ISO/IEC 42001 – Managementsystem für Künstliche Intelligenz
Wie die weltweit erste KI-Managementsystemnorm Unternehmen bei verantwortungsvoller KI und EU-AI-Act-Vorbereitung unterstützt
Künstliche Intelligenz hält in immer mehr Unternehmen Einzug – von der Kundenkommunikation über die Qualitätskontrolle bis zur Entscheidungsunterstützung. Mit den Chancen wachsen die Anforderungen an Governance, Transparenz und Risikomanagement. Genau hier setzt die ISO/IEC 42001:2023 an: die weltweit erste zertifizierbare Norm für ein KI-Managementsystem.
Was ist die ISO/IEC 42001?
Die im Dezember 2023 veröffentlichte ISO/IEC 42001 legt Anforderungen für den Aufbau, die Umsetzung, die Aufrechterhaltung und die kontinuierliche Verbesserung eines KI-Managementsystems (Artificial Intelligence Management System, AIMS) fest. Sie richtet sich an alle Organisationen, die KI-Systeme entwickeln, bereitstellen oder einsetzen – unabhängig von Größe und Branche.
Ziel ist ein verantwortungsvoller, nachvollziehbarer und sicherer Umgang mit KI. Die Norm hilft Unternehmen, typische Risiken solcher Systeme systematisch zu beherrschen: von Verzerrungen (Bias) und mangelnder Transparenz über Datenschutz und Sicherheit bis hin zu unklaren Verantwortlichkeiten.
Aufbau und Grundprinzip
Wie andere moderne ISO-Managementsystemnormen folgt die ISO/IEC 42001 der einheitlichen High-Level-Structure (Kapitel 4 bis 10) und dem bewährten Plan-Do-Check-Act-Zyklus. Wer bereits ein Managementsystem nach ISO 9001 (Qualität), ISO/IEC 27001 (Informationssicherheit) oder ISO 14001 (Umwelt) betreibt, findet sich schnell zurecht und kann die Norm integriert umsetzen.
Kern der Norm sind unter anderem:
- Kontext und Führung: Rolle der Organisation (Anbieter oder Nutzer von KI), KI-Politik und klare Verantwortlichkeiten der Leitung.
- Risiko- und Chancenmanagement: systematische Bewertung KI-spezifischer Risiken über den gesamten Lebenszyklus.
- KI-Folgenabschätzung (AI System Impact Assessment): Bewertung möglicher Auswirkungen auf Einzelpersonen, Gruppen und die Gesellschaft.
- Lebenszyklus-Management: Steuerung von Design, Entwicklung, Betrieb, Überwachung und Außerbetriebnahme der KI-Systeme.
- Steuerung von Drittparteien und Lieferanten: Kontrolle zugekaufter Modelle, Daten und Dienste.
Ein normativer Anhang A liefert einen Katalog von Maßnahmen (Controls), die zur Behandlung der identifizierten Risiken herangezogen werden – ergänzt durch weitere Anhänge mit Umsetzungshinweisen und Beispielen für Anwendungsbereiche.
Zertifizierung: Ablauf und Gültigkeit
Die ISO/IEC 42001 ist zertifizierbar. Eine unabhängige, akkreditierte Zertifizierungsstelle prüft in einem Audit, ob das Managementsystem die Normanforderungen erfüllt. Wie bei anderen ISO-Systemen gilt:
- Das Zertifikat ist in der Regel drei Jahre gültig.
- Die Aufrechterhaltung erfolgt über jährliche Überwachungsaudits.
- Nach drei Jahren steht ein Rezertifizierungsaudit an.
Für die Akkreditierung von Zertifizierungsstellen wurde 2025 die ergänzende Norm ISO/IEC 42006 veröffentlicht, die neben der allgemeinen ISO/IEC 17021-1 spezifische Kompetenz- und Prozessanforderungen für KI-Audits festlegt. Erste große Technologieunternehmen – etwa Anthropic (Januar 2025), AWS, Google Cloud und Microsoft – haben die Zertifizierung bereits erlangt.
Zusammenhang mit dem EU AI Act
Der EU AI Act (KI-Verordnung) ist seit dem 1. August 2024 in Kraft und gilt gestaffelt: Verbote bestimmter KI-Praktiken greifen seit Februar 2025, Pflichten für allgemeine KI-Modelle seit August 2025, die zentralen Anforderungen an Hochrisiko-KI-Systeme folgen bis zum 2. August 2026.
Wichtig zur Einordnung:
- Der EU AI Act ist rechtlich verbindlich, die ISO/IEC 42001 ein freiwilliger Standard.
- Eine Zertifizierung nach ISO/IEC 42001 ist ein starker Indikator für einen konformen Umgang mit KI, ersetzt aber keine rechtliche Prüfung der Verordnungspflichten.
- Die Norm ist bislang keine harmonisierte Norm im Sinne der EU – sie ersetzt also keine Konformitätsvermutung, bereitet Unternehmen aber strukturell hervorragend auf die Pflichten vor.
Praktisch liefert die Norm genau die Strukturen, die der EU AI Act verlangt: Governance, Risikomanagement, Folgenabschätzung, Dokumentation und kontinuierliche Verbesserung. Sie ist damit ein pragmatischer Weg, KI-Compliance frühzeitig und systematisch aufzubauen.
Wie der VQB unterstützt
Der VQB begleitet Sie von der ersten Standortbestimmung über die Integration in bestehende Managementsysteme (z. B. ISO 9001 oder ISO/IEC 27001) bis zur Vorbereitung auf das Zertifizierungsaudit. Wir helfen Ihnen, KI-Risiken und Folgenabschätzungen praxisgerecht zu strukturieren und die Anforderungen der ISO/IEC 42001 mit den Pflichten des EU AI Act zu verzahnen. So entwickeln gerade KMU Schritt für Schritt einen belastbaren, verantwortungsvollen Umgang mit Künstlicher Intelligenz.
Downloads
Competent Authority
-
E-Mail:
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. -
Phone:
-
Website:
Opening Hours
-
Montag – Dienstag7 Uhr - 5 Uhr
-
Mittwoch7 Uhr - 1 Uhr
-
Donnerstag - Freitag9 Uhr - 3 Uhr
