Im Dezember 2023 veröffentlichte die ISO mit ISO/IEC 42001:2023 den weltweit ersten internationalen Standard für Artificial Intelligence Management Systems (AIMS). Er schließt eine wichtige Lücke: Während ISO 27001 die Informationssicherheit adressiert und die DSGVO den Datenschutz regelt, fehlte bisher ein normatives Framework für verantwortungsvolle KI-Governance in Organisationen.

Was ist ISO 42001?

ISO 42001 spezifiziert Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines KI-Managementsystems (AIMS). Es folgt der aus ISO 27001 bekannten High Level Structure (HLS) — was die Integration in bestehende Managementsysteme erheblich erleichtert.

Der Standard richtet sich an Organisationen, die KI-Systeme entwickeln, einsetzen oder betreiben — unabhängig von Größe und Branche.

Kernanforderungen von ISO 42001

  • KI-Politik (AI Policy) — Grundsatzerklärung zur verantwortungsvollen Entwicklung und Nutzung von KI, genehmigt von der Geschäftsführung
  • KI-Risikobewertung — Systematische Identifikation und Bewertung von Risiken aus KI-Systemen, einschließlich ethischer, gesellschaftlicher und sicherheitsbezogener Risiken
  • KI Impact Assessment — Bewertung der Auswirkungen von KI-Systemen auf Betroffene (ähnlich der DSFA nach DSGVO)
  • Transparenz und Erklärbarkeit — Dokumentation der KI-Systeme, ihrer Zwecke, Datenquellen und Entscheidungslogiken
  • Human Oversight — Anforderungen an menschliche Kontrolle und Eingriffsmöglichkeiten bei KI-gestützten Entscheidungen
  • Lieferkettenmanagement — Anforderungen an KI-Komponenten und -Dienste von Dritten
  • Vorfallmanagement — Prozesse für KI-spezifische Incidents (fehlerhafte Ausgaben, Diskriminierung, Sicherheitsvorfälle)

ISO 42001 und EU AI Act

Der EU AI Act (in Kraft seit August 2024, vollständig anwendbar ab August 2026) und ISO 42001 sind keine Duplikate — sie ergänzen sich. Der AI Act ist Regulierung (Pflicht), ISO 42001 ist ein freiwilliger Standard. Unternehmen, die ein AIMS nach ISO 42001 implementieren, erfüllen damit jedoch wesentliche Anforderungen des AI Act — insbesondere für Hochrisiko-KI-Systeme:

  • Qualitätsmanagementsystem (Art. 17 AI Act) → AIMS nach ISO 42001
  • Risikomanagement (Art. 9 AI Act) → KI-Risikobewertung nach ISO 42001
  • Technische Dokumentation (Art. 11 AI Act) → Dokumentationsanforderungen ISO 42001
Compliance-Hinweis: ISO 42001 ist kein harmonisierter Standard im Sinne des AI Act — d. h. eine Zertifizierung schafft keine automatische Konformitätsvermutung. Sie ist jedoch ein starkes Indiz für ein reifes KI-Governance-Framework und wird bei Aufsichtsbehörden positiv berücksichtigt.

Synergien mit ISO 27001

Wer bereits nach ISO 27001 zertifiziert ist, hat erhebliche Vorteile bei der ISO-42001-Implementierung:

  • Gleiche High Level Structure → viele Klauseln können gemeinsam adressiert werden
  • Bestehendes Risikomanagement-Framework kann für KI-Risiken erweitert werden
  • Bestehende Governance-Strukturen (Management-Review, interne Audits) gelten für beide Standards
  • Controls aus Annex A ISO 27001 (insb. zu Datensicherheit, Zugriffskontrolle) ergänzen die ISO-42001-Anforderungen

Ein integriertes ISMS + AIMS ist daher deutlich effizienter als zwei separate Systeme — und ermöglicht eine einheitliche Sicherheits- und KI-Governance gegenüber Kunden, Behörden und Auditoren.

Wer sollte ISO 42001 in Betracht ziehen?

  • Unternehmen, die KI-Systeme entwickeln und vertreiben (insb. Hochrisiko-KI im Sinne des AI Act)
  • Unternehmen, die KI umfangreich einsetzen — z. B. KI-gestützte Personalentscheidungen, automatisierte Kreditvergabe, medizinische KI
  • Unternehmen, die sich gegenüber Kunden oder Investoren als vertrauenswürdige KI-Organisation positionieren wollen
  • Unternehmen mit ISO-27001-Zertifizierung, die ihr Managementsystem um KI-Governance erweitern möchten