30 Tage Risikoerkennung für generative KI:Jetzt starten
Demo buchen
Kostenlose Vorlage · Risiko und Bewertung

Vorlage für KI-FolgenabschätzungenWissen Sie, wen Ihre KI betrifft, bevor Sie sie einsetzen

Ein Dokument, das die Grundrechte-Folgenabschätzung (FRIA) nach Artikel 27 des EU AI Act, algorithmische Folgenabschätzungen im öffentlichen Sektor und freiwillige Best-Practice-Prüfungen abdeckt. Prüfen Sie, ob eine Folgenabschätzung erforderlich ist, beschreiben Sie das System und die betroffenen Personen, bewerten Sie die Risiken, dokumentieren Sie Gegenmaßnahmen und holen Sie die Freigabe ein, in einem Format, das ein GRC-Team direkt verwenden kann.

Wann Sie eine KI-Folgenabschätzung benötigen

Manche Auslöser sind gesetzliche Pflichten, andere bewährte Praxis, die Kunden und Auditoren zunehmend erwarten. Ein einziges Ja genügt, um die Folgenabschätzung durchzuführen.

Verpflichtend
Öffentliche Stellen mit Hochrisiko-KI (Art. 27 EU AI Act)
Einrichtungen des öffentlichen Rechts und private Stellen, die öffentliche Dienstleistungen erbringen, müssen vor der ersten Nutzung der meisten Hochrisiko-Systeme aus Anhang III eine Grundrechte-Folgenabschätzung durchführen.
Verpflichtend
Kreditwürdigkeitsprüfung und Preisbildung in Lebens- oder Krankenversicherung
Jeder Betreiber, einschließlich Banken und Versicherern, der Hochrisiko-KI zur Bewertung der Kreditwürdigkeit oder zur Risikobewertung und Preisbildung in der Lebens- und Krankenversicherung einsetzt, muss eine FRIA durchführen.
Verpflichtend
Risikoreiche Verarbeitung personenbezogener Daten (Art. 35 DSGVO)
Profiling in großem Umfang oder automatisierte Entscheidungen mit rechtlicher oder ähnlicher Wirkung erfordern eine DSFA. Die FRIA ergänzt sie; diese Vorlage deckt die KI-spezifischen Aspekte parallel dazu ab.
Verpflichtend
Vorgaben des öffentlichen Sektors und Beschaffungsregeln
Kanadas Directive on Automated Decision-Making verlangt algorithmische Folgenabschätzungen für automatisierte Entscheidungssysteme des Bundes, und Beschaffungsregeln fordern sie zunehmend von Anbietern ein.
Best Practice
Folgenreiche Entscheidungen über Menschen
Einstellung, Kreditvergabe, Wohnen, Gesundheit, Bildung, Sozialleistungen: Wenn das System solche Entscheidungen trifft oder wesentlich beeinflusst, führen Sie die Abschätzung auch dann durch, wenn kein Gesetz sie verlangt.
Best Practice
Zertifizierung und Framework-Ausrichtung
ISO/IEC 42001 erwartet Folgenabschätzungen für KI-Systeme als Teil des Managementsystems, und das NIST AI RMF verortet die Identifikation von Auswirkungen in seiner Map-Funktion.

Zeitplan: Nach dem im Juni 2026 verabschiedeten EU-Digital-Omnibus gelten die Hochrisiko-Pflichten des AI Act, einschließlich der FRIA-Pflicht aus Artikel 27, ab dem 2. Dezember 2027 für eigenständige Anhang-III-Systeme und ab dem 2. August 2028 für KI in regulierten Produkten. Mehrere US-Bundesstaaten sind den umgekehrten Weg gegangen: Colorados SB 189 (in Kraft ab 1. Januar 2027) hat die Pflicht zur Folgenabschätzung zugunsten von Transparenzpflichten gestrichen. In jedem Fall bleibt eine dokumentierte Folgenabschätzung Ihr bester Nachweis für sorgfältiges Handeln.

Was die Vorlage abdeckt

Ein Screening-Fragebogen plus ein Bewertungsformular mit neun Abschnitten, mit ausgefüllten Beispielzeilen, die das Qualitätsniveau für Risikobeschreibungen und Gegenmaßnahmen zeigen.

1
Screening-Fragebogen
Sechs Fragen, die klären, ob eine Folgenabschätzung gesetzlich oder vertraglich erforderlich oder empfohlen ist, mit dokumentiertem Screening-Ergebnis.
2
Systembeschreibung und Zweckbestimmung
Anbieter, Modellversion, tatsächlicher Anwendungsfall, die Geschäftsprozesse, in denen das System arbeitet, und die Nutzungshäufigkeit.
3
Betroffene Personen und Gruppen
Jede Gruppe, die das System berührt, wie sie betroffen ist, in welchem Umfang und welche Vulnerabilitätsfaktoren gelten.
4
Daten und Modelleingaben
Datenkategorien, sensible Merkmale, Herkunft, Repräsentativitätslücken und Stellvertretermerkmale für geschützte Attribute.
5
Bewertetes Risikoregister
Risiken für Grundrechte und Einzelpersonen: Diskriminierung, Privatsphäre, wirtschaftlicher Schaden und Verfahrensgerechtigkeit, jeweils nach Wahrscheinlichkeit und Schwere bewertet.
6
Maßnahmen der menschlichen Aufsicht
Aufsichtsmodell, wer welche Ergebnisse prüft, Eingriffsbefugnis, Kontrollen gegen Automatisierungsverzerrung und Notabschaltung.
7
Risikominderung und Restrisiko
Gegenmaßnahmen mit Verantwortlichen und Fristen, neu bewertetes Restrisiko sowie Beschwerde- und Abhilfeverfahren.
8
Konsultationsprotokoll
Wen Sie konsultiert haben, was Ihnen mitgeteilt wurde und was sich dadurch am Einsatz geändert hat.
9
Auslöser für die Überprüfung
Die Ereignisse, die die Folgenabschätzung wieder öffnen, von Modelländerungen über Drift bis zu Beschwerden und regulatorischen Änderungen.
10
Freigabe und Unterschriften
Eine ausdrückliche Entscheidung für Einsatz, bedingten Einsatz oder Stopp, mit Unterschriftentabelle und dem Nachweis der Meldung nach Artikel 27.

So fügt sie sich in Ihre Governance ein

Die Folgenabschätzung liegt zwischen Klassifizierung und laufender Überwachung. Drei Verbindungen, die stimmen müssen:

Zuerst klassifizieren
Führen Sie zuerst die Risikoklassifizierung nach dem EU AI Act durch: Die ermittelte Stufe bestimmt, ob Artikel 27 gilt und wie tief die Abschätzung gehen muss.
Mit der DSFA verzahnen
Nach dem AI Act ergänzt die FRIA die Datenschutz-Folgenabschätzung, statt sie zu ersetzen. Führen Sie beide zusammen durch und verweisen Sie aufeinander, statt Inhalte zu duplizieren.
Das Risikoregister speisen
Restrisiken, Überprüfungsauslöser und Freigabeauflagen gehören in Ihr gelebtes Risikoregister und Ihren Incident-Response-Prozess, nicht in die Schublade.
Loslegen

Kennen Sie jedes KI-System, bevor Sie es bewerten

Sie können die Auswirkungen von KI nicht bewerten, die Sie nicht sehen. Aona entdeckt jedes KI-Tool in Ihrer Organisation, kartiert die Daten, die hineinfließen, und hält das Inventar, auf dem Ihre Folgenabschätzungen aufbauen, revisionssicher aktuell.