FRIA (Fundamental Rights Impact Assessment)

Grundrechte-Folgenabschätzung nach Art. 27 EU AI Act

26. April 2026 · Kategorie: EU AI Act · Compliance-Kit

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

Eine Fundamental Rights Impact Assessment (FRIA) ist nach Art. 27 EU AI Act Pflicht für Betreiber von Hochrisiko-KI-Systemen in: öffentlichen Stellen, privaten Einrichtungen mit öffentlichen Aufgaben, sowie Anhang III Nr. 5 lit. b (Kreditscoring) und Nr. 5 lit. c (Lebens-/Krankenversicherungs-Scoring). Inhalt: Beschreibung des KI-Einsatzes, betroffene Personen, Risiken für Grundrechte, Schutzmaßnahmen.

Was ist FRIA (Fundamental Rights Impact Assessment)?

Die FRIA nach Art. 27 ist NICHT die DSFA nach Art. 35 DSGVO — beide können aber integriert werden (Art. 26 Abs. 9 KI-VO).

Pflichtige Betreiber:

Öffentliche Stellen aller Art
Private Stellen, die öffentliche Aufgaben erfüllen
Anhang III Nr. 5 lit. b: Kreditwürdigkeitsbewertung (Banken, Kredit-Scoring-Anbieter)
Anhang III Nr. 5 lit. c: Lebens- und Krankenversicherungs-Scoring

Anwendungsbeginn: 02.08.2026 — vom Digital-Omnibus-Vorschlag (19.11.2025) NICHT betroffen.

Notifikationspflicht: FRIA-Ergebnis ist der Marktüberwachungsbehörde zu melden (Art. 27 Abs. 3).

Praxisbeispiel

Praktisches Beispiel: Eine Sparkasse setzt KI-basiertes Kreditscoring ein.

Beschreibung: Modell zur Bonitätsbewertung von Privatkunden
Betroffene: Antragsteller (Privatkunden)
Grundrechte-Risiken: Diskriminierung (Geschlecht, Herkunft), informationelle Selbstbestimmung, Recht auf Erklärung
Schutzmaßnahmen: Bias-Tests, menschliche Letzt-Entscheidung, Erklärbarkeits-Modul, Beschwerdekanal
Notifikation an BaFin (sektorale Aufsicht) + Marktüberwachung

Häufig gestellte Fragen

Reicht eine DSFA als FRIA?

Nein, aber Integration möglich. DSFA nach Art. 35 DSGVO bewertet Datenschutz-Risiken; FRIA nach Art. 27 EU AI Act bewertet ALLE Grundrechte. Praxis: integriertes Dokument mit beiden Bewertungs-Dimensionen.

Wann muss FRIA durchgeführt werden?

Vor dem ersten Einsatz des Hochrisiko-KI-Systems. Bei wesentlicher Änderung erneut. Praxis: jährliche Review.

Wer prüft die FRIA?

Die FRIA selbst ist nicht 'genehmigungspflichtig'. Aber: Marktüberwachungsbehörde wird im Rahmen der Aufsicht prüfen, ob FRIA durchgeführt wurde + ob Schutzmaßnahmen umgesetzt sind.