Zum Hauptinhalt springen
Zertifizierung · Standards CC-BY 4.0 · Open Cognition Commons

ISO 42001 für KMU: Was die KI-Management-Norm bedeutet

ISO/IEC 42001 ist der erste internationale Standard für KI-Management-Systeme. Veröffentlicht 2023, gibt er Organisationen einen Rahmen für verantwortungsvolle KI-Governance. Was bedeutet das für KMU — und wie setzt man es um?

📖 ~10 Min. Lesezeit 📅 ISO/IEC 42001:2023 (aktuell) 🔗 EU AI Act Art. 9 referenziert ISO 42001

Was ist ISO/IEC 42001?

ISO/IEC 42001 ist ein Management-System-Standard — wie ISO 9001 für Qualität oder ISO 27001 für Informationssicherheit, aber speziell für KI. Er beschreibt, wie eine Organisation ein KI-Management-System (AIMS) aufbaut, implementiert, betreibt und kontinuierlich verbessert.

Zentral: ISO 42001 regelt nicht die Technik von KI-Systemen, sondern die Governance-Prozesse — Verantwortlichkeiten, Risikobewertung, Richtlinien, Audits. Das macht ihn für KMU zugänglich.

🏛️
ISO/IEC 42001:2023 Veröffentlicht Dezember 2023 · International Organization for Standardization
🔗
EU AI Act Bezug Hochrisiko-KI (Art. 9 AIA) kann ISO 42001 als Nachweisgrundlage nutzen
🌍
Gültig weltweit Keine geografische Einschränkung · zertifizierbar durch akkreditierte Stellen

Kern-Anforderungen im Überblick

ISO 42001 folgt der HLS-Struktur (High Level Structure) — wer ISO 9001 oder 27001 kennt, findet sich sofort zurecht.

Kl. 4
Kontext der Organisation

Interne und externe Faktoren bestimmen. Interessierte Parteien und deren Anforderungen identifizieren. KI-Richtlinie formulieren.

Kl. 5
Führung

Top-Management muss KI-Management-System aktiv unterstützen. KI-Richtlinie genehmigen, Verantwortlichkeiten zuweisen.

Kl. 6
Planung

Risiken und Chancen aus KI-Einsatz bewerten. Messbare KI-Ziele definieren. Maßnahmenplanung.

Kl. 8
Betrieb

KI-Systeme nach definierten Prozessen entwickeln und betreiben. Lieferanten und Partner in KI-Governance einbeziehen.

Kl. 9
Bewertung

KI-Leistung messen. Interne Audits durchführen. Management-Review mindestens jährlich.

Kl. 10
Verbesserung

Nichtkonformitäten behandeln. Kontinuierliche Verbesserung des KI-Management-Systems.

4 Mythen über ISO 42001

„Nur für KI-Entwickler"

ISO 42001 gilt für jeden Betreiber von KI-Systemen — auch SaaS-Nutzer.

„Kostet Hunderttausende"

KMU können mit strukturierter Vorbereitung unter €10.000 Gesamtkosten bleiben.

„Braucht ein Jahr Vorbereitung"

Mit dem richtigen Framework: 3–6 Monate für einfache KI-Umgebungen realistisch.

„Pflicht ab sofort"

ISO 42001 ist freiwillig. Hochrisiko-KI im EU AI Act verlangt eigene Konformitätsbewertung.

Umsetzung in 6 Schritten

01
Gap-Analyse

Aktuellen Stand gegen ISO 42001 bewerten. OCC-Glossar als Referenz nutzen.

02
Scope definieren

Welche KI-Systeme fallen in den Geltungsbereich? Grenzen dokumentieren.

03
Richtlinie + Ziele

KI-Richtlinie schreiben (1–2 Seiten). Messbare KI-Ziele (z.B. Audit-Trail für alle KI-Entscheidungen).

04
Risikoregister

KI-spezifische Risiken erfassen: Bias, Datenschutz, Abhängigkeiten, Erklärbarkeit.

05
HITL & Governance

Human-in-the-Loop für kritische Entscheidungen. IIO-Framework implementiert das systemisch.

06
Audit & Zertifizierung

Akkreditierte Zertifizierungsstelle wählen. Stage-1 (Dokumentenprüfung) → Stage-2 (Vor-Ort-Audit).

OCC + IIO: Das IIO-Framework implementiert Klausel 5 (Führung/HITL-Gates), Klausel 6 (Risikomanagement) und Klausel 9 (Auditierung) systemisch. iio.space →

Kosten & Zeitaufwand für KMU

PositionAufwandKosten (ca.)
Gap-Analyse + Projektplanung2–4 Tage0 € (intern) oder €1.500–3.000
Dokumentation (Richtlinien, Prozesse)5–10 Tage€0 intern / €3.000–8.000 Berater
Interne Schulungen1–2 Tage€0–2.000
Stage-1 Audit (Dokumentenprüfung)1 Tag€1.500–3.000
Stage-2 Audit (Vor-Ort)1–2 Tage€3.000–6.000
Zertifikat (3 Jahre)€500–1.500/Jahr
Gesamt (KMU, einfache KI) 3–6 Monate€5.000–15.000

ISO 42001 vs. EU AI Act — was ist was?

ISO 42001

  • Freiwilliger internationaler Standard
  • Management-System (Governance-Prozesse)
  • Für alle KI-Systeme anwendbar
  • Zertifizierung möglich
  • Zeigt KI-Governance-Reife

EU AI Act

  • Verbindliche EU-Verordnung
  • Produktregulierung (technische Anforderungen)
  • Gilt nur für Hochrisiko-KI und verbotene Praktiken
  • CE-Konformitätsbewertung (keine Zertifizierung)
  • ISO 42001 kann als Nachweis genutzt werden
Praxis-Tipp: Mit ISO 42001 anfangen, dann EU AI Act-Anforderungen on-top aufbauen. Viel Overlap, keine Doppelung.

OCC-Ressourcen zu ISO 42001

ISO 42001 Glossar Vollständige Definition EU AI Act für KMU Zusammenspiel beider Normen DSGVO & KI Datenschutzrecht + ISO 42001 Quellen ISO 42001 im OCC-Quellenverzeichnis OCC KI-Assistent Fragen zu ISO 42001 stellen