Standards

ISO/IEC 42001: Der Standard für KI-Managementsysteme

ISO/IEC 42001 ist die erste internationale Norm für Managementsysteme für künstliche Intelligenz. Dieser Leitfaden erklärt ihre Struktur, das Verhältnis zur EU-KI-Verordnung, den Weg zur Zertifizierung und den konkreten Nutzen für Unternehmen.

10 Min. LesezeitAktualisiert im Januar 2026

Grundlagen der Norm ISO/IEC 42001

ISO/IEC 42001 wurde im Dezember 2023 von der Internationalen Organisation für Normung und der Internationalen Elektrotechnischen Kommission veröffentlicht. Sie ist die weltweit erste zertifizierbare Norm für ein Managementsystem für künstliche Intelligenz, kurz KI-Managementsystem oder AIMS. Damit überträgt sie den bewährten Ansatz etablierter Managementsystemnormen auf den Bereich der KI.

Ziel der Norm ist es, Organisationen einen strukturierten Rahmen für die verantwortungsvolle Entwicklung, Bereitstellung und Nutzung von KI-Systemen an die Hand zu geben. Sie adressiert die besonderen Herausforderungen der KI, etwa den Umgang mit Unsicherheit, Verzerrungen, Transparenz und kontinuierlichem Lernen, und verankert diese in nachvollziehbaren Prozessen.

Wie andere Managementsystemnormen folgt ISO/IEC 42001 der harmonisierten Grundstruktur, der sogenannten High-Level-Structure. Das erleichtert die Integration mit bestehenden Systemen wie ISO/IEC 27001 für Informationssicherheit oder ISO 9001 für Qualitätsmanagement. Sie ist branchen- und größenunabhängig anwendbar.

Erster zertifizierbarer KI-Standard

ISO/IEC 42001 ist seit Dezember 2023 die weltweit erste zertifizierbare Norm für Managementsysteme für künstliche Intelligenz und überträgt bewährte Managementprinzipien auf den KI-Bereich.

Aufbau und Anforderungen

ISO/IEC 42001 folgt dem aus anderen Managementsystemnormen bekannten Zyklus von Planung, Umsetzung, Überprüfung und Verbesserung, dem sogenannten Plan-Do-Check-Act-Modell. Organisationen müssen den Kontext und die interessierten Parteien bestimmen, eine KI-Politik festlegen, Rollen und Verantwortlichkeiten zuweisen sowie Ziele definieren.

Ein zentrales Element ist die Risikobeurteilung. Die Norm verlangt, die Risiken und Auswirkungen von KI-Systemen systematisch zu bewerten, einschließlich der Folgen für Einzelpersonen und die Gesellschaft. Hierzu sieht sie eine eigene Folgenabschätzung für KI-Systeme vor, die über die rein technische Betrachtung hinausgeht.

Im Anhang enthält die Norm einen Katalog von Steuerungsmaßnahmen, die je nach Risikolage ausgewählt und umgesetzt werden. Dazu zählen Vorgaben zu Daten, zur Dokumentation des Lebenszyklus von KI-Systemen, zur Transparenz gegenüber Nutzern und zur menschlichen Aufsicht. Die Kompetenz der beteiligten Personen ist dabei ausdrücklich Teil der Anforderungen.

  • Plan-Do-Check-Act-Zyklus für kontinuierliche Verbesserung.
  • Systematische Risiko- und Folgenbeurteilung von KI-Systemen.
  • Katalog von Steuerungsmaßnahmen im Anhang der Norm.
  • Kompetenz der beteiligten Personen als ausdrückliche Anforderung.

Verhältnis zur EU-KI-Verordnung

ISO/IEC 42001 und die EU-KI-Verordnung verfolgen ein gemeinsames Ziel, unterscheiden sich aber grundlegend in ihrer Verbindlichkeit. Die KI-Verordnung ist verbindliches Recht mit unmittelbarer Geltung in allen Mitgliedstaaten. ISO/IEC 42001 ist hingegen ein freiwilliger Standard, dessen Anwendung nicht gesetzlich vorgeschrieben ist.

Inhaltlich ergänzen sich beide jedoch hervorragend. Die KI-Verordnung formuliert das verbindliche Was, also die einzuhaltenden Anforderungen. Die Norm liefert ein strukturiertes Wie, also einen erprobten Managementrahmen zur Erfüllung dieser Anforderungen. Ein nach ISO/IEC 42001 aufgebautes Managementsystem erleichtert die Einhaltung vieler Pflichten der Verordnung erheblich.

Künftig könnten harmonisierte europäische Normen die Konformitätsvermutung für die KI-Verordnung begründen. Auch wenn ISO/IEC 42001 nicht automatisch diese Wirkung entfaltet, deckt sie zahlreiche Anforderungen ab. Auch die KI-Kompetenz-Pflicht aus Artikel 4 findet in den Kompetenzanforderungen der Norm eine systematische Entsprechung.

Verbindliches Recht trifft freiwilligen Standard

Die EU-KI-Verordnung formuliert das verbindliche Was, ISO/IEC 42001 liefert das strukturierte Wie. Ein Managementsystem nach der Norm erleichtert die Einhaltung der Verordnung erheblich.

Der Weg zur Zertifizierung

Der Aufbau eines Managementsystems nach ISO/IEC 42001 beginnt mit einer Bestandsaufnahme der bestehenden KI-Aktivitäten und einer Lückenanalyse gegenüber den Anforderungen der Norm. Auf dieser Grundlage werden die fehlenden Prozesse, Richtlinien und Maßnahmen entwickelt und im Unternehmen verankert.

Nach einer angemessenen Betriebsphase, in der das System gelebt und durch interne Audits sowie eine Managementbewertung überprüft wird, folgt das externe Zertifizierungsaudit. Eine akkreditierte Zertifizierungsstelle prüft in der Regel in zwei Stufen, ob das Managementsystem die Anforderungen erfüllt. Bei Erfolg wird ein Zertifikat ausgestellt.

Das Zertifikat ist üblicherweise drei Jahre gültig und wird durch jährliche Überwachungsaudits begleitet. Vor Ablauf erfolgt ein Rezertifizierungsaudit. Die Zertifizierung ist damit kein einmaliges Ereignis, sondern Teil eines fortlaufenden Verbesserungsprozesses.

  • Bestandsaufnahme und Lückenanalyse gegenüber der Norm.
  • Aufbau von Prozessen, internen Audits und Managementbewertung.
  • Externes Zertifizierungsaudit durch eine akkreditierte Stelle.
  • Dreijährige Gültigkeit mit jährlichen Überwachungsaudits.

Nutzen für Unternehmen

Eine Zertifizierung nach ISO/IEC 42001 schafft Vertrauen. Sie signalisiert Kunden, Partnern und Aufsichtsbehörden, dass das Unternehmen KI verantwortungsvoll und nach einem anerkannten Standard managt. Im Wettbewerb kann dies ein entscheidendes Unterscheidungsmerkmal sein, insbesondere bei Ausschreibungen und in regulierten Branchen.

Darüber hinaus reduziert ein strukturiertes KI-Managementsystem das Risiko von Fehlern, Datenschutzverstößen und Compliance-Lücken. Durch die systematische Risikobeurteilung werden Probleme früher erkannt und beherrscht. Das senkt langfristig Kosten und stärkt die Resilienz der Organisation.

Nicht zuletzt erleichtert die Norm die Erfüllung gesetzlicher Pflichten, einschließlich der KI-Kompetenz-Pflicht aus Artikel 4 der EU-KI-Verordnung. Wer Kompetenzaufbau und Schulung in ein zertifiziertes Managementsystem einbettet, dokumentiert seine Sorgfalt nachvollziehbar und ist auf Prüfungen bestens vorbereitet.

  • Vertrauensgewinn bei Kunden, Partnern und Behörden.
  • Wettbewerbsvorteil in Ausschreibungen und regulierten Branchen.
  • Geringeres Risiko von Fehlern und Compliance-Lücken.
  • Strukturierte Erfüllung gesetzlicher Pflichten inklusive Artikel 4.
Häufige Fragen

Antworten auf die wichtigsten Fragen

Aus Wissen wird Rechtssicherheit

Setzen Sie die gesetzliche Pflicht aus Artikel 4 EU-KI-VO direkt um — mit einer dokumentierten Schulung in nur 60 Minuten.