Grundrechte-Folgenabschätzung nach Artikel 27: Der vollständige Leitfaden
Es gibt eine Bestimmung in der EU-KI-Verordnung, die weit weniger Aufmerksamkeit erhält als Risikoklassifizierung oder Konformitätsbewertungen, aber auf praktisch jede Bank, Versicherung, jeden großen Arbeitgeber und jeden Anbieter öffentlicher Dienstleistungen in Europa zutrifft. Es ist Artikel 27 — die Pflicht zur Durchführung einer Grundrechte-Folgenabschätzung (FRIA) vor dem Einsatz bestimmter Hochrisiko-KI-Systeme.
Die meisten Compliance-Teams kennen diese Anforderung entweder nicht, verwechseln sie mit der Datenschutz-Folgenabschätzung (DSFA) der DSGVO oder gehen davon aus, dass bestehende Prozesse sie abdecken. Alle drei Annahmen sind falsch. Die FRIA ist eine eigenständige rechtliche Pflicht mit eigenem Anwendungsbereich, eigener Methodik und eigener Meldepflicht. Und die Europäische Kommission hat keine Vorlage veröffentlicht, sodass Unternehmen sie selbst erarbeiten müssen.
Was ist eine FRIA und warum unterscheidet sie sich von einer DSFA?
Eine Datenschutz-Folgenabschätzung nach DSGVO Artikel 35 konzentriert sich auf eine spezifische Frage: Welche Risiken für Datenschutzrechte entstehen durch eine bestimmte Verarbeitungstätigkeit? Ihr Anwendungsbereich ist auf Datenschutz und personenbezogene Daten beschränkt.
Eine Grundrechte-Folgenabschätzung nach EU-KI-Verordnung Artikel 27 stellt eine grundlegend breitere Frage: Welche Risiken für alle Grundrechte entstehen durch den Einsatz eines Hochrisiko-KI-Systems? Dazu gehört Datenschutz, aber auch Nichtdiskriminierung, Menschenwürde, Meinungsfreiheit, Recht auf wirksamen Rechtsbehelf, Recht auf ein faires Verfahren, Arbeitnehmerrechte, Verbraucherschutz und Kinderrechte.
| Dimension | DSFA (DSGVO Art. 35) | FRIA (KI-VO Art. 27) |
|---|---|---|
| Rechtsgrundlage | DSGVO Art. 35 | KI-VO Art. 27 |
| Anwendungsbereich | Datenschutzrechte | Alle Grundrechte |
| Auslöser | Hochrisiko-Verarbeitung personenbezogener Daten | Einsatz bestimmter Hochrisiko-KI-Systeme |
| Durchführung | Verantwortlicher | KI-System-Betreiber |
| Meldepflicht | Datenschutzbehörde (nur bei hohem Restrisiko) | Marktüberwachungsbehörde (immer) |
| Verhältnis | Eigenständige Pflicht | Ergänzt die DSFA (Art. 27 Abs. 4) |
Artikel 27 Absatz 4 stellt ausdrücklich fest, dass die FRIA die DSFA „ergänzt" — sie ersetzt sie nicht.
Wer muss eine FRIA durchführen?
Die FRIA-Pflicht gilt für drei Kategorien von Betreibern:
Öffentliche Stellen
Jede Stelle des öffentlichen Rechts, die ein Hochrisiko-KI-System nach Anhang III einsetzt, muss eine FRIA durchführen. Im DACH-Raum umfasst dies Bundesbehörden, Landesbehörden, Kommunalverwaltungen und deren Entsprechungen in Österreich und der Schweiz.
Private Unternehmen, die öffentliche Dienstleistungen erbringen
Private Unternehmen, die Dienstleistungen von öffentlichem Interesse erbringen — ausgelagerte Regierungsfunktionen, öffentliche Verkehrsbetreiber, privatisierte Versorgungsunternehmen — fallen ebenfalls unter die FRIA-Pflicht.
Betreiber im Bereich Beschäftigung und wesentliche Dienstleistungen
Dies ist die Kategorie, die die meisten Organisationen überrascht. Jeder Betreiber — öffentlich oder privat — muss eine FRIA durchführen, wenn er Hochrisiko-KI einsetzt für:
- Beschäftigung, Arbeitnehmerverwaltung und Zugang zur Selbständigkeit (Anhang III, Nr. 4)
- Zugang zu und Inanspruchnahme wesentlicher privater Dienstleistungen — insbesondere Kreditwürdigkeitsprüfung und Kredit-Scoring (Anhang III, Nr. 5 Buchstabe b) und Risikobewertung und Preisgestaltung bei Lebens- und Krankenversicherung (Anhang III, Nr. 5 Buchstabe c)
Die praktische Auswirkung für den DACH-Markt ist erheblich. Jede Bank, die KI für Kreditentscheidungen einsetzt, jede Versicherung, die KI für Risikopreisgestaltung nutzt, und jeder große Arbeitgeber, der KI in HR-Prozessen verwendet, muss eine FRIA durchführen.
Die sechs erforderlichen Bestandteile einer FRIA
Artikel 27 Absatz 3 legt sechs Elemente fest, die jede FRIA enthalten muss:
(a) Beschreibung der Prozesse des Betreibers
Dokumentieren Sie die spezifischen Geschäftsprozesse, in denen das KI-System eingesetzt wird. Dies muss beschreiben, wie Ihr Unternehmen das System nutzt, in Ihrem spezifischen Kontext, für Ihre spezifischen Zwecke.
(b) Zeitraum und Häufigkeit der Nutzung
Geben Sie an, wann und wie oft das KI-System betrieben wird. Die Häufigkeit und Dauer der Nutzung wirken sich direkt auf die Anzahl der betroffenen Personen und das kumulative Schadensrisiko aus.
(c) Kategorien betroffener Personen und Gruppen
Identifizieren Sie im spezifischen Kontext Ihres Einsatzes, welche Kategorien von Personen von den Ausgaben des KI-Systems betroffen sein werden. Achten Sie besonders auf gefährdete Gruppen: Menschen mit Behinderungen, ethnische Minderheiten, ältere Arbeitnehmer, Nicht-Muttersprachler.
(d) Spezifische Schadensrisiken
Bewerten Sie für jede identifizierte Gruppe die spezifischen Risiken für ihre Grundrechte: Nichtdiskriminierung, Menschenwürde, Meinungsfreiheit, Recht auf wirksamen Rechtsbehelf, Arbeitnehmerrechte, Verbraucherschutz, Kinderrechte.
(e) Maßnahmen der menschlichen Aufsicht
Dokumentieren Sie die Maßnahmen der menschlichen Aufsicht gemäß den Gebrauchsanweisungen des KI-System-Anbieters (Artikel 14). Seien Sie ehrlich: Wenn Ihre menschliche Aufsicht ein Durchwinken ist, wird das keinen Regulierer zufriedenstellen.
(f) Abhilfe- und Beschwerdemechanismen
Beschreiben Sie die Maßnahmen, die zu ergreifen sind, wenn die identifizierten Risiken eintreten — einschließlich Beschwerdewege, Eskalationsverfahren und Prozesse zur Aussetzung des KI-Systems.
Die Meldepflicht, die Sie nicht überspringen können
Nach Abschluss der FRIA verlangt Artikel 27 Absatz 5, dass der Betreiber die zuständige Marktüberwachungsbehörde über die Ergebnisse informiert. Dies ist zwingend, nicht bedingt. Anders als bei einer DSFA nach der DSGVO — wo Sie die Aufsichtsbehörde nur konsultieren, wenn Sie hohe Restrisiken nicht mindern können — erfolgt die FRIA-Meldung in allen Fällen.
In Deutschland ist die primäre Marktüberwachungsbehörde für die KI-Verordnung die Bundesnetzagentur (BNetzA), unterstützt vom KoKIVO-Koordinierungszentrum. Je nach Anwendungsfall können sektorspezifische Behörden ebenfalls beteiligt sein — BaFin für Finanzdienstleistungen, die jeweilige Landesbehörde für Beschäftigung oder die zuständige Medizinproduktebehörde für gesundheitsbezogene KI.
Praktische Umsetzung: Sieben Schritte
Schritt 1: Identifizieren Sie, welche KI-Systeme eine FRIA benötigen.
Schritt 2: Sammeln Sie Anbieterinformationen. Fordern Sie die Transparenzdokumentation nach Artikel 13 von Ihrem KI-Systemanbieter an.
Schritt 3: Kartieren Sie betroffene Personen und Gruppen. Gehen Sie über das Offensichtliche hinaus.
Schritt 4: Bewerten Sie Risiken für spezifische Grundrechte. Nutzen Sie die EU-Grundrechtecharta als Rahmen.
Schritt 5: Dokumentieren Sie Aufsicht und Abhilfe. Beschreiben Sie Ihre tatsächlichen Praktiken ehrlich.
Schritt 6: Stellen Sie die FRIA zusammen und melden Sie sie. Benachrichtigen Sie die Marktüberwachungsbehörde.
Schritt 7: Aktualisieren Sie bei Änderungen. Eine FRIA ist keine einmalige Übung. Bei Updates, Kontextänderungen oder neuen Risiken muss die Bewertung überarbeitet werden.
Aufbau auf bestehender DSFA-Arbeit
Wenn Sie bereits eine DSFA für dasselbe KI-System nach DSGVO Artikel 35 durchgeführt haben, müssen Sie nicht bei Null anfangen. Artikel 27 Absatz 4 erlaubt ausdrücklich den Aufbau auf bestehenden DSFAs. Was Sie ergänzen müssen:
- Breitere Grundrechtebewertung über den Datenschutz hinaus
- Spezifische Identifizierung betroffener Gruppen in Ihrem Einsatzkontext
- Bewertung der menschlichen Aufsicht gemäß Anbieteranweisungen
- Spezielle Abhilfe- und Beschwerdemechanismen für KI-bezogene Schäden
- Zwingende Meldung an die Marktüberwachungsbehörde
Die FRIA ist kein Pflichtübung. Sie ist eine echte Bewertung, ob Ihr Einsatz eines KI-Systems die Grundrechte der betroffenen Personen achtet. Korrekt durchgeführt, dient sie sowohl als Compliance-Schutz als auch als praktisches Instrument zur Identifizierung und Minderung realer Schäden, bevor sie eintreten.