20. Oktober 2025

Grundrechte-Folgenabschätzung (GRFA)

Einleitung

Die Grundrechte-Folgenabschätzung (GRFA) ist die Pflicht-Prüfung, mit der Unternehmen vor der Inbetriebnahme bestimmter Hochrisiko-KI-Systeme Risiken für Grundrechte erkennen, bewerten und wirksam beherrschen. Dieser Leitfaden zeigt Ihnen Schritt für Schritt, wie Sie eine GRFA aufsetzen, dokumentieren und in Ihre Governance integrieren – inklusive Abgrenzung zur Datenschutz-Folgenabschätzung (Art. 35 DSGVO), typischer Stolpersteine und aktueller Entwicklungen rund um die KI-Verordnung (KI-VO).

Dieser Beitrag beleuchtet die Anforderungen an die Durchführung einer GRFA nach der KI-Verordnung und die daraus resultierenden Aufgaben für KI-Beauftragte, Datenschutzbeauftragte und dem Management.

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen
& Kunden überzeugen durch
einen ext. Datenschutzbeauftragten.

Was ist eine Grundrechte-Folgenabschätzung?

Die GRFA ist eine strukturierte Risikoanalyse, die Auswirkungen eines Hochrisiko-KI-Systems auf Grundrechte (z. B. Datenschutz, Nicht-Diskriminierung, Meinungsfreiheit) identifiziert, bewertet und im Ergebnis mildert. Ergebnis ist ein dokumentierter Nachweis, dass Risiken angemessen behandelt und Überwachungs-, Beschwerde- und Abhilfemechanismen vorgesehen sind. Die Pflicht, eine GRFA durchzuführen, ergibt sich unmittelbar aus dem Normzweck der KI-Verordnung, der auf Art. 16 AEUV gestützt ist und die Wahrung der Grundrechte der Union sicherstellen soll. Sie konkretisiert die in Art. 6 ff. KI-VO geregelten Anforderungen an Hochrisiko-KI-Systeme.

Während diese Systeme grundsätzlich zugelassen sind, unterliegen sie einer besonderen Regulierung, da von ihnen erhebliche Beeinträchtigungen unionsrechtlich geschützter Grundrechte ausgehen können. Die GRFA begründet demnach die Nutzung von Hochrisiko-KI, solange deren Einsatz mit den Schutzgütern der Grundrechtecharta in Einklang gebracht werden kann.

Wann muss eine Grundrechte-Folgenabschätzung durchgeführt werden?

Sobald ein KI‑System als hoch-risikoreich eingestuft wurde, ist die GRFA vor der ersten Verwendung des Systems durchzuführen. Das ergibt sich klar aus Art. 27 Abs. 1 KI‑VO:

Die GRFA ist nur vor dem ersten Einsatz eines Hochrisiko-KI-Systems durchzuführen.
Damit ist die Risikoklassifizierung (also Feststellung, ob das System hochrisikoreich ist) zwingende Voraussetzung für die GRFA.

Gemäß Art. 6 KI‑VO wird ein KI-System nur dann als Hochrisiko-System eingestuft, wenn es bestimmte Voraussetzungen erfüllt:

Es ist entweder ein Sicherheitsbestandteil eines Produkts (z.  Medizinprodukt oder Aufzug), das bereits harmonisierten EU-Rechtsvorschriften unterliegt (Anhang I) und einer Konformitätsprüfung unterzogen werden muss, oder
Es handelt sich um eines der in Anhang III gelisteten KI-Systeme — etwa in Bereichen wie Biometrie, Bildung, Arbeitswelt, Kreditwürdigkeit.

Nur wenn diese Risikoklassifizierung positiv ausfällt — also das KI-System als „hoch-risikoreich“ eingestuft wird — greifen die Sonderpflichten des Artikels 27 KI‑VO.

Mitteilung an die Marktüberwachungsbehörde

Die Verpflichtung, die Ergebnisse der Grundrechte-Folgenabschätzung (GRFA) an eine Marktüberwachungsbehörde zu übermitteln, dient der externen Kontrolle und Nachvollziehbarkeit. Sie soll sicherstellen, dass nicht allein das Unternehmen selbst über die Angemessenheit seiner Grundrechtsschutzmaßnahmen entscheidet, sondern dass eine unabhängige Stelle die Angaben prüfen und gegebenenfalls aufsichtsrechtlich einschreiten kann. Damit ergänzt die GRFA die interne Compliance-Pflicht um eine externe Rechenschaftspflicht und stärkt zugleich das Vertrauen von Betroffenen und der Öffentlichkeit in den Einsatz von Hochrisiko-KI-Systemen.

Noch offen ist allerdings, welche Behörde in Deutschland (bzw. den Mitgliedstaaten) konkret als Marktüberwachungsbehörde fungieren wird und wie deren Aufgaben organisatorisch ausgestaltet sind. Diese Unklarheit betrifft auch die praktische Ausgestaltung der Mitteilungspflichten, etwa ob ein nationales KI-Amt, bestehende Datenschutzaufsichtsbehörden oder neue Institutionen diese Funktion übernehmen werden. Bis zur finalen Festlegung bleibt daher für Unternehmen eine gewisse Rechtsunsicherheit, wie genau das Übermittlungsverfahren künftig aussieht.

Unsicher im Datenschutz?

Erhalten Sie kostenfreie Muster für die Umsetzung in Ihrem Unternehmen.

Leitfaden für die Grundrechte-Folgenabschätzung

Der nachstehende Leitfaden dient als Muster für eine Grundrechte-Folgenabschätzung. Bitte beachten Sie, dass die inhaltliche Tiefe vorhanden sein muss, damit wirksam die Risiken beurteilt werden und Abhilfemaßnahmen definiert werden.

Abschnitt	Beschreibung / Fragen
1. Risikoklassifizierung (Art. 6, Anhang I/III KI-VO)	Fällt das System unter Anhang I oder III? Welche Ausnahme nach Art. 6 Abs. 3 greift? Wird Profiling genutzt?
2. Angaben zum KI-System & Anbieterinformationen (Art. 13 KI-VO)	Bezeichnung und Version des Systems Zweckbestimmung laut Anbieter Technische Leistungsgrenzen, Genauigkeit, Robustheit Vorgesehene menschliche Aufsicht
3. Verfahrensbeschreibung (Art. 27 Abs. 1 lit. a) KI-VO)	In welchem Verfahren wird das System eingesetzt? Welche Aufgaben übernimmt das KI-System? Welche Entscheidungen werden (mit-)bestimmt? Welche Rollen sind beteiligt?
4. Zeitraum & Frequenz des Einsatzes (Art. 27 Abs. 1 lit. b) KI-VO)	Geplanter Startzeitpunkt Dauer des Einsatzes Nutzungshäufigkeit (z. B. Fälle/Tag, kontinuierlich, Batch)
5. Betroffene Personen & Gruppen (Art. 27 Abs. 1 lit. c) KI-VO)	Welche Kategorien natürlicher Personen sind betroffen? Gibt es vulnerable Gruppen (Alter, Behinderung, sozioökonomisch)? Indirekte Betroffene?
6. Risiken für Grundrechte (Art. 27 Abs. 1 lit. d) KI-VO) i. V. m. Art. 7, 8, 11, 21, 47 GRC)	Welche spezifischen Risiken entstehen? Diskriminierung (direkt/indirekt)? Einschränkung von Datenschutz, Privatleben, Meinungsfreiheit? Risiken für Rechtsschutz und faire Verfahren? Sekundäre Effekte (Chilling Effects, Over-policing, Zugangsbeschränkungen)?
7. Menschliche Aufsicht (Art. 27 Abs. 1 lit. e) KI-VO i. V. m. Art. 14 KI-VO)	Welche Kontrollinstanzen überwachen das System? Welche Eingriffsmöglichkeiten bestehen (Override, Stop)? Wie wird Automation Bias vermieden? Kompetenzanforderungen für Aufsichtsrollen
8. Abhilfemaßnahmen & Beschwerdemechanismen (Art. 27 Abs. 1 lit. f) KI-VO)	Interne Governance & Eskalationswege Beschwerdemöglichkeiten für Betroffene (Zugänglichkeit, Fristen) Monitoring-KPIs & Auditzyklen Notfallpläne bei Systemversagen oder Diskriminierung
9. Verhältnis zur Datenschutz-Folgenabschätzung (DPIA) (Art. 27 Abs. 4 KI-VO)	Wurde eine DSFA (Art. 35 DSGVO) bereits durchgeführt? Welche Risiken sind durch die DSFA abgedeckt? Welche Grundrechtsaspekte jenseits des Datenschutzes müssen ergänzt werden?
10. Wiederverwendung & Aktualisierung (Art. 27 Abs. 2 KI-VO)	Existiert eine frühere GRFA (eigene oder Anbieter)? Ist sie auf den aktuellen Kontext übertragbar? Welche Änderungen erfordern eine Aktualisierung?
11. Dokumentation & Belege	Welche Logs, KPIs, Berichte oder Testergebnisse untermauern die Angaben? Welche Schulungs- und Aufsichtsdokumente liegen vor?
12. Mitteilung an Marktüberwachungsbehörde (Art. 27 Abs. 3, 5 KI-VO)	Zusammenfassung der GRFA-Ergebnisse für die Behörde (nach offiziellem Fragebogen) Zuständige Ansprechperson Datum der Übermittlung
13. EU-Datenbank (Art. 49 Abs. 3 KI-VO)	Wurde die Zusammenfassung in die EU-Datenbank eingetragen? Welche Informationen wurden veröffentlicht? Interne Freigabe durch Rechtsabteilung/Compliance

GRFA und DSFA im Vergleich

Die Grundrechte-Folgenabschätzung (GRFA) nach der KI-VO und die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO verfolgen ähnliche methodische Ansätze, unterscheiden sich aber im Regelungsgegenstand: Während die DSFA ausschließlich auf den Schutz personenbezogener Daten und die Einhaltung der DSGVO abzielt, geht die GRFA darüber hinaus und umfasst sämtliche durch den Einsatz von Hochrisiko-KI-Systemen berührten Grundrechte (z. B. Nichtdiskriminierung, Meinungsfreiheit, Recht auf ein faires Verfahren). Synergien bestehen insbesondere bei der Beschreibung des Systems, der Zwecke, der Verarbeitungskontexte, der betroffenen Personengruppen und der Risikobewertungsmethoden – diese Inhalte können in beiden Assessments deckungsgleich genutzt werden. Auch technische und organisatorische Schutzmaßnahmen (z. B. Logging, Zugriffskontrollen, menschliche Aufsicht) sind sowohl für die DSFA als auch für die GRFA relevant. Um doppelte Arbeit zu vermeiden, empfiehlt es sich daher, eine integrierte Vorgehensweise zu wählen: Die DSFA liefert die datenschutzrechtliche Tiefenschärfe, die GRFA ergänzt sie um grundrechtliche Breite. So können Unternehmen ein konsistentes Risikobewertungsdokument erstellen, das beide Pflichten abdeckt und sowohl Aufsichtsbehörden als auch internen Compliance-Anforderungen dient. Hier erfahren Sie mehr über die Synergien zwischen der DSGVO und der KI-VO.

Fazit

Die Grundrechte-Folgenabschätzung (GRFA) wird für Unternehmen zum entscheidenden Prüfstein beim Einsatz von Hochrisiko-KI: Sie zwingt dazu, mögliche Eingriffe in Grundrechte frühzeitig zu erkennen, abzusichern und transparent zu dokumentieren. Damit entsteht nicht nur eine zusätzliche Pflicht, sondern auch die Chance, Vertrauen bei Kunden und Aufsichtsbehörden aufzubauen. Klar ist: Die GRFA greift erst nach einer Risikoklassifizierung – also nur, wenn ein System tatsächlich als Hochrisiko-KI eingestuft wird – und sie muss vor der ersten Nutzung durchgeführt werden.

Noch unklar bleibt, welche Behörde in Deutschland künftig als Marktüberwachungsbehörde fungieren wird. Unternehmen sollten diese Entwicklung eng verfolgen, um rechtzeitig ihre Prozesse an die neuen Anforderungen der KI-VO anzupassen.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Nils Möllers

Herr Möllers ist als ext. Konzerndatenschutzbeauftragter (TISAX, ISO27001, DEKRA und TÜV) tätig. Herr Möllers hat 2017 die Keyed GmbH gegründet und verfügt über langjährige Erfahrung im Datenschutz.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy