EU-KI-Gesetz Artikel 27: Grundrechte-Folgenabschätzung (FRIA)
Artikel 27 erfordert von bestimmten Deployern von hochrisikorelevanten KI-Systemen, eine Grundrechte-Folgenabschätzung durchzuführen, bevor sie das System in Betrieb nehmen. Sie dokumentiert, wie das System verwendet wird, wer davon betroffen ist, die Risiken für Grundrechte und die menschlichen Aufsichts- und Regierungsmaßnahmen, die ergriffen werden — und die Ergebnisse werden der Marktaufsichtsbehörde gemeldet.
EU-KI-Gesetz Artikel 27: Grundrechte-Folgenabschätzung (FRIA)
Artikel 27 erfordert von bestimmten Deployern von hochrisikorelevanten KI-Systemen, eine Grundrechte-Folgenabschätzung durchzuführen, bevor sie das System in Betrieb nehmen. Sie dokumentiert, wie das System verwendet wird, wer davon betroffen ist, die Risiken für Grundrechte und die menschlichen Aufsichts- und Regierungsmaßnahmen, die ergriffen werden — und die Ergebnisse werden der Marktaufsichtsbehörde gemeldet.
Zuletzt aktualisiert: 4. Juli 2026
Wer eine FRIA durchführen muss
Die FRIA-Pflicht gilt für eine bestimmte Gruppe von Deployern von hochrisikorelevanten KI-Systemen, nicht für Anbieter und nicht für jeden Deployer:
- Öffentlich-rechtliche Körperschaften und private Unternehmen, die öffentliche Dienstleistungen erbringen, wenn sie hochrisikorelevante KI-Systeme betreiben
- Deployer von Anhang-III-Kreditscoring-Systemen — hochrisikorelevante KI, die zur Bewertung der Kreditwürdigkeit oder zur Feststellung eines Kreditscores verwendet wird (außer bei Betrugsbekämpfung)
- Deployer von Anhang-III-Versicherungssystemen — hochrisikorelevante KI, die für Risikobewertung und Preisgestaltung in der Lebens- und Krankenversicherung verwendet wird
- Die Abschätzung muss vor der Inbetriebnahme des Systems durchgeführt werden
Wenn eine Datenschutz-Folgenabschätzung nach Artikel 35 der DSGVO bereits einige der gleichen Aspekte abdeckt, kann die FRIA darauf aufbauen, anstatt sie zu duplizieren.
Was die Abschätzung abdecken muss
Artikel 27(1) legt die Elemente fest, die eine FRIA beschreiben muss:
- Eine Beschreibung der Prozesse des Deployers, in denen das hochrisikorelevante System verwendet wird, entsprechend seinem beabsichtigten Zweck
- Die Dauer und Häufigkeit, über die das System voraussichtlich verwendet wird
- Die Kategorien von natürlichen Personen und Gruppen, die voraussichtlich von dem System in dem spezifischen Kontext betroffen sein werden
- Die spezifischen Risiken von Schäden, die voraussichtlich diese Kategorien von Personen betreffen werden
- Eine Beschreibung der menschlichen Aufsichtsmaßnahmen, die ergriffen werden, entsprechend den Anweisungen für die Verwendung
- Die Maßnahmen, die ergriffen werden, wenn Risiken real werden, einschließlich interner Regierungsmaßnahmen und Beschwerdemechanismen
Meldung an die Behörde
Die FRIA ist keine rein interne Übung — ihre Ergebnisse werden der Regulierungsbehörde gemeldet:
- Sobald die Abschätzung durchgeführt wurde, meldet der Deployer der Marktaufsichtsbehörde die Ergebnisse
- Das KI-Büro ist damit beauftragt, ein Fragebogen-Template zu entwickeln, um Deployern zu helfen, auf vereinfachte Weise zu entsprechen
- Die FRIA muss aktualisiert werden, wenn sich ihre Elemente ändern oder nicht mehr aktuell sind, während der Verwendungsdauer
- Sie ergänzt und ersetzt nicht die eigenen Konformitäts- und Risikomanagement-Verpflichtungen des Anbieters
Wie AIAgentree hilft
Eine FRIA muss menschliche Aufsichts- und Überwachungsmaßnahmen auf Papier beschreiben — AIAgentree liefert die laufenden Beweise, dass diese Maßnahmen tatsächlich funktionieren:
- Menschliche Aufsichts- und Genehmigungsworkflows geben konkrete Substanz für die Aufsichtsmaßnahmen, die eine FRIA beschreiben muss, mit einer Aufzeichnung darüber, wer was und wann überprüft hat
- Manipulationsfeste Entscheidungsprotokolle und Ergebnisverfolgung unterstützen die laufende Überwachung von Risiken für betroffene Personen, die eine FRIA verpflichtet
- Auditfähige Aufbewahrung (sechs Monate oder mehr) mit EU-Datenresidenz in Deutschland hält diese Aufsichtsbeweise verfügbar, wenn die Behörde sie anfordert, um zu sehen, wie die Abschätzung in der Praxis umgesetzt wird
Häufig gestellte Fragen
Wer muss eine Grundrechte-Folgenabschätzung durchführen?
Bestimmte Bereitsteller von Hochrisiko-KI-Systemen: Körperschaften des öffentlichen Rechts und private Unternehmen, die öffentliche Dienstleistungen erbringen, sowie Bereitsteller von den in Anhang III aufgeführten Hochrisiko-Systemen, die für die Kreditwürdigkeitsbewertung (Bewertung der Kreditwürdigkeit) und für die Risikobewertung und Preisgestaltung in der Lebens- und Krankenversicherung verwendet werden. Es handelt sich um eine Verpflichtung der Bereitsteller, nicht der Anbieter.
Wann muss die Grundrechte-Folgenabschätzung abgeschlossen sein?
Bevor der Bereitsteller das Hochrisiko-KI-System in Betrieb nimmt. Sie muss auch auf dem neuesten Stand gehalten werden — wenn sich eines ihrer Elemente ändert oder während der Nutzungszeit veraltet, aktualisiert der Bereitsteller die Abschätzung.
Was muss eine Grundrechte-Folgenabschätzung abdecken?
Die Prozesse und den beabsichtigten Zweck des Systems des Bereitstellers, den Zeitraum und die Häufigkeit der Verwendung, die Kategorien von Personen und Gruppen, die wahrscheinlich betroffen sind, die spezifischen Risiken von Schäden für sie, die Maßnahmen zur menschlichen Aufsicht, die ergriffen werden, und die Maßnahmen, die zu ergreifen sind, wenn Risiken materialisieren, einschließlich interner Governance und Beschwerdemechanismen.
Müssen wir eine Behörde über die Grundrechte-Folgenabschätzung informieren?
Ja. Sobald die Abschätzung durchgeführt wurde, benachrichtigt der Bereitsteller die Marktaufsichtsbehörde über die Ergebnisse. Das KI-Büro entwickelt ein Fragebogen-Template, um eine vereinfachte Einhaltung dieser Benachrichtigung zu unterstützen.
Kann eine Grundrechte-Folgenabschätzung unsere Datenschutz-Folgenabschätzung nach der DSGVO wiederverwenden?
Teilweise. Wenn eine Datenschutz-Folgenabschätzung nach Artikel 35 der DSGVO bereits überschneidende Elemente abdeckt, kann die Grundrechte-Folgenabschätzung darauf aufbauen und ergänzen, anstatt die Arbeit zu duplizieren. Die Grundrechte-Folgenabschätzung hat jedoch ihren eigenen Fokus auf Grundrechte, den eine Datenschutz-Folgenabschätzung nicht vollständig ersetzt.
Fahren Sie mit der Erkundung des EU-KI-Gesetzes-Leitfadens fort
EU-KI-Gesetzes-Konformitäts-Leitfaden
Der vollständige Leitfaden zur Konformität mit dem EU-KI-Gesetz für KI-Agenten — starten Sie hier.
Artikel 12 — Aufzeichnung und Protokollierung
Was jedes Hochrisiko-KI-System protokollieren muss und wie man es erfassen kann.
Artikel 14 — Menschliche Aufsicht
Entwicklung effektiver menschlicher Kontrollen für KI-Entscheidungen.
Anhang III — Hochrisiko-KI-Systeme
Welche KI-Anwendungsfälle das Gesetz als hochrisikig einstuft.
EU-KI-Gesetzes-Konformitäts-Checkliste
Eine schrittweise Checkliste, um die Konformität zu erreichen und zu dokumentieren.
Konformitätskostenrechner
Schätzen Sie Ihre Konformitätsbemühungen und -kosten für das EU-KI-Gesetz.
Fristen und Zeitplan
Wichtige Durchsetzungsdaten, einschließlich der Frist vom 2. August 2026.
Geldstrafen und Bußgelder
Bußgeldstufen bis zu 35 Mio. € oder 7 % des globalen Jahresumsatzes.
Transparenzpflichten (Art. 13 und 50)
Offenlegungspflichten für KI-Systeme und ihre Ausgaben.
Risikomanagement und Konformitätsbewertung
Aufbau eines Risikomanagementsystems und Bewertung der Konformität.
GPAI-Pflichten
Regeln für Anbieter von allgemeinen KI-Modellen.
EU-KI-Gesetz für US-Unternehmen
Außerräumiger Anwendungsbereich und was US-Anbieter tun müssen.
Omnibus-Update
Die neuesten Änderungen an der EU-KI-Gesetz-Zeitachse und -Regeln.
Bußgeldrechner
Schätzen Sie Ihr maximales Bußgeld unter den Artikel 99-Stufen.
Artikel 11 + Anhang IV
Welche technische Dokumentation das EU-AI-Gesetz erfordert.
Artikel 26: Verpflichtungen des Deployers
Was Deployer von High-Risk-KI tun müssen, einschließlich Log-Aufbewahrung.
Artikel 17: Qualitätsmanagement
Das QMS, das Anbieter von High-Risk-KI dokumentieren müssen.
Artikel 10: Datenverwaltung
Datenqualität, Bias-Mitigation und Governance-Pflichten.
Artikel 4: KI-Literacy
Die KI-Literacy-Pflicht des Personals, die seit Februar 2025 in Kraft ist.
Deployer vs. Anbieter
Wer welche Verpflichtung trägt — und wann ein Deployer zu einem Anbieter wird.
Wer ist betroffen?
Anwendungsbereich, Betreiber und extraterritoriale Reichweite des EU-AI-Gesetzes.
Nachmarküberwachung
Artikel 72–73: laufende Überwachung und Meldung von Vorfällen.
ISO 42001 vs. EU-AI-Gesetz
Wie der freiwillige Standard und das bindende Gesetz zusammenpassen.
NIST AI RMF vs. EU-AI-Gesetz
Ein praktischer Vergleich zwischen dem Framework und dem Gesetz.
EU-AI-Gesetz für den Gesundheitssektor
High-Risk-Medizin-KI, MDR/IVDR-Interaktion und klinische Überwachung.
EU-AI-Gesetz für Finanzdienstleistungen
Kreditwürdigkeit, Versicherungspreise und bestehende Finanzregulierung.
EU-AI-Gesetz für Personalwesen und Beschäftigung
Einstellung von KI als High-Risk, plus NYC LL144 und EEOC-Überschneidung.