Was die FRIA ist
Art. 27 EU AI Act verlangt vor dem Einsatz bestimmter Hochrisiko-KI-Systeme eine Bewertung der Auswirkungen auf Grundrechte. Die FRIA ergänzt eine Datenschutz-Folgenabschätzung, ersetzt sie aber nicht automatisch.
Wer im Finanzsektor besonders betroffen ist
Art. 27 erfasst insbesondere Betreiber von Hochrisiko-KI-Systemen nach Annex III 5(b) und 5(c). Für Banken und Versicherungen bedeutet das: Die FRIA-Frage ist besonders bei Kreditwürdigkeitsbewertung natürlicher Personen sowie bei Risikobewertung und Preisbildung in Lebens- und Krankenversicherung zu prüfen.
| Annex III | Bereich | Typische Systeme |
|---|---|---|
| 5(b) | Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen | KI-gestützte Kreditwürdigkeitsbewertung natürlicher Personen, Bonitäts-Scoring, Entscheidungsvorbereitung bei Kreditanträgen |
| 5(c) | Lebens- und Krankenversicherung | KI-gestützte Risikobewertung und Preisbildung für natürliche Personen |
| 4 | Beschäftigung | HR-KI ist hochrisikorelevant; eine FRIA-Pflicht für private Finanzinstitute ist aber gesondert anhand Art. 27 zu prüfen. |
Pflichtinhalte nach Art. 27
- Beschreibung der Prozesse, in denen das KI-System verwendet wird
- Nutzungsdauer und Nutzungshäufigkeit
- Kategorien betroffener natürlicher Personen und Gruppen
- spezifische Risiken für Grundrechte im konkreten Kontext
- Maßnahmen zur menschlichen Aufsicht
- Maßnahmen für den Fall einer Risikoverwirklichung
- nach Durchführung: Meldung der Ergebnisse an die Marktüberwachungsbehörde mit dem vorgesehenen Template, soweit keine Ausnahme greift
Grundrechte mit Finanzsektor-Relevanz
| Grundrecht | Typische Relevanz |
|---|---|
| Diskriminierungsverbot | Bias in Kredit, Pricing, Underwriting oder HR-Prozessen |
| Schutz personenbezogener Daten | Finanzdaten, Gesundheitsdaten, Bonitätsdaten und Profiling |
| Recht auf wirksamen Rechtsbehelf | Nachvollziehbarkeit und Anfechtbarkeit KI-gestützter Entscheidungen |
| Menschenwürde und faire Behandlung | Vermeidung entwürdigender oder vollständig unkontrollierter Entscheidungen |
FRIA und DSFA koordinieren
Wenn personenbezogene Daten verarbeitet werden und ein hohes Risiko für Betroffene besteht, ist zusätzlich die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zu prüfen. Art. 27 EU AI Act sieht ausdrücklich vor, dass die FRIA eine DSFA ergänzen kann. Praktisch sinnvoll ist ein gemeinsamer Analyseprozess mit getrennt nachvollziehbaren Ergebnissen.
Wann die FRIA erstellt wird
Die FRIA ist vor dem ersten Einsatz des relevanten Hochrisiko-KI-Systems durchzuführen und zu aktualisieren, wenn sich wesentliche Elemente ändern oder nicht mehr aktuell sind. Für bereits laufende Systeme sollte die Nachholung in die AI-Governance-Roadmap aufgenommen werden.