ISO 42001: Der KI-Managementsystem-Standard erklärt

Das Wichtigste in Kürze: Die ISO/IEC 42001:2023 ist der weltweit erste internationale Standard für ein KI-Managementsystem (AIMS – Artificial Intelligence Management System). Veröffentlicht im Dezember 2023, gibt sie Organisationen einen strukturierten Rahmen für die verantwortungsvolle Entwicklung, Bereitstellung und Nutzung von KI-Systemen. Der Standard folgt der High-Level-Structure (HLS) der ISO und lässt sich nahtlos mit bestehenden Managementsystemen wie ISO 27001 oder ISO 9001 integrieren. Besonders relevant: Art. 40 der KI-Verordnung (VO (EU) 2024/1689) sieht vor, dass harmonisierte Normen eine Konformitätsvermutung begründen können – eine ISO-42001-Zertifizierung kann damit zum entscheidenden Compliance-Vorteil werden.

Inhaltsverzeichnis

Was ist ISO/IEC 42001?
Der PDCA-Zyklus als Grundgerüst
Die Kernelemente im Detail
Annex A: Die KI-spezifischen Controls
Verhältnis zum AI Act
ISO 42001 vs. ISO 27001: Vergleichstabelle
Der Zertifizierungsprozess in 5 Schritten
Kosten und Aufwand
Für wen lohnt sich die Zertifizierung?
Häufig gestellte Fragen (FAQ)
Nächste Schritte

Was ist ISO/IEC 42001? {#was-ist-iso-42001}

Die ISO/IEC 42001:2023 trägt den offiziellen Titel „Information technology – Artificial intelligence – Management system" und wurde am 18. Dezember 2023 durch die Internationale Organisation für Normung (ISO) und die Internationale Elektrotechnische Kommission (IEC) veröffentlicht. Sie ist die erste internationale Norm, die Anforderungen an ein KI-Managementsystem (AIMS) definiert.

Warum braucht KI einen eigenen Standard?

Künstliche Intelligenz unterscheidet sich in wesentlichen Punkten von klassischer Software:

Probabilistisches Verhalten: KI-Systeme liefern keine deterministischen Ergebnisse – ihre Ausgaben können variieren und sind nicht immer vorhersehbar.
Datenabhängigkeit: Die Qualität und Repräsentativität der Trainingsdaten bestimmen die Leistungsfähigkeit und Fairness des Systems.
Autonomie und Lernfähigkeit: Manche KI-Systeme verändern ihr Verhalten über die Zeit, was kontinuierliches Monitoring erfordert.
Ethische Implikationen: KI-Entscheidungen können erhebliche Auswirkungen auf Individuen und Gesellschaft haben – von Kreditscoring bis zu automatisierten Bewerbungsverfahren.

Diese Besonderheiten machen spezialisierte Governance-Anforderungen notwendig, die über das hinausgehen, was ISO 27001 (Informationssicherheit) oder ISO 9001 (Qualitätsmanagement) abdecken. ISO 42001 schließt diese Lücke.

Aufbau der Norm

ISO 42001 folgt der Harmonized Structure (HS) – ehemals High-Level-Structure (HLS) – die allen modernen ISO-Managementsystemnormen zugrunde liegt. Die Hauptkapitel sind:

Kapitel	Inhalt
4 – Kontext der Organisation	Interne/externe Themen, interessierte Parteien, Anwendungsbereich
5 – Führung	KI-Politik, Rollen, Verantwortlichkeiten, Verpflichtung der Leitung
6 – Planung	Risiken und Chancen, KI-Ziele, Maßnahmenplanung
7 – Unterstützung	Ressourcen, Kompetenz, Bewusstsein, Kommunikation, Dokumentation
8 – Betrieb	Operative Planung, KI-Risikobeurteilung, KI-Systemlebenszyklus
9 – Bewertung der Leistung	Monitoring, interne Audits, Managementbewertung
10 – Verbesserung	Nichtkonformitäten, Korrekturmaßnahmen, kontinuierliche Verbesserung

Ergänzt wird der Normtext durch vier Anhänge (Annexes):

Annex A: Referenz-Controls für KI (normativ)
Annex B: Umsetzungshinweise zu den Annex-A-Controls (informativ)
Annex C: Potenzielle KI-bezogene Ziele und Risikoquellen (informativ)
Annex D: Einsatz von ISO 42001 über verschiedene Domänen und Organisationsgrößen (informativ)

Der PDCA-Zyklus als Grundgerüst {#pdca-zyklus}

Wie alle ISO-Managementsystemnormen basiert ISO 42001 auf dem PDCA-Zyklus (Plan-Do-Check-Act) nach Deming. Dieser Zyklus stellt sicher, dass das KI-Managementsystem kein statisches Dokument bleibt, sondern sich kontinuierlich verbessert.

Plan (Planen)

In der Planungsphase wird der Grundstein gelegt:

Kontextanalyse: Welche internen und externen Faktoren beeinflussen den KI-Einsatz? Welche regulatorischen Anforderungen gelten (AI Act, DSGVO, branchenspezifische Vorgaben)?
Stakeholder-Analyse: Welche Erwartungen haben Kunden, Aufsichtsbehörden, Mitarbeitende und betroffene Personen?
KI-Politik: Die oberste Leitung formuliert eine übergreifende KI-Politik mit Grundsätzen für verantwortungsvolle KI-Nutzung.
Risikobewertung: Systematische Identifikation und Bewertung von KI-spezifischen Risiken – einschließlich Bias, Datenschutz, Sicherheit und gesellschaftlicher Auswirkungen.
KI-Ziele: Messbare Ziele für das AIMS werden festgelegt und mit Maßnahmen unterlegt.

Do (Umsetzen)

Die geplanten Maßnahmen werden operativ umgesetzt:

Ressourcenbereitstellung: Personal, Budget, Infrastruktur und Tools werden zugewiesen.
Kompetenzaufbau: Schulungen und Qualifizierungsmaßnahmen für alle relevanten Rollen.
Operative Prozesse: Implementierung der Annex-A-Controls, Lebenszyklusmanagement für KI-Systeme, Datenmanagement.
Dokumentation: Aufbau der geforderten dokumentierten Informationen (Policies, Verfahren, Nachweise).

Check (Überprüfen)

Die Wirksamkeit des AIMS wird systematisch überprüft:

Monitoring und Messung: KPIs für KI-Systeme und Managementprozesse werden erhoben und ausgewertet.
Interne Audits: Regelmäßige Audits prüfen, ob das AIMS die Anforderungen der Norm und der eigenen Vorgaben erfüllt.
Managementbewertung: Die oberste Leitung bewertet die Gesamtleistung des AIMS und identifiziert Verbesserungsbedarf.

Act (Handeln)

Erkannte Abweichungen und Verbesserungspotenziale werden adressiert:

Korrekturmaßnahmen: Bei Nichtkonformitäten werden Ursachen analysiert und Maßnahmen ergriffen.
Kontinuierliche Verbesserung: Das AIMS wird fortlaufend an neue Technologien, Risiken und regulatorische Anforderungen angepasst.

Die Kernelemente im Detail {#kernelemente}

1. KI-Politik

Die KI-Politik ist das zentrale Steuerungsdokument des AIMS. Sie wird von der obersten Leitung verabschiedet und muss:

Einen Rahmen für die Festlegung von KI-Zielen bieten
Das Bekenntnis zur Erfüllung anwendbarer Anforderungen enthalten
Das Bekenntnis zur kontinuierlichen Verbesserung des AIMS ausdrücken
Die Grundsätze für verantwortungsvolle KI festlegen (z. B. Fairness, Transparenz, menschliche Aufsicht)

Die KI-Politik muss dokumentiert, innerhalb der Organisation kommuniziert und interessierten Parteien bei Bedarf zugänglich gemacht werden.

2. KI-Risikobewertung

Die Risikobewertung nach ISO 42001 geht deutlich über klassische IT-Risikobewertungen hinaus. Sie umfasst:

KI-spezifische Risikoquellen: Bias und Diskriminierung, mangelnde Erklärbarkeit, Datenvergiftung (Data Poisoning), adversariale Angriffe, Modell-Drift, unbeabsichtigte Nutzung
Auswirkungsebenen: Individuen (betroffene Personen), Organisation, Gesellschaft, Umwelt
Lebenszyklusbezug: Risiken werden über den gesamten KI-Lebenszyklus betrachtet – von der Datenerhebung über Training und Deployment bis zum Außerbetriebnahme

ISO 42001 verweist ergänzend auf ISO/IEC 23894:2023 (Guidance on AI risk management) als vertiefende Ressource für die methodische Durchführung der KI-Risikobewertung.

3. KI-Ziele (Objectives)

Die Organisation muss messbare KI-Ziele festlegen, die mit der KI-Politik konsistent sind. Beispiele:

Reduktion von Bias-Metriken um X % innerhalb von 12 Monaten
100 % der Hochrisiko-KI-Systeme durchlaufen eine dokumentierte Folgenabschätzung
Alle KI-nutzenden Mitarbeitenden absolvieren jährlich eine Kompetenzschulung
Durchschnittliche Reaktionszeit bei KI-Vorfällen unter 24 Stunden

Für jedes Ziel muss dokumentiert werden: Was wird getan, welche Ressourcen werden benötigt, wer ist verantwortlich, bis wann soll das Ziel erreicht werden und wie werden die Ergebnisse bewertet.

4. Ressourcen und Kompetenz

ISO 42001 fordert, dass die Organisation die notwendigen Ressourcen für das AIMS bereitstellt. Das umfasst:

Personelle Ressourcen: Dedizierte Rollen wie KI-Beauftragter, KI-Risikomanager, Data Steward
Technische Ressourcen: Monitoring-Tools, Testumgebungen, Versionskontrolle für Modelle
Finanzielle Ressourcen: Budget für Schulungen, externe Audits, Tool-Lizenzen

Beim Thema Kompetenz verlangt die Norm, dass Personen, die unter der Kontrolle der Organisation Tätigkeiten ausführen, die das KI-Managementsystem beeinflussen, über die notwendige Kompetenz verfügen – nachgewiesen durch Ausbildung, Schulung oder Erfahrung. Dies deckt sich mit der KI-Kompetenzpflicht nach Art. 4 VO (EU) 2024/1689.

5. Dokumentierte Informationen

Das AIMS erfordert umfangreiche dokumentierte Informationen (der ISO-Begriff für Dokumente und Aufzeichnungen):

KI-Politik und KI-Ziele
Anwendungsbereich des AIMS
KI-Risikobewertungen und Risikobehandlungspläne
Statement of Applicability (SoA) für Annex-A-Controls
Ergebnisse der Leistungsbewertung
Auditberichte und Managementbewertungen
Nachweise über Kompetenz und Schulungen
KI-System-Inventar und Lebenszyklusdokumentation

6. Monitoring, Messung und Analyse

Die Organisation muss festlegen, was überwacht und gemessen wird, wie die Überwachung erfolgt, wann sie durchgeführt wird und wer die Ergebnisse analysiert und bewertet. Typische Monitoring-Bereiche:

Modellleistung: Accuracy, Precision, Recall, F1-Score, Drift-Indikatoren
Fairness-Metriken: Disparate Impact, Equal Opportunity Difference
Systemverfügbarkeit und -zuverlässigkeit
Vorfälle und Beschwerden im Zusammenhang mit KI-Systemen
Wirksamkeit der Annex-A-Controls

7. Internes Audit

Interne Audits müssen in geplanten Abständen durchgeführt werden, um festzustellen, ob das AIMS die Anforderungen der Norm und die eigenen Vorgaben der Organisation erfüllt und ob es wirksam umgesetzt und aufrechterhalten wird. Auditoren müssen unabhängig von den auditierten Bereichen sein.

8. Managementbewertung (Management Review)

Die oberste Leitung muss das AIMS in geplanten Abständen bewerten. Die Managementbewertung berücksichtigt unter anderem:

Status von Maßnahmen aus vorherigen Bewertungen
Veränderungen bei internen/externen Themen
Ergebnisse von Audits und Leistungsbewertungen
Rückmeldungen interessierter Parteien
Ergebnisse der KI-Risikobewertung
Möglichkeiten zur kontinuierlichen Verbesserung

Annex A: Die KI-spezifischen Controls {#annex-a}

Das Herzstück der ISO 42001 für die operative Umsetzung ist Annex A mit seinen KI-spezifischen Controls. Anders als bei ISO 27001, wo Annex A auf Informationssicherheit fokussiert, adressieren die Controls hier die besonderen Herausforderungen von KI-Systemen.

Die Controls sind in folgende Themenbereiche gegliedert:

A.2 – Richtlinien für KI

Festlegung und Kommunikation einer organisationsweiten KI-Richtlinie, die ethische Grundsätze, Verantwortlichkeiten und Nutzungsgrenzen definiert.

A.3 – Interne Organisation

Etablierung klarer Rollen und Verantwortlichkeiten für KI-Governance, einschließlich Berichtswege und Eskalationsprozesse.

A.4 – Ressourcen für KI-Systeme

Sicherstellung, dass ausreichend personelle, technische und finanzielle Ressourcen für den verantwortungsvollen Betrieb von KI-Systemen bereitstehen.

A.5 – Bewertung der Auswirkungen von KI-Systemen

Durchführung systematischer Folgenabschätzungen (AI Impact Assessments), die Auswirkungen auf Individuen, Gruppen und die Gesellschaft bewerten.

A.6 – KI-Systemlebenszyklus

Management des gesamten Lebenszyklus von KI-Systemen – von der Konzeption über Entwicklung, Test, Deployment und Betrieb bis zur Außerbetriebnahme. Dies umfasst auch Datenmanagement, Modellvalidierung und Änderungsmanagement.

A.7 – Daten für KI-Systeme

Controls für die Erhebung, Aufbereitung, Kennzeichnung, Qualitätssicherung und Governance von Daten, die für KI-Systeme verwendet werden.

A.8 – Information für interessierte Parteien

Transparenzanforderungen gegenüber Nutzern, betroffenen Personen und anderen Stakeholdern – einschließlich Erklärbarkeit von KI-Entscheidungen und Kennzeichnungspflichten.

A.9 – Nutzung von KI-Systemen

Controls für die verantwortungsvolle Nutzung von KI, einschließlich bestimmungsgemäßer Verwendung, menschlicher Aufsicht und Eingriffsmaßnahmen.

A.10 – Beziehungen mit Dritten

Management von Risiken bei der Nutzung von KI-Systemen oder -Komponenten Dritter (z. B. Cloud-basierte KI-Services, vortrainierte Modelle).

Die Organisation wählt anhand ihrer KI-Risikobewertung aus, welche Controls anwendbar sind, und dokumentiert dies im Statement of Applicability (SoA). Nicht anwendbare Controls müssen begründet ausgeschlossen werden.

Verhältnis zum AI Act {#verhaeltnis-ai-act}

Die Verbindung zwischen ISO 42001 und der KI-Verordnung (VO (EU) 2024/1689) ist für europäische Unternehmen von zentraler strategischer Bedeutung.

Art. 17: Qualitätsmanagementsystem

Art. 17 VO (EU) 2024/1689 verpflichtet Anbieter von Hochrisiko-KI-Systemen zur Einrichtung eines Qualitätsmanagementsystems (QMS). Dieses QMS muss unter anderem umfassen:

Eine Strategie für die Einhaltung regulatorischer Anforderungen
Techniken, Verfahren und systematische Maßnahmen für Entwurf, Entwicklung und Test
Prüf-, Test- und Validierungsverfahren
Datenmanagementverfahren
Ein Risikomanagement-system
Verfahren für die Meldung schwerwiegender Vorfälle
Verfahren zur Kommunikation mit zuständigen Behörden

Die Anforderungen von Art. 17 zeigen erhebliche Überschneidungen mit den Anforderungen der ISO 42001. Wer ein AIMS nach ISO 42001 implementiert, deckt einen großen Teil der QMS-Anforderungen aus Art. 17 bereits ab.

Art. 40-41: Harmonisierte Normen und Konformitätsvermutung

Art. 40 VO (EU) 2024/1689 sieht vor, dass harmonisierte Normen als Referenz für die Erfüllung der Anforderungen der KI-Verordnung dienen können. Hochrisiko-KI-Systeme, die mit harmonisierten Normen übereinstimmen, genießen nach Art. 40 eine Konformitätsvermutung in Bezug auf die von diesen Normen abgedeckten Anforderungen.

Art. 41 ergänzt, dass die Europäische Kommission gemeinsame Spezifikationen erlassen kann, wenn keine harmonisierten Normen existieren oder diese als unzureichend erachtet werden.

Stand heute: ISO/IEC 42001 ist noch keine harmonisierte Norm im Sinne der KI-Verordnung. Die Harmonisierung erfordert einen formellen Auftrag der Europäischen Kommission an CEN/CENELEC und die anschließende Veröffentlichung im Amtsblatt der EU. Dieser Prozess ist eingeleitet – CEN und CENELEC arbeiten aktiv an der Harmonisierung. Es ist davon auszugehen, dass ISO/IEC 42001 oder eine darauf basierende europäische Norm (EN ISO/IEC 42001) in absehbarer Zeit harmonisiert wird.

Strategische Bedeutung

Auch ohne formelle Harmonisierung bietet ISO 42001 erhebliche Vorteile:

Strukturelle Vorbereitung: Unternehmen, die jetzt ein AIMS aufbauen, sind optimal vorbereitet, sobald die Harmonisierung erfolgt.
Nachweiserleichterung: Eine Zertifizierung nach ISO 42001 dokumentiert systematische Compliance-Bemühungen gegenüber Aufsichtsbehörden.
Reduktion des Konformitätsbewertungsaufwands: Wenn die Konformitätsvermutung greift, entfällt die Notwendigkeit einer eigenständigen Konformitätsbewertung für die abgedeckten Anforderungen.
Wettbewerbsvorteil: Eine Zertifizierung signalisiert Kunden, Partnern und Investoren ein hohes Maß an KI-Verantwortung.

ISO 42001 vs. ISO 27001: Vergleichstabelle {#vergleich-iso-27001}

Viele Unternehmen sind bereits nach ISO/IEC 27001 (Informationssicherheit) zertifiziert und fragen sich, wie sich ISO 42001 dazu verhält. Die folgende Tabelle zeigt die wesentlichen Unterschiede und Gemeinsamkeiten:

Kriterium	ISO/IEC 27001:2022	ISO/IEC 42001:2023
Fokus	Informationssicherheit	KI-Managementsystem
Schutzziel	Vertraulichkeit, Integrität, Verfügbarkeit von Informationen	Verantwortungsvolle Entwicklung, Bereitstellung und Nutzung von KI
Struktur	Harmonized Structure (HS)	Harmonized Structure (HS)
Annex A	93 Controls in 4 Themenbereichen (organisatorisch, personell, physisch, technologisch)	KI-spezifische Controls in 9 Themenbereichen (A.2–A.10)
Risikobewertung	Informationssicherheitsrisiken	KI-spezifische Risiken (Bias, Erklärbarkeit, gesellschaftliche Auswirkungen)
Zielgruppe	Alle Organisationen, die Informationen verarbeiten	Organisationen, die KI-Systeme entwickeln, bereitstellen oder nutzen
Zertifizierung	Etabliert, weltweit > 70.000 Zertifikate	Neu, wachsende Zahl an akkreditierten Zertifizierungsstellen
Integration	Kann mit ISO 42001 integriert werden	Kann mit ISO 27001 integriert werden
Regulatorischer Bezug	NIS-2-Richtlinie, DSGVO (technische Maßnahmen)	KI-Verordnung (VO (EU) 2024/1689), DSGVO (automatisierte Entscheidungen)

Integriertes Managementsystem

Da beide Normen der gleichen Harmonized Structure folgen, lassen sie sich effizient in einem integrierten Managementsystem (IMS) kombinieren. Die gemeinsamen Elemente (Führung, Planung, Unterstützung, Leistungsbewertung, Verbesserung) werden einmal implementiert, während die spezifischen Anforderungen (Annex-A-Controls) parallel geführt werden. Unternehmen, die bereits nach ISO 27001 zertifiziert sind, können ISO 42001 mit deutlich geringerem Zusatzaufwand implementieren.

Der Zertifizierungsprozess in 5 Schritten {#zertifizierungsprozess}

Die Zertifizierung nach ISO 42001 folgt dem bewährten Ablauf anderer ISO-Managementsystemzertifizierungen:

Schritt 1: Gap-Analyse und Scoping

Dauer: 2–4 Wochen

Zunächst wird der aktuelle Stand der Organisation gegen die Anforderungen der ISO 42001 bewertet. Die Gap-Analyse identifiziert:

Welche Anforderungen bereits erfüllt werden (z. B. durch ein bestehendes ISO-27001-System)
Wo Lücken bestehen und welcher Aufwand für deren Schließung erforderlich ist
Den Anwendungsbereich (Scope) des AIMS – welche KI-Systeme, Geschäftsbereiche und Standorte abgedeckt werden

Schritt 2: AIMS-Implementierung

Dauer: 3–9 Monate (abhängig von Organisationsgröße und Reifegrad)

In dieser Phase werden die identifizierten Lücken geschlossen:

Erstellung der KI-Politik und KI-Ziele
Durchführung der KI-Risikobewertung
Auswahl und Implementierung der Annex-A-Controls
Erstellung des Statement of Applicability (SoA)
Aufbau der dokumentierten Informationen
Schulung der Mitarbeitenden
Etablierung von Monitoring- und Messprozessen

Schritt 3: Internes Audit und Managementbewertung

Dauer: 2–4 Wochen

Vor der externen Zertifizierung muss mindestens ein vollständiges internes Audit durchgeführt werden. Anschließend bewertet die oberste Leitung im Rahmen der Managementbewertung die Gesamtleistung des AIMS. Festgestellte Nichtkonformitäten müssen vor dem externen Audit behoben werden.

Schritt 4: Zertifizierungsaudit (Stage 1 und Stage 2)

Dauer: 1–3 Wochen (je nach Scope)

Das externe Zertifizierungsaudit erfolgt in zwei Stufen:

Stage 1 (Dokumentenprüfung): Die Zertifizierungsstelle prüft die AIMS-Dokumentation auf Vollständigkeit und Konformität. Dies kann vor Ort oder remote erfolgen.
Stage 2 (Umsetzungsaudit): Die Auditoren prüfen vor Ort, ob das AIMS tatsächlich implementiert ist und wirksam funktioniert. Interviews, Stichproben und Prozessbeobachtungen sind Standard.

Bei Bestehen erteilt die Zertifizierungsstelle das ISO-42001-Zertifikat mit einer Gültigkeit von 3 Jahren.

Schritt 5: Überwachungs- und Rezertifizierungsaudits

Laufend während der 3-jährigen Zertifikatsperiode

Überwachungsaudits finden jährlich (nach 12 und 24 Monaten) statt und prüfen die fortlaufende Konformität und Verbesserung.
Nach 3 Jahren erfolgt ein Rezertifizierungsaudit, bei dem das gesamte AIMS erneut umfassend geprüft wird.

Kosten und Aufwand {#kosten-aufwand}

Die Kosten einer ISO-42001-Zertifizierung variieren erheblich je nach Organisationsgröße, Anzahl der KI-Systeme, bestehendem Reifegrad und Scope. Die folgenden Richtwerte geben eine Orientierung:

Interne Kosten

Kostenfaktor	KMU (< 250 MA)	Großunternehmen (> 250 MA)
Gap-Analyse und Beratung	5.000–15.000 €	15.000–50.000 €
Implementierung (Personal, Tools)	20.000–60.000 €	60.000–200.000 €
Schulungen	3.000–10.000 €	10.000–40.000 €
Internes Audit	2.000–5.000 €	5.000–15.000 €
Summe interne Kosten	30.000–90.000 €	90.000–305.000 €

Externe Kosten (Zertifizierungsstelle)

Kostenfaktor	KMU	Großunternehmen
Stage-1- und Stage-2-Audit	8.000–20.000 €	20.000–60.000 €
Jährliches Überwachungsaudit	4.000–10.000 €	10.000–30.000 €
Rezertifizierungsaudit (alle 3 Jahre)	6.000–15.000 €	15.000–45.000 €

Aufwand reduzieren

Organisationen, die bereits über ein zertifiziertes ISO-27001- oder ISO-9001-System verfügen, können den Aufwand erheblich senken:

Gemeinsame Elemente der Harmonized Structure müssen nicht neu aufgebaut werden
Bestehende Audit-Strukturen und -Prozesse können genutzt werden
Integrierte Audits (ISO 27001 + ISO 42001) reduzieren externe Auditkosten um ca. 20–30 %

Für wen lohnt sich die Zertifizierung? {#fuer-wen}

Eine ISO-42001-Zertifizierung ist nicht für jede Organisation gleichermaßen sinnvoll. Die folgenden Kriterien helfen bei der Entscheidung:

Zertifizierung empfehlenswert

Anbieter von Hochrisiko-KI-Systemen nach Annex III der KI-Verordnung – hier wird ein QMS nach Art. 17 VO (EU) 2024/1689 ohnehin verpflichtend; ISO 42001 bietet den passenden Rahmen.
Unternehmen, die KI-Systeme an regulierte Branchen verkaufen (Gesundheitswesen, Finanzsektor, öffentliche Verwaltung) – eine Zertifizierung schafft Vertrauen und kann Vergabevorteile bieten.
Technologieunternehmen mit KI als Kerngeschäft – die Zertifizierung differenziert gegenüber Wettbewerbern und dokumentiert Verantwortungsbewusstsein.
Organisationen, die KI grenzüberschreitend einsetzen – ein international anerkannter Standard erleichtert die Compliance über Ländergrenzen hinweg.
Unternehmen, die eine Konformitätsvermutung nach Art. 40 VO (EU) 2024/1689 anstreben, sobald die Harmonisierung erfolgt ist.

Zertifizierung optional, aber sinnvoll

Betreiber mehrerer KI-Systeme (auch ohne Hochrisikoeinstufung) – ein systematisches AIMS schafft Ordnung und Effizienz.
Organisationen mit bestehendem ISO-27001-Zertifikat – der Zusatzaufwand für ISO 42001 ist überschaubar und der Mehrwert erheblich.

Zertifizierung derzeit nicht prioritär

Unternehmen, die KI nur in begrenztem Umfang nutzen (z. B. einzelne SaaS-Tools) – hier kann eine strukturierte KI-Richtlinie ohne formelle Zertifizierung ausreichen.
Startups in der Frühphase – der Fokus sollte zunächst auf einem schlanken KI-Governance-Rahmen liegen; eine Zertifizierung kann später folgen.

Häufig gestellte Fragen (FAQ) {#faq}

Ist eine ISO-42001-Zertifizierung Pflicht?

Nein. ISO 42001 ist ein freiwilliger Standard. Die KI-Verordnung (VO (EU) 2024/1689) schreibt kein bestimmtes Managementsystem vor, sondern verlangt in Art. 17 ein Qualitätsmanagementsystem für Anbieter von Hochrisiko-KI-Systemen. ISO 42001 ist eine anerkannte Möglichkeit, diese Anforderung zu erfüllen, aber nicht die einzige. Für Betreiber (Deployer) gibt es keine QMS-Pflicht, wohl aber organisatorische Pflichten nach Art. 26 VO (EU) 2024/1689.

Kann ISO 42001 mit ISO 27001 kombiniert werden?

Ja, und das ist ausdrücklich empfehlenswert. Beide Normen basieren auf der gleichen Harmonized Structure, sodass ein integriertes Managementsystem effizient aufgebaut werden kann. Gemeinsame Elemente wie Führung, Risikomanagement-Rahmen, internes Audit und Managementbewertung werden einmal implementiert. Die spezifischen Controls (Annex A) werden parallel geführt. Viele Zertifizierungsstellen bieten bereits kombinierte Audits an, was Zeit und Kosten spart.

Wie lange dauert die Implementierung?

Die Implementierungsdauer hängt stark vom bestehenden Reifegrad ab. Erfahrungswerte:

Ohne bestehendes ISO-Managementsystem: 6–12 Monate
Mit bestehendem ISO-27001-System: 3–6 Monate
Mit bestehendem ISO-27001- und ISO-9001-System: 2–4 Monate

Diese Zeiträume umfassen Gap-Analyse, Implementierung, internes Audit und Managementbewertung – nicht jedoch die Zeit für das externe Zertifizierungsaudit.

Welche Zertifizierungsstellen bieten ISO-42001-Audits an?

Die Zertifizierung muss durch eine akkreditierte Zertifizierungsstelle erfolgen. In Deutschland sind unter anderem die Deutsche Akkreditierungsstelle (DAkkS) und internationale Akkreditierungsstellen (z. B. UKAS, ANAB) für die Akkreditierung zuständig. Zu den Zertifizierungsstellen, die ISO-42001-Audits anbieten, gehören unter anderem BSI, TÜV SÜD, TÜV Rheinland, DQS und Bureau Veritas. Prüfen Sie stets, ob die gewählte Stelle für den ISO-42001-Scope akkreditiert ist.

Welche Rolle spielt ISO/IEC 23894?

ISO/IEC 23894:2023 (Guidance on AI risk management) ergänzt ISO 42001 als Leitfaden für die KI-Risikobewertung. Während ISO 42001 die Anforderungen an das Managementsystem definiert (das „Was"), liefert ISO 23894 detaillierte Methoden und Werkzeuge für die Identifikation, Analyse und Bewertung von KI-Risiken (das „Wie"). Die Nutzung von ISO 23894 ist nicht verpflichtend, wird aber empfohlen, um die in ISO 42001 Kapitel 6 geforderte Risikobewertung methodisch fundiert durchzuführen.

Nächste Schritte {#naechste-schritte}

ISO/IEC 42001:2023 etabliert sich als der Referenzstandard für KI-Managementsysteme – und die Relevanz wird mit der zunehmenden Durchsetzung der KI-Verordnung weiter steigen. Unabhängig davon, ob Sie eine formelle Zertifizierung anstreben, liefert die Norm wertvolle Orientierung für den Aufbau systematischer KI-Governance.

Die wichtigsten Handlungsempfehlungen:

KI-Inventar erstellen: Verschaffen Sie sich einen Überblick über alle KI-Systeme in Ihrer Organisation – als Grundlage für Scoping und Risikobewertung.
Gap-Analyse durchführen: Bewerten Sie Ihren aktuellen Stand gegen die Anforderungen der ISO 42001 und identifizieren Sie die größten Lücken.
KI-Risikobewertung starten: Beginnen Sie mit einer systematischen Bewertung Ihrer KI-spezifischen Risiken – auch wenn Sie keine Zertifizierung planen.
Synergien nutzen: Wenn Sie bereits ISO 27001 oder ISO 9001 zertifiziert sind, bauen Sie auf den bestehenden Strukturen auf.
Entwicklungen verfolgen: Beobachten Sie den Harmonisierungsprozess bei CEN/CENELEC – sobald ISO 42001 zur harmonisierten Norm wird, gewinnt die Zertifizierung zusätzlich an Wert.

KI Comply unterstützt Sie mit Schulungen, die Ihre Mitarbeitenden auf den verantwortungsvollen Umgang mit KI-Systemen vorbereiten – eine zentrale Anforderung sowohl der ISO 42001 als auch der KI-Verordnung. Starten Sie jetzt mit der KI-Kompetenzschulung und legen Sie den Grundstein für ein robustes KI-Managementsystem.