KI-Verordnung: Alle Fristen 2025–2027 im Überblick
KI-Verordnung Fristen im Überblick: Welche Pflicht wann greift – von der KI-Kompetenz seit Februar 2025 bis zum Geltungsbeginn für Hochrisiko-KI ab 2. August 2026.
Weiterlesen
Der EU-KI-Verordnung liegen acht Hochrisiko-Bereiche im Anhang III zugrunde – von der Personalauswahl über die Kreditvergabe bis zur öffentlichen Verwaltung. Die KI-Verordnung folgt dabei einem risikobasierten Ansatz: Je höher das Gefährdungspotenzial eines Systems, desto strenger die Pflichten. Für einen Teil dieser Systeme reicht es ab dem 2. August 2026 nicht mehr, sie einfach nur technisch abzusichern. Wer sie betreibt, muss vor dem Einsatz von Hochrisiko-KI-Systemen prüfen, was das System mit den Grundrechten der betroffenen Menschen macht. Dieses Instrument heißt FRIA.
Die FRIA Grundrechte-Folgenabschätzung (englisch Fundamental Rights Impact Assessment) ist in Art. 27 der KI-Verordnung geregelt. Kein anderes Compliance-Dokument des KI-Rechts wird derzeit so oft übersehen – weil viele Unternehmen es mit der Datenschutz-Folgenabschätzung verwechseln. Das ist ein Fehler, der teuer werden kann.
Lesetipp: Wie Sie KI im Unternehmen rechtssicher einordnen, dokumentieren und einsetzen, erklärt unser kostenloses E-Book „KI sicher einsetzen – Der Leitfaden für Geschäftsführer” (93 Seiten). Jetzt herunterladen →
Die FRIA ist eine strukturierte Bewertung der Auswirkungen, die ein Hochrisiko-KI-System auf die Grundrechte natürlicher Personen haben kann. Sie ist vom Betreiber – also demjenigen, der das System einsetzt – vor der ersten Inbetriebnahme durchzuführen. Wer die Grundrechte-Folgenabschätzung durchführen muss, betrachtet – anders als bei der technischen Dokumentation, die der Anbieter liefert – den konkreten Einsatzkontext: Wer wird dem System ausgesetzt, unter welchen Umständen und mit welchen Folgen für Diskriminierungsschutz, Menschenwürde oder informationelle Selbstbestimmung?
Die FRIA trifft nicht jeden Betreiber von Hochrisiko-KI. Art. 27 Abs. 1 KI-VO grenzt den Kreis präzise ein:
| Fallgruppe | Wer ist gemeint? | Bei welcher KI? |
|---|---|---|
| (a) | Betreiber, die Einrichtungen des öffentlichen Rechts sind | Hochrisiko-KI nach Anhang III – außer Nr. 2 (kritische Infrastruktur) |
| (b) | Private Betreiber, die öffentliche Dienstleistungen erbringen | Hochrisiko-KI nach Anhang III – außer Nr. 2 |
| (c) | Alle Betreiber (auch rein privatwirtschaftlich) | KI zur Bonitäts-/Kreditwürdigkeitsprüfung (Anhang III Nr. 5 b) und zur Risikobewertung/Preisgestaltung in der Lebens- und Krankenversicherung (Nr. 5 c) |
Fallgruppe (b) zielt dabei auf private Einrichtungen, die öffentliche Dienste erbringen – etwa beliehene Träger oder private Bildungs-, Gesundheits- und Sozialdienstleister. Wichtig ist außerdem die Ausnahme für Anhang III Nr. 2: Wer Hochrisiko-KI in der kritischen Infrastruktur betreibt, ist von der FRIA-Pflicht ausgenommen. Für viele Mittelständler ist vor allem Fallgruppe (c) relevant – etwa Kreditvermittler, Fintechs oder Versicherungsdienstleister, die automatisierte Bonitäts- oder Tarifentscheidungen treffen. Welche Systeme überhaupt in die Hochrisiko-Klasse fallen, klären wir ausführlich in unserem Beitrag zur Hochrisiko-KI-Klassifizierung nach Anhang III.
Art. 27 Abs. 1 lit. a–f gibt vor, was die Bewertung enthalten muss. Diese sechs Punkte bilden das Grundgerüst jeder FRIA:
Eine unterlassene oder unvollständige FRIA ist ein Verstoß gegen die Betreiberpflichten und fällt unter Art. 99 Abs. 4 KI-VO: bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes. Für KMU gilt jeweils der niedrigere Betrag. Die oft zitierte Obergrenze von 35 Millionen Euro betrifft ausschließlich verbotene KI-Praktiken nach Art. 5 – nicht die FRIA.
Der häufigste Irrtum: „Wir haben doch schon eine Datenschutz-Folgenabschätzung gemacht.” Das reicht nicht. Nach Art. 27 Abs. 4 KI-VO ergänzt die FRIA eine bestehende Datenschutz-Folgenabschätzung nach Art. 35 DSGVO – sie ersetzt sie nicht.
Beide Prüfungen dürfen und sollten aufeinander aufbauen, verfolgen aber unterschiedliche Schutzrichtungen. Die DSFA konzentriert sich auf den Schutz personenbezogener Daten. Die FRIA nimmt die Grundrechte insgesamt in den Blick – also auch Diskriminierungsfreiheit, Chancengleichheit oder den Zugang zu wesentlichen Diensten. Wo eine DSFA bereits Teile abdeckt, kann die FRIA darauf verweisen und muss diese Punkte nicht doppelt bewerten. Wie DSGVO und KI-Recht ineinandergreifen, erläutern wir vertieft im Beitrag zu KI und Datenschutz im Unternehmen.
Viele Mandanten glauben, die FRIA sei eine Doppelung ihrer DSFA. Das ist der teuerste Denkfehler im ganzen KI-Recht. Die Datenschutz-Folgenabschätzung fragt: Sind die Daten sicher? Die FRIA fragt: Was macht die Entscheidung dieses Systems mit dem Leben eines Menschen? Wer diese zweite Frage nicht sauber dokumentiert, hat ab August 2026 ein echtes Haftungsrisiko.
Die FRIA bleibt nicht im Unternehmen. Nach Art. 27 Abs. 3 KI-VO teilt der Betreiber der zuständigen Marktüberwachungsbehörde die Ergebnisse der Bewertung mit. Dafür stellt das Büro für Künstliche Intelligenz (AI Office) ein standardisiertes Musterformular bereit, das die Meldung strukturiert. In Deutschland übernimmt voraussichtlich die Bundesnetzagentur die Marktüberwachung; die nationale Ausgestaltung befindet sich mit dem KI-Marktüberwachungs- und Innovationsförderungsgesetz noch im Gesetzgebungsverfahren.
Nach Art. 27 Abs. 2 KI-VO muss die Bewertung nicht bei jeder Nutzung neu erstellt werden: Betreiber dürfen in ähnlichen Fällen auf zuvor durchgeführte Grundrechte-Folgenabschätzungen zurückgreifen oder auf bereits vom Anbieter erstellte Bewertungen aufsetzen. Ändern sich jedoch die maßgeblichen Faktoren – etwa der Einsatzzweck oder die betroffenen Personengruppen –, ist die FRIA zu aktualisieren. Sie ist also kein einmaliges Dokument, sondern begleitet den KI-Einsatz über seinen gesamten Lebenszyklus.
Wer diese Struktur zum ersten Mal aufbaut, unterschätzt leicht den Abstimmungsaufwand zwischen Fachabteilung, Datenschutz und Geschäftsführung. Ein geführter FRIA-Wizard nimmt Ihnen genau diese Struktur ab: Er fragt die sechs Pflichtinhalte Schritt für Schritt ab, verknüpft die Bewertung mit einer vorhandenen DSFA und dokumentiert das Ergebnis prüffest. Unser KI-Compliance-Modul unterstützt Sie dabei, die FRIA sauber und nachvollziehbar zu erstellen.
Die FRIA ist kein bürokratisches Beiwerk, sondern ein eigenständiges Pflichtinstrument des KI-Rechts. Sie betrifft klar umrissene Betreibergruppen, verlangt sechs konkrete Inhalte und ergänzt die DSGVO-Welt, statt sie zu wiederholen. Wer ab dem 2. August 2026 betroffen ist, sollte die Bewertung nicht bis zum Stichtag aufschieben – die Meldepflicht an die Behörde macht Lücken sichtbar.
FRIA und KI-Compliance strukturiert umsetzen
Wir unterstützen Sie dabei, Ihre Hochrisiko-KI korrekt zu klassifizieren und die Grundrechte-Folgenabschätzung prüffest zu dokumentieren.
KI-Compliance-Modul ansehen →Die FRIA (Fundamental Rights Impact Assessment) ist die Grundrechte-Folgenabschätzung nach Artikel 27 der KI-Verordnung. Bestimmte Betreiber von Hochrisiko-KI-Systemen müssen vor dem Einsatz dokumentieren, welche Auswirkungen das System auf die Grundrechte betroffener Personen haben kann und mit welchen Maßnahmen sie diesen Risiken begegnen.
Verpflichtet sind drei Gruppen: Einrichtungen des öffentlichen Rechts, private Betreiber, die öffentliche Dienstleistungen erbringen – beide bei Hochrisiko-KI nach Anhang III, ausgenommen Anhang III Nr. 2 (kritische Infrastruktur) – sowie alle Betreiber von KI zur Bonitäts-/Kreditwürdigkeitsprüfung (Anhang III Nr. 5 b) und zur Risikobewertung/Preisgestaltung in der Lebens- und Krankenversicherung (Nr. 5 c).
Nein. Nach Art. 27 Abs. 4 KI-VO ergänzt die FRIA eine bestehende Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, sie ersetzt sie nicht. Beide Prüfungen können aufeinander aufbauen, verfolgen aber unterschiedliche Schutzrichtungen: die DSFA den Schutz personenbezogener Daten, die FRIA die Grundrechte insgesamt.
Ein Verstoß gegen die Betreiberpflichten nach Art. 27 fällt unter Art. 99 Abs. 4 KI-VO: bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes. Für KMU gilt jeweils der niedrigere der beiden Beträge. Die höhere Grenze von 35 Millionen Euro betrifft nur verbotene KI-Praktiken nach Art. 5.
Die FRIA-Pflicht nach Art. 27 gilt zusammen mit den Vorschriften für Hochrisiko-KI nach Anhang III ab dem 2. August 2026 (Art. 113 KI-VO). Betreiber sollten die Bewertung vor der ersten Inbetriebnahme des Systems abschließen.
Inhaltsverzeichnis
KI-Verordnung Fristen im Überblick: Welche Pflicht wann greift – von der KI-Kompetenz seit Februar 2025 bis zum Geltungsbeginn für Hochrisiko-KI ab 2. August 2026.
Weiterlesen
KI-Register erstellen: Welche Felder ein KI-Inventar braucht und wie Sie es Schritt für Schritt aufbauen – die Basis jeder AI-Act-Nachweisführung.
Weiterlesen
Hochrisiko-KI nach Anhang III erkennen: die 4 Risikoklassen der KI-Verordnung, die 8 Hochrisiko-Bereiche und welche Pflichten ab 2. August 2026 gelten.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular