Grundrechte-Folgenabschätzung (FRIA)

KI-Verordnung, Artikel 27 — Vorlage für Betreiber hochriskanter KI-Systeme

Wer eine FRIA durchführen muss. Nach Artikel 27 Absatz 1 der Verordnung (EU) 2024/1689 ist diese Folgenabschätzung vor der ersten Inbetriebnahme durchzuführen von (a) Betreibern, die öffentliche Stellen oder private Einrichtungen sind, die öffentliche Dienstleistungen erbringen, sowie (b) Betreibern hochriskanter KI-Systeme nach Anhang III Nummer 5 Buchstabe b (Kreditwürdigkeit / Kreditscoring) oder Buchstabe c (Risikobewertung und Preisbildung bei Lebens- und Krankenversicherungen).

Angaben zur Organisation

Organisation
KI-System
Betreibertyp
(öffentliche Stelle / privat mit öffentlicher Dienstleistung / Hochrisiko Anhang III 5(b) / 5(c))
Verantwortlich
Datum
Version

1. Prozessbeschreibung — Art. 27 Abs. 1 Buchst. a

Beschreiben Sie die Prozesse des Betreibers, in denen das hochriskante KI-System gemäß seiner Zweckbestimmung eingesetzt wird.

Erfassen Sie Einsatzkontext, Zweckbestimmung, Betriebsumgebung und die Entscheidungsarten, die das System unterstützt.

2. Nutzungsdauer und -häufigkeit — Art. 27 Abs. 1 Buchst. b

Wie lange und wie häufig wird das System eingesetzt?

Angaben zu Startdatum, geplanter Dauer, Nutzungsfrequenz, erwartetem Entscheidungsvolumen und Überprüfungsrhythmus.

3. Betroffene Personengruppen — Art. 27 Abs. 1 Buchst. c

Welche Kategorien natürlicher Personen und Gruppen werden durch den Einsatz voraussichtlich betroffen sein?

Identifizieren Sie primär betroffene Gruppen, schutzbedürftige Gruppen, geografischen Geltungsbereich, geschätzte Zahl Betroffener und indirekt betroffene Parteien.

4. Spezifische Schadensrisiken — Art. 27 Abs. 1 Buchst. d

Welche spezifischen Schadensrisiken werden die identifizierten Gruppen voraussichtlich treffen?

Berücksichtigen Sie die Informationen des Anbieters gemäß Art. 13. Dokumentieren Sie Eintrittswahrscheinlichkeit, Schwere, kumulative Effekte sowie Diskriminierungs- und Datenschutzrisiken.

5. Maßnahmen zur menschlichen Aufsicht — Art. 27 Abs. 1 Buchst. e

Welche Maßnahmen zur menschlichen Aufsicht werden entsprechend der Betriebsanleitung umgesetzt?

Rollen der Aufsicht, Eingriffsmechanismen, Eskalationsverfahren, Override-Möglichkeiten und Überwachungsfrequenz.

6. Risikominderung und Governance — Art. 27 Abs. 1 Buchst. f

Welche Maßnahmen werden ergriffen, wenn sich die identifizierten Risiken materialisieren — einschließlich Governance und Beschwerdeverfahren?

Präventive und korrigierende Maßnahmen, Beschwerdemechanismus, Governance-Struktur, Überprüfungsauslöser und Meldeverfahren.

7. DPIA-Integration — Art. 27 Abs. 4

Wurde bereits eine Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) durchgeführt? Falls ja, wie ergänzt diese FRIA die DSFA?

Verweis auf die DSFA, Umfang der abgedeckten Aspekte und die zusätzlichen grundrechtlichen Auswirkungen, die hier behandelt werden.

8. Behördliche Meldung — Art. 27 Abs. 3

Wenn ein unter Abschnitt 4 identifiziertes Risiko nicht gemindert werden kann: wie wird die zuständige Marktüberwachungsbehörde unverzüglich unterrichtet?

Zuständige Rolle, Meldekanal und zu übermittelnde Informationen.