breakpilot-core/document-templates/migrations/007_fria_template.sql

-- Migration 007: FRIA Template V1 — Grundrechte-Folgenabschaetzung (Art. 27 KI-VO)
-- Fundamental Rights Impact Assessment fuer Hochrisiko-KI-Systeme
-- Rechtsgrundlage: Art. 27 Verordnung (EU) 2024/1689 (KI-Verordnung / AI Act)

INSERT INTO compliance.compliance_legal_templates (
    tenant_id, document_type, title, description, language, jurisdiction,
    version, status, license_name, source_name, attribution_required,
    is_complete_document, placeholders, content
) VALUES (
    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
    'fria',
    'Grundrechte-Folgenabschaetzung (FRIA) gemaess Art. 27 KI-Verordnung',
    'Vorlage fuer eine Grundrechte-Folgenabschaetzung (Fundamental Rights Impact Assessment) gemaess Art. 27 der Verordnung (EU) 2024/1689 (KI-Verordnung). Erforderlich fuer Hochrisiko-KI-Systeme, insbesondere bei oeffentlichen Stellen und in den Bereichen Beschaeftigung, Bildung und Zugang zu wesentlichen Dienstleistungen.',
    'de',
    'EU/KI-VO',
    '1.0',
    'published',
    'MIT',
    'BreakPilot Compliance',
    false,
    true,
    CAST('[
        "{{ORGANISATION_NAME}}",
        "{{ORGANISATION_ADRESSE}}",
        "{{VERANTWORTLICHER}}",
        "{{ERSTELLT_VON}}",
        "{{ERSTELLT_AM}}",
        "{{SYSTEM_NAME}}",
        "{{SYSTEM_VERSION}}",
        "{{SYSTEM_BESCHREIBUNG}}",
        "{{SYSTEM_ANBIETER}}",
        "{{EINSATZZWECK}}",
        "{{EINSATZKONTEXT}}",
        "{{BETROFFENE_GRUPPEN}}",
        "{{BETROFFENE_ANZAHL}}",
        "{{GRUNDRECHTE_ANALYSE}}",
        "{{RISIKOMATRIX}}",
        "{{MASSNAHMEN_LISTE}}",
        "{{HUMAN_OVERSIGHT_BESCHREIBUNG}}",
        "{{TRANSPARENZ_MASSNAHMEN}}",
        "{{KONSULTATION_ERGEBNISSE}}",
        "{{GENEHMIGT_VON}}",
        "{{GENEHMIGT_AM}}",
        "{{NAECHSTE_UEBERPRUEFUNG}}",
        "{{DSB_NAME}}",
        "{{DSB_KONTAKT}}",
        "{{AI_ACT_KLASSIFIKATION}}",
        "{{ANNEX_III_KATEGORIE}}"
    ]' AS jsonb),
    $template$# Grundrechte-Folgenabschaetzung (FRIA)

**gemaess Art. 27 der Verordnung (EU) 2024/1689 (KI-Verordnung)**

---

| Feld | Wert |
|------|------|
| Organisation | {{ORGANISATION_NAME}} |
| Adresse | {{ORGANISATION_ADRESSE}} |
| KI-System | {{SYSTEM_NAME}} (Version {{SYSTEM_VERSION}}) |
| Erstellt von | {{ERSTELLT_VON}} |
| Erstellt am | {{ERSTELLT_AM}} |
| Status | Entwurf |

---

## 1. Systembeschreibung und Einsatzkontext

### 1.1 KI-System

**Systemname:** {{SYSTEM_NAME}}
**Version:** {{SYSTEM_VERSION}}
**Anbieter:** {{SYSTEM_ANBIETER}}
**Beschreibung:** {{SYSTEM_BESCHREIBUNG}}

### 1.2 AI Act Klassifikation

**Risikoklasse:** {{AI_ACT_KLASSIFIKATION}}
{{#IF ANNEX_III_KATEGORIE}}
**Annex III Kategorie:** {{ANNEX_III_KATEGORIE}}
{{/IF}}

### 1.3 Einsatzzweck

{{EINSATZZWECK}}

### 1.4 Einsatzkontext

{{EINSATZKONTEXT}}

Folgende Fragen sind zu beantworten:
- In welchem organisatorischen Kontext wird das System eingesetzt?
- Welche Entscheidungen werden durch das System unterstuetzt oder automatisiert?
- Wie haeufig wird das System eingesetzt?
- Welche Rolle spielt das System im Gesamtprozess?

### 1.5 Betroffene Personengruppen

{{BETROFFENE_GRUPPEN}}

**Geschaetzte Anzahl betroffener Personen:** {{BETROFFENE_ANZAHL}}

{{#IF BILDUNGSKONTEXT}}
**Besonderer Schutz:** Schueler, Studierende und Auszubildende geniessen als besonders schutzbeduerftiger Personenkreis erhoehten Schutz.
{{/IF}}

{{#IF HR_KONTEXT}}
**Besonderer Schutz:** Beschaeftigte und Bewerber befinden sich in einem Abhaengigkeitsverhaeltnis und beduerfen besonderen Schutzes vor diskriminierenden KI-Entscheidungen.
{{/IF}}

---

## 2. Grundrechte-Mapping

### 2.1 Betroffene Grundrechte

Die folgenden Grundrechte der EU-Grundrechtecharta und des Grundgesetzes wurden auf Betroffenheit geprueft:

{{GRUNDRECHTE_ANALYSE}}

### 2.2 Referenz-Grundrechte

| Nr. | Grundrecht | EU-Charta | GG | Betroffen | Begruendung |
|-----|-----------|-----------|-----|-----------|-------------|
| 1 | Menschenwuerde | Art. 1 | Art. 1 | | |
| 2 | Recht auf Privatsphaere | Art. 7 | Art. 2 Abs. 1 | | |
| 3 | Schutz personenbezogener Daten | Art. 8 | Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 | | |
| 4 | Nicht-Diskriminierung | Art. 21 | Art. 3 | | |
| 5 | Gleichheit von Frauen und Maennern | Art. 23 | Art. 3 Abs. 2 | | |
| 6 | Rechte des Kindes | Art. 24 | Art. 6 Abs. 2 | | |
| 7 | Recht auf Bildung | Art. 14 | Art. 12 | | |
| 8 | Berufsfreiheit / Recht zu arbeiten | Art. 15 | Art. 12 | | |
| 9 | Recht auf wirksamen Rechtsbehelf | Art. 47 | Art. 19 Abs. 4 | | |
| 10 | Meinungs- und Informationsfreiheit | Art. 11 | Art. 5 | | |
| 11 | Versammlungs- und Vereinigungsfreiheit | Art. 12 | Art. 8, 9 | | |
| 12 | Recht auf soziale Sicherheit | Art. 34 | Art. 20 | | |

{{#IF OEFFENTLICHE_STELLE}}

### 2.3 Besondere Pflichten oeffentlicher Stellen

Als oeffentliche Stelle gelten zusaetzliche Anforderungen:
- Erweiterte Transparenzpflicht gegenueber Buergern
- Pflicht zur Barrierefreiheit des Systems
- Beruecksichtigung des Gleichheitsgrundsatzes (Art. 3 GG)
- Demokratische Kontrolle und Rechenschaftspflicht
{{/IF}}

---

## 3. Risikoanalyse

### 3.1 Risikobewertung pro Grundrecht

Fuer jedes betroffene Grundrecht wird das Risiko bewertet:

**Eintrittswahrscheinlichkeit:**
- 1 = Sehr unwahrscheinlich
- 2 = Unwahrscheinlich
- 3 = Moeglich
- 4 = Wahrscheinlich
- 5 = Sehr wahrscheinlich

**Schadensausmass:**
- 1 = Geringfuegig
- 2 = Begrenzt
- 3 = Erheblich
- 4 = Schwerwiegend
- 5 = Katastrophal

### 3.2 Risikomatrix

{{RISIKOMATRIX}}

| Grundrecht | Risikoszenario | Wahrscheinlichkeit | Schwere | Risiko-Level | Begruendung |
|-----------|----------------|--------------------:|--------:|:------------:|-------------|
| | | | | | |

**Risiko-Level Berechnung:** Wahrscheinlichkeit × Schwere

| Risiko-Level | Punktzahl | Bedeutung |
|:------------:|:---------:|-----------|
| Niedrig | 1-6 | Akzeptables Risiko, Standardmassnahmen |
| Mittel | 7-12 | Erhoehte Aufmerksamkeit, zusaetzliche Massnahmen |
| Hoch | 13-19 | Erhebliches Risiko, umfassende Massnahmen erforderlich |
| Kritisch | 20-25 | Nicht akzeptabel ohne fundamentale Aenderungen |

---

## 4. Massnahmen zur Risikominderung

### 4.1 Uebersicht der Massnahmen

{{MASSNAHMEN_LISTE}}

### 4.2 Human Oversight (Art. 14 KI-VO)

{{HUMAN_OVERSIGHT_BESCHREIBUNG}}

Folgende Massnahmen zur menschlichen Aufsicht werden umgesetzt:
- [ ] Mensch kann KI-Entscheidung jederzeit uebersteuern
- [ ] Mensch versteht KI-Output vollstaendig
- [ ] Keine automatisierten Entscheidungen ohne menschliche Ueberpruefung
- [ ] Schulung der Nutzer zu Systemgrenzen und Risiken
- [ ] Eingriffsprotokolle werden gefuehrt

### 4.3 Transparenz (Art. 13 KI-VO)

{{TRANSPARENZ_MASSNAHMEN}}

Folgende Transparenzmassnahmen werden umgesetzt:
- [ ] Betroffene werden ueber KI-Nutzung informiert
- [ ] KI-generierte Outputs sind als solche gekennzeichnet
- [ ] Erklaerbarkeit der Entscheidungslogik sichergestellt
- [ ] Kontaktmoeglichkeit fuer Betroffene vorhanden
- [ ] Informationen sind verstaendlich und zugaenglich

### 4.4 Logging und Audit (Art. 12 KI-VO)

- [ ] Alle Eingaben und Ausgaben werden protokolliert
- [ ] Logs sind manipulationssicher
- [ ] Aufbewahrungsfristen definiert
- [ ] Audit-Trail fuer Entscheidungsnachvollziehbarkeit

### 4.5 Bias-Pruefung und Nicht-Diskriminierung

- [ ] Trainingsdaten auf Bias geprueft
- [ ] Regelmaessige Bias-Audits geplant
- [ ] Beschwerdemechanismus fuer Diskriminierungsfaelle
{{#IF HR_KONTEXT}}
- [ ] AGG-konforme Gestaltung (kein Bias bei Geschlecht, Alter, Herkunft, Behinderung)
- [ ] Betriebsrat gemaess §95 BetrVG beteiligt (bei Auswahlrichtlinien)
{{/IF}}
{{#IF BILDUNGSKONTEXT}}
- [ ] Chancengleichheit unabhaengig von sozioekonomischem Hintergrund
- [ ] Keine Benachteiligung aufgrund von Sprachkenntnissen oder Behinderung
{{/IF}}

---

## 5. Konsultation

### 5.1 Einbeziehung Betroffener

{{KONSULTATION_ERGEBNISSE}}

Folgende Stakeholder wurden konsultiert:
- [ ] Datenschutzbeauftragter ({{DSB_NAME}}, {{DSB_KONTAKT}})
- [ ] Betroffene Personengruppen oder deren Vertreter
{{#IF HR_KONTEXT}}
- [ ] Betriebsrat / Personalrat
{{/IF}}
{{#IF OEFFENTLICHE_STELLE}}
- [ ] Buergervertreter / Ombudsstelle
- [ ] Zustaendige Aufsichtsbehoerde
{{/IF}}
- [ ] Fachexperten fuer betroffene Grundrechte

### 5.2 Ergebnisse der Konsultation

| Stakeholder | Datum | Ergebnis | Massnahme |
|------------|-------|----------|-----------|
| | | | |

---

## 6. Gesamtbewertung und Freigabe

### 6.1 Gesamtrisiko-Bewertung

| Kriterium | Bewertung |
|-----------|-----------|
| Hoechstes Einzelrisiko | |
| Anzahl betroffene Grundrechte | |
| Anzahl betroffene Personen | {{BETROFFENE_ANZAHL}} |
| Massnahmen ausreichend | Ja / Nein / Teilweise |
| Restrisiko akzeptabel | Ja / Nein |

### 6.2 Entscheidung

- [ ] **Freigabe** — Restrisiko akzeptabel, Massnahmen ausreichend
- [ ] **Freigabe mit Auflagen** — Zusaetzliche Massnahmen erforderlich (siehe unten)
- [ ] **Ablehnung** — Grundrechtsrisiken nicht akzeptabel mitigierbar

### 6.3 Auflagen (falls zutreffend)

| Nr. | Auflage | Frist | Verantwortlich |
|-----|---------|-------|----------------|
| | | | |

---

## 7. Laufende Ueberwachung

### 7.1 Naechste Ueberpruefung

**Geplante Ueberpruefung:** {{NAECHSTE_UEBERPRUEFUNG}}

### 7.2 Trigger fuer ausserplanmaessige Ueberpruefung

Eine erneute FRIA ist durchzufuehren bei:
- Wesentlicher Aenderung des KI-Systems oder seines Einsatzzwecks
- Erweiterung auf neue Personengruppen oder Anwendungsbereiche
- Beschwerden oder Vorfaellen mit Grundrechtsbezug
- Aenderung der Rechtsgrundlage oder Risikoklassifikation
- Neuen wissenschaftlichen Erkenntnissen zu Risiken
- Aenderung des KI-Modells oder der Trainingsdaten

### 7.3 Dokumentation und Archivierung

Diese FRIA wird mindestens fuer die Dauer des Einsatzes des KI-Systems und darueberhinaus fuer 10 Jahre archiviert (Art. 18 KI-VO).

---

## 8. Unterschriften

| | |
|---|---|
| _________________________ | _________________________ |
| {{ERSTELLT_VON}} | {{GENEHMIGT_VON}} |
| Erstellt am {{ERSTELLT_AM}} | Genehmigt am {{GENEHMIGT_AM}} |

---

**Anhang A:** Vollstaendige Systemdokumentation (Art. 11 KI-VO)
**Anhang B:** AI Act Decision Tree Ergebnis
**Anhang C:** Verknuepfte DSFA (falls vorhanden)
**Anhang D:** Konsultationsprotokolle
$template$
) ON CONFLICT DO NOTHING;