ISO 42001 in der Praxis: Was der Standard wirklich bedeutet

Wenn ich mit Führungskräften über ISO 42001 spreche, passiert regelmäßig dasselbe.

Am Anfang des Gesprächs: leichte Panik. Ein neuer Standard, Zertifizierung, Audits, Dokumentation, und KI ist schon kompliziert genug ohne das alles.

Am Ende des Gesprächs: meistens Erleichterung. Weil ISO 42001 kein Monster ist. Es ist ein Werkzeug. Und wie jedes Werkzeug hängt sein Wert davon ab, wie man es einsetzt.

Was ISO 42001 ist, und was nicht

ISO 42001 ist der internationale Standard für AI Management Systems, veröffentlicht 2023. Er beschreibt, wie Organisationen KI-Systeme verantwortungsvoll entwickeln, einführen und betreiben sollen.

Wer ISO 27001 kennt, wird sich sofort zurechtfinden. Die Struktur ist dieselbe, die Annex SL-Struktur, die alle modernen ISO-Managementsystem-Standards teilen. Das ist kein Zufall. Es macht Integration möglich: Wer bereits ein ISMS nach ISO 27001 betreibt, kann ISO 42001 darauf aufbauen, ohne bei null anzufangen.

Was ISO 42001 nicht ist: eine technische Spezifikation für KI-Algorithmen. Es gibt keine Vorgaben, welche Modelle oder Architekturen verwendet werden sollen. Es ist ein Management-Standard, er fragt: Haben Sie Prozesse? Kennen Sie Ihre Risiken? Sind die Rollen klar? Überprüfen Sie sich selbst?

Der erste Schritt: die Gap-Analyse

Wenn ich eine Organisation in Richtung ISO 42001 begleite, beginne ich nicht mit Dokumentation. Ich beginne mit Fragen.

Welche KI-Systeme betreiben Sie, inklusive derer, die Sie vielleicht nicht als "KI" bezeichnen würden? (Predictive Analytics, Scoring-Modelle, automatisierte Entscheidungssysteme zählen dazu.)

Wer ist verantwortlich für diese Systeme, nicht technisch, sondern fachlich und ethisch?

Was passiert, wenn eines dieser Systeme falsch entscheidet? Wer merkt es, wer behebt es, wer ist haftbar?

Diese Fragen erzeugen Unbehagen. Das ist beabsichtigt. Das Unbehagen zeigt, wo die Lücken sind.

Die Gap-Analyse ist keine Checkliste. Sie ist ein strukturiertes Gespräch, dessen Ergebnis ein ehrliches Bild des aktuellen Zustands ist, ohne Beschönigung, ohne Panik.

Der Unterschied zu ISO 27001

Wer ISO 27001 kennt, fragt oft: Was ist der Unterschied? Deckt ISO 27001 KI nicht mit ab?

Teilweise ja. ISO 27001 deckt Informationssicherheit ab, also auch die Sicherheit von KI-Systemen im Sinne von Verfügbarkeit, Integrität, Vertraulichkeit. Das bleibt relevant.

ISO 42001 geht weiter. Es stellt Fragen, die ISO 27001 nicht stellt:

• Ist das KI-System transparent genug, damit Betroffene seine Entscheidungen nachvollziehen können?
• Wie gehen Sie mit Bias um, mit systematischen Verzerrungen in den Trainingsdaten oder im Modellverhalten?
• Welche ethischen Leitlinien gelten für die Entwicklung und den Einsatz Ihrer KI-Systeme?
• Wie stellen Sie sicher, dass der Mensch im kritischen Pfad bleibt?

Diese Fragen sind neu. Sie kommen aus einem anderen Denken, nicht nur "Ist das System sicher?" sondern "Ist das System verantwortungsvoll?"

EU AI Act: der Kontext, den man nicht ignorieren kann

ISO 42001 kommt nicht im Vakuum. Seit August 2024 ist der EU AI Act geltendes Recht. Er klassifiziert KI-Systeme nach Risiko, von "unakzeptabel" (verboten) über "hochriskant" (strenge Auflagen) bis "minimal riskant" (wenig Regulierung).

Für die meisten mittelständischen Unternehmen in Deutschland sind vor allem Systeme der Kategorie "hochriskant" relevant: Scoring-Systeme für Kreditvergabe oder Versicherungen, KI in der Personalentscheidung, Systeme zur Bewertung von Schülerleistungen, kritische Infrastruktur.

ISO 42001 ist kein gesetzliches Instrument, aber es ist ein anerkannter Rahmen, um die Anforderungen des EU AI Act zu erfüllen. Wer ISO 42001 implementiert, baut gleichzeitig an der EU AI Act-Compliance. Das war die Absicht der Standard-Autoren.

Was "Compliance ohne Theater" konkret bedeutet

Das Schlimmste, was mit ISO 42001 passieren kann, ist, dass es zum Abheften wird. Richtlinien schreiben, Zertifikat hängen, Audit bestehen, fertig. Das kenne ich aus ISO 27001-Projekten, die nicht ernst genommen wurden.

Wenn ich ISO 42001 begleite, ist mein Ziel das Gegenteil:

Die Risikobeurteilung ist nicht generisch. Sie bezieht sich auf Ihre spezifischen KI-Systeme, Ihre spezifischen Daten, Ihren spezifischen Kontext. Ein pauschales "KI-Risiko: mittel" ist wertlos.

Die Kontrollen sind umsetzbar. Was auf dem Papier steht, muss in der täglichen Arbeit lebbar sein.

Die Verantwortlichkeiten sind klar benannt, mit Namen, nicht mit Rollen. "Der IT-Bereich ist verantwortlich" ist keine Verantwortlichkeit. "Anna Müller, Leiterin Digitale Transformation, ist verantwortlich für die Genehmigung neuer KI-Systeme" ist eine Verantwortlichkeit.

Der Verbesserungsprozess ist real. Nach jedem Vorfall lernen Sie etwas. Nach jedem Audit ändern Sie etwas. Das System entwickelt sich.

Was ich aus eigener Erfahrung mitbringe

Ich habe ISO 42001 nicht nur in Theorie studiert. Ich baue seit 2024 in meiner aktuellen Rolle genau das auf: ein AI Management System, das die Anforderungen des Standards mit der technischen Realität moderner KI-Infrastruktur verbindet.

Das bedeutet: Ich kenne den Standard. Ich kenne die Modelle. Ich kenne die Lücken zwischen beiden.

Viele Berater kennen den Standard. Wenige kennen die technischen Systeme, die zertifiziert werden sollen. Wer beides kennt, stellt die richtigen Fragen, und findet die richtigen Kontrollen.

In Episode 6 ziehe ich eine ehrliche Bilanz: Was ist heute mit KI wirklich möglich, und was wird noch Jahre dauern?