Französische Betreiber gelangen zur Grundrechte-Folgenabschätzung nach Artikel 27 der EU-KI-Verordnung (FRIA, auf Französisch analyse d'impact sur les droits fondamentaux) von einem vertrauten Ausgangspunkt aus: einer ausgereiften Datenschutzpraxis, die sich um die von der CNIL so genannte analyse d'impact relative à la protection des données (AIPD) – die französische Bezeichnung für die DSGVO-Datenschutz-Folgenabschätzung (DSFA) – aufgebaut hat. Dieser Leitfaden überträgt die allgemeine FRIA-Vorlage auf den französischen Kontext. Er behandelt, wie Artikel 27 Absatz 4 die Wiederverwendung einer AIPD als Eingabe erlaubt, was die veröffentlichten KI-Leitlinien der CNIL bieten und wo sie enden, und welche französische Behörde die Mitteilung nach Artikel 27 Absatz 3 erhält, sobald die Benennungen feststehen. Der verbindliche Vorbereitungsstichtag ist der 2. August 2026. Der Digital Omnibus (vorläufige Einigung um den 7. Mai 2026) würde eigenständige Hochrisiko-Pflichten nach Anhang III, einschließlich der FRIA nach Artikel 27, auf den 2. Dezember 2027 verschieben, ist aber noch nicht geltendes Recht – bereiten Sie sich daher weiterhin auf Basis des 2. August 2026 vor. Eine strukturierte Bewertung können Sie mit dem kostenlosen FRIA-Generator erstellen.
Die FRIA in Frankreich: eine Pflicht nach Artikel 27 im Lichte der CNIL
Die FRIA ist eine Pflicht des Betreibers nach Artikel 27 der EU-KI-Verordnung und erfasst französische Organisationen auf zwei Wegen. Einrichtungen des öffentlichen Rechts und private Einrichtungen, die öffentliche Dienste erbringen, müssen vor dem Einsatz eines Hochrisiko-Systems nach Anhang III eine FRIA durchführen. In Frankreich gehören dazu organismes de sécurité sociale, öffentliche Krankenhäuser, Schulen und Universitäten, Träger des sozialen Wohnungsbaus sowie Konzessionsnehmer, die öffentliche Dienste betreiben. Unabhängig davon fällt – ob öffentlich oder privat – jeder Betreiber, der KI zur Bewertung der Kreditwürdigkeit oder zur Festlegung von Kreditscores einsetzt, nach Anhang III Nummer 5 Buchstabe b in den Anwendungsbereich, mit einer Ausnahme für KI zur Aufdeckung von Finanzbetrug, und ebenso jeder Betreiber, der KI zur Risikobewertung und Preisbildung in der Lebens- und Krankenversicherung nach Anhang III Nummer 5 Buchstabe c einsetzt.
Die Pflicht liegt beim Betreiber, also der Organisation, die das System in eigener Verantwortung in Betrieb nimmt. Der Anbieter liefert die Informationen, die der Betreiber nach den Artikeln 11 bis 13 benötigt (technische Dokumentation nach Anhang IV, Betriebsanleitung sowie die bekannten Risiken und Grenzen des Systems), und der Betreiber baut die FRIA auf diesem Material auf. Dem Betreiber obliegt auch die Mitteilung nach Artikel 27 Absatz 3. Für einen französischen Betreiber bedeutet das in der Praxis, dass die Pflicht nicht an den KI-Anbieter delegiert werden kann.
Die meisten Hochrisiko-Einsätze, die in Frankreich bereits eine FRIA auslösen, verarbeiten zugleich personenbezogene Daten und erfordern daher schon eine AIPD nach Artikel 35 DSGVO. Das Scoring der Leistungsberechtigung, das Kreditscoring und die Preisbildung in der Lebens- und Krankenversicherung umfassen allesamt eine umfangreiche Verarbeitung personenbezogener Daten identifizierbarer Personen, häufig auch schutzbedürftiger Gruppen. Wegen dieser Überschneidung führt der französische Weg zur FRIA über die AIPD. Ob ein System überhaupt hochriskant ist, klären Sie mit dem Leitfaden zur Hochrisiko-Einstufung; zur Datenschutzebene siehe unseren Begleitbeitrag zu DSFA für KI-Systeme.
Ihre AIPD wiederverwenden: Artikel 27 Absatz 4 und die DSFA-Methodik der CNIL
Artikel 27 Absatz 4 ist die tragende Vorschrift für französische Betreiber. Er sieht vor, dass, soweit eine der Pflichten aus Artikel 27 bereits durch eine nach Artikel 35 der Verordnung (EU) 2016/679 (DSGVO) oder Artikel 27 der Richtlinie (EU) 2016/680 durchgeführte Datenschutz-Folgenabschätzung erfüllt ist, die Grundrechte-Folgenabschätzung nach Absatz 1 „diese Datenschutz-Folgenabschätzung ergänzt“. In der Praxis bedeutet das, dass eine vorhandene AIPD als Eingabe in die FRIA wiederverwendet wird. Sie ersetzt die FRIA nicht, die weiterhin jedes einschlägige Grundrecht der Charta behandeln muss.
Frankreich kann auf eine ungewöhnlich tief ausgebaute DSFA-Infrastruktur zurückgreifen. Die CNIL veröffentlicht seit 2015 eine PIA-Methodik, bestehend aus drei Leitfäden (einer Methode, Vorlagen und einer Wissensdatenbank), zusammen mit einer kostenlosen Open-Source-PIA-Software. Eine DSFA ist nach Artikel 35 DSGVO verpflichtend, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat – was die für eine FRIA relevanten Hochrisiko-KI-Systeme erfasst. Die AIPD, die Sie mit dieser Methodik erstellen, wird zur Grundlage, auf der die FRIA aufbaut.
Die folgende Übersicht zeigt, welche Elemente des Artikels 27 Absatz 1 eine AIPD typischerweise bereits abdeckt und was die FRIA noch ergänzen muss. Das Muster ist durchgängig: Die AIPD deckt die Datenschutzebene gut und den Systemkontext teilweise ab, während die rechtsspezifische Analyse zu Nichtdiskriminierung, guter Verwaltung und sozialen Rechten der Bereich ist, in dem die FRIA den größten Teil ihrer eigenen Arbeit leistet. Der DSFA-zu-FRIA-Generator ist genau um diese Wiederverwendung herum aufgebaut.
| FRIA-Element (Artikel 27 Absatz 1) | Von der CNIL-AIPD/DSFA abgedeckt? | Was die FRIA noch ergänzen muss |
|---|---|---|
| (a) Systembeschreibung & Zweckbestimmung | Teilweise – die AIPD beschreibt die Verarbeitung | Prozesseinordnung auf Betreiberseite sowie die Zweckbestimmung des Anbieters (Angaben aus Anhang IV und Artikel 13) |
| (b) Dauer & Häufigkeit der Nutzung | Überwiegend – der Kontextabschnitt der AIPD | Entscheidungsvolumen, geografischer Anwendungsbereich und Einsatzrhythmus |
| (c) Kategorien betroffener Personen | Teilweise – die AIPD listet die betroffenen Personen auf | Mittelbar betroffene Dritte und schutzbedürftige Gruppen (Artikel 24 bis 26 der Charta) |
| (d) Konkrete Risiken für die Grundrechte | Teilweise – die AIPD bewertet Risiken für Rechte und Freiheiten, jedoch aus Datenschutzperspektive | Alle nicht datenschutzbezogenen Grundrechte der Charta: Nichtdiskriminierung, gute Verwaltung, soziale Sicherheit |
| (e) Maßnahmen der menschlichen Aufsicht | Knapp – der Abschnitt der AIPD zu Sicherheit und Maßnahmen | An Artikel 14 ausgerichtete Aufsichtsrollen, Eingriffsbefugnisse und Schulungen |
| (f) Maßnahmen bei Eintritt der Risiken und Beschwerden | Teilweise – die AIPD enthält Maßnahmen und Rechtsbehelfe | Rechtsspezifische Schutzvorkehrungen, Beschwerde und Rechtsbehelf sowie die Mitteilung an die Behörde nach Artikel 27 Absatz 3 |
Die veröffentlichten KI-Leitlinien der CNIL und was sie dem KI-Büro überlässt
Die CNIL hat ihre KI-Arbeit auf der DSGVO aufgebaut. Seit 2023 hat sie eine Reihe von Empfehlungen und Praxis-Merkblättern (fiches pratiques) veröffentlicht, die erläutern, wie das Datenschutzrecht auf die Entwicklung und den Einsatz von KI Anwendung findet. Keines davon ist eine FRIA-Vorlage nach Artikel 27.
Am 7. Februar 2025 veröffentlichte die CNIL zwei Empfehlungen: eine zur Information der betroffenen Personen, wenn ihre Daten zum Training von KI-Modellen verwendet werden, und eine zur Erleichterung der Ausübung der Betroffenenrechte (Auskunft, Berichtigung, Widerspruch und Löschung) in KI-Systemen.
Am 22. Juli 2025 finalisierte die CNIL drei weitere Empfehlungen – dazu, wann die DSGVO auf KI-Modelle Anwendung findet, zur Datenannotation und zur sicheren Entwicklung von KI-Systemen – zusammen mit einem Übersichtsblatt und einer herunterladbaren Compliance-Checkliste. Die CNIL kündigte außerdem künftige sektorspezifische Leitlinien zu den Bereichen Bildung, Gesundheit und Beschäftigung an sowie Arbeiten zu den Verantwortlichkeiten der Akteure entlang der KI-Wertschöpfungskette.
Die CNIL veröffentlicht zudem einen Selbstbewertungsleitfaden für KI-Systeme, ein Analyseraster aus sieben Merkblättern zur Beurteilung der DSGVO-Reife eines KI-Systems: verhältnismäßige Einbindung von KI mit klarem Ziel, Aufbau eines qualitativ hochwertigen Trainingsdatensatzes im Einklang mit der DSGVO, Entwicklung und Training des Algorithmus, Sicherstellung der Qualität und Transparenz des Systems im Betrieb, Absicherung der Verarbeitung, Transparenz und Rechte für Endnutzer sowie Zuweisung von Verantwortlichkeiten und Dokumentation der Verarbeitung.
All dieses Material ist für die Datenschutzebene eines französischen KI-Einsatzes wirklich nützlich. Es enthält keine FRIA-Vorlage nach Artikel 27. Nach Artikel 27 Absatz 5 fällt diese Vorlage, einschließlich eines automatisierten Werkzeugs, in die Zuständigkeit des Europäischen KI-Büros, und mit Stand Juni 2026 war sie noch nicht veröffentlicht. Französische Betreiber sollten die FRIA um die sechs Elemente des Artikels 27 Absatz 1 herum strukturieren und das AIPD-Material der CNIL als datenschutzbezogene Eingabe behandeln.
Wer in Frankreich die KI-Verordnung beaufsichtigt und wem Sie nach Artikel 27 Absatz 3 mitteilen
Frankreich hat seine zuständigen nationalen Behörden und Marktüberwachungsbehörden nach der KI-Verordnung noch nicht förmlich benannt und sie der Kommission nicht mitgeteilt. Es hat die hierfür geltende Frist vom 2. August 2025 verpasst und zählt zu den Mitgliedstaaten, die ihre Benennungen nicht formalisiert haben. Bis eine Benennung in Kraft gesetzt ist, handeln die CNIL, die ACPR und die übrigen in Betracht kommenden Stellen auf faktischer Basis ohne förmlichen Status nach der KI-Verordnung.
Ein am 9. September 2025 veröffentlichtes Governance-Schema der Regierung schlägt eine Aufteilung nach Sektoren vor. Es handelt sich um einen Vorschlag, der noch zur parlamentarischen Verabschiedung aussteht und nicht in Kraft gesetzt wurde. Danach wäre die DGCCRF die koordinierende Marktüberwachungsbehörde und die zentrale Anlaufstelle nach Artikel 70; die DGE würde die Verbindungsstelle und Frankreichs Sitz im Europäischen KI-Gremium innehaben; die CNIL wäre federführend für KI mit Personenbezug und biometrische KI sowie für Beschäftigung, Strafverfolgung, Grenzkontrolle und biometrische Identifizierung (rund fünfzehn Anwendungsfälle); die ACPR würde KI im Finanzdienstleistungsbereich abdecken; Arcom wäre für audiovisuelle Inhalte und Deepfakes zuständig; ANSSI und PEReN würden technisches Fachwissen bündeln; und HAS und ANSM würden KI im Gesundheitsbereich und für Medizinprodukte abdecken.
Die Benennungsvorschriften wurden in den DDADUE-Gesetzentwurf (loi portant diverses dispositions d'adaptation au droit de l'Union européenne) in der Assemblée nationale aufgenommen und dann wieder daraus gestrichen, und das Schema steht weiterhin zur parlamentarischen Verabschiedung aus. Davon unabhängig hat die CNIL öffentlich dafür plädiert, die Datenschutzbehörden für eine Reihe von Hochrisiko-KI-Systemen als Marktüberwachungsbehörden zu benennen, und verweist dabei auf ihre Grundrechtsexpertise und die Notwendigkeit, die DSGVO und die KI-Verordnung kohärent zu halten.
Die folgende Tabelle fasst die vorgeschlagene Zuordnung zusammen. Lesen Sie jede Zeile als Vorschlag.
| KI-Bereich (Frankreich) | Vorgeschlagene Behörde (Schema vom 9. Sep. 2025) | Status |
|---|---|---|
| Zentrale Anlaufstelle / koordinierende Marktüberwachungsbehörde (Artikel 70) | DGCCRF | Vorgeschlagen; noch nicht in Kraft gesetzt |
| Sitz Frankreichs im Europäischen KI-Gremium / Verbindungsstelle | DGE | Vorgeschlagen; noch nicht in Kraft gesetzt |
| KI mit Personenbezug & biometrische KI (sowie Beschäftigung, Strafverfolgung, Grenze, biometrische Identifizierung) | CNIL (faktisch federführend) | Vorgeschlagen; CNIL handelt faktisch |
| KI im Finanzdienstleistungsbereich (inkl. Kredit) | ACPR | Vorgeschlagen; noch nicht in Kraft gesetzt |
| Audiovisuelles / Deepfakes / Inhalte | Arcom | Vorgeschlagen; noch nicht in Kraft gesetzt |
| Gebündeltes technisches Fachwissen | ANSSI + PEReN | Vorgeschlagen; noch nicht in Kraft gesetzt |
| KI im Gesundheitsbereich & für Medizinprodukte | HAS / ANSM | Vorgeschlagen; noch nicht in Kraft gesetzt |
Was die ungeklärte Benennung für Ihre Mitteilung bedeutet
Für einen französischen Betreiber ist die praktische Folge konkret. Der Empfänger der Mitteilung nach Artikel 27 Absatz 3 steht noch nicht förmlich fest, sodass Sie die Mitteilung heute nicht bei einer benannten Behörde einreichen können. Halten Sie ein vollständiges Dossier nach Artikel 27 Absatz 1 einreichungsbereit, verfolgen Sie das Benennungsdekret und reichen Sie ein, sobald die empfangende Behörde benannt ist. Verbindlich verpflichtet sind Sie, das Dossier vorzubereiten; das Einreichungsziel wird noch geklärt.
Praxisbeispiel: eine französische öffentliche Stelle, die die Leistungsberechtigung bewertet
Stellen Sie sich einen französischen öffentlichen Träger der sozialen Sicherung vor, einen organisme de sécurité sociale wie eine Familienkassen- oder Sozialleistungskasse, der ein KI-System einsetzt, um Leistungsempfänger für eine Kontrollprüfung zu bewerten. Das System markiert Haushalte für eine Überzahlungsprüfung oder eine erneute Anspruchsprüfung. Dies ist Anhang III Nummer 5 Buchstabe a: KI, die von oder im Namen von Behörden eingesetzt wird, um den Anspruch auf wesentliche öffentliche Unterstützungsleistungen und -dienste zu beurteilen oder solche Leistungen zu gewähren, einzuschränken, zu widerrufen oder zurückzufordern. Als öffentliche Stelle, die ein Hochrisiko-System nach Anhang III einsetzt, muss der Träger vor der ersten Nutzung eine FRIA nach Artikel 27 durchführen. Er führt für dieselbe Verarbeitung bereits eine CNIL-AIPD durch, sodass dieser Fall die Wiederverwendung nach Artikel 27 Absatz 4 in der Praxis zeigt.
Ein rechtlicher Anknüpfungspunkt verdient besondere Aufmerksamkeit. Führt der Score ohne maßgebliches menschliches Zutun zu einer Kürzung oder Aussetzung von Leistungen, handelt es sich um eine ausschließlich automatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung, die Artikel 22 Absatz 1 DSGVO untersagt, sofern keine Ausnahme nach Artikel 22 Absatz 2 greift. Bei einer Entscheidung über öffentliche Leistungen ist der übliche Weg Artikel 22 Absatz 2 Buchstabe b, also eine Ermächtigung durch das Unionsrecht oder das Recht eines Mitgliedstaats, das angemessene Schutzmaßnahmen vorsieht. Die saubere Kontrolle besteht darin, einen Menschen mit Übersteuerungsbefugnis maßgeblich einzubinden, sodass die Entscheidung nicht ausschließlich automatisiert ist, und der betroffenen Person das Recht einzuräumen, ihren Standpunkt darzulegen und das Ergebnis anzufechten. Diese Anforderung gehört sowohl in die AIPD als auch in die FRIA.
Jedes Risiko im Register wird nach Eintrittswahrscheinlichkeit und Schwere bewertet, und die beiden Bewertungen werden mithilfe der Bewertungsmatrix der FRIA-Vorlage zu einer einzigen Risikostufe zusammengeführt. Die Begründung hinter jeder Bewertung festzuhalten, ist ebenso wichtig wie die Bewertung selbst.
Das Risikoregister für die FRIA zum Leistungs-Scoring
Das folgende Register ist Abschnitt 4 der FRIA (Artikel 27 Absatz 1 Buchstabe d) für diesen Einsatz. Es entspricht dem Detailgrad, den eine französische Marktüberwachungsbehörde und ein Gericht erwarten würden, und der Art von Ergebnis, das der FRIA-Generator erzeugt.
| Grundrecht | Schadensszenario | Wahrscheinlichkeit | Schwere | Risiko | Minderungsmaßnahme | Restrisiko |
|---|---|---|---|---|---|---|
| Nichtdiskriminierung (Artikel 21 der Charta) | Proxy-Variablen (Wohnort, Haushaltszusammensetzung, Häufigkeit früherer Kontakte) korrelieren mit geschützten Merkmalen, sodass Alleinerziehende sowie Empfänger mit Behinderung oder im Ausland geboren überproportional häufig für eine Kontrolle markiert werden. | Wahrscheinlich | Erheblich | Hoch | Vierteljährliche Tests auf mittelbare Diskriminierung über geschützte Gruppen hinweg; Proxy-Merkmale entfernen oder transformieren; unabhängiges algorithmisches Audit; Veröffentlichung der Scoring-Methodik und der Auswahlkriterien. | Mittel |
| Privatleben & Datenschutz (Artikel 7–8 der Charta; DSGVO) | Der Abgleich mehrerer Verwaltungsdatenbanken zur Bildung des Scores ist eingriffsintensiv und geht über das Erforderliche hinaus. | Möglich | Erheblich | Hoch | Aus der CNIL-AIPD/DSFA übernommener Datenminimierungs- und Erforderlichkeitstest; Begrenzung der abgeglichenen Datenbanken; Dokumentation der Rechtsgrundlage; CNIL-PIA-Software für die Datenschutzebene. | Mittel |
| Gute Verwaltung & wirksamer Rechtsbehelf (allgemeiner Grundsatz der guten Verwaltung; Artikel 47 der Charta) | Ein undurchsichtiger Score löst eine Leistungsaussetzung aus, die die betroffene Person weder nachvollziehen noch anfechten kann. | Möglich | Erheblich | Hoch | Verpflichtende menschliche Überprüfung vor jeder Aussetzung; individualisierte, verständliche Begründung für eine nachteilige Entscheidung; zugänglicher Beschwerdeweg; der Score beendet eine Leistung niemals automatisch. | Gering |
| Soziale Sicherheit; Rechte des Kindes & von Menschen mit Behinderung (Artikel 34, 24, 26 der Charta) | Eine fehlerhafte Markierung streicht einem unterhaltsabhängigen Haushalt das existenzsichernde Einkommen. | Unwahrscheinlich | Katastrophal | Hoch | Härtefallschutz ohne Aussetzung bis zum Abschluss der Überprüfung; beschleunigter manueller Weg; fortlaufende Überwachung der Falsch-Positiv- und Fehlerquoten nach Gruppe. | Mittel |
| Artikel 22 DSGVO (ausschließlich automatisierte Entscheidungen) | Der Score bestimmt die Kürzung oder Aussetzung ohne maßgebliches menschliches Zutun und wird damit zu einer unzulässigen, ausschließlich automatisierten Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung. | Möglich | Erheblich | Hoch | Maßgebliche, nicht bloß formale menschliche Überprüfung mit Übersteuerungsbefugnis beibehalten, sodass die Entscheidung nicht ausschließlich automatisiert ist; wird eine Ausnahme nach Artikel 22 Absatz 2 in Anspruch genommen, die erforderlichen Schutzmaßnahmen umsetzen (maßgebliches Eingreifen eines Menschen, das Recht, den eigenen Standpunkt darzulegen und die Entscheidung anzufechten); AIPD und FRIA in einer integrierten Akte zusammenführen. | Mittel |
Eine FRIA-Checkliste speziell für Frankreich
Der französische Weg zur FRIA hat eine natürliche Reihenfolge. Beginnen Sie bei der AIPD, weiten Sie sie auf den gesamten Katalog der Charta-Rechte aus und stellen Sie dann das Mitteilungsdossier zusammen, damit es bereitliegt, sobald die empfangende Behörde benannt ist.
- Führen Sie zuerst die AIPD durch oder aktualisieren Sie sie. Nutzen Sie die PIA-Methodik und die kostenlose PIA-Software der CNIL, um die Datenschutzebene zu dokumentieren: Rechtsgrundlage, Erforderlichkeit, Verhältnismäßigkeit, Datenminimierung, Sicherheit und Betroffenenrechte. Das ist die Eingabe nach Artikel 27 Absatz 4.
- Bestätigen Sie den Auslöser. Prüfen Sie das System anhand von Artikel 6 und Anhang III mit dem Leitfaden zur Hochrisiko-Einstufung und bestätigen Sie Ihre Betreiberkategorie.
- Weiten Sie auf alle Charta-Rechte aus. Ergänzen Sie die nicht datenschutzbezogenen Rechte, die die AIPD nicht erreicht: Nichtdiskriminierung (Artikel 21), gute Verwaltung (ein allgemeiner Grundsatz des Unionsrechts) und wirksamer Rechtsbehelf (Artikel 47 der Charta) sowie soziale Rechte (Artikel 34, 24, 26). Dokumentieren Sie die menschliche Aufsicht nach Artikel 14.
- Ordnen Sie Pflichten Kontrollen und Nachweisen zu. Nutzen Sie die Kontrollzuordnung, um jede Anforderung des Artikels 27 mit einer konkreten Kontrolle und einem Nachweis zu verknüpfen.
- Stellen Sie das Mitteilungsdossier zusammen. Dokumentieren Sie alle sechs Elemente des Artikels 27 Absatz 1, damit die Akte zur Einreichung nach Artikel 27 Absatz 3 bereitliegt, sobald Frankreich die empfangende Behörde benennt.
- Behalten Sie die beweglichen Teile im Blick. Verfolgen Sie das Benennungsdekret und den Stand des Digital Omnibus und werfen Sie für das aktuelle Fristenbild erneut einen Blick auf die Übersicht zur EU-KI-Verordnung.
Zwei begleitende Leitfäden
Zwei begleitende Leitfäden vertiefen angrenzende Fragen. Für eine vollständig ausgearbeitete FRIA zum Kreditscoring – einschließlich der Ausnahme zur Betrugsaufdeckung nach Anhang III Nummer 5 Buchstabe b und des Zusammenspiels mit Artikel 22 DSGVO – siehe das Beispiel einer FRIA zum Kreditscoring. Wie Frankreich an die harmonisierten Normen der EU-KI-Verordnung herangeht, behandelt die Debatte um Frankreich und prEN 18286.
Häufig gestellte Fragen
Ist die CNIL die zuständige Behörde für die FRIA in Frankreich?
Förmlich noch nicht. Frankreich hat seine Behördenbenennungen nach der KI-Verordnung nicht in Kraft gesetzt und die Frist vom 2. August 2025 verpasst. Ein Regierungsschema vom 9. September 2025 schlägt die DGCCRF als zentrale Anlaufstelle nach Artikel 70 vor, die CNIL als faktisch federführende Stelle für KI mit Personenbezug und biometrische KI sowie die ACPR für KI im Finanzdienstleistungsbereich, doch die Benennungsvorschriften blieben im DDADUE-Gesetzentwurf im Parlament stecken. Bis ein Dekret verabschiedet ist, steht der Empfänger der Mitteilung nach Artikel 27 Absatz 3 nicht förmlich fest – halten Sie Ihre Dokumentation nach Artikel 27 Absatz 1 einreichungsbereit.
Kann eine französische AIPD (DSFA) die FRIA ersetzen?
Nein. Artikel 27 Absatz 4 sieht vor, dass die FRIA eine nach Artikel 35 DSGVO durchgeführte DSFA ergänzt; sie ersetzt sie nicht. Sie verwenden die Teile wieder, die die AIPD bereits abdeckt – etwa Daten, Sicherheit und einige Risiken –, und die FRIA bewertet darüber hinaus jedes einschlägige Grundrecht der EU-Charta, einschließlich Nichtdiskriminierung, guter Verwaltung und sozialer Rechte, über den Datenschutz allein hinaus.
Stellt die CNIL eine FRIA-Vorlage bereit?
Nein. Die CNIL veröffentlicht DSGVO-orientiertes Material – KI-Empfehlungen und Praxis-Merkblätter, einen Selbstbewertungsleitfaden für KI-Systeme sowie eine DSFA-Methodik (AIPD) mit kostenloser Open-Source-PIA-Software –, jedoch ohne FRIA-Vorlage nach Artikel 27. Die offizielle FRIA-Vorlage fällt nach Artikel 27 Absatz 5 in die Zuständigkeit des Europäischen KI-Büros und war mit Stand Juni 2026 noch nicht veröffentlicht.
Welche französischen Behörden werden Hochrisiko-KI-Systeme beaufsichtigen?
Nach dem vorgeschlagenen Schema vom 9. September 2025 koordiniert die DGCCRF als zentrale Anlaufstelle, die CNIL ist federführend für KI mit Personenbezug und biometrische KI (sowie Beschäftigung, Strafverfolgung und biometrische Identifizierung), die ACPR deckt den Finanzbereich ab, Arcom audiovisuelle Inhalte und Deepfakes, und ANSSI stellt zusammen mit PEReN technische Unterstützung bereit. Dies bleiben Vorschläge, die noch zur parlamentarischen Verabschiedung anstehen.
Decken die KI-Leitlinien der CNIL die EU-KI-Verordnung ab?
Die Empfehlungen der CNIL beruhen auf der DSGVO. Sie legen aus, wie das Datenschutzrecht auf die Entwicklung und den Einsatz von KI Anwendung findet. Die CNIL stimmt sich in der Praxis mit der KI-Verordnung ab und hat öffentlich dafür plädiert, die Datenschutzbehörden für Hochrisiko-KI-Systeme, die Grundrechte berühren, als Marktüberwachungsbehörden zu benennen, um die DSGVO und die KI-Verordnung kohärent zu halten.
Welche französischen Betreiber müssen eine FRIA durchführen?
Einrichtungen des öffentlichen Rechts und private Einrichtungen, die öffentliche Dienste erbringen und Hochrisiko-KI nach Anhang III einsetzen, sowie – unabhängig vom öffentlichen oder privaten Status – jeder Betreiber, der KI zur Bewertung der Kreditwürdigkeit oder zum Kreditscoring nach Anhang III Nummer 5 Buchstabe b (außer zur Betrugsaufdeckung) oder zur Risikobewertung und Preisbildung in der Lebens- und Krankenversicherung nach Anhang III Nummer 5 Buchstabe c einsetzt.
Was teile ich nach der FRIA in Frankreich mit und wem?
Artikel 27 Absatz 3 verpflichtet den Betreiber, der Marktüberwachungsbehörde die Ergebnisse der FRIA mitzuteilen, und zwar mit der Vorlage des KI-Büros nach Artikel 27 Absatz 5, sobald diese vorliegt. Da Frankreich diese Behörde noch nicht förmlich benannt hat, halten Sie ein vollständiges Dossier nach Artikel 27 Absatz 1 einreichungsbereit. Der verbindliche Vorbereitungsstichtag bleibt der 2. August 2026, sofern und solange der Digital Omnibus nicht im Amtsblatt veröffentlicht wird, was ihn auf den 2. Dezember 2027 verschieben würde.
Die wichtigsten Erkenntnisse
Eine französische FRIA ist am effizientesten, wenn sie von vorhandener Arbeit ausgeht. Führen Sie die CNIL-AIPD durch oder aktualisieren Sie sie, verwenden Sie sie als Eingabe nach Artikel 27 Absatz 4 wieder und weiten Sie die Bewertung anschließend auf jedes einschlägige Grundrecht der Charta aus, und stellen Sie das Dossier nach Artikel 27 Absatz 1 zusammen, damit es zur Mitteilung bereitliegt, sobald Frankreich die empfangende Behörde benennt. Der verbindliche Vorbereitungsstichtag ist der 2. August 2026, und der Digital Omnibus würde ihn erst dann auf den 2. Dezember 2027 verschieben, wenn er im Amtsblatt veröffentlicht ist – der praktische Kurs ist also in beiden Fällen derselbe: jetzt vorbereiten. Eine strukturierte Bewertung können Sie mit dem kostenlosen FRIA-Generator erstellen, und um zu sehen, wie sich das auf einen realen Einsatz übertragen lässt, vereinbaren Sie eine Demo. Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar; klären Sie Ihre Pflichten nach Artikel 27 mit qualifizierten Rechtsberatern und prüfen Sie den regulatorischen Status erneut – die Benennung der französischen Behörden und der Digital Omnibus sind beide noch in Bewegung –, bevor Sie sich auf eine Frist oder einen Mitteilungsweg verlassen.