Die Governance.
← WissenSelbstcheck
Wissen/Was ist ISO 42001? Der Standard, der Ordnung in deine KI bringt.

Was ist ISO 42001? Der Standard, der Ordnung in deine KI bringt.

Du hast KI im Unternehmen. Du weißt, dass es Regeln gibt. Aber welche? Und wie fängst du an? Genau dafür gibt es ISO/IEC 42001.

Ein Standard, kein Gesetz

ISO/IEC 42001 ist ein internationaler Standard, der beschreibt, wie ein Unternehmen ein AI Management System (kurz AIMS) aufbaut und betreibt. Er wurde 2023 von der International Organization for Standardization veröffentlicht und ist der erste Standard weltweit, der sich ausschließlich mit dem Management von Künstlicher Intelligenz befasst.

Ein Standard ist kein Gesetz. Niemand zwingt dich, ISO 42001 umzusetzen. Aber er gibt dir eine Struktur, die von internationalen Experten entwickelt wurde und die dir zeigt, was du tun musst, um KI verantwortungsvoll zu betreiben. Und wenn du dich zertifizieren lässt, hast du einen Nachweis, den Kunden, Partner und Regulierer verstehen.

Der EU AI Act hingegen ist ein Gesetz. Er schreibt für bestimmte KI-Systeme Pflichten vor. ISO 42001 liefert dir den Rahmen, um diese Pflichten strukturiert zu erfüllen. Die beiden ergänzen sich.

Was ein AIMS eigentlich ist

Ein AI Management System ist kein Softwareprodukt, das du installierst. Es ist ein Zusammenspiel aus Dokumenten, Prozessen, Rollen und Kontrollmechanismen, das sicherstellt, dass dein Unternehmen KI nachvollziehbar, risikoarm und verantwortungsvoll einsetzt.

Konkret bedeutet das: Du weißt, welche KI-Systeme du hast. Du hast die Risiken bewertet. Du hast Verantwortlichkeiten definiert. Du überwachst, ob alles funktioniert. Und wenn etwas schiefgeht, hast du einen Prozess, der das auffängt.

Das klingt nach viel. Ist es aber nicht, wenn du es Schritt für Schritt angehst. Und genau dafür hat ISO 42001 eine klare Struktur.

Der PDCA-Zyklus: Plan, Do, Check, Act

PDCA-Zyklus

Die vier Phasen der ISO 42001, die sich kontinuierlich wiederholen.

Plan

Kontext, Fuehrung, Planung

Do

Support, Betrieb

Check

Bewertung

Act

Verbesserung

ISO 42001 folgt demselben Grundprinzip wie ISO 9001 (Qualitätsmanagement) und ISO 27001 (Informationssicherheit). Es ist ein Kreislauf aus vier Phasen, der sich immer wiederholt.

Plan: Was wollen wir erreichen?

Du analysierst deinen Kontext, identifizierst Stakeholder, legst den Scope fest, bewertest Risiken, definierst Ziele und planst Maßnahmen. Das sind die Klauseln 4 bis 6.

Do: Jetzt machen wir es.

Du setzt um, was du geplant hast. Du schulst Mitarbeiter, dokumentierst Prozesse, führst Controls ein und betreibst deine KI-Systeme nach den definierten Regeln. Das sind die Klauseln 7 und 8.

Check: Funktioniert es?

Du überprüfst, ob dein AIMS wirksam ist. Du führst interne Audits durch, misst Kennzahlen und lässt die Geschäftsführung das System bewerten. Das ist Klausel 9.

Act: Was müssen wir verbessern?

Du reagierst auf Abweichungen, lernst aus Fehlern und verbesserst das System kontinuierlich. Das ist Klausel 10.

Dieser Zyklus ist nie abgeschlossen. Dein AIMS ist kein Projekt mit einem Enddatum. Es ist ein lebendes System, das sich mit deinem Unternehmen weiterentwickelt.

Die 7 Klauseln im Überblick

4

Kontext

Plan

5

Führung

Plan

6

Planung

Plan

7

Support

Do

8

Betrieb

Do

9

Bewertung

Check

10

Verbesserung

Act

ISO 42001 ist in zehn Klauseln aufgebaut. Die ersten drei (1 bis 3) sind Einleitung, Verweise und Definitionen. Die eigentlichen Anforderungen stehen in den Klauseln 4 bis 10.

Klausel 4: Kontext

Wer bist du? In welchem Umfeld arbeitest du? Welche KI-Systeme hast du? Wer ist betroffen? Was ist im Scope deines AIMS?

Klausel 5: Führung

Steht die Geschäftsführung dahinter? Gibt es eine AI Policy? Wer trägt welche Verantwortung?

Klausel 6: Planung

Welche Risiken gibt es? Welche Auswirkungen haben deine KI-Systeme? Welche Maßnahmen planst du? Welche AI Objectives hast du dir gesetzt?

Klausel 7: Unterstützung

Hast du die nötigen Ressourcen? Hat dein Team die Kompetenz? Kennen alle die Policy? Wie lenkst du deine Dokumente?

Klausel 8: Betrieb

Setzt du um, was du geplant hast? Überwachst du deine Controls? Wie gehst du mit Änderungen um?

Klausel 9: Bewertung

Führst du interne Audits durch? Misst du, ob dein AIMS funktioniert? Bewertet die Geschäftsführung das System regelmäßig?

Klausel 10: Verbesserung

Hast du einen Prozess für Abweichungen? Lernst du aus Fehlern? Verbesserst du das System kontinuierlich?

Jede Klausel wird in einem eigenen Artikel auf dieser Seite ausführlich erklärt.

Was ISO 42001 NICHT ist

Damit keine falschen Erwartungen entstehen:

ISO 42001 sagt dir nicht, welche KI-Technologie du nutzen sollst. Es bewertet nicht, ob dein Algorithmus gut oder schlecht ist. Es ersetzt keine technische Prüfung, kein Datenschutz-Audit und keinen Penetrationstest.

Was es tut: Es gibt dir eine Struktur, die sicherstellt, dass du als Organisation weißt, was du tust, warum du es tust, und wer dafür verantwortlich ist. Die technischen Details füllst du selbst.

Wenn du schon ISO 9001 oder ISO 27001 hast

Dann hast du einen großen Vorsprung. Alle drei Standards verwenden dieselbe sogenannte "High-Level Structure" (HLS). Das bedeutet: Die Klauseln 4 bis 10 sind identisch aufgebaut. Scope, Policy, Risk Assessment, Audit, Management Review, Korrekturmaßnahmen, das kennst du alles schon.

Der Unterschied liegt im Fokus. ISO 9001 fragt: Sind deine Produkte und Dienstleistungen gut? ISO 27001 fragt: Sind deine Informationen sicher? ISO 42001 fragt: Ist dein Umgang mit KI verantwortungsvoll?

Die Prozesse überschneiden sich, und ISO 42001 ermutigt ausdrücklich zur Integration. Du musst kein drittes Managementsystem als Silo aufbauen. Du erweiterst das, was du schon hast.

Konkret: Dein bestehendes internes Audit-Programm deckt ab sofort auch KI-Themen ab. Dein Management Review bekommt einen zusätzlichen Tagesordnungspunkt. Deine Dokumentenlenkung funktioniert genauso. Was dazukommt, ist der KI-spezifische Inhalt: Risk Assessment für KI-Systeme, Impact Assessment für Betroffene, ein KI-Inventar, eine AI Policy.

Die Annex-Struktur: Was du anwenden kannst

Neben den sieben Klauseln hat ISO 42001 vier Anhänge.

Annex A enthält 38 Controls, also konkrete Maßnahmen, die du anwenden kannst. Von "AI Policy" über "Risk Management" bis "Data Quality" und "Third-Party Management". Nicht alle sind für jedes Unternehmen relevant. Welche du anwendest, entscheidest du im sogenannten Statement of Applicability (SoA). Aber für jede, die du nicht anwendest, musst du begründen warum.

Annex B liefert Umsetzungshinweise zu den Controls aus Annex A. Nicht verpflichtend, aber hilfreich.

Annex C beschreibt mögliche AI Objectives und Risikoquellen. Dient als Inspiration, nicht als Pflichtliste.

Annex D erklärt die Verwendung von ISO 42001 über verschiedene Bereiche und Organisationsgrößen hinweg.

Annex A und B sind normativ, das heißt sie sind fester Bestandteil des Standards. Annex C und D sind informativ, also ergänzend.

Für wen ist ISO 42001 gedacht?

Für jede Organisation, die KI entwickelt, bereitstellt, nutzt oder davon betroffen ist. Das klingt nach allen, und das ist es im Grunde auch.

Aber praktisch gesehen: Wenn du drei Mitarbeiter hast und ein ChatGPT-Abo, brauchst du vermutlich kein zertifiziertes AIMS. Wenn du zwanzig Mitarbeiter hast und eine KI, die Kundendaten auswertet, lohnt es sich, die Grundstruktur aufzubauen. Wenn du zweihundert Mitarbeiter hast und drei KI-Systeme in der Produktion, solltest du jetzt anfangen.

Die Norm skaliert. Sie erwartet nicht von einem KMU dasselbe wie von einem Konzern. Aber sie erwartet, dass du die Grundlagen kennst und dokumentierst.

Klausel 4: Kenne deinen KontextSelbstcheck: Bin ich betroffen?Zurück zur Übersicht

Begriffe in diesem Artikel: ISO/IEC 42001, AI Management System (AIMS), PDCA-Zyklus (Plan-Do-Check-Act), High-Level Structure (HLS), EU AI Act, Statement of Applicability (SoA), Controls, Risk Assessment, Impact Assessment, AI Policy, AI Objectives, Internal Audit, Management Review, Corrective Action

← Vorheriger

Was ist KI? Und was hat das mit dir zu tun?

Nächster →

Die Rollen im KI-Ökosystem