Auf einen Blick: Art. 27 KI-VO verlangt eine Grundrechte-Folgenabschätzung (FRIA) für bestimmte Hochrisiko-KI. Adressaten sind öffentliche Stellen und private Betreiber bei Kreditvergabe, Lebensversicherung und biometrischer Identifizierung. FRIA ist nicht gleich DSFA, kann aber kombiniert werden. Pflicht vor Inbetriebnahme, ab 02.12.2027 wirksam.
DSFA kennen viele KMU. Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist seit 2018 etabliert. FRIA ist neuer und sitzt eine Etage breiter. Sie betrachtet nicht nur den Datenschutz, sondern alle Grundrechte, die durch ein Hochrisiko-KI-System betroffen sein können. Diskriminierungsverbot, Berufsfreiheit, Eigentumsrecht, faire Verwaltungsentscheidung. Wer FRIA mit DSFA verwechselt, verfehlt die Pflicht.
Die Verordnung verlangt FRIA nur für bestimmte Hochrisiko-Konstellationen. Aber wer reinfällt, fällt richtig rein.
Was eine FRIA ist und wer sie machen muss
FRIA steht für Fundamental Rights Impact Assessment. Auf Deutsch: Grundrechte-Folgenabschätzung. Art. 27 KI-VO definiert sie als strukturierte Bewertung der Auswirkungen eines Hochrisiko-KI-Systems auf die Grundrechte der betroffenen Personen.
Adressaten sind nicht alle Betreiber von Hochrisiko-KI. Die Pflicht greift bei zwei Gruppen.
Erstens: öffentliche Stellen oder Stellen, die im Auftrag öffentlicher Verwaltung handeln und ein Hochrisiko-KI-System nach Anhang III einsetzen. Das trifft Behörden, Sozialversicherungsträger, Arbeitsverwaltungen, kommunale Verwaltungen.
Zweitens: private Betreiber, wenn sie Hochrisiko-KI in bestimmten Anhang-III-Anwendungsfeldern einsetzen. Konkret: Kreditwürdigkeitsprüfung bei natürlichen Personen (Anhang III Nr. 5b), Risikobewertung und Preisbildung bei Lebens- und Krankenversicherung (Anhang III Nr. 5c) sowie biometrische Identifizierung im Rahmen bestimmter Strafverfolgungs-Anwendungen.
Die meisten Mittelständler fallen nicht in diese Pflicht. Wer als IT-Dienstleister, Maschinenbauer oder Steuerkanzlei KI einsetzt, braucht keine FRIA. Aber Banken, Versicherer, Sozialdienste und öffentlich-rechtliche Stellen müssen sie machen, sobald ein Hochrisiko-KI-System dort in Betrieb geht.
Die fünf Pflichtinhalte einer FRIA
Art. 27 Abs. 1 KI-VO listet konkrete Pflichtinhalte auf. Eine FRIA, die diese fünf Punkte nicht abdeckt, ist keine FRIA.
Beschreibung des Einsatzzwecks und der zeitlichen Nutzung. Wann wird das System eingesetzt, in welcher Häufigkeit, in welchem Kontext, mit welchem konkreten Ziel. Das ist nicht trivial, weil viele Betreiber den Einsatzzweck zu vage formulieren. "Effizienz in der Kreditprüfung" reicht nicht. Konkret heißt: Prüfung von Verbraucher-Kreditanträgen zwischen 1.000 und 50.000 Euro, automatische Vorab-Klassifikation in drei Risikoklassen, manuelle Nachprüfung in Klasse 2 und 3.
Beschreibung der betroffenen Personengruppen. Wer wird durch das System bewertet, klassifiziert oder beeinflusst? Hier müssen demografische Merkmale, geografische Verteilung und Vulnerabilitäten erfasst werden. Beispiel: Verbraucher mit Hauptwohnsitz in Deutschland zwischen 18 und 75 Jahren, davon erwartet 8 Prozent Personen mit Migrationshintergrund, 12 Prozent Selbstständige, 6 Prozent Empfänger sozialer Leistungen.
Identifikation der konkret betroffenen Grundrechte und Risiken. Hier zeigt sich der Unterschied zur DSFA am deutlichsten. FRIA betrachtet das gesamte Grundrechte-Spektrum aus EU-Grundrechtecharta, Grundgesetz und EMRK. Diskriminierungsverbot, Menschenwürde, Berufsfreiheit, Eigentumsrecht, Gleichheitsgrundsatz, faire Verwaltungsentscheidung.
Beschreibung der Aufsichts- und Schutzmaßnahmen. Welche Mechanismen sind eingerichtet, um die identifizierten Risiken zu minimieren. Das umfasst menschliche Aufsicht nach Art. 14 KI-VO, technische Schutzmechanismen, Beschwerdewege, Transparenzpflichten.
Beschreibung des Verfahrens für die menschliche Aufsicht und für den Umgang mit konkret betroffenen Personen, inklusive Beschwerderechten. Wie können Betroffene Auskunft verlangen, Korrekturen anfordern, Widerspruch einlegen.
Diese fünf Punkte sind nicht optional. Sie sind die Mindestanforderung. Wer eine FRIA mit drei Absätzen abhandeln will, scheitert beim ersten ernsthaften Audit.
Unterschied DSFA und FRIA
Viele KMU-Verantwortliche fragen reflexartig: "Wir haben doch eine DSFA. Reicht die nicht?" Die ehrliche Antwort: jein.
DSFA nach Art. 35 DSGVO ist seit 2018 Pflicht bei Verarbeitungen mit hohem Risiko für die Rechte und Freiheiten betroffener Personen. Sie ist eng auf Datenschutz fokussiert. Welche Daten werden verarbeitet, mit welcher Rechtsgrundlage, welche technischen und organisatorischen Maßnahmen, welche Risiken im Sinne der DSGVO.
FRIA geht breiter. Sie umfasst alle Grundrechte, nicht nur Datenschutz. Diskriminierungsverbot nach Art. 21 GRCh, Berufsfreiheit nach Art. 15 GRCh, Gleichheit vor dem Gesetz nach Art. 20 GRCh, Recht auf gute Verwaltung nach Art. 41 GRCh.
In der Praxis sehen wir zwei Wege, mit dem Verhältnis umzugehen. Variante eins: zwei getrennte Dokumente. DSFA für den Datenschutz-Beauftragten, FRIA für die Compliance- oder Rechtsabteilung. Vorteil: klare Verantwortlichkeiten. Nachteil: doppelter Aufwand und potenzielle Inkonsistenzen.
Variante zwei: kombiniertes Dokument. Die DSFA wird um die zusätzlichen Grundrechte-Aspekte erweitert. Vorteil: Konsistenz und weniger Aufwand. Nachteil: Verantwortung muss klar zugeordnet sein.
Art. 27 Abs. 4 KI-VO erlaubt explizit die Kombination. Wer beides braucht, sollte ein integriertes Dokument anstreben, das aber sauber beschriftet ist, welcher Teil welche Pflicht erfüllt.
| Aspekt | DSFA Art. 35 DSGVO | FRIA Art. 27 KI-VO |
|---|---|---|
| Anwendungsbereich | Verarbeitung personenbezogener Daten mit hohem Risiko | Hochrisiko-KI in Anhang-III-Anwendungen + öffentliche Stellen |
| Fokus | Datenschutz, Rechte aus DSGVO | Alle Grundrechte (Datenschutz, Diskriminierung, Berufsfreiheit, faire Verwaltung etc.) |
| Verantwortlich | Verantwortlicher nach Art. 4 Nr. 7 DSGVO | Betreiber (Deployer) der Hochrisiko-KI |
| Pflichtinhalte | Beschreibung, Erforderlichkeit, Risiko, Abhilfe (Art. 35 Abs. 7 DSGVO) | Einsatzzweck, Personengruppen, Grundrechte, Maßnahmen, Beschwerdeverfahren (Art. 27 Abs. 1 KI-VO) |
| Konsultation | Datenschutz-Aufsichtsbehörde bei Restrisiko (Art. 36 DSGVO) | Marktüberwachungsbehörde wird über FRIA-Ergebnis informiert |
| Wann zu machen | Vor Verarbeitung mit hohem Risiko | Vor erstmaliger Inbetriebnahme der Hochrisiko-KI |
| Aufbewahrung | Solange Verarbeitung läuft + 3 Jahre danach (üblich) | 10 Jahre nach Inverkehrbringen/Inbetriebnahme (Art. 18 KI-VO) |
| Kombinierbar | Ja, mit FRIA kombinierbar | Ja, mit DSFA kombinierbar (Art. 27 Abs. 4) |
Wann FRIA gemacht werden muss
Der Zeitpunkt ist klar geregelt. Vor erstmaliger Inbetriebnahme des Hochrisiko-KI-Systems muss die FRIA vorliegen. Inbetriebnahme heißt: erste produktive Nutzung im realen Anwendungskontext. Ein Pilot mit echten Daten gilt bereits als Inbetriebnahme.
Bei wesentlichen Änderungen muss die FRIA erneuert werden. Wesentliche Änderung ist nicht jedes Update. Sie liegt vor, wenn sich der Einsatzzweck, die Personengruppen, die Datenbasis oder die zugrunde liegenden Modell-Eigenschaften relevant ändern. Ein Modell-Upgrade auf eine neue Version mit anderer Architektur wäre wesentlich. Ein Patch-Update zur Fehlerbehebung in der Regel nicht.
In der Praxis empfiehlt sich eine jährliche Review, auch ohne wesentliche Änderung. Personengruppen verschieben sich, gesellschaftliche Wahrnehmung von Grundrechten ändert sich, neue Bias-Erkenntnisse kommen hinzu. Eine FRIA, die drei Jahre alt ist, taugt im Audit nichts mehr.
Wer die FRIA erst nach Inbetriebnahme nachschiebt, hat die Pflicht verletzt. Es gibt keinen "Nach-Reichungs-Korridor". Der Audit-Trail muss zeigen, dass das Dokument vor dem ersten produktiven Einsatz vorlag.
Wohin der FRIA-Bericht geht
Art. 27 Abs. 3 KI-VO verlangt, dass der Betreiber die Marktüberwachungsbehörde über die durchgeführte FRIA informiert. Das ist nicht eine Genehmigung, sondern eine Notifikation. Die Behörde hat dann die Möglichkeit, die FRIA anzufordern und zu prüfen.
Stand Mai 2026 ist die deutsche Marktüberwachungsstruktur für die KI-Verordnung im Aufbau. Die Bundesnetzagentur (BNetzA) hat die Koordinationsrolle übernommen, sektor-spezifische Behörden wie BaFin, BfDI und Bundesarbeitsministerium spielen mit. Welche konkrete Behörde welche Notifikation entgegennimmt, wird sich bis Ende 2027 konkretisieren.
Das AI Office auf EU-Ebene hat Templates für die FRIA angekündigt. Eine finale Form liegt im Mai 2026 noch nicht vor. Wer früh anfängt, orientiert sich an der gegliederten Struktur aus Art. 27 Abs. 1 KI-VO und passt das Dokument später an, wenn das Template kommt.
In der Praxis sehen wir, dass viele Betreiber auf das fertige Template warten. Das ist eine Falle. Wer im Q4 2027 erst anfängt, wird die Struktur kennen, aber keine Datengrundlage haben. Eine FRIA braucht Vorarbeit: Personengruppen-Analyse, Bias-Tests, Stakeholder-Konsultation. Wer das ohne Datengrundlage in vier Wochen zusammenschiebt, liefert ein Papier ab, das im Audit nicht trägt.
Praxis: Allianz-Süd Versicherung in Stuttgart
Allianz-Süd ist ein fiktives mittelständisches Versicherungsunternehmen mit 620 Mitarbeitern in Stuttgart, das primär Lebens- und Berufsunfähigkeitsversicherungen anbietet. Anfang 2027 plant die Geschäftsführung den Einsatz eines KI-gestützten Risikobewertungs-Systems. Antragsteller sollen anhand strukturierter Gesundheits- und Berufsdaten in Risikoklassen eingeteilt werden, mit automatischer Vorab-Prämienkalkulation.
Risikobewertung in der Lebensversicherung fällt nach Anhang III Nr. 5c KI-VO als Hochrisiko-Anwendung. Die FRIA-Pflicht nach Art. 27 KI-VO greift damit. Pflichten greifen nach der Verschiebung durch Omnibus vom 07.05.2026 erst ab 02.12.2027 voll, aber Allianz-Süd will im März 2027 starten.
Der Compliance-Beauftragte beauftragt eine externe Kanzlei mit der FRIA-Erstellung. Budget: 24.000 Euro für Erstdokument, plus 6.000 Euro jährliche Review.
Das Dokument umfasst 47 Seiten und behandelt fünf Aspekte konkret. Erstens den Einsatzzweck: Risikobewertung von Antragstellern für Lebens- und BU-Versicherungen mit Versicherungssummen bis 500.000 Euro. Antragsteller über dieser Schwelle laufen weiter manuell. Zweitens die Personengruppen: erwartete 28.000 Anträge pro Jahr, demografische Verteilung nach Wohnort, Alter, Beruf, Gesundheitsstatus.
Drittens die identifizierten Grundrechte und Risiken. Drei Punkte stehen im Fokus. Diskriminierung nach Beruf, weil bestimmte Berufsgruppen historisch schlechter bewertet wurden. Diskriminierung nach Wohnort, weil Postleitzahl in das Modell einfließt. Datenschutz nach Art. 9 DSGVO, weil Gesundheitsdaten besondere Kategorien sind.
Viertens die Schutzmaßnahmen. Menschliche Aufsicht nach Art. 14 KI-VO durch geschulte Underwriter, Bias-Bewertung des Modells durch externe Sachverständige, technische Override-Möglichkeit, jährliche Drift-Analyse, Beschwerdeweg über die Verbraucher-Hotline und Datenschutz-Beauftragte.
Fünftens das Verfahren. Antragsteller können Auskunft über die Bewertungsgrundlage verlangen, Korrekturen anfordern, Widerspruch über zwei Eskalationsstufen einlegen. Die Doku wird zehn Jahre aufbewahrt.
Allianz-Süd informiert die BNetzA als Koordinations-Behörde im Februar 2027 über die FRIA. Die BNetzA bestätigt den Eingang und kündigt eine Stichproben-Prüfung im Q3 an. Das System geht im März 2027 in Betrieb. Im November 2027 findet die BNetzA-Prüfung statt. Allianz-Süd legt FRIA, Audit-Trail, Schulungsnachweise und Beschwerde-Statistik vor. Die Behörde dokumentiert zwei nicht-kritische Verbesserungspunkte, die im Q1 2028 nachgereicht werden.
Das ist der Aufwand. Wer ihn nicht treibt, läuft beim ersten Marktüberwachungs-Vorgang ohne Unterlagen rein und verliert die Inbetriebnahme-Genehmigung.
Schnittstelle zu Art. 4 und Art. 26 KI-VO
FRIA steht nicht allein. Drei Pflichten greifen ineinander.
Die KI-Kompetenzpflicht nach Art. 4 KI-VO gilt seit 02.02.2025. Wer eine FRIA verfasst oder bewertet, muss ausreichende KI-Kompetenz haben. Das gilt für Underwriter, Compliance-Beauftragte und externe Berater. Ohne Schulungsnachweise hängt die Glaubwürdigkeit der FRIA in der Luft.
Die Betreiberpflichten nach Art. 26 KI-VO verlangen Logging, Vorfallmeldung und die Einhaltung der Anbieter-Anweisungen. FRIA dokumentiert, wie der Betreiber diese Pflichten in seinem konkreten Kontext umsetzt.
Die menschliche Aufsicht nach Art. 14 KI-VO ist Teil der FRIA-Schutzmaßnahmen. Wer die Aufsicht nicht beschreiben kann, weil sie nicht eingerichtet ist, kann auch keine FRIA dokumentieren.
Wer im Audit nachweisen muss, dass er alle Pflichten erfüllt, braucht die drei Dokumente nebeneinander: Kompetenz-Nachweise (Art. 4), FRIA (Art. 27) und Betreiber-Protokoll (Art. 26). Fehlt eines, wackelt das Ganze.
Was Verstöße kosten
Art. 99 KI-VO definiert den Bußgeldrahmen. Verstöße gegen Art. 27 fallen in die mittlere Kategorie. Bis zu 15 Mio Euro oder 3 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist. Für ein mittelständisches Versicherungsunternehmen mit 200 Mio Euro Umsatz wäre das bis zu 6 Mio Euro.
Dazu kommt das Reputations-Risiko. Eine fehlende FRIA in einer Branche, die ohnehin unter Verdacht steht, Algorithmus-basiert zu diskriminieren, gibt Verbraucherschutzverbänden eine Vorlage für Klagen und Medien-Berichterstattung. Wer einmal als "Versicherer ohne Grundrechte-Prüfung" in der Presse stand, bekommt das nicht schnell weg.
In der Praxis sehen wir, dass das Bußgeld-Risiko zwar präsent ist, aber das Reputations-Risiko oft die schmerzhaftere Folge produziert. Vor allem im Privatkundenbereich.
Was die Verschiebung vom 07.05.2026 ändert
Das Omnibus-Paket vom 07.05.2026 hat die Anwendungstermine für Anhang-III-Pflichten auf den 02.12.2027 verschoben. Damit greift auch Art. 27 KI-VO erst zu diesem Stichtag voll.
Wer das als Pause versteht, denkt zu kurz. Eine seriöse FRIA für eine produktive Hochrisiko-Anwendung dauert in der Erstellung sechs bis neun Monate. Personengruppen-Analyse, Bias-Tests, Stakeholder-Konsultation, externe Begutachtung, interne Freigabe. Wer im Q2 2027 anfängt, hat zum Stichtag eine Notlösung. Wer im Q4 2026 anfängt, hat zum Stichtag ein tragfähiges Dokument.
Die Kompetenzpflicht nach Art. 4 KI-VO ist von der Verschiebung nicht betroffen und gilt seit 02.02.2025. Wer FRIA-Verantwortliche ohne nachweisliche KI-Kompetenz einsetzt, verletzt schon heute eine Pflicht. Die Transparenzpflicht nach Art. 50 KI-VO greift wie geplant zum 02.08.2026 und betrifft FRIA insofern, als bestimmte Transparenz-Erklärungen Teil der FRIA-Schutzmaßnahmen sind.
In der Praxis sehen wir bei Versicherern und Banken oft, dass FRIA zwischen Datenschutz-Beauftragten, Compliance und Vorstand hängt. Niemand fühlt sich primär zuständig. Wer das nicht aktiv organisiert, bekommt im Q4 2027 ein Dokument, das von drei Abteilungen halbherzig zusammengeschoben wurde und im Audit nicht trägt.
Wer dagegen früh einen Owner benennt und das Dokument als strategisches Compliance-Asset behandelt, baut nicht nur die Pflicht ab. Er baut ein Argument auf, das gegenüber Verbraucherschutzverbänden, Aufsichtsbehörden und kritischer Presse trägt.
Häufige Fragen
Muss jeder Betreiber von Hochrisiko-KI eine FRIA machen?
Nein. Die FRIA-Pflicht nach Art. 27 KI-VO trifft nur öffentliche Stellen und private Betreiber in bestimmten Anhang-III-Konstellationen: Kreditwürdigkeitsprüfung bei natürlichen Personen, Risikobewertung und Preisbildung in Lebens- und Krankenversicherung sowie biometrische Identifizierung in bestimmten Strafverfolgungs-Anwendungen. Wer Hochrisiko-KI außerhalb dieser Felder einsetzt, etwa im Recruiting oder in der Bildungsbewertung, braucht keine FRIA, muss aber die anderen Pflichten aus Art. 14 und Art. 26 KI-VO erfüllen.
Ersetzt die FRIA die DSFA nach Art. 35 DSGVO?
Nein, sie ersetzt sie nicht. DSFA bleibt für jede Verarbeitung personenbezogener Daten mit hohem Risiko verpflichtend, unabhängig davon, ob KI im Spiel ist. FRIA ist ein zusätzliches Instrument für Hochrisiko-KI in bestimmten Anwendungsfeldern. Beide Dokumente können nach Art. 27 Abs. 4 KI-VO kombiniert werden, müssen aber inhaltlich beide Pflicht-Kataloge abdecken. In der Praxis empfiehlt sich ein integriertes Dokument mit klar gekennzeichneten Abschnitten für DSFA-Pflichten und FRIA-Pflichten.
Wer bekommt die FRIA zur Kenntnis?
Art. 27 Abs. 3 KI-VO verlangt, dass der Betreiber die Marktüberwachungsbehörde über die durchgeführte FRIA informiert. Stand Mai 2026 ist die deutsche Behördenstruktur im Aufbau, die Bundesnetzagentur hat die Koordinationsrolle. Sektor-spezifische Behörden wie BaFin für Versicherer oder BfDI für Datenschutz-Aspekte sind ebenfalls beteiligt. Die FRIA muss zudem im Unternehmen aufbewahrt werden und kann bei einem Audit angefordert werden. Aufbewahrungsfrist nach Art. 18 KI-VO: zehn Jahre nach Inverkehrbringen oder Inbetriebnahme.
Wie oft muss eine FRIA aktualisiert werden?
Eine Aktualisierung ist Pflicht bei wesentlichen Änderungen am System. Wesentliche Änderung liegt vor, wenn sich der Einsatzzweck, die Personengruppen, die Datenbasis oder die zugrunde liegenden Modell-Eigenschaften relevant ändern. Patch-Updates zur Fehlerbehebung gelten in der Regel nicht als wesentlich. Empfehlung aus der Praxis: jährliche Review auch ohne wesentliche Änderung, weil sich Personengruppen verschieben und neue Bias-Erkenntnisse hinzukommen. Eine FRIA, die drei Jahre alt ist, taugt im Audit nichts mehr.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
30 Minuten Klarheit kosten nichts. Wenn Du KI im Betrieb einsetzt oder überlegst einzusetzen, kommt es nicht auf das Tool an. Es kommt auf die Frage: wo entstehen Risiken, wo Hebel? In 30 Minuten gehen wir Deine konkrete Lage durch und Du weißt, wo Du anfangen solltest. Termin reservieren oder kostenlosen KI-Schnupperkurs starten.
Zuletzt geprüft am 26. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.