01Pflichtkreis — wer muss eine FRIA durchführen
Art. 27 Abs. 1 nennt drei Deployer-Gruppen explizit: (a) Einrichtungen des öffentlichen Rechts; (b) private Einrichtungen, die öffentliche Dienstleistungen erbringen; (c) Deployer von Hochrisiko-KI-Systemen nach Annex III Nr. 5 (Punktebewertung von Kreditwürdigkeit), Annex III Nr. 5(c) (Risikobewertung und Preisgestaltung in Lebens- und Krankenversicherung) — was Versicherer ausdrücklich erfasst [1].
Für Versicherer in der Praxis 2026: Jedes KI-System, das eine Underwriting-Entscheidung, eine Pricing-Entscheidung oder eine Claims-Entscheidung über eine natürliche Person produziert, ist ein FRIA-pflichtiges System — sofern es ein Hochrisiko-System nach Annex III ist. Die FRIA muss vor Inbetriebnahme abgeschlossen sein; eine nachträgliche Durchführung erfüllt Art. 27 nicht.
02Inhalt der FRIA (Art. 27 Abs. 1 lit. a–g)
Art. 27 listet sieben Mindestbestandteile: (a) Beschreibung des Deployment-Kontexts und der intended-purpose-Konformität; (b) Beschreibung der zeitlichen Frequenz und Dauer; (c) Kategorien natürlicher Personen, die wahrscheinlich betroffen sind; (d) spezifische Risiken für deren Grundrechte; (e) Beschreibung der menschlichen Aufsichtsmaßnahmen; (f) Beschreibung der Maßnahmen zur Risikominderung — einschließlich interner Governance und Beschwerdemechanismen; (g) Schadensanzeige- und Eskalations-Wege [1].
03Notifikation an die Marktüberwachung
Art. 27 Abs. 3 verlangt, der zuständigen nationalen Marktüberwachungsbehörde die Ergebnisse der FRIA mitzuteilen — mittels eines ausgefüllten Templates, das das EU-Büro für Künstliche Intelligenz nach Art. 27 Abs. 5 entwickeln soll [2]. Dieses offizielle Template ist Stand Mitte 2026 noch nicht veröffentlicht; Deployer arbeiten bis dahin mit eigenen Strukturen, müssen aber damit rechnen, ihre FRIA später in das offizielle Format zu überführen. Eine Inspektion 2026 prüft, ob die FRIA-Ergebnisse überhaupt notifiziert wurden.
04Lebenszyklus — wann eine neue FRIA fällig wird
Die FRIA ist kein Einmal-Akt: Da sie an einen konkreten Deployment-Kontext anknüpft (Art. 27 Abs. 1), zwingen wesentliche Änderungen dieses Kontexts — neue demografische Zielgruppe, neue Pricing-Tarife, geänderte Datenquelle, materielle Modell-Anpassung — zu einer erneuten Prüfung und ggf. Aktualisierung [1]. Versicherer mit aktivem ML-Tuning sollten die Re-FRIA-Frequenz in ihre Governance-Routine aufnehmen. EIOPAs Opinion zu KI-Governance und Risikomanagement vom August 2025 klammert die Hochrisiko-Systeme des AI Act bewusst aus, unterstreicht aber allgemein die laufende KI-Risiko-Governance [3].
05FRIA vs. DSGVO-DPIA — zwei eigenständige Pflichten
Die DSGVO-DPIA (Art. 35 DSGVO) prüft das Risiko der Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen — primär datenschutzfokussiert. Die FRIA prüft die Auswirkungen des KI-Einsatzes auf alle Grundrechte aus der EU-Grundrechtecharta — also breiter, einschließlich Diskriminierungsverbot, Menschenwürde, Versammlungsfreiheit. Beide Pflichten gelten parallel; Inspektionen 2026 prüfen die Konsistenz zwischen DSGVO-DPIA und FRIA für dasselbe KI-System [4].
Quellen
Jede zitierte Aussage führt zur Primärquelle. Externe Links öffnen in einem neuen Tab.
- [1]Verordnung (EU) 2024/1689 (AI Act) — Volltext auf EUR-Lex
- [2]Europäische Kommission — Regulatorischer Rahmen für KI (Art. 27 FRIA; Template nach Art. 27 Abs. 5)
- [3]EIOPA — Opinion zu KI-Governance und Risikomanagement (EIOPA-BoS-25-360, 6. August 2025)
- [4]DSGVO Art. 35 — Datenschutz-Folgenabschätzung (EUR-Lex)