Published on

Artikel 27 EU AI Act: Grundrechte-Folgenabschätzung

Authors

Die meisten Pflichten des EU AI Act richten sich an Provider — an die Organisationen, die ein Hochrisiko-KI-System entwickeln und in Verkehr bringen. Artikel 27 ist eine der wenigen Vorschriften, die die Verantwortung ausdrücklich auf die andere Seite verlagert: auf den Betreiber (Deployer), der das System im konkreten Kontext einsetzt. Die Grundrechte-Folgenabschätzung, im Englischen Fundamental Rights Impact Assessment (FRIA), zwingt bestimmte Betreiber dazu, vor dem ersten Einsatz systematisch zu prüfen, welche Auswirkungen ein Hochrisiko-KI-System auf die Grundrechte betroffener Personen haben kann. Dieser Beitrag ordnet die Pflicht nüchtern ein: Wer sie trifft, was hineingehört und warum sie weniger ein Formular als eine Frage der nachweisbaren Governance ist.

Wen die Pflicht trifft — und wen nicht

Artikel 27 der Verordnung (EU) 2024/1689 adressiert nicht alle Betreiber von Hochrisiko-KI, sondern einen klar umrissenen Kreis. Erstens: Einrichtungen des öffentlichen Rechts. Dazu zählen Behörden der nationalen und kommunalen Verwaltung ebenso wie öffentliche Stellen wie Krankenhäuser, staatliche Hochschulen, Sozialversicherungsträger sowie Justiz-, Strafverfolgungs- und Grenzkontrollbehörden. Zweitens: private Einrichtungen, die öffentliche Dienstleistungen erbringen — auch ohne öffentlich-rechtliche Organisationsform. Drittens: Betreiber, die Hochrisiko-KI zur Bewertung der Kreditwürdigkeit natürlicher Personen oder zur Ermittlung ihrer Kreditwürdigkeitsbewertung einsetzen (mit Ausnahme von Systemen zur Aufdeckung von Betrug), sowie Betreiber, die solche Systeme zur Risikobewertung und Preisbildung in der Lebens- und Krankenversicherung natürlicher Personen nutzen.

Wer nicht in diese Kategorien fällt, unterliegt der FRIA-Pflicht des Artikels 27 nicht — bleibt aber selbstverständlich an die übrigen Betreiberpflichten aus Artikel 26 gebunden. Die Abgrenzung ist damit weniger eine Frage der Technologie als des institutionellen Kontexts: Derselbe Algorithmus kann bei einer Bank unter Artikel 27 fallen und bei einem anderen Einsatzzweck außerhalb bleiben. Für die betroffenen Hochrisiko-Anwendungen aus Annex III empfiehlt sich deshalb eine frühe Einordnung; eine strukturierte Übersicht der Use-Cases findet sich auf hochrisiko-ki.com.

Was in die Folgenabschätzung gehört

Der Gesetzgeber lässt den Inhalt nicht im Vagen. Artikel 27 Absatz 1 listet die Bestandteile der Bewertung auf, und diese Liste ist zugleich die beste Gliederung für ein FRIA-Dokument. Verlangt werden: eine Beschreibung der Prozesse des Betreibers, in denen das Hochrisiko-KI-System entsprechend seiner Zweckbestimmung genutzt wird; eine Angabe des Zeitraums und der Häufigkeit der beabsichtigten Nutzung; die Kategorien natürlicher Personen und Gruppen, die im konkreten Kontext betroffen sein dürften; die spezifischen Schadensrisiken für diese Personen; eine Beschreibung der umgesetzten Maßnahmen zur menschlichen Aufsicht gemäß den Nutzungsanweisungen; sowie die Maßnahmen, die im Fall der Materialisierung dieser Risiken zu ergreifen sind, einschließlich interner Governance-Regelungen und Beschwerdemechanismen.

Auffällig ist, wie stark diese Punkte auf den Einsatzkontext zielen, nicht auf die technische Bauart des Systems. Der Provider dokumentiert das System; der Betreiber dokumentiert dessen Einsatz. Genau darin liegt die Logik von Artikel 27: Grundrechte werden nicht abstrakt durch Software gefährdet, sondern durch konkrete Verwendungssituationen — durch die Frage, wer welche Entscheidung über wen mit welcher Aufsicht trifft. Die FRIA ist damit weniger ein technisches als ein organisatorisches Dokument.

Zeitpunkt, Meldung und das Verhältnis zur DSFA

Die Pflicht knüpft an den ersten Einsatz des Hochrisiko-KI-Systems an. Sie ist keine Dauerübung, muss aber aktualisiert werden, wenn sich einer der relevanten Faktoren im Lauf der Nutzung ändert. Nach Durchführung der Bewertung meldet der Betreiber die Ergebnisse der zuständigen Marktüberwachungsbehörde und übermittelt dazu das von der Verordnung vorgesehene Muster — die Ausarbeitung eines standardisierten Templates ist im Gesetz ausdrücklich angelegt.

Wichtig für die Praxis ist das Verhältnis zur Datenschutz-Folgenabschätzung. Artikel 27 stellt klar: Sind einzelne Pflichten bereits durch eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO (oder Artikel 27 der Richtlinie (EU) 2016/680) erfüllt, ergänzt die Grundrechte-Folgenabschätzung diese — sie ersetzt sie nicht und dupliziert sie nicht. Für Organisationen, die ohnehin DSFAs führen, heißt das: aufsetzen statt neu beginnen. Die vorhandene Risikodokumentation ist der Ausgangspunkt, die FRIA erweitert sie um die grundrechtliche Perspektive jenseits des Datenschutzes — etwa Diskriminierungsfreiheit, Verfahrensfairness oder den Zugang zu wesentlichen Dienstleistungen.

Von der Pflichtübung zum Trust-Nachweis

Es liegt nahe, Artikel 27 als weitere Compliance-Aufgabe abzuhaken — ein Formular, eine Meldung, erledigt. Diese Lesart greift zu kurz. Die FRIA ist der Punkt, an dem ein Betreiber schriftlich festhält, dass er die Grundrechtswirkung seines KI-Einsatzes verstanden, bewertet und mit Aufsichts- und Beschwerdemechanismen unterlegt hat. Genau das ist Trust-Infrastruktur: nicht die Behauptung, ein System sei unbedenklich, sondern der belegbare Nachweis, dass die Bedenken systematisch adressiert wurden.

Damit dieser Nachweis trägt, muss die FRIA in ein Managementsystem eingebettet sein, das Evidenz erzeugt und versioniert — Wer hat wann welche Risiken bewertet? Welche Aufsichtsmaßnahmen sind tatsächlich implementiert? Wie werden Beschwerden bearbeitet und ausgewertet? Ein AIMS nach ISO/IEC 42001, gemessen an CMMI-Reifegraden, liefert genau diese Struktur: Die Folgenabschätzung wird zum wiederholbaren, prüfbaren Prozess statt zur einmaligen Momentaufnahme. Mit Blick auf den Forcing Event der EU-AI-Act-Enforcement am 02.12.2027 ist das die eigentliche Vorbereitung — nicht das Ausfüllen eines Templates kurz vor Fristablauf, sondern der Aufbau eines Prozesses, der jederzeit einen aktuellen, audit-fähigen Stand vorweisen kann.

Evidence-based AI Trust bedeutet hier konkret: Die Grundrechte-Folgenabschätzung ist nur so viel wert wie die Evidenz, die sie stützt, und die Governance, die sie lebendig hält. Wer Artikel 27 ernst nimmt, baut beides gleichzeitig auf. Mehr zur nachweisbaren, audit-fähigen Umsetzung von KI-Trust: aegira.ai.