Was ISO/IEC 42001 ist
ISO/IEC 42001:2023 ist die erste internationale Norm für ein AI Management System (AIMS), im deutschsprachigen Kontext häufig KI-Managementsystem genannt. Sie beschreibt, wie Organisationen KI verantwortungsvoll, transparent und nachweisbar entwickeln, bereitstellen oder nutzen können.
Für Institute mit bestehendem ISO-27001- oder ISO-9001-Managementsystem ist das hilfreich, weil ISO/IEC 42001 in die bekannte Managementsystem-Logik passt: Kontext, Führung, Planung, Support, Betrieb, Bewertung und Verbesserung.
Was ISO/IEC 42001 für den EU AI Act leistet
Die Norm unterstützt insbesondere Governance, Risiko- und Qualitätsmanagement, Kompetenz, Dokumentation, Lieferantensteuerung und kontinuierliche Verbesserung. Damit ist sie ein sehr guter Rahmen, um EU AI Act-Compliance organisatorisch zu verankern.
- Risikomanagement und dokumentierte Bewertungsprozesse
- Data Governance und Qualitätsanforderungen
- Human Oversight und Verantwortlichkeiten
- Kompetenz, Bewusstsein und Schulung
- Lieferanten- und Lebenszyklusmanagement
Wo ISO/IEC 42001 an Grenzen stößt
| Bereich | EU AI Act verlangt | Zusätzlich erforderlich |
|---|---|---|
| Rollenklärung | Abgrenzung Anbieter, Betreiber, Importeur, Händler | Juristische und prozessuale Bewertung je System und Nutzung |
| CE / EU-Datenbank | Anbieterpflichten bei Hochrisiko-KI | Konformitätsbewertung, technische Dokumentation und Registrierung, wenn Anbieterrolle vorliegt |
| FRIA | Fundamental Rights Impact Assessment für bestimmte Hochrisiko-Nutzungen | Konkrete Folgenabschätzung für Kredit und Life/Health Insurance sowie ggf. weitere Konstellationen |
| Incident Response | Meldepflichten nach EU AI Act, DSGVO und DORA | Abgestimmter Drei-Regime-Prozess mit klaren Fristen und Eskalationswegen |
| Arbeitsrecht | Information und ggf. Mitbestimmung bei HR-KI | Einbindung von Arbeitnehmervertretung und Prüfung österreichischer ArbVG-Anforderungen |
Was ISO/IEC 42001 nicht vollständig abdeckt
ISO/IEC 42001 ist ein starker Managementsystem-Rahmen. Eine Zertifizierung ersetzt aber nicht automatisch alle formalen EU-AI-Act-Pflichten. Fünf Lücken sollten explizit dokumentiert werden.
| Lücke | EU AI Act | Zusätzlich zu klären |
|---|---|---|
| Konformitätsbewertung | Art. 43 | Formales Verfahren je Anbieterrolle und Hochrisiko-System. |
| CE-Kennzeichnung | Art. 48 | Nur relevant, wenn Anbieterpflichten greifen; Prozess und Nachweise separat führen. |
| EU-Datenbankregistrierung | Art. 49 | Registrierungspflichten für bestimmte Hochrisiko-Systeme gesondert prüfen. |
| Post-Market Monitoring | Art. 72 | AI-Act-spezifische Überwachung und Rückkopplung mit Anbieterinformationen definieren. |
| Incident Response | Art. 73, DSGVO, DORA, NISG 2026 | Meldekaskade mit unterschiedlichen Behördenwegen und Fristen abbilden. |
Europäische harmonisierte Normen
CEN/CENELEC arbeiten an harmonisierten Normen für den EU AI Act. Sobald relevante Normen im EU-Amtsblatt veröffentlicht sind, können sie eine Konformitätsvermutung für bestimmte Anforderungen auslösen. ISO/IEC 42001 ist dafür ein starkes Fundament, ersetzt diese Prüfung aber nicht automatisch.
CSRD/ESRS: ISO 42001 als Nachweisrahmen
Wenn KI-Bias oder diskriminierende KI-Entscheidungen als wesentliche Nachhaltigkeitsauswirkung oder Governance-Risiko einzustufen sind, braucht die CSRD-/ESRS-Berichterstattung belastbare Nachweise. ISO/IEC 42001 kann dafür den organisatorischen Rahmen liefern: Policies, Rollen, Risikobewertungen, Kontrollen, Monitoring, interne Audits und Management Reviews. Die ESRS-Berichtspflicht selbst wird dadurch nicht ersetzt, aber die Nachweisfähigkeit wird deutlich besser strukturierbar.
Eine Implementierung ist kein reines IT-Projekt. Sie betrifft Vorstand, Compliance, Legal, IT, HR, Einkauf und Fachabteilungen. Zentral sind Scope, KI-Inventar, Risiko- und Kontrollmodell, Rollen, Nachweise und regelmäßige Managementbewertungen.