Was ist eine FRIA?
Die Fundamental Rights Impact Assessment (FRIA) – auf Deutsch: Grundrechtliche Folgenabschätzung – ist ein nach Art. 27 der Verordnung (EU) 2024/1689 (EU AI Act) erforderliches Dokument für Deployer bestimmter Hochrisiko-KI-Kategorien – insbesondere öffentliche Stellen, Anbieter von Dienstleistungen der Daseinsvorsorge und bestimmte Anhang-III-Systeme.
Die FRIA bewertet die Auswirkungen eines KI-Systems auf die Grundrechte der betroffenen Personen – insbesondere auf Nichtdiskriminierung, Datenschutz, Menschenwürde und Verfahrensrechte nach der EU-Grundrechtecharta.
Wer muss eine FRIA erstellen?
Nach Art. 27 Abs. 1 EU AI Act müssen folgende Betreiber vor der Inbetriebnahme eines Hochrisiko-KI-Systems eine FRIA durchführen:
- Einrichtungen des öffentlichen Rechts – Behörden, Verwaltungen, staatliche Stellen
- Private Betreiber, die öffentliche Dienstleistungen erbringen – z.B. im Gesundheitswesen, Bildung, Infrastruktur
- Betreiber von KI-Systemen nach Annex III Nr. 5 (a) – Kreditwürdigkeitsbewertung und Kredit-Scoring
- Betreiber von KI-Systemen nach Annex III Nr. 4 – Beschäftigung, Personalmanagement und Zugang zu selbstständiger Erwerbstätigkeit
Pflichtinhalte einer FRIA nach Art. 27
Art. 27 Abs. 3 EU AI Act definiert die Mindestinhalte:
- Beschreibung der Betreiberprozesse – Wie wird das KI-System in bestehende Prozesse eingebettet?
- Zeitraum und Häufigkeit der Nutzung – Wie oft und wie lange wird das System eingesetzt?
- Kategorien betroffener Personen – Wer ist direkt oder indirekt betroffen? Besonderes Augenmerk auf vulnerable Gruppen.
- Spezifische Schadensrisiken – Welche konkreten Risiken bestehen für die Grundrechte der Betroffenen?
- Beschreibung der menschlichen Aufsicht – Wer überwacht das System? Welche Eingriffsmöglichkeiten bestehen?
- Risikominderungsmassnahmen – Technische und organisatorische Massnahmen bei identifizierten Risiken
Schritt-für-Schritt: FRIA erstellen
Schritt 1: KI-System identifizieren und klassifizieren
Beschreiben Sie Ihr KI-System präzise: Welchen Zweck erfüllt es? In welchem Einsatzgebiet wird es verwendet? Unter welche Annex III Kategorie fällt es?
Schritt 2: Betroffene Grundrechte ermitteln
Prüfen Sie systematisch, welche Grundrechte der EU-Grundrechtecharta betroffen sein könnten:
- Art. 1 – Menschenwürde: Wird die Würde betroffener Personen gewahrt?
- Art. 8 – Datenschutz: Werden personenbezogene Daten verarbeitet?
- Art. 21 – Nichtdiskriminierung: Besteht ein Risiko der Diskriminierung nach Geschlecht, Ethnie, Alter, Behinderung?
- Art. 47 – Recht auf wirksamen Rechtsbehelf: Können Betroffene Entscheidungen anfechten?
Ziehen Sie zusätzlich die einschlägigen EU-Antidiskriminierungsrichtlinien heran: Richtlinie 2000/43/EG (Antirassismusrichtlinie), Richtlinie 2000/78/EG (Gleichbehandlungsrahmenrichtlinie) und Richtlinie 2006/54/EG (Gleichbehandlung Beschäftigung).
Schritt 3: Betroffene Personengruppen analysieren
Identifizieren Sie alle betroffenen Personengruppen. Art. 27 Abs. 3 lit. c verlangt besondere Aufmerksamkeit für vulnerable Gruppen:
- Minderjährige und ältere Personen
- Menschen mit Behinderung
- Ethnische und religiöse Minderheiten
- Personen in wirtschaftlich oder sozial benachteiligten Situationen
Schätzen Sie die Anzahl der jährlich betroffenen Personen – dieser Wert ist relevant für die Risikoeinschätzung und die Meldung an die Aufsichtsbehörde.
Schritt 4: Risikobewertung durchführen
Bewerten Sie für jedes identifizierte Grundrecht:
| Dimension | Beschreibung |
|---|---|
| Eintrittswahrscheinlichkeit | Wie wahrscheinlich ist eine Grundrechtsverletzung? (Gering / Mittel / Hoch) |
| Schwere | Wie gravierend wäre die Auswirkung? (Gering / Mittel / Schwer) |
| Umkehrbarkeit | Können Auswirkungen rückgängig gemacht werden? |
| Betroffenenkreis | Wie viele Personen sind potenziell betroffen? |
Schritt 5: Risikominderungsmassnahmen definieren
Beschreiben Sie konkrete Massnahmen für jedes identifizierte Risiko:
- Technische Massnahmen: Bias-Tests, Fairness-Metriken, Datenqualitätsprüfungen
- Organisatorische Massnahmen: Schulungen, interne Richtlinien, Beschwerdeverfahren
- Menschliche Aufsicht: Human-in-the-Loop, Human-on-the-Loop, Override-Mechanismen
Schritt 6: Überwachungsprozesse festlegen
Die FRIA ist kein einmaliges Dokument – Art. 27 Abs. 4 verlangt eine regelmässige Aktualisierung bei wesentlichen Änderungen am System oder seinem Einsatzkontext.
Schritt 7: Meldung an die Aufsichtsbehörde
Nach Art. 27 Abs. 5 EU AI Act müssen Betreiber die Ergebnisse der FRIA an die zuständige Marktüberwachungsbehörde melden. In Deutschland ist dies primär die BaFin (Finanzsektor) bzw. die Bundesnetzagentur (allgemein).
Häufige Fehler bei der FRIA
- Zu generisch – Die FRIA muss spezifisch auf Ihr KI-System zugeschnitten sein
- Vulnerable Gruppen vergessen – Art. 27 verlangt explizite Berücksichtigung
- Keine quantitative Einschätzung – Anzahl betroffener Personen fehlt
- Massnahmen ohne Zuordnung – Jedes Risiko braucht konkrete Gegenmassnahmen
- Einmalige Erstellung – Die FRIA muss regelmässig aktualisiert werden
FRIA automatisiert erstellen mit AIvunera
AIvunera generiert einen individuellen FRIA-Entwurf auf Basis Ihrer Systemangaben – mit Artikelverweisen, Risikobewertungen und gekennzeichneten Annahmen. Der Entwurf deckt alle Pflichtinhalte nach Art. 27 ab und dient als 80%-Fundament für die anwaltliche Prüfung.