Grundrechte-Folgenabschätzung (FRIA)

Die Grundrechte-Folgenabschätzung nach Art. 27 KI-VO (Verordnung (EU) 2024/1689) ist ein dokumentiertes Verfahren, mit dem der Betreiber eines Hochrisiko-KI-Systems vor dessen Inbetriebnahme abschätzt, welche Auswirkungen die Verwendung des Systems auf die Grundrechte der betroffenen Personen haben kann. Die amtliche Überschrift der Norm lautet „Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme".

Der Blickwinkel unterscheidet sich von der Datenschutz-Folgenabschätzung. Während die DSFA nach Art. 35 DSGVO die Risiken einer Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen betrachtet, richtet die FRIA den Blick auf die Auswirkungen des KI-Systems selbst auf die Grundrechte. Prüfmaßstab ist primär die Charta der Grundrechte der Europäischen Union (GRCh), da die KI-VO Unionsrecht ist; daneben können je nach Konstellation auch grundrechtliche Wertungen des nationalen Verfassungsrechts relevant bleiben. Im Hochschulkontext stehen vor allem der Schutz personenbezogener Daten (Art. 8 GRCh), die Nichtdiskriminierung (Art. 21 GRCh), die Berufsfreiheit (Art. 15 GRCh) und das Recht auf Bildung (Art. 14 GRCh) im Fokus; hinzu kommt der Grundsatz der guten Verwaltung, der gegenüber mitgliedstaatlichen Stellen als allgemeiner Rechtsgrundsatz des Unionsrechts wirkt (Art. 41 GRCh adressiert seinem Wortlaut nach unmittelbar nur die Organe, Einrichtungen und sonstigen Stellen der Union). Beide Instrumente überschneiden sich, gehen aber nicht ineinander auf (dazu Abschnitt 07).

Erfasst ist allein Hochrisiko-KI nach Art. 6 Abs. 2 i. V. m. Anhang III (ausgenommen Nr. 2). Wie die DSFA ersetzt auch die FRIA keine Rechtsgrundlage und macht ein System nicht „automatisch zulässig". Sie ist ein vorgelagertes Verfahren der Risikobewertung und Teil der Betreiberpflichten der KI-VO.

Ob im Einzelfall eine FRIA-Pflicht besteht, lässt sich strukturiert prüfen. Die folgende Reihenfolge trennt die Vorfragen sauber: zuerst die Hochrisiko-Einstufung, dann der Adressatenkreis, schließlich die parallele Datenschutzprüfung.

Ergebnis: Eine FRIA ist nur erforderlich, wenn kumulativ (1) überhaupt ein KI-System vorliegt, (2) die Hochrisiko-Einstufung nach Art. 6 Abs. 2 i. V. m. Anhang III greift, (3) die Ausnahme des Art. 6 Abs. 3 nicht eingreift und (4) der Betreiber zum Kreis des Art. 27 Abs. 1 gehört. Schritt 5 läuft datenschutzrechtlich daneben und ist von der FRIA-Pflicht unabhängig.

Die FRIA-Pflicht setzt voraus, dass ein Hochrisiko-KI-System im Sinne des Art. 6 Abs. 2 KI-VO vorliegt. Art. 27 Abs. 1 knüpft ausdrücklich an diese Vorschrift an: „Zusätzlich zu den in Absatz 1 genannten Hochrisiko-KI-Systemen gelten die in Anhang III genannten KI-Systeme als hochriskant" (Art. 6 Abs. 2). Systeme, die nur über Art. 6 Abs. 1 (Produktsicherheitsfälle nach Anhang I) hochriskant sind, lösen keine FRIA-Pflicht aus – Art. 27 erfasst sie nicht.

Anhang III listet die einschlägigen Anwendungsbereiche auf, unter anderem Biometrie (Nr. 1), kritische Infrastruktur (Nr. 2), allgemeine und berufliche Bildung (Nr. 3), Beschäftigung und Personalmanagement (Nr. 4) sowie den Zugang zu grundlegenden Diensten (Nr. 5). Für Hochschulen sind vor allem Nr. 3 und Nr. 4 relevant (Abschnitt 08). Der Bereich der kritischen Infrastruktur (Nr. 2) ist von der FRIA-Pflicht ausdrücklich ausgenommen.

Zu beachten ist die Abweichungsregel des Art. 6 Abs. 3 KI-VO: Ein in Anhang III genanntes System gilt ausnahmsweise nicht als hochriskant, wenn es kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte birgt – etwa weil es nur eine eng gefasste Verfahrensaufgabe erfüllt und das Ergebnis der Entscheidungsfindung nicht wesentlich beeinflusst. Dies ist eine Kurzform; die vier abschließenden Fallgruppen des Art. 6 Abs. 3 lit. a–d sind maßgeblich in Abschnitt 02 (Prüfschritt 3) aufgeführt. Die Ausnahme ist eng auszulegen; die förmliche Dokumentation und Registrierung der „Nicht-Hochrisiko"-Bewertung trifft nach Art. 6 Abs. 4 i. V. m. Art. 49 Abs. 2 den Anbieter. Sie greift nicht, wenn das System ein Profiling natürlicher Personen vornimmt.

Zur Auslegung der Hochrisiko-Einstufung (Prüfschritte 2 und 3) hat die Kommission – verspätet gegenüber der Frist des Art. 6 Abs. 5 KI-VO (2. Februar 2026) – am 19. Mai 2026 Entwurfsleitlinien zur Einstufung von Hochrisiko-KI-Systemen veröffentlicht (öffentliche Konsultation bis 23. Juli 2026). Sie sind noch nicht final, geben aber derzeit den aussagekräftigsten Auslegungsmaßstab.

Anders als die übrigen Betreiberpflichten der KI-VO richtet sich die FRIA nicht an alle Betreiber, sondern an einen bestimmten Kreis. Art. 27 Abs. 1 KI-VO verpflichtet im Wortlaut:

„Vor der Inbetriebnahme eines Hochrisiko-KI-Systems gemäß Artikel 6 Absatz 2 — mit Ausnahme von Hochrisiko-KI-Systemen, die in dem in Anhang III Nummer 2 aufgeführten Bereich verwendet werden sollen — führen Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts oder private Einrichtungen, die öffentliche Dienste erbringen, handelt, und Betreiber von Hochrisiko-KI-Systemen gemäß Anhang III Nummer 5 Buchstaben b und c eine Abschätzung der Auswirkungen, die die Verwendung eines solchen Systems auf die Grundrechte haben kann, durch."

Der Adressatenkreis ist damit dreigeteilt: Einrichtungen des öffentlichen Rechts; private Einrichtungen, die öffentliche Dienste erbringen; sowie – unabhängig von der Trägerschaft – Betreiber von Hochrisiko-KI nach Anhang III Nr. 5 lit. b und c (Kreditwürdigkeitsprüfung; Risikobewertung und Preisbildung in der Lebens- und Krankenversicherung).

Für öffentliche Hochschulen ist der Anknüpfungspunkt eindeutig: Nach § 54 Abs. 1 Satz 1 HSG LSA sind „[d]ie Hochschulen … Körperschaften des öffentlichen Rechts mit dem Recht der Selbstverwaltung im Rahmen der Gesetze". Eine Hochschule ist damit eine Einrichtung des öffentlichen Rechts und fällt – sobald sie ein Hochrisiko-KI-System nach Art. 6 Abs. 2 i. V. m. Anhang III (ausgenommen Nr. 2) als Betreiber einsetzt – unmittelbar in den Adressatenkreis des Art. 27 Abs. 1 KI-VO.

„Betreiber" ist dabei die KI-VO-eigene Rolle desjenigen, der ein KI-System in eigener Verantwortung verwendet (Art. 3 Nr. 4 KI-VO) – zu unterscheiden vom „Anbieter" (Art. 3 Nr. 3 KI-VO), der das System entwickelt oder in Verkehr bringt. Die FRIA ist eine Betreiberpflicht; sie trifft also die Stelle, die das System tatsächlich einsetzt, nicht den Hersteller.

Die FRIA muss nach Art. 27 Abs. 1 KI-VO mindestens die folgenden sechs Elemente umfassen (im Wesentlichen im Wortlaut; Buchstabe d nachstehend leicht gekürzt):

Der Katalog ist als Mindestinhalt formuliert. Auffällig ist die Parallele zur DSFA bei Buchstabe c (betroffene Personengruppen) und d (Schadensrisiken), während Buchstabe e (menschliche Aufsicht) und f (interne Governance, Beschwerdemechanismen) den spezifischen KI-Bezug der Abschätzung deutlich machen. Buchstabe d verknüpft die Betreiber- mit der Anbieterebene: Grundlage sind auch die Betriebsinformationen, die der Anbieter nach Art. 13 KI-VO bereitzustellen hat.

Einbindung von Interessenvertretungen. Anders als Art. 35 Abs. 9 DSGVO verlangt Art. 27 KI-VO im operativen Wortlaut keine Anhörung der betroffenen Personen oder ihrer Vertreter. Die Erwägungsgründe regen eine Einbeziehung jedoch an: Betreiber – insbesondere im öffentlichen Sektor – „könnten" relevante Interessenträger, unter anderem Vertreter betroffener Personengruppen, in die Folgenabschätzung einbeziehen. Unabhängig davon bestehen flankierende Pflichten: Beschäftigte und ihre Vertreter sind nach Art. 26 Abs. 7 KI-VO vor dem Einsatz eines Hochrisiko-KI-Systems am Arbeitsplatz zu informieren; daneben können Beteiligungs- und Mitbestimmungsrechte der Personalvertretung nach dem PersVG LSA in Betracht kommen.

Anknüpfungspunkt ist die erste Verwendung. Art. 27 Abs. 1 spricht von der „Inbetriebnahme", Abs. 2 stellt klar, dass die Pflicht „für die erste Verwendung eines Hochrisiko-KI-Systems" gilt. Beide Begriffe sind praktisch auf denselben Auslösezeitpunkt gerichtet: Die FRIA ist vor dem ersten produktiven Einsatz zu erstellen, nicht erst anlassbezogen während des Betriebs.

Stützung auf frühere Abschätzungen (Art. 27 Abs. 2). Der Betreiber kann sich in ähnlichen Fällen auf zuvor durchgeführte Grundrechte-Folgenabschätzungen oder auf bereits vorhandene Abschätzungen des Anbieters stützen. Ändert sich während der Verwendung eines der in Absatz 1 genannten Elemente oder ist es nicht mehr aktuell, hat der Betreiber die erforderlichen Schritte zur Aktualisierung zu unternehmen.

Mitteilung an die Marktüberwachungsbehörde (Art. 27 Abs. 3). Sobald die Abschätzung durchgeführt wurde, teilt der Betreiber der Marktüberwachungsbehörde ihre Ergebnisse mit, indem er das ausgefüllte Muster (Abs. 5) als Teil der Mitteilung übermittelt. Eine Befreiung von der Mitteilungspflicht kommt nur im Fall des Art. 46 Abs. 1 in Betracht. Dieser betrifft die Ausnahme vom Konformitätsbewertungsverfahren, die eine Marktüberwachungsbehörde aus außergewöhnlichen Gründen – etwa der öffentlichen Sicherheit oder dem Schutz von Leben und Gesundheit – erteilen kann. Welche Stelle in Deutschland Marktüberwachungsbehörde ist, regelt das nationale Durchführungsrecht (dazu Abschnitt 10).

Muster des KI-Büros (Art. 27 Abs. 5). Das Büro für Künstliche Intelligenz arbeitet ein Muster für einen Fragebogen aus – auch mithilfe eines automatisierten Instruments –, um die Betreiber in die Lage zu versetzen, ihren Pflichten in vereinfachter Weise nachzukommen. Bis ein solches Muster vorliegt, empfiehlt sich eine an den Buchstaben a–f orientierte eigene Dokumentationsvorlage.

FRIA und DSFA werden in der Praxis häufig verwechselt. Sie verfolgen unterschiedliche Schutzrichtungen, überschneiden sich aber inhaltlich. Art. 27 Abs. 4 KI-VO ordnet das Verhältnis ausdrücklich:

„Wird eine der in diesem Artikel festgelegten Pflichten bereits infolge einer gemäß Artikel 35 der Verordnung (EU) 2016/679 oder Artikel 27 der Richtlinie (EU) 2016/680 durchgeführten Datenschutz-Folgenabschätzung erfüllt, so ergänzt die Grundrechte-Folgenabschätzung gemäß Absatz 1 des vorliegenden Artikels diese Datenschutz-Folgenabschätzung."

Die FRIA ergänzt eine bestehende DSFA also – sie ersetzt sie nicht und wird ihrerseits nicht durch sie ersetzt. Wo eine DSFA bereits FRIA-Inhalte abdeckt, müssen diese nicht doppelt erstellt werden; die FRIA fügt das Fehlende hinzu. In der Praxis bietet sich ein integriertes Vorgehen an: ein gemeinsames Verfahren, das beide Pflichtenkataloge abbildet und klar kennzeichnet, welcher Teil welche Pflicht erfüllt.

Vertiefend zur DSFA selbst: siehe die Themenseite Datenschutz-Folgenabschätzung (DSFA); zum allgemeinen Rahmen die Seite KI-Governance an Hochschulen.

Für Hochschulen sind vor allem zwei Anwendungsbereiche des Anhangs III einschlägig. Die folgenden Auflistungen geben den Wortlaut sinngemäß wieder.

Anhang III Nr. 3 – Allgemeine und berufliche Bildung:

• a) KI-Systeme zur Feststellung des Zugangs, der Zulassung oder der Zuweisung natürlicher Personen zu Bildungseinrichtungen aller Ebenen;
• b) KI-Systeme zur Bewertung von Lernergebnissen, auch soweit diese den Lernprozess steuern;
• c) KI-Systeme zur Bewertung des angemessenen Bildungsniveaus, das eine Person erhalten wird oder zu dem sie Zugang erhält;
• d) KI-Systeme zur Überwachung und Erkennung verbotenen Verhaltens von Schülern bei Prüfungen.

Anhang III Nr. 4 – Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit:

• a) KI-Systeme für Einstellung oder Auswahl, insbesondere zum Schalten gezielter Stellenanzeigen, zum Sichten/Filtern von Bewerbungen und zur Bewertung von Bewerbern;
• b) KI-Systeme für Entscheidungen über Bedingungen von Arbeitsverhältnissen, Beförderungen und Kündigungen, für die Aufgabenzuweisung nach Verhalten oder Merkmalen sowie für die Beobachtung und Bewertung von Leistung und Verhalten Beschäftigter.

Mehrere für die Praxis wichtige Fragen klärt nicht die KI-VO selbst, sondern das nationale Durchführungsrecht oder noch ausstehende Dokumente. Vor produktiver Anwendung sind diese Punkte am aktuellen Stand zu prüfen:

• Geltungsbeginn im Fluss (Digital Omnibus on AI): Parlament und Rat haben sich am 7. Mai 2026 vorläufig auf eine Verschiebung der Anhang-III-Betreiberpflichten – einschließlich Art. 27 – auf den 2. Dezember 2027 geeinigt. Maßgeblich wird dies erst mit förmlicher Annahme und Veröffentlichung im Amtsblatt; der aktuelle Stand des Verfahrens ist zu verfolgen.
• Kommissions-Leitlinien zur Hochrisiko-Einstufung (Art. 6 Abs. 5): Seit dem 19. Mai 2026 liegen Entwurfsleitlinien vor (Konsultation bis 23. Juli 2026). Die finale Fassung ist abzuwarten und kann die Einstufung nach Schritt 2/3 konkretisieren.
• Zuständige Marktüberwachungsbehörde in Deutschland: Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG, Gesetzgebungsverfahren 2026) sieht die Bundesnetzagentur als zentrale Marktüberwachungsbehörde vor (mit Koordinierungs- und Kompetenzzentrum, KoKIVO). Vor einer Mitteilung nach Art. 27 Abs. 3 sind Verfahrensstand und Zuständigkeit zu prüfen.
• Muster-Fragebogen des KI-Büros (Art. 27 Abs. 5): Verfügbarkeit und Form sind zu prüfen; bis dahin ist eine eigene, an a–f orientierte Vorlage zu verwenden.
• Durchsetzung und Sanktionen: Die Folgen von Verstößen, insbesondere gegenüber öffentlichen Stellen, richten sich nach den nationalen Regelungen zu Art. 99 KI-VO. Ob und in welchem Umfang Geldbußen gegen öffentliche Stellen vorgesehen sind, bestimmt das nationale Recht.
• Abgrenzung im Einzelfall: Ob ein konkretes System „hochriskant" ist (Anhang III i. V. m. Art. 6 Abs. 2, 3), ist die zentrale Vorfrage und sollte mit Anbieterunterlagen (Art. 13 KI-VO) belegt werden.

Hinweis: Aussagen zur nationalen Umsetzung sind dynamisch. Diese Seite benennt die offenen Punkte bewusst, statt einen vorläufigen Stand als gesichert darzustellen.

Primärrecht (KI-VO, Verordnung (EU) 2024/1689):

• Art. 27 – Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme
• Art. 6 Abs. 2 und 3 i. V. m. Anhang III – Einstufung als Hochrisiko-KI und Abweichungsregel
• Art. 3 – Begriffsbestimmungen (Nr. 1 „KI-System", Nr. 3 „Anbieter", Nr. 4 „Betreiber")
• Art. 13 – Informationen des Anbieters für Betreiber
• Art. 26 Abs. 7 – Information der Beschäftigten beim Einsatz am Arbeitsplatz
• Art. 46 Abs. 1 – Derogationsfall (Ausnahme vom Konformitätsbewertungsverfahren), an den Art. 27 Abs. 3 eine mögliche Ausnahme von der Mitteilungspflicht knüpft
• Art. 6 Abs. 4 i. V. m. Art. 49 Abs. 2 – Dokumentation und Registrierung der „Nicht-Hochrisiko"-Bewertung durch den Anbieter
• Art. 113 – Inkrafttreten und Geltungsbeginn (urspr. 2. August 2026; Anhang III nach dem Digital Omnibus vorauss. 2. Dezember 2027)
• Volltext der KI-VO (EUR-Lex, konsolidierte Amtsblatt-Fassung)
• Entwurf der Kommissions-Leitlinien zur Einstufung von Hochrisiko-KI-Systemen (Art. 6 Abs. 5 KI-VO; Stand 19. Mai 2026, Konsultation bis 23. Juli 2026)

Grundrechte-, Datenschutz- und Hochschulrecht:

• Charta der Grundrechte der EU (GRCh) – Prüfmaßstab der FRIA, insb. Art. 8, 14, 15 und 21; Grundsatz der guten Verwaltung als allgemeiner Rechtsgrundsatz (vgl. Art. 41, der unmittelbar nur Unionsorgane bindet)
• Art. 35 DSGVO – Datenschutz-Folgenabschätzung; Art. 36 DSGVO – vorherige Konsultation
• § 54 Abs. 1 Satz 1 HSG LSA – Rechtsstellung der Hochschulen als Körperschaften des öffentlichen Rechts
• PersVG LSA – mögliche Beteiligungs- und Mitbestimmungsrechte der Personalvertretung

Eigene Themenseiten:

• Datenschutz-Folgenabschätzung (DSFA) – Schwellwertprüfung, Pflichtinhalte, Methodik.
• KI-Governance an Hochschulen – Rollen, Pflichten und Steuerung nach der KI-VO.
• Generative KI in Standard-Software (Schatten-KI) – nachträglich aktivierte KI-Funktionen.