Center for AI and Ethics
DE EN
Thema · ISO 42001

ISO/IEC 42001:2023.

Die erste internationale Norm, die KI als Managementaufgabe in Organisationen beschreibt. Was sie fordert, was sie nicht leistet — und warum sie für AI-Act-Compliance oft der pragmatischste Weg ist.

Mit ISO/IEC 42001:2023 gibt es erstmals einen internationalen Standard, der beschreibt, wie eine Organisation den Einsatz von Künstlicher Intelligenz systematisch managt — nicht ein einzelnes Modell absichert, sondern die Organisation als Ganzes in die Pflicht nimmt.

Die Norm ist jung: veröffentlicht im Dezember 2023, erste Zertifizierungen ab 2024. Sie steht in einer Reihe mit ISO 9001 (Qualität) und ISO 27001 (Informations- sicherheit) — bewusst strukturähnlich, damit Organisationen bestehende Managementsysteme erweitern können statt daneben ein neues zu bauen.

Diese Seite zeigt, was die Norm konkret verlangt, wo sie sich mit dem EU AI Act überschneidet und wo nicht, und wie Organisationen vorgehen, die sie einführen wollen.

01

Was die Norm ist

ISO/IEC 42001:2023 definiert ein AI Management System (AIMS) — also einen strukturierten Rahmen, in dem eine Organisation KI-Systeme plant, entwickelt, bereitstellt, betreibt, überwacht und stilllegt. Der Standard ist risikobasiert und verlangt, dass jede Organisation das AIMS auf ihren konkreten Kontext zuschneidet.

Adressaten sind nicht nur Tech-Konzerne. Die Norm richtet sich an jede Organisation, die KI einsetzt — unabhängig von Größe, Branche oder Tiefe der KI-Nutzung. Für einen Mittelständler mit einem einzigen KI-Tool sieht das AIMS anders aus als für einen Konzern mit eigener KI-Abteilung. Die Norm trägt dem ausdrücklich Rechnung.

02

Aufbau und Kernforderungen

ISO/IEC 42001 folgt der bekannten Annex-SL-Struktur (Kapitel 4–10) und ergänzt sie um KI-spezifische Anhänge.

  • Kapitel 4 — Kontext der Organisation. Was tut die Organisation, welche KI-Systeme betrifft sie, welche Stakeholder sind relevant?
  • Kapitel 5 — Führung. Die Leitung trägt Verantwortung — mit dokumentierter KI-Policy und zugewiesenen Rollen.
  • Kapitel 6 — Planung. Risiken und Chancen systematisch erfasst, KI-Ziele festgelegt, Änderungen geplant statt improvisiert.
  • Kapitel 7 — Unterstützung. Ressourcen, Kompetenzen (hier trifft Art. 4 EU AI Act auf die Norm), Kommunikation, Dokumentation.
  • Kapitel 8 — Betrieb. Der Lebenszyklus von KI-Systemen von Konzept bis Stilllegung, inkl. Datenmanagement, Tests, Lieferantensteuerung.
  • Kapitel 9 — Bewertung. Überwachung, interne Audits, Managementbewertung.
  • Kapitel 10 — Verbesserung. Umgang mit Abweichungen und kontinuierliche Weiterentwicklung des AIMS.

Dazu kommen normative Anhänge mit KI-spezifischen Controls (Annex A) und Umsetzungshinweisen (Annex B) — etwa zu Datenqualität, Modell-Lebenszyklus, Auswirkungen auf Betroffene, Transparenz gegenüber Nutzern.

03

Verhältnis zum EU AI Act

Norm und Verordnung sind nicht deckungsgleich, überlappen aber in erheblichem Umfang. Drei Dimensionen des Verhältnisses:

Geltung

Der EU AI Act ist verbindliches europäisches Recht. ISO 42001 ist eine freiwillige Norm. Wer den AI Act ignoriert, riskiert Sanktionen bis zu 7 % des weltweiten Jahresumsatzes. Wer ISO 42001 nicht anwendet, riskiert zunächst nichts — außer Wettbewerbsnachteile in zunehmend reguliertem Umfeld.

Inhaltliche Überschneidung

Risikomanagement, Rollen, Dokumentation, menschliche Aufsicht, kontinuierliche Verbesserung — das sind zentrale Elemente beider Regelwerke. Wer ISO 42001 sauber einführt, erfüllt einen großen Teil der Betreiberpflichten nach AI Act fast nebenbei.

Was nur der AI Act regelt

Verbotene Praktiken (Art. 5), konkrete Hochrisiko-Listen (Anhang III), Grundrechte-Folgenabschätzung (Art. 27), Pflichten für GPAI-Modelle (Art. 53). Diese Detailregelungen stehen so nicht in ISO 42001.

Die belastbare Strategie für viele Organisationen: ISO 42001 als strukturierende Grundlage einführen, AI-Act-spezifische Detailanforderungen als Erweiterung draufsetzen. Das spart Doppelarbeit und ergibt ein konsistentes System.

04

Einführung in der Praxis

Eine realistische Einführung verläuft in vier Phasen. Typische Dauer: sechs bis zwölf Monate bis zur Zertifizierungsreife, abhängig von Organisationsgröße und vorhandenen Managementsystemen.

Phase 1 — Bestandsaufnahme
Welche KI-Systeme werden bereits eingesetzt (inkl. Schatten-KI)? Welche Rollen existieren? Was an Policy, Dokumentation, Prozessen liegt schon vor? Ergebnis: Gap-Analyse.
Phase 2 — Design des AIMS
KI-Policy, Rollen, Risikomanagement-Methodik, Dokumentationsstruktur. Hier wird entschieden, wie das AIMS zur Organisation passt — nicht andersherum.
Phase 3 — Einführung und erste Iterationen
AIMS produktiv nehmen, erste Audits intern, Abweichungen korrigieren, Reifegrad erhöhen. Ohne diese Phase ist eine externe Zertifizierung nicht sinnvoll.
Phase 4 — Zertifizierung (optional)
Durch eine akkreditierte Zertifizierungsstelle. CAIE zertifiziert nicht selbst — das ist die Rolle unabhängiger Auditoren. Wir bereiten vor, begleiten, bleiben Ansprechpartner.
05

Was die Norm nicht leistet

ISO 42001 ist ein Managementsystem. Sie beschreibt, wie eine Organisation KI-Einsatz strukturiert. Sie beschreibt nicht, ob ein bestimmter KI-Einsatz ethisch tragfähig ist, ob er dem Gemeinwohl dient, ob er zu bestimmten Geschäftsmodellen passt. Diese Fragen bleiben — und sind genau der Grund, warum CAIE Compliance und Ethik zusammen denkt.

Ein Unternehmen kann ISO 42001 perfekt anwenden und trotzdem KI einsetzen, die Menschen schadet. Die Zertifizierung sagt: Die Prozesse sind da. Sie sagt nicht: Das, was diese Prozesse durchleiten, ist gut.

06

Wie CAIE das angeht

Im CAIE-Vorstand liegt der Schwerpunkt ISO 42001 bei David Mirga (parallel zum EU AI Act). Flankiert wird das durch die IT-Transformations- Erfahrung von Jeremy James Wilhelm — 25 Jahre Enterprise- Transformation für adidas, Lindt & Sprüngli, METRO, SPAR, zertifizierter KI-Trainer am WIFI Wien, KMU.Digital-Berater. Diese Kombination ist entscheidend, weil ein AIMS nicht auf dem Papier funktioniert, sondern in der Organisation — und dort, wo Veränderung tatsächlich passiert.

Für Organisationen heißt das: Wir begleiten den Aufbau eines AIMS nach ISO 42001 als Beratungspartner, nicht als Zertifizierer. Wir erstellen Gap-Analysen, entwerfen Policies, strukturieren Dokumentation, trainieren Rollen — und halten dabei die AI-Act-Anforderungen mit. Zertifizieren lässt sich die Organisation dann durch eine akkreditierte Stelle ihrer Wahl.

07

Häufige Fragen

01 Was ist ISO/IEC 42001:2023?

ISO/IEC 42001:2023 ist der erste internationale Standard für ein AI Management System (AIMS). Er beschreibt, wie eine Organisation den Einsatz von Künstlicher Intelligenz systematisch plant, steuert, überwacht und verbessert — vergleichbar mit ISO 9001 für Qualitätsmanagement oder ISO 27001 für Informationssicherheit. Veröffentlicht im Dezember 2023.

02 Muss man ISO 42001 einführen, wenn man EU AI Act-konform sein will?

Nein. Die Norm ist freiwillig. Aber sie ist das weltweit erste Managementsystem für KI und deckt einen großen Teil dessen ab, was der AI Act implizit verlangt — Risikomanagement, Rollen, Dokumentation, kontinuierliche Verbesserung. Für Organisationen, die ohnehin AI-Act-konform werden müssen, ist ISO 42001 oft der pragmatischste Weg dorthin.

03 Lohnt sich eine Zertifizierung, oder reicht die Anwendung des Standards?

Das hängt vom Markt ab. In stark regulierten Branchen (Finanzen, Gesundheit, öffentlicher Sektor) und bei großen Ausschreibungen wird die Zertifizierung zunehmend verlangt oder positiv gewertet. Für viele Organisationen reicht zunächst die saubere Anwendung — mit der Option, später zertifizieren zu lassen. CAIE zertifiziert nicht selbst; wir bereiten vor.

04 Was unterscheidet ISO 42001 von ISO 27001 oder ISO 9001?

Die Struktur ist bewusst verwandt (Annex SL), damit Organisationen bestehende Managementsysteme erweitern können. Der Unterschied liegt im Gegenstand: 42001 adressiert KI-spezifische Fragen — Modell-Lebenszyklus, Datenqualität, Bias, Transparenz, Auswirkungen auf Betroffene — die in 27001 und 9001 nicht systematisch vorkommen.