlich ändern.
Wer eine FRIA durchführen muss
Artikel 27 gilt für öffentliche Stellen als Betreiber sowie für private Einrichtungen, die öffentliche Dienstleistungen erbringen. Er erfasst zudem bestimmte hochwirksame private Einsätze — darunter Kreditbewertung, Versicherungstarifierung, Beschäftigung und Zugang zu wesentlichen Dienstleistungen —, wenn diese Anwendungen in Anhang III als hochriskant aufgeführt sind. Selbst wenn Artikel 27 selbst nicht greift, gelten häufig die Betreiberpflichten nach Artikel 26 und eine zugrunde liegende DSFA (Artikel 35 DSGVO).
Wie Audact die FRIA abdeckt
- Automatisch aus der Konfiguration generiert— der geplante Assurance Pack Generator ist darauf ausgelegt, Ihr Policy-Bundle, Ihre Branche und Ihren Rechtsraum in einen FRIA-Entwurf zu überführen, der mit betroffenen Personen, Risikokategorien und Standard-Gegenmaßnahmen vorausgefüllt ist.
- An laufende Nachweise gekoppelt— Risikoindikatoren sind darauf ausgelegt, an tatsächliche Vorfallsdatensätze, Policy-Entscheidungen und Offenlegungs-Nachweise aus der Evidence Chain anzuknüpfen — keine bloßen Absichtserklärungen.
- PDF-bereit für die Einreichung bei der Datenschutzbehörde— endgültige FRIA-Exporte sollen kryptografische Prüfsummen enthalten, damit die Behörde die Integrität der zugrunde liegenden Nachweise verifizieren kann.
Häufig gestellte Fragen
Was ist eine Grundrechte-Folgenabschätzung?
Artikel 27 des EU AI Act verpflichtet bestimmte Betreiber von Hochrisiko-KI-Systemen, vor der Inbetriebnahme des Systems eine Grundrechte-Folgenabschätzung (FRIA) durchzuführen, die den Zweck des Systems, betroffene Personen, Risiken für die Grundrechte und Gegenmaßnahmen abdeckt.
Wer muss eine FRIA durchführen?
Öffentliche Stellen als Betreiber und private Einrichtungen, die öffentliche Dienstleistungen erbringen, sowie bestimmte Kategorien privater Betreiber, die Hochrisiko-KI-Systeme einsetzen (z. B. Kreditbewertung, Versicherungstarifierung). Das Ergebnis ist der Datenschutzbehörde zu melden.
Erstellt Audact FRIA-Dokumentation?
Auf der Roadmap: Der geplante Assurance Pack Generator ist darauf ausgelegt, eine FRIA-Vorlage zu erstellen, die aus der Policy-Konfiguration, der Branche, dem Rechtsraum und der Evidence Chain des Betreibers vorausgefüllt ist — exportierbar als PDF für die Einreichung bei der Datenschutzbehörde.
Wann gilt die FRIA-Pflicht?
Artikel 27 gilt ab dem 2. August 2026, gemeinsam mit dem übrigen Hochrisiko-Regime des EU AI Act. Die FRIA muss vor der ersten Nutzung des KI-Systems abgeschlossen und immer dann aktualisiert werden, wenn sich der Anwendungsfall wesentlich ändert.
Nächste Schritte
Die Erstellung einer Muster-FRIA aus einem Sandbox-Einsatz steht auf der Roadmap. Lesen Sie die Produktübersicht zum Assurance Pack oder sprechen Sie mit uns über frühen Zugang.
Haftungsausschluss:Diese Seite dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Wenden Sie sich für Ihre spezifischen Compliance-Pflichten an qualifizierte Rechtsberatung.