Künstliche Intelligenz ist keine Zukunftsvision mehr, sondern Teil unserer Gegenwart. 

Sie sitzt in Bewerbungsverfahren, Kreditentscheidungen und Sicherheitskontrollen mit am Tisch.

Ab August 2026 bekommt sie nun etwas, das sie bisher kaum kannte: Regeln mit Rückgrat.
Die Europäische Union macht ernst und verlangt, dass KI-Systeme, die tief in das Leben von Menschen eingreifen, erst auf ihre Grundrechtsverträglichkeit geprüft werden. Das Instrument hierfür heißt FRIA (Fundamental Rights Impact Assessment) oder auf deutsch Grundrechte-Folgenabschätzung.

Was nach Bürokratiedeutsch klingt, ist in Wahrheit eine der spannendsten Neuerungen im digitalen Recht. Denn die FRIA soll verhindern, dass Maschinen Entscheidungen treffen, ohne ihre menschlichen Konsequenzen zu verstehen. Sie ist so etwas wie der moralische TÜV für Hochrisiko-KI oder, wenn man so will, Europas Versuch, der künstlichen Intelligenz ein Gewissen zu verpassen.

Was steckt eigentlich hinter der FRIA?

Die FRIA ist in Art. 27 der KI-Verordnung verankert. Sie verpflichtet Betreiberinnen und Betreiber von Hochrisiko-KI-Systemen, vor deren Einsatz zu prüfen, wie sich die Technologie auf die Grundrechte natürlicher Personen auswirken kann.

Nicht jede KI fällt unter diese Pflicht. Erfasst sind nur sogenannte Hochrisiko-Systeme, also solche, die nach der Kategorisierung des AI Act ein hohes Risiko für Gesundheit, Sicherheit oder Grundrechte darstellen. Dazu gehören etwa Systeme zur Kreditwürdigkeitsprüfung, zur Personalauswahl oder zur biometrischen Identifikation.

 Kurz gesagt: 

überall dort, wo Algorithmen über Menschen urteilen, ist Vorsicht geboten.

Die FRIA schaut dabei nicht nur auf Datenschutz und Privatsphäre. 

Sie zielt auf das gesamte Spektrum der Rechte aus der EU-Grundrechtecharta, von der Menschenwürde über Gleichbehandlung bis hin zur Berufsfreiheit und Meinungsfreiheit. Sie erzwingt die Antwort auf die nötige Frage, was das KI-System für die Betroffenen bedeutet.

Wer prüfen muss, bevor die KI loslegt

Verpflichtet zur Durchführung einer FRIA sind die Betreiberinnen und Betreiber von Hochrisiko-KI-Systemen, also diejenigen, die die Systeme tatsächlich anwenden, nicht die, die sie entwickeln.
In der Hierarchie der Verantwortlichkeiten tragen die Betreiber zwar weniger Gewicht als die Anbieter, dennoch stehen an der Schnittstelle zwischen Technik und Realität. Sie entscheiden, wie und wofür die KI eingesetzt wird, und genau deshalb liegt bei ihnen die Verantwortung, die Grundrechte der Endnutzerinnen und Endnutzer zu schützen.

Die Pflicht betrifft vor allem Einrichtungen des öffentlichen Rechts und private Organisationen, die öffentliche Dienstleistungen erbringen. Dazu zählen etwa Schulen, Universitäten, Sozialbehörden oder Gesundheitsdienste, aber auch private Unternehmen, wenn sie KI in solchen Bereichen einsetzen.
Wer also ein in Anhang III des AI Act gelistetes Hochrisiko-System betreibt, kommt an der FRIA nicht vorbei.

Ausgenommen sind nur wenige Systeme, etwa solche, die als Sicherheitsbauteile in der kritischen Infrastruktur dienen, also im Straßenverkehr oder in der Energieversorgung. Für alle anderen gilt: Wer KI in gesellschaftlich sensiblen Feldern einsetzt, muss zeigen, dass sie keine Grundrechte unter die Räder bringt.

Vor dem Einsatz ist nach dem Einsatz

Eine FRIA ist kein einmaliges Ritual, sondern ein fortlaufender Prozess. Hierfür muss sie schon vor der Inbetriebnahme eines Hochrisiko-KI-Systems durchgeführt werden.

Doch dabei bleibt es nicht. Wenn sich eines der Elemente ändert, die der FRIA zugrunde liegen, wie etwa der Einsatzbereich, die Zielgruppe oder die technische Funktionsweise, so muss sie aktualisiert werden. Für die Praxis empfiehlt es sich daher, einen festen Überprüfungszyklus festzulegen, um Veränderungen rechtzeitig zu erkennen.

Zwar haben Anbieter solcher Systeme bereits eigene Risikobewertungen vorgenommen, bevor das Produkt überhaupt auf den Markt gelangt. Der entscheidende Unterschied liegt aber im Anwendungsfall. Viele Risiken entstehen erst, wenn das System in einem konkreten Umfeld eingesetzt wird. Genau hier setzt die FRIA an. Sie soll sicherstellen, dass Betreiber nicht einfach die Bewertungen der Hersteller übernehmen, sondern selbst prüfen, welche Gefahren in ihrem spezifischen Kontext auftreten können.

Die FRIA begleitet die KI durch ihren Lebenszyklus. Sie ist keine Hürde, sondern ein Kompass, der hilft, auf Kurs zu bleiben, wenn sich Technologie und Gesellschaft verändern.

Was gehört in eine gute FRIA?

Eine FRIA folgt keinem festen Schema, sondern einem klaren Prinzip: verstehen, bewerten, vorbeugen. Sie beginnt mit einer Beschreibung des Systems. Was macht die KI, wo wird sie eingesetzt und welche Menschen sind betroffen?

Darauf folgt die Analyse der Risiken. Welche Grundrechte könnten beeinträchtigt werden, wie schwer wiegen die möglichen Folgen und welche Schutzmaßnahmen sind nötig?

Im nächsten Schritt müssen Betreiberinnen und Betreiber zeigen, wie sie diese Risiken verringern wollen. Dazu gehören menschliche Aufsicht, klare Informationswege, Sicherheitsvorkehrungen oder Beschwerdemöglichkeiten. Die Ergebnisse werden sorgfältig dokumentiert und können von der Aufsichtsbehörde angefordert werden.

Wie die Folgenabschätzung konkret aufgebaut wird, bleibt den Verantwortlichen überlassen. Wichtig ist, dass sie nachvollziehbar und überprüfbar bleibt.

Ganz ohne Aufsicht bleibt die FRIA aber nicht. Das Ergebnis muss der zuständigen Marktüberwachungsbehörde gemeldet werden. Dafür plant die EU-Kommission ein Büro für Künstliche Intelligenz, das einen Musterfragebogen entwickelt. Dieser soll nicht nur der Berichterstattung dienen, sondern auch als Leitfaden, um FRIAs europaweit vergleichbar zu machen.

Die externe Meldung schafft Transparenz und stärkt das Vertrauen. Sie verhindert, dass Unternehmen allein über die Angemessenheit ihrer Schutzmaßnahmen entscheiden. Welche Behörde in Deutschland künftig dafür zuständig sein wird, ist jedoch noch offen.

Doppelter Sicherheitsgurt für die KI

Wer die Datenschutz-Folgenabschätzung aus der DSGVO kennt, wird vieles wieder erkennen. Beide Verfahren folgen demselben Prinzip, nur mit unterschiedlichem Blickwinkel. Die DSFA schützt den Menschen hinter Daten, die FRIA schützt Menschen quasi direkt.

Nach Art. 27 Abs. 4 der KI-Verordnung kann eine DSFA eine FRIA nicht ersetzen. Sie wird ausdrücklich als ergänzendes Instrument verstanden. Während die DSFA vor allem datenschutzrechtliche Risiken adressiert, zielt die Grundrechte-Folgenabschätzung auf ein breiteres Spektrum möglicher Grundrechtsbeeinträchtigungen ab. Sie berücksichtigt nicht nur den Schutz personenbezogener Daten, sondern auch Rechte wie die Nichtdiskriminierung, die Meinungsfreiheit oder das Recht auf ein faires Verfahren.

In der Praxis überschneiden sich beide Verfahren oft. Um doppelte Arbeit zu vermeiden, lohnt sich ein integrierter Ansatz. Die Datenschutz-Folgenabschätzung liefert hierfür die datenschutzrechtliche Tiefe, die Grundrechte Folgenabschätzung ergänzt sie um die grundrechtliche Breite. Zusammen bilden sie den doppelten Sicherheitsgurt, der Fortschritt an Verantwortung bindet.

Mehr als eine Pflicht: Warum die FRIA Europa Regeln mit Rückgrat gibt

Die Grundrechte Folgenabschätzung kostet Zeit, aber sie ist gut investiert. Denn sie sorgt dafür, dass Künstliche Intelligenz nicht ohne Kontrolle agiert, sondern innerhalb klarer Grenzen bleibt. Sie schafft Sicherheit in einem Bereich, in dem Entscheidungen oft unsichtbar getroffen werden, und macht deutlich, dass Regeln nicht lähmen, sondern schützen.

Die FRIA ist mehr als ein weiterer Artikel im europäischen Regelwerk. Sie ist ein System mit Rückgrat, das Innovation ermöglicht, ohne Verantwortung aus den Augen zu verlieren. Sie zeigt, dass Europa nicht nur Gesetze schreibt, sondern Leitplanken setzt, an denen sich Technik und Ethik begegnen können.

Vor dem Einsatz prüfen heißt am Ende: erst absichern, dann handeln. Es erinnert uns daran, dass Fortschritt nicht in Geschwindigkeit, sondern in Verantwortung gemessen wird.