EU-AI-Act-Compliance

Schliessen Sie Ihre FRIA nach Artikel 27 in Tagen ab, nicht in Monaten , ohne ein weiteres Tool einzuführen

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine Schweizer GRC-Plattform, mit der Betreiber strukturierte Grundrechte-Folgenabschätzungen nach Artikel 27 zusammen mit DSFA und TIA durchführen können.

Führen Sie strukturierte, prüfsichere Grundrechte-Folgenabschätzungen in der Plattform durch, in der Sie bereits Ihre DSFA und TIA verwalten.

Kostenlose 30-minütige Demo buchen

Erleben Sie den FRIA-Workflow live. Ganz ohne Verpflichtung.

ISO 27001 zertifiziert SOC 2 Type II DSGVO-konform Schweizer Daten-Hosting

"Priverion hat unseren Compliance-Verwaltungsaufwand in den ersten sechs Monaten um 60 % reduziert. Endlich haben wir konzernweite Transparenz über alle Tochtergesellschaften, ohne Tabellen hinterherzujagen."

Leiter Datenschutz, Flugzeughersteller

200+ eingesparte Stunden pro Organisation 100% Rezertifizierung des Verarbeitungsverzeichnisses bei AXA 50+ verwaltete Konzerneinheiten
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
So handhabt Priverion die FRIA

Führen Sie Ihre Grundrechte-Folgenabschätzung in derselben Plattform durch, in der Sie DSFA, TIA und Ihr Verarbeitungsverzeichnis verwalten

Sechs Funktionen, konzipiert für Organisationen mit mehreren Konzerneinheiten, die strukturierte, prüfbare FRIA-Workflows benötigen , und kein weiteres Insellösungs-Tool.

Strukturierter FRIA-Workflow ausgerichtet auf Artikel 27

Eine geführte, Schritt-für-Schritt-Beurteilungsvorlage bildet die Anforderungen von Artikel 27 direkt ab. Jedes Pflichtelement , Prozesse des Betreibers, betroffene Gruppen, spezifische Risiken für die Grundrechte, Massnahmen zur menschlichen Aufsicht, Eskalationspläne , wird in strukturierten Feldern erfasst, nicht im Freitext-Chaos.

Ergebnis: Vollständige, konsistente Beurteilungen über jede Konzerneinheit , jedes Mal.

Basierend auf der Zuordnung der Pflichtelemente von EU AI Act Artikel 27

Erkenntnisse aus bestehenden DSFA und TIA wiederverwenden

Haben Sie für eine KI-bezogene Verarbeitungstätigkeit bereits eine DSFA oder TIA durchgeführt? Relevante Daten , Verarbeitungszwecke, Datenkategorien, Risikobewertungen, Schutzmassnahmen , können innerhalb der FRIA referenziert oder verknüpft werden. Keine doppelte Dateneingabe. Keine widersprüchliche Dokumentation. Eine einzige Quelle der Wahrheit.

Ergebnis: Wachsender Mehrwert aus Ihrer bestehenden Compliance-Arbeit in Priverion.

Integrierte Plattformfunktion , verfügbar für alle Priverion-Kunden

Rollout über mehrere Konzerneinheiten mit zentraler Aufsicht

Rollen Sie den FRIA-Workflow über alle Konzerneinheiten hinweg aus einer einzigen Administrationsansicht aus. Weisen Sie lokalen Datenschutzbeauftragten oder KI-Governance-Verantwortlichen die Verantwortung zu. Verfolgen Sie den Bearbeitungsstand, kennzeichnen Sie überfällige Beurteilungen und erstellen Sie konzernweite Reportings , genau so, wie Sie heute schon die Rezertifizierung Ihres Verarbeitungsverzeichnisses verwalten.

Ergebnis: Konzernweite Transparenz, ohne den Tochtergesellschaften hinterherzulaufen.

Spiegelt den Multi-Entity-Workflow für das Verarbeitungsverzeichnis wider, den Kunden wie ein Flugzeughersteller nutzen

Automatisierte Rezertifizierungs- und Überprüfungszyklen

Der EU AI Act verlangt, dass FRIA aktualisiert werden, wenn sich die Bedingungen ändern. Legen Sie Rezertifizierungspläne fest, lösen Sie Neubewertungen aus, wenn ein KI-System aktualisiert oder neu eingesetzt wird, und führen Sie eine vollständige Versionshistorie. Jede Änderung wird mit Zeitstempel versehen und ist zuordenbar , keine veralteten Beurteilungen, die sich in geteilten Laufwerken verstecken.

Ergebnis: Rezertifizierungs-Compliance auf Autopilot.

AXA erreichte mit derselben Automatisierungs-Engine eine Rezertifizierungsquote von 100 % beim Verarbeitungsverzeichnis

Prüfsichere Dokumentation und Export

Erstellen Sie PDF- oder strukturierte Exporte jeder FRIA zur Vorlage bei Aufsichtsbehörden, internen Revisionsausschüssen oder KI-Governance-Gremien. Jede Beurteilung enthält einen vollständigen Audit-Trail , wer sie erstellt, geprüft und genehmigt hat und wann. In Minuten erstellt, nicht in Wochen.

Ergebnis: 100 % Audit-Trail-Abdeckung ohne Dokumentationslücken.

Medtec sparte mit Priverions Export-Workflows über 200 Stunden bei der ISO-27001-Vorbereitung

Konsultations-Workflow für betroffene Gruppen

Artikel 27 verlangt, dass Betreiber gegebenenfalls betroffene Gruppen oder ihre Vertretungen konsultieren. Dokumentieren Sie, wer konsultiert wurde, welche Rückmeldungen eingegangen sind und wie diese in die Beurteilung eingeflossen sind. Dies ist das Element, das die meisten Organisationen übersehen werden , und das, welches die Regulierungsbehörden zuerst genau prüfen werden.

Ergebnis: Belastbare Konsultationsnachweise, die einer behördlichen Prüfung standhalten.

Basierend auf den Konsultationsanforderungen von EU AI Act Artikel 27(1)(c)

Demo buchen und alles in Aktion erleben

200+

Eingesparte Stunden bei der Compliance-Dokumentation

Medtec sparte mit Priverions automatisierten Dokumentations-Workflows über 200 Stunden bei der Vorbereitung auf die ISO-27001-Zertifizierung , Zeit, die zuvor für das manuelle Zusammentragen von Nachweisen über alle Abteilungen hinweg aufgewendet wurde.

60%

Geringere Kosten im Vergleich zu etablierten Enterprise-Plattformen

Basierend auf Priverions Preismodell pro Unternehmen im Vergleich zu Enterprise-Preisstrukturen pro Nutzer und pro Modul. Keine Expansionsfallen , planbare Kosten, während Ihr Konzern wächst.

3 Mt.

Vorsprung beim Stand der ISO-27001-Bereitschaft

Medtec beschleunigte seine ISO-27001-Vorbereitung mit Priverions prüfsicheren Nachweispaketen und automatisierter Compliance-Dokumentation um drei Monate.

Basierend auf von Kunden gemeldeten Ergebnissen, Q1 2025

Priverion vs. OneTrust

Warum mittelständische Unternehmen den Wechsel vollziehen

OneTrust bedient Fortune-500-Organisationen mit breiterem GRC-Umfang und dedizierten Datenschutzteams. Priverion wurde für Organisationen entwickelt, die Compliance auf Enterprise-Niveau ohne den Enterprise-Overhead benötigen.

Mit Priverion

Schweizer Datensouveränität, garantiert

Alle Daten werden ausschliesslich innerhalb der Schweizer Infrastruktur verarbeitet und gespeichert. In einer Welt nach Schrems II ist das keine Präferenz . es ist eine rechtliche Absicherung für grenzüberschreitende Übermittlungen. Keine Anwendbarkeit des US CLOUD Act (18 U.S.C. §2713), kein Datenrouting durch Nicht-EU-Jurisdiktionen.

In Wochen einsatzbereit, nicht in Quartalen

Eine klare, intuitive Oberfläche, die Datenschutzbeauftragte und Verantwortliche der Geschäftsbereiche tatsächlich nutzen , ohne ein sechsstelliges Implementierungsprojekt oder ein dediziertes Admin-Team, das den Betrieb am Laufen hält.

Planbare Preise, die mit Ihnen mitwachsen

Bepreist nach Anzahl der Unternehmen und Organisationsgrösse , nicht pro Nutzer oder pro Modul. Keine überraschenden Rechnungen, wenn Sie eine Tochtergesellschaft hinzufügen oder ein neues Teammitglied onboarden.

Eine Plattform für Ihr gesamtes Datenschutzprogramm

Verarbeitungsverzeichnis, DSFA, Lieferantenbewertungen, Bearbeitung von Betroffenenanfragen, Incident-Management, KI-Governance , alles in einer einzigen Plattform mit konzernweiter Transparenz über jede Konzerneinheit und Jurisdiktion.

Europäische Datenhaltung als Standard

Kein Zusatzpaket. Keine vertragliche Behelfslösung. Schweizer Hosting und europäische Datenhaltung sind die Voreinstellung, untermauert von einem der stärksten Datenschutzrechtsrahmen der Welt.

Häufige Frustrationen mit OneTrust

US-gehostet, US-Hauptsitz

Unterliegt dem US CLOUD Act und FISA 702. Optionen für europäische Datenhaltung gibt es, sie erfordern jedoch spezifische vertragliche Vereinbarungen und Zusatzpakete , und die Muttergesellschaft bleibt der US-Jurisdiktion unterstellt.

Implementierung in Monaten gemessen

Komplexe Konfiguration, steile Lernkurve und Funktionsüberladung, die mittelständische Teams überfordert. Viele Organisationen berichten, dass sie dedizierte Administratoren oder externe Berater benötigen, allein um die Plattform zu betreiben.

Preise pro Modul summieren sich schnell

Sie benötigen Lieferantenrisikomanagement? Das ist ein weiteres Modul. DSFA-Automatisierung? Eine weitere Position. Gebühren pro Nutzer bedeuten, dass die Kosten jedes Mal steigen, wenn Ihr Team wächst. Mittelständische Organisationen zahlen am Ende oft Enterprise-Preise für Funktionen, die sie nur teilweise nutzen.

Für alles gebaut, für weniger optimiert

OneTrust deckt ESG, Ethik, Cookie-Einwilligung und mehr ab , eine enorme Bandbreite. Wenn Ihr Kernbedarf das Management Ihres Datenschutzprogramms über mehrere Konzerneinheiten hinweg ist, wird die umgebende Komplexität zum Overhead, nicht zum Mehrwert.

Datenhaltung als Upsell

Europäisches Hosting ist verfügbar , erfordert aber oft Verhandlungen, Vertragsänderungen oder Premium-Pakete. Für Organisationen, bei denen die Datenhaltung nicht verhandelbar ist, sollte sie der Ausgangspunkt sein, nicht ein Upsell-Gespräch.

60 % weniger Compliance-Verwaltungsaufwand

Ein Flugzeughersteller wechselte von tabellenbasierter Compliance zur automatisierten Rezertifizierung über mehrere Tochtergesellschaften hinweg , und sein Datenschutzbeauftragter konnte sich wieder strategischen Aufgaben widmen.

Flugzeughersteller , erste 6 Monate nach der Implementierung

Ehrlicher Hinweis: Wir decken weder ESG, Ethik-Hotlines noch Cookie-Einwilligung ab. Wenn Sie das benötigen, ist OneTrust möglicherweise die richtige Wahl. Unsere Stärke ist das konzernweite Management von Datenschutzprogrammen , und darin gehen wir tiefer als alle anderen.

Kostenloser Leitfaden . PDF-Download

Der Praxisleitfaden für Datenschutzbeauftragte zu Grundrechte-Folgenabschätzungen nach dem EU AI Act

Die meisten Organisationen, die Hochrisiko-KI-Systeme einsetzen, wissen, dass sie eine FRIA benötigen , aber nur wenige verfügen über einen wiederholbaren Prozess, der die Anforderungen von Artikel 27 erfüllt. Dieser 18-seitige Leitfaden schliesst die Lücke zwischen Gesetzestext und operativer Realität.

Das erhalten Sie:

  • Eine Schritt-für-Schritt-FRIA-Methodik, die direkt auf die Anforderungen von Artikel 27 abgestimmt ist , einschliesslich der Frage, welche Hochrisiko-KI-Kategorien verpflichtende Beurteilungen auslösen
  • Einsatzbereite Vorlagen zur Dokumentation der Verhältnismässigkeitsanalyse, der Identifikation betroffener Gruppen und der Minderungsmassnahmen, die Aufsichtsbehörden erwarten
  • Wie Sie Ihren bestehenden DSFA-Workflow mit FRIA-Pflichten verbinden , um doppelte Arbeit über DSGVO- und AI-Act-Compliance hinweg zu vermeiden
  • Eine Koordinations-Checkliste für mehrere Konzerneinheiten für Organisationen, die Hochrisiko-KI-Systeme über Tochtergesellschaften in verschiedenen EU-Mitgliedstaaten betreiben

Verfasst von Datenschutzpraktikern, die FRIA in Organisationen mit mehreren Tochtergesellschaften umgesetzt haben , nicht von Juristen, die für andere Juristen schreiben.

Laden Sie Ihr Exemplar herunter

Holen Sie sich den Leitfaden, der die Pflichten aus Artikel 27 in einen klaren, wiederholbaren Prozess für Ihr Datenschutzteam verwandelt.

Kostenloses PDF. Keine Demo erforderlich. Wir senden es an Ihren Posteingang.

Häufige Fragen

Was Datenschutzbeauftragte und Compliance-Verantwortliche vor dem Start fragen

Klare Antworten , kein Verkaufsgerede.

Wer muss tatsächlich eine Grundrechte-Folgenabschätzung durchführen?

Artikel 27 des EU AI Act verlangt von Betreibern von Hochrisiko-KI-Systemen, die Auswirkungen auf die Grundrechte zu beurteilen, bevor das System in Betrieb genommen wird. Dies gilt für Organisationen, die Hochrisiko-KI einsetzen , nicht nur entwickeln , in Bereichen wie Beschäftigung, Kreditwürdigkeit, Strafverfolgung und öffentlichen Dienstleistungen. Wenn Ihre Organisation KI-Systeme nutzt, die nach Anhang III als hochriskant eingestuft sind, benötigen Sie wahrscheinlich eine FRIA.

Worin unterscheidet sich eine FRIA von einer DSFA?

Eine DSFA nach DSGVO konzentriert sich auf die Datenschutzrisiken für Einzelpersonen, die aus einer bestimmten Verarbeitungstätigkeit entstehen. Eine FRIA nach dem EU AI Act beurteilt umfassendere Auswirkungen auf die Grundrechte , Nichtdiskriminierung, Meinungsfreiheit, Menschenwürde, Zugang zur Justiz , die durch den Einsatz von Hochrisiko-KI-Systemen verursacht werden. Es gibt Überschneidungen, besonders beim Datenschutz, aber die FRIA hat einen breiteren Anwendungsbereich. Mit Priverion können Sie bestehende DSFA-Daten innerhalb Ihrer FRIA referenzieren, sodass Sie keine doppelte Arbeit leisten.

Kann Priverion auf über 50 Konzerneinheiten in verschiedenen Jurisdiktionen skalieren?

Ja. Das Management über mehrere Konzerneinheiten und Jurisdiktionen hinweg ist unser zentrales Designprinzip , kein nachträglicher Gedanke. Sie können FRIA-Workflows über alle Konzerneinheiten hinweg aus einer zentralen Administrationsansicht ausrollen, lokale Verantwortliche zuweisen, den Bearbeitungsstand verfolgen und konzernweite Reportings erstellen. Dies ist dieselbe Architektur, die Kunden wie ein Flugzeughersteller für die Rezertifizierung des Verarbeitungsverzeichnisses über ihre Tochtergesellschaften hinweg nutzen.

Wird KI im FRIA-Prozess eingesetzt? Ist das für die Compliance sicher?

Priverion bietet KI-gestützte Entwürfe und Risikobewertung, um die FRIA-Bearbeitung zu beschleunigen , aber jede KI-Ausgabe wird von einem Menschen geprüft, bevor sie zu einem Compliance-Nachweis wird. Alle Daten werden innerhalb der Schweizer Infrastruktur verarbeitet. Es werden keine Kundendaten für das Modelltraining verwendet. KI unterstützt die Entscheidungen Ihres Teams; sie ersetzt sie nie.

Wir nutzen bereits OneTrust. Wie aufwendig ist der Wechsel?

Die meisten mittelständischen Organisationen sind in Priverion innerhalb von Wochen einsatzbereit, nicht in Monaten. Wir unterstützen eine strukturierte Datenmigration aus bestehenden Tools und bieten ein praxisnahes Onboarding. Der typische Schmerzpunkt beim Wechsel ist nicht technischer Natur . es ist die Erleichterung, endlich eine Plattform zu haben, die Ihrem tatsächlichen Komplexitätsgrad entspricht, statt Sie mit Funktionen zu überfordern, die für Fortune-500-Anwendungsfälle gebaut wurden.

Was ist, wenn wir auch Module für Cookie-Einwilligung oder ESG benötigen?

Diese decken wir nicht ab , und damit gehen wir offen um. Priverion ist eigens für das Management von Datenschutzprogrammen entwickelt: Verarbeitungsverzeichnis, DSFA, TIA, FRIA, Lieferantenrisiko, Bearbeitung von Betroffenenanfragen, Incident-Management und KI-Governance. Wenn Sie ESG, Ethik-Hotlines oder Cookie-Einwilligung benötigen, brauchen Sie dafür eine separate Lösung. Unsere Stärke ist, beim konzernweiten Datenschutzmanagement tiefer zu gehen als jede Plattform, die versucht, alles abzudecken.

Schluss mit Datenschutz in Tabellen.
Verwalten Sie ihn richtig.

Ein Flugzeughersteller reduzierte den Compliance-Verwaltungsaufwand in sechs Monaten um 60 %. AXA erreichte 100 % Rezertifizierung des Verarbeitungsverzeichnisses , vollständig automatisiert. Medtec sparte über 200 Stunden bei der Vorbereitung auf ISO 27001.

In 30 Minuten zeigen wir Ihnen genau, wie konzernweites Datenschutzmanagement funktioniert, wenn es für die Komplexität mehrerer Konzerneinheiten gebaut ist , mit Schweizer Datensouveränität, KI-gestützten Workflows und Preisen, die Sie nicht für Ihr Wachstum bestrafen.

Kostenlose 30-minütige Demo buchen

Kein Verkaufsgespräch. Keine 12-monatige Verpflichtung erforderlich. Nur ein klarer Blick darauf, was sich ändert.

Wochen

Zeit bis zum Go-live , nicht Monate

50+

Konzerneinheiten in einer einzigen Plattform verwaltet

100%

Schweizer Datensouveränität durch Hosting

Über diese Seite — Quellen, Definitionen und FAQ

Das Wichtigste auf einen Blick — Grundrechte-Folgenabschätzung nach dem EU AI Act

Artikel 27 des EU AI Act (Verordnung 2024/1689) verlangt von Betreibern von Hochrisiko-KI-Systemen, eine Grundrechte-Folgenabschätzung (FRIA) durchzuführen, bevor sie diese Systeme in Betrieb nehmen. Die Pflicht tritt am 02.08.2026 in Kraft und gilt für öffentlich-rechtliche Einrichtungen, private Betreiber, die öffentliche Dienstleistungen erbringen, sowie Betreiber von Hochrisiko-Systemen nach Anhang III wie Kreditbewertung und Versicherungsprämienkalkulation. Priverion stellt einen strukturierten, in der Schweiz gehosteten Workflow bereit, der die Pflichtelemente von Artikel 27 direkt abbildet — Prozesse des Betreibers, betroffene Gruppen, spezifische Grundrechtsrisiken, Massnahmen zur menschlichen Aufsicht und Konsultationsnachweise — innerhalb derselben Plattform, die für DSFA, TIA und das Management des Verarbeitungsverzeichnisses genutzt wird.

Definitionen

Was ist eine Grundrechte-Folgenabschätzung (FRIA)?

Eine Grundrechte-Folgenabschätzung (FRIA) ist eine strukturierte Bewertung, die durch Artikel 27 des EU AI Act (Verordnung 2024/1689) vorgeschrieben ist und von Betreibern von Hochrisiko-KI-Systemen verlangt, die möglichen Auswirkungen auf die Grundrechte — einschliesslich Nichtdiskriminierung, Privatsphäre, Menschenwürde und Zugang zu wesentlichen Dienstleistungen — zu beurteilen, bevor das System in Betrieb genommen wird.

Was ist ein Hochrisiko-KI-System nach dem EU AI Act?

Ein Hochrisiko-KI-System ist ein KI-System, das in Anhang III des EU AI Act aufgeführt ist oder in ein Produkt eingebettet ist, das unter die Harmonisierungsrechtsvorschriften der Union nach Anhang I fällt. Zu den Kategorien gehören biometrische Identifizierung, Verwaltung kritischer Infrastrukturen, allgemeine und berufliche Bildung, Beschäftigung und Personalverwaltung, Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen (einschliesslich Kreditbewertung und Versicherung), Strafverfolgung, Migration und Grenzkontrolle sowie Rechtspflege. Die vollständige Liste finden Sie in Anhang III des EU AI Act.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Artikel 35 DSGVO erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Während sich eine DSFA auf Datenschutzrisiken konzentriert, deckt eine FRIA eine breitere Reihe von Grundrechten ab.

Statistiken und Kontext

Laut dem IAPP-EY Privacy Governance Report 2023 berichteten 60 % der Organisationen, dass ihre Datenschutzteams nun auch für die KI-Governance verantwortlich sind. Die Folgenabschätzung der Europäischen Kommission zum AI Act schätzte, dass die Compliance-Kosten für Hochrisiko-KI-Systeme zwischen 6'000 € und 7'000 € pro System für Konformitätsbewertungen liegen, wobei die laufende Überwachung weitere Kosten verursacht. Ein ENISA-Bericht zur KI-Cybersicherheit aus dem Jahr 2024 (ENISA report on AI cybersecurity) betonte, dass Organisationen, die KI in kritischen Sektoren einsetzen, Grundrechte-Beurteilungen in ihre umfassenderen Risikomanagement-Rahmen integrieren müssen.

Die EDSA-Leitlinien 07/2024 zum Zusammenspiel von DSGVO und AI Act stellen klar, dass dort, wo ein KI-System personenbezogene Daten verarbeitet, sowohl eine DSFA als auch eine FRIA erforderlich sein können und Organisationen diese Beurteilungen koordinieren sollten, um Doppelarbeit zu vermeiden.

FRIA vs. DSFA — Vergleich

DimensionFRIA (EU AI Act Art. 27)DSFA (DSGVO Art. 35)
RechtsgrundlageEU AI Act Verordnung 2024/1689DSGVO Artikel 35
Umfang der beurteilten RechteBreite Grundrechte: Nichtdiskriminierung, Würde, Meinungsfreiheit, Zugang zu DienstleistungenDatenschutz- und Privatsphärerechte
AuslöserEinsatz eines Hochrisiko-KI-Systems (Anhang III) durch erfasste BetreiberVerarbeitung, die voraussichtlich ein hohes Risiko für betroffene Personen zur Folge hat
KonsultationsanforderungBetroffene Gruppen oder ihre Vertretungen (Art. 27(1)(c))Beratung durch Datenschutzbeauftragten; Aufsichtsbehörde bei hohem Restrisiko
AktualisierungspflichtWenn sich die Bedingungen ändern oder das System aktualisiert/neu eingesetzt wirdWenn sich Art, Umfang, Kontext oder Zwecke ändern
Geltungsbeginn02.08.202625.05.2018 (in Kraft)

Häufig gestellte Fragen

Was ist eine Grundrechte-Folgenabschätzung (FRIA) gemäss EU AI Act?

Eine Grundrechte-Folgenabschätzung (FRIA) ist eine verpflichtende Bewertung, die nach Artikel 27 des EU AI Act erforderlich ist. Betreiber von Hochrisiko-KI-Systemen müssen die Auswirkungen auf die Grundrechte — einschliesslich Nichtdiskriminierung, Privatsphäre, Meinungsfreiheit und Menschenwürde — beurteilen, bevor das System in Betrieb genommen wird. Die Beurteilung muss betroffene Gruppen, spezifische Risiken, Massnahmen zur menschlichen Aufsicht sowie die Konsultation betroffener Parteien dokumentieren.

Wer ist gemäss Artikel 27 verpflichtet, eine FRIA durchzuführen?

Nach Artikel 27 müssen Betreiber, die öffentlich-rechtliche Einrichtungen sind, private Betreiber, die öffentliche Dienstleistungen erbringen, sowie Betreiber bestimmter Hochrisiko-KI-Systeme nach Anhang III (wie Kreditbewertung, Versicherungsprämienkalkulation und Anwendungen in der Strafverfolgung) vor der Erstnutzung eine FRIA durchführen. Die Pflicht gilt ab dem 02.08.2026.

Worin unterscheidet sich eine FRIA von einer DSFA nach DSGVO?

Eine DSFA nach Artikel 35 DSGVO konzentriert sich auf Risiken für den Schutz personenbezogener Daten, während eine FRIA eine breitere Reihe von Grundrechten abdeckt. Die FRIA verlangt zudem eine Konsultation der betroffenen Gruppen und muss aktualisiert werden, sobald sich die Bedingungen ändern. Die EDSA-Leitlinien 07/2024 empfehlen, beide Beurteilungen zu koordinieren, wenn ein KI-System personenbezogene Daten verarbeitet.

Wann tritt die FRIA-Pflicht in Kraft?

Die FRIA-Pflicht nach Artikel 27 des EU AI Act gilt ab dem 02.08.2026. Betreiber müssen ihre erste FRIA abgeschlossen haben, bevor sie ein erfasstes Hochrisiko-KI-System nach diesem Datum in Betrieb nehmen.

Was muss eine FRIA gemäss Artikel 27 enthalten?

Artikel 27 verlangt, dass die FRIA Folgendes umfasst: eine Beschreibung der Prozesse des Betreibers, die das Hochrisiko-KI-System betreffen, den Zeitraum und die Häufigkeit der Nutzung, die Kategorien der betroffenen natürlichen Personen und Gruppen, die spezifischen Risiken einer Beeinträchtigung der Grundrechte, Massnahmen zur menschlichen Aufsicht sowie die Massnahmen, die zu ergreifen sind, falls sich Risiken verwirklichen. Eine Konsultation der betroffenen Gruppen oder ihrer Vertretungen ist gegebenenfalls erforderlich.

Kann eine FRIA mit einer DSFA kombiniert werden?

Ja. Artikel 27(4) des EU AI Act stellt ausdrücklich klar, dass die FRIA als Teil einer bestehenden DSFA nach Artikel 35 DSGVO durchgeführt werden kann, sofern alle FRIA-spezifischen Elemente berücksichtigt werden. Priverion unterstützt dies, indem DSFA-Daten — Verarbeitungszwecke, Datenkategorien, Risikobewertungen und Schutzmassnahmen — innerhalb des FRIA-Workflows referenziert oder verknüpft werden können.

Wie oft muss eine FRIA aktualisiert werden?

Der EU AI Act verlangt, dass die FRIA aktualisiert wird, wenn der Betreiber der Auffassung ist, dass sich einer der relevanten Faktoren geändert hat. Dazu gehören Änderungen am KI-System selbst, an seinem Einsatzkontext, an der betroffenen Population oder am Risikoprofil. Priverions automatisierte Rezertifizierungs-Engine löst Neubewertungen auf Basis konfigurierbarer Zeitpläne oder Systemänderungsereignisse aus.

Unterstützt Priverion den FRIA-Rollout über mehrere Konzerneinheiten?

Ja. Priverions Architektur für mehrere Konzerneinheiten ermöglicht es Organisationen, FRIA-Workflows über alle Tochtergesellschaften hinweg aus einer zentralen Administrationsansicht auszurollen, die Verantwortung an lokale Datenschutzbeauftragte oder KI-Governance-Verantwortliche zuzuweisen, den Bearbeitungsstand zu verfolgen und konzernweite Reportings zu erstellen. Dies spiegelt den Multi-Entity-Workflow für das Verarbeitungsverzeichnis wider, den Kunden wie ein Flugzeughersteller nutzen.