Zum Hauptinhalt springen

ISO/IEC 42001 – Managementsystem für Künstliche Intelligenz

10. Juli 2026

Wie die weltweit erste KI-Managementsystemnorm Unternehmen bei verantwortungsvoller KI und EU-AI-Act-Vorbereitung unterstützt

Künstliche Intelligenz hält in immer mehr Unternehmen Einzug – von der Kundenkommunikation über die Qualitätskontrolle bis zur Entscheidungsunterstützung. Mit den Chancen wachsen die Anforderungen an Governance, Transparenz und Risikomanagement. Genau hier setzt die ISO/IEC 42001:2023 an: die weltweit erste zertifizierbare Norm für ein KI-Managementsystem.

Was ist die ISO/IEC 42001?

Die im Dezember 2023 veröffentlichte ISO/IEC 42001 legt Anforderungen für den Aufbau, die Umsetzung, die Aufrechterhaltung und die kontinuierliche Verbesserung eines KI-Managementsystems (Artificial Intelligence Management System, AIMS) fest. Sie richtet sich an alle Organisationen, die KI-Systeme entwickeln, bereitstellen oder einsetzen – unabhängig von Größe und Branche.

Ziel ist ein verantwortungsvoller, nachvollziehbarer und sicherer Umgang mit KI. Die Norm hilft Unternehmen, typische Risiken solcher Systeme systematisch zu beherrschen: von Verzerrungen (Bias) und mangelnder Transparenz über Datenschutz und Sicherheit bis hin zu unklaren Verantwortlichkeiten.

Aufbau und Grundprinzip

Wie andere moderne ISO-Managementsystemnormen folgt die ISO/IEC 42001 der einheitlichen High-Level-Structure (Kapitel 4 bis 10) und dem bewährten Plan-Do-Check-Act-Zyklus. Wer bereits ein Managementsystem nach ISO 9001 (Qualität), ISO/IEC 27001 (Informationssicherheit) oder ISO 14001 (Umwelt) betreibt, findet sich schnell zurecht und kann die Norm integriert umsetzen.

Kern der Norm sind unter anderem:

  • Kontext und Führung: Rolle der Organisation (Anbieter oder Nutzer von KI), KI-Politik und klare Verantwortlichkeiten der Leitung.
  • Risiko- und Chancenmanagement: systematische Bewertung KI-spezifischer Risiken über den gesamten Lebenszyklus.
  • KI-Folgenabschätzung (AI System Impact Assessment): Bewertung möglicher Auswirkungen auf Einzelpersonen, Gruppen und die Gesellschaft.
  • Lebenszyklus-Management: Steuerung von Design, Entwicklung, Betrieb, Überwachung und Außerbetriebnahme der KI-Systeme.
  • Steuerung von Drittparteien und Lieferanten: Kontrolle zugekaufter Modelle, Daten und Dienste.

Ein normativer Anhang A liefert einen Katalog von Maßnahmen (Controls), die zur Behandlung der identifizierten Risiken herangezogen werden – ergänzt durch weitere Anhänge mit Umsetzungshinweisen und Beispielen für Anwendungsbereiche.

Zertifizierung: Ablauf und Gültigkeit

Die ISO/IEC 42001 ist zertifizierbar. Eine unabhängige, akkreditierte Zertifizierungsstelle prüft in einem Audit, ob das Managementsystem die Normanforderungen erfüllt. Wie bei anderen ISO-Systemen gilt:

  • Das Zertifikat ist in der Regel drei Jahre gültig.
  • Die Aufrechterhaltung erfolgt über jährliche Überwachungsaudits.
  • Nach drei Jahren steht ein Rezertifizierungsaudit an.

Für die Akkreditierung von Zertifizierungsstellen wurde 2025 die ergänzende Norm ISO/IEC 42006 veröffentlicht, die neben der allgemeinen ISO/IEC 17021-1 spezifische Kompetenz- und Prozessanforderungen für KI-Audits festlegt. Erste große Technologieunternehmen – etwa Anthropic (Januar 2025), AWS, Google Cloud und Microsoft – haben die Zertifizierung bereits erlangt.

Zusammenhang mit dem EU AI Act

Der EU AI Act (KI-Verordnung) ist seit dem 1. August 2024 in Kraft und gilt gestaffelt: Verbote bestimmter KI-Praktiken greifen seit Februar 2025, Pflichten für allgemeine KI-Modelle seit August 2025, die zentralen Anforderungen an Hochrisiko-KI-Systeme folgen bis zum 2. August 2026.

Wichtig zur Einordnung:

  • Der EU AI Act ist rechtlich verbindlich, die ISO/IEC 42001 ein freiwilliger Standard.
  • Eine Zertifizierung nach ISO/IEC 42001 ist ein starker Indikator für einen konformen Umgang mit KI, ersetzt aber keine rechtliche Prüfung der Verordnungspflichten.
  • Die Norm ist bislang keine harmonisierte Norm im Sinne der EU – sie ersetzt also keine Konformitätsvermutung, bereitet Unternehmen aber strukturell hervorragend auf die Pflichten vor.

Praktisch liefert die Norm genau die Strukturen, die der EU AI Act verlangt: Governance, Risikomanagement, Folgenabschätzung, Dokumentation und kontinuierliche Verbesserung. Sie ist damit ein pragmatischer Weg, KI-Compliance frühzeitig und systematisch aufzubauen.

Wie der VQB unterstützt

Der VQB begleitet Sie von der ersten Standortbestimmung über die Integration in bestehende Managementsysteme (z. B. ISO 9001 oder ISO/IEC 27001) bis zur Vorbereitung auf das Zertifizierungsaudit. Wir helfen Ihnen, KI-Risiken und Folgenabschätzungen praxisgerecht zu strukturieren und die Anforderungen der ISO/IEC 42001 mit den Pflichten des EU AI Act zu verzahnen. So entwickeln gerade KMU Schritt für Schritt einen belastbaren, verantwortungsvollen Umgang mit Künstlicher Intelligenz.

Downloads


Complete Listing of Harborview Expansion Gains Momentum
PDF
849 kB
Download
3D Renderings of the New Harbour View
PDF
1 MB
Download

Competent Authority

Zertifizierung & Online-Audits
Feuerbachstr. 11 f
15370 Fredersdorf b. Berlin
  • E-Mail:
    Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
  • Phone:
  • Website:

Opening Hours

  • Montag – Dienstag
    7 Uhr - 5 Uhr
  • Mittwoch
    7 Uhr - 1 Uhr
  • Donnerstag - Freitag
    9 Uhr - 3 Uhr
Termine nach Vereinbarung