28 Tage bis zum Inkrafttreten des EU-KI-Gesetzes
Mehr erfahren →

EU-KI-Gesetz Artikel 27: Grundrechte-Folgenabschätzung (FRIA)

Artikel 27 erfordert von bestimmten Deployern von hochrisikorelevanten KI-Systemen, eine Grundrechte-Folgenabschätzung durchzuführen, bevor sie das System in Betrieb nehmen. Sie dokumentiert, wie das System verwendet wird, wer davon betroffen ist, die Risiken für Grundrechte und die menschlichen Aufsichts- und Regierungsmaßnahmen, die ergriffen werden — und die Ergebnisse werden der Marktaufsichtsbehörde gemeldet.

Artikel 27 — Grundrechte-Folgenabschätzung

EU-KI-Gesetz Artikel 27: Grundrechte-Folgenabschätzung (FRIA)

Artikel 27 erfordert von bestimmten Deployern von hochrisikorelevanten KI-Systemen, eine Grundrechte-Folgenabschätzung durchzuführen, bevor sie das System in Betrieb nehmen. Sie dokumentiert, wie das System verwendet wird, wer davon betroffen ist, die Risiken für Grundrechte und die menschlichen Aufsichts- und Regierungsmaßnahmen, die ergriffen werden — und die Ergebnisse werden der Marktaufsichtsbehörde gemeldet.

Zuletzt aktualisiert: 4. Juli 2026

Wer eine FRIA durchführen muss

Die FRIA-Pflicht gilt für eine bestimmte Gruppe von Deployern von hochrisikorelevanten KI-Systemen, nicht für Anbieter und nicht für jeden Deployer:

  • Öffentlich-rechtliche Körperschaften und private Unternehmen, die öffentliche Dienstleistungen erbringen, wenn sie hochrisikorelevante KI-Systeme betreiben
  • Deployer von Anhang-III-Kreditscoring-Systemen — hochrisikorelevante KI, die zur Bewertung der Kreditwürdigkeit oder zur Feststellung eines Kreditscores verwendet wird (außer bei Betrugsbekämpfung)
  • Deployer von Anhang-III-Versicherungssystemen — hochrisikorelevante KI, die für Risikobewertung und Preisgestaltung in der Lebens- und Krankenversicherung verwendet wird
  • Die Abschätzung muss vor der Inbetriebnahme des Systems durchgeführt werden

Wenn eine Datenschutz-Folgenabschätzung nach Artikel 35 der DSGVO bereits einige der gleichen Aspekte abdeckt, kann die FRIA darauf aufbauen, anstatt sie zu duplizieren.

Was die Abschätzung abdecken muss

Artikel 27(1) legt die Elemente fest, die eine FRIA beschreiben muss:

  • Eine Beschreibung der Prozesse des Deployers, in denen das hochrisikorelevante System verwendet wird, entsprechend seinem beabsichtigten Zweck
  • Die Dauer und Häufigkeit, über die das System voraussichtlich verwendet wird
  • Die Kategorien von natürlichen Personen und Gruppen, die voraussichtlich von dem System in dem spezifischen Kontext betroffen sein werden
  • Die spezifischen Risiken von Schäden, die voraussichtlich diese Kategorien von Personen betreffen werden
  • Eine Beschreibung der menschlichen Aufsichtsmaßnahmen, die ergriffen werden, entsprechend den Anweisungen für die Verwendung
  • Die Maßnahmen, die ergriffen werden, wenn Risiken real werden, einschließlich interner Regierungsmaßnahmen und Beschwerdemechanismen

Meldung an die Behörde

Die FRIA ist keine rein interne Übung — ihre Ergebnisse werden der Regulierungsbehörde gemeldet:

  • Sobald die Abschätzung durchgeführt wurde, meldet der Deployer der Marktaufsichtsbehörde die Ergebnisse
  • Das KI-Büro ist damit beauftragt, ein Fragebogen-Template zu entwickeln, um Deployern zu helfen, auf vereinfachte Weise zu entsprechen
  • Die FRIA muss aktualisiert werden, wenn sich ihre Elemente ändern oder nicht mehr aktuell sind, während der Verwendungsdauer
  • Sie ergänzt und ersetzt nicht die eigenen Konformitäts- und Risikomanagement-Verpflichtungen des Anbieters

Wie AIAgentree hilft

Eine FRIA muss menschliche Aufsichts- und Überwachungsmaßnahmen auf Papier beschreiben — AIAgentree liefert die laufenden Beweise, dass diese Maßnahmen tatsächlich funktionieren:

  • Menschliche Aufsichts- und Genehmigungsworkflows geben konkrete Substanz für die Aufsichtsmaßnahmen, die eine FRIA beschreiben muss, mit einer Aufzeichnung darüber, wer was und wann überprüft hat
  • Manipulationsfeste Entscheidungsprotokolle und Ergebnisverfolgung unterstützen die laufende Überwachung von Risiken für betroffene Personen, die eine FRIA verpflichtet
  • Auditfähige Aufbewahrung (sechs Monate oder mehr) mit EU-Datenresidenz in Deutschland hält diese Aufsichtsbeweise verfügbar, wenn die Behörde sie anfordert, um zu sehen, wie die Abschätzung in der Praxis umgesetzt wird

Häufig gestellte Fragen

Wer muss eine Grundrechte-Folgenabschätzung durchführen?

Bestimmte Bereitsteller von Hochrisiko-KI-Systemen: Körperschaften des öffentlichen Rechts und private Unternehmen, die öffentliche Dienstleistungen erbringen, sowie Bereitsteller von den in Anhang III aufgeführten Hochrisiko-Systemen, die für die Kreditwürdigkeitsbewertung (Bewertung der Kreditwürdigkeit) und für die Risikobewertung und Preisgestaltung in der Lebens- und Krankenversicherung verwendet werden. Es handelt sich um eine Verpflichtung der Bereitsteller, nicht der Anbieter.

Wann muss die Grundrechte-Folgenabschätzung abgeschlossen sein?

Bevor der Bereitsteller das Hochrisiko-KI-System in Betrieb nimmt. Sie muss auch auf dem neuesten Stand gehalten werden — wenn sich eines ihrer Elemente ändert oder während der Nutzungszeit veraltet, aktualisiert der Bereitsteller die Abschätzung.

Was muss eine Grundrechte-Folgenabschätzung abdecken?

Die Prozesse und den beabsichtigten Zweck des Systems des Bereitstellers, den Zeitraum und die Häufigkeit der Verwendung, die Kategorien von Personen und Gruppen, die wahrscheinlich betroffen sind, die spezifischen Risiken von Schäden für sie, die Maßnahmen zur menschlichen Aufsicht, die ergriffen werden, und die Maßnahmen, die zu ergreifen sind, wenn Risiken materialisieren, einschließlich interner Governance und Beschwerdemechanismen.

Müssen wir eine Behörde über die Grundrechte-Folgenabschätzung informieren?

Ja. Sobald die Abschätzung durchgeführt wurde, benachrichtigt der Bereitsteller die Marktaufsichtsbehörde über die Ergebnisse. Das KI-Büro entwickelt ein Fragebogen-Template, um eine vereinfachte Einhaltung dieser Benachrichtigung zu unterstützen.

Kann eine Grundrechte-Folgenabschätzung unsere Datenschutz-Folgenabschätzung nach der DSGVO wiederverwenden?

Teilweise. Wenn eine Datenschutz-Folgenabschätzung nach Artikel 35 der DSGVO bereits überschneidende Elemente abdeckt, kann die Grundrechte-Folgenabschätzung darauf aufbauen und ergänzen, anstatt die Arbeit zu duplizieren. Die Grundrechte-Folgenabschätzung hat jedoch ihren eigenen Fokus auf Grundrechte, den eine Datenschutz-Folgenabschätzung nicht vollständig ersetzt.

Fahren Sie mit der Erkundung des EU-KI-Gesetzes-Leitfadens fort

EU-KI-Gesetzes-Konformitäts-Leitfaden

Der vollständige Leitfaden zur Konformität mit dem EU-KI-Gesetz für KI-Agenten — starten Sie hier.

Artikel 12 — Aufzeichnung und Protokollierung

Was jedes Hochrisiko-KI-System protokollieren muss und wie man es erfassen kann.

Artikel 14 — Menschliche Aufsicht

Entwicklung effektiver menschlicher Kontrollen für KI-Entscheidungen.

Anhang III — Hochrisiko-KI-Systeme

Welche KI-Anwendungsfälle das Gesetz als hochrisikig einstuft.

EU-KI-Gesetzes-Konformitäts-Checkliste

Eine schrittweise Checkliste, um die Konformität zu erreichen und zu dokumentieren.

Konformitätskostenrechner

Schätzen Sie Ihre Konformitätsbemühungen und -kosten für das EU-KI-Gesetz.

Fristen und Zeitplan

Wichtige Durchsetzungsdaten, einschließlich der Frist vom 2. August 2026.

Geldstrafen und Bußgelder

Bußgeldstufen bis zu 35 Mio. € oder 7 % des globalen Jahresumsatzes.

Transparenzpflichten (Art. 13 und 50)

Offenlegungspflichten für KI-Systeme und ihre Ausgaben.

Risikomanagement und Konformitätsbewertung

Aufbau eines Risikomanagementsystems und Bewertung der Konformität.

GPAI-Pflichten

Regeln für Anbieter von allgemeinen KI-Modellen.

EU-KI-Gesetz für US-Unternehmen

Außerräumiger Anwendungsbereich und was US-Anbieter tun müssen.

Omnibus-Update

Die neuesten Änderungen an der EU-KI-Gesetz-Zeitachse und -Regeln.

Bußgeldrechner

Schätzen Sie Ihr maximales Bußgeld unter den Artikel 99-Stufen.

Artikel 11 + Anhang IV

Welche technische Dokumentation das EU-AI-Gesetz erfordert.

Artikel 26: Verpflichtungen des Deployers

Was Deployer von High-Risk-KI tun müssen, einschließlich Log-Aufbewahrung.

Artikel 17: Qualitätsmanagement

Das QMS, das Anbieter von High-Risk-KI dokumentieren müssen.

Artikel 10: Datenverwaltung

Datenqualität, Bias-Mitigation und Governance-Pflichten.

Artikel 4: KI-Literacy

Die KI-Literacy-Pflicht des Personals, die seit Februar 2025 in Kraft ist.

Deployer vs. Anbieter

Wer welche Verpflichtung trägt — und wann ein Deployer zu einem Anbieter wird.

Wer ist betroffen?

Anwendungsbereich, Betreiber und extraterritoriale Reichweite des EU-AI-Gesetzes.

Nachmarküberwachung

Artikel 72–73: laufende Überwachung und Meldung von Vorfällen.

ISO 42001 vs. EU-AI-Gesetz

Wie der freiwillige Standard und das bindende Gesetz zusammenpassen.

NIST AI RMF vs. EU-AI-Gesetz

Ein praktischer Vergleich zwischen dem Framework und dem Gesetz.

EU-AI-Gesetz für den Gesundheitssektor

High-Risk-Medizin-KI, MDR/IVDR-Interaktion und klinische Überwachung.

EU-AI-Gesetz für Finanzdienstleistungen

Kreditwürdigkeit, Versicherungspreise und bestehende Finanzregulierung.

EU-AI-Gesetz für Personalwesen und Beschäftigung

Einstellung von KI als High-Risk, plus NYC LL144 und EEOC-Überschneidung.