Framework Typ: Norm
Norm

ISO 42001

ISO 42001 ist die internationale Norm für KI-Managementsysteme. Sie hilft Unternehmen, den verantwortungsvollen Einsatz von KI systematisch zu steuern, nachzuweisen und kontinuierlich zu verbessern.

Vollständiger Name
ISO/IEC 42001:2023 – Managementsystem für Künstliche Intelligenz
Veröffentlicht Dezember 2023

Was ist ISO 42001?

ISO 42001 ist die weltweit erste internationale Norm für Managementsysteme für Künstliche Intelligenz (AIMS – AI Management System, ein strukturiertes System zur verantwortungsvollen Entwicklung, Bereitstellung und Nutzung von KI im Unternehmen). Sie wurde im Dezember 2023 von der Internationalen Organisation für Normung (ISO) gemeinsam mit der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht.

Die Norm folgt der bekannten High Level Structure (einem einheitlichen Aufbau, den alle modernen ISO-Managementsystemnormen teilen), die auch ISO 27001 und ISO 9001 zugrunde liegt. Wer bereits ein ISMS nach ISO 27001 betreibt, kann ISO 42001 als Erweiterung aufsetzen und erhebliche Synergien nutzen.

ISO 42001 ist freiwillig, aber zertifizierbar. Sie richtet sich an alle Unternehmen, die KI-Systeme entwickeln, einsetzen oder betreiben, unabhängig von Branche und Größe.

Wann lohnt sich ISO 42001?

ISO 42001 ist sinnvoll für Unternehmen, die KI systematisch und nachweisbar verantwortungsvoll einsetzen wollen. Typische Szenarien:

Kunden, Auftraggeber oder Behörden verlangen einen Nachweis über den verantwortungsvollen Umgang mit KI-Systemen. Das Unternehmen entwickelt oder betreibt KI-Systeme und möchte Risiken strukturiert managen. Das Unternehmen bereitet sich auf die Anforderungen des EU AI Acts vor und will die Compliance-Arbeit in einem Managementsystem bündeln.

ISO 42001 und EU AI Act ergänzen sich: Die Norm liefert das strukturelle Framework, der EU AI Act die regulatorischen Anforderungen. Wer ISO 42001 implementiert, ist für die meisten EU-AI-Act-Anforderungen gut aufgestellt.

Kernanforderungen

ISO 42001 folgt dem PDCA-Zyklus (Plan-Do-Check-Act: ein Regelkreis aus Planen, Umsetzen, Prüfen und Verbessern) und strukturiert sich in mehrere Kernbereiche:

KI-Politik und Verantwortung

Das Unternehmen definiert eine KI-Politik (ein Grundsatzdokument zum verantwortungsvollen Umgang mit KI) und legt klare Verantwortlichkeiten fest. Die Unternehmensleitung trägt die Gesamtverantwortung.

Risikobeurteilung für KI-Systeme

KI-spezifische Risiken werden identifiziert und bewertet: Risiken durch fehlerhafte Ausgaben, Diskriminierung, Datenschutzverletzungen oder mangelnde Transparenz. Das Ergebnis fließt in einen Risikobehandlungsplan.

KI-Wirkungsbeurteilung

ISO 42001 fordert eine strukturierte Bewertung der gesellschaftlichen und ethischen Auswirkungen von KI-Systemen, ähnlich einer Datenschutz-Folgenabschätzung, aber auf KI-spezifische Risiken ausgerichtet.

Transparenz und Erklärbarkeit

Eingesetzte KI-Systeme müssen dokumentiert sein: Zweck, Trainingsdaten, Einschränkungen und bekannte Risiken. Entscheidungen, die durch KI unterstützt werden, müssen nachvollziehbar bleiben.

Lieferkette und Drittanbieter

Wer KI-Systeme von Drittanbietern einsetzt, muss sicherstellen, dass diese die eigenen KI-Anforderungen erfüllen. Verträge und Prüfprozesse für KI-Dienstleister sind zu etablieren.

Internes Audit und kontinuierliche Verbesserung

Das AIMS wird regelmäßig intern auditiert und weiterentwickelt. KI-Vorfälle und Abweichungen werden dokumentiert und analysiert.

Verhältnis zum EU AI Act

ISO 42001 und EU AI Act verfolgen ähnliche Ziele, sind aber unterschiedliche Instrumente. Der EU AI Act ist Pflichtrecht mit Bußgeldandrohung, ISO 42001 ist eine freiwillige Norm.

In der Praxis ergänzen sie sich gut: ISO 42001 liefert die Managementstruktur und Dokumentationsbasis, die der EU AI Act für Hochrisiko-KI-Systeme fordert. Wer ISO 42001 zertifiziert ist, kann wesentliche Teile der EU-AI-Act-Compliance damit nachweisen.

Wie hilft Digimojo?

Digimojo begleitet dich beim Aufbau eines AIMS nach ISO 42001: von der Bestandsaufnahme der eingesetzten KI-Systeme über die Risikobeurteilung und KI-Politik bis zur Vorbereitung auf die Zertifizierung.

Wenn bereits ein ISMS nach ISO 27001 besteht, nutzen wir die vorhandene Managementstruktur als Basis. DigimojoCOMPLY unterstützt die strukturierte Dokumentation beider Normen in einem gemeinsamen System.

Mehr zum Thema

Die KI-Verordnung 2025: Anforderungen und Auswirkungen auf Unternehmen

Ab dem 2. Februar 2025 tritt die KI-Verordnung (KI-VO) der EU in Kraft. Sie regelt die Entwicklung, Nutzung und Vermarktung von Künstlicher Intelligenz und bringt insbesondere für Unternehmen neue Pflichten mit sich. Die Vorschriften betreffen nicht nur große Tech-Konzerne, sondern auch kleine und mittlere Unternehmen (KMU), die KI-gestützte Tools einsetzen. In diesem Artikel erfährst du, welche Anforderungen auf dich zukommen, welche KI-Systeme betroffen sind und wie du dein Unternehmen konform aufstellst.

→ Weiterlesen
AVV mit OpenAI / ChatGPT abschließen – so geht’s

Unter bestimmten Lizenzmodellen (z. B. Enterprise, API) bietet OpenAI ein Data Processing Addendum (DPA) an, das als Auftragsverarbeitungsvertrag (AVV) dient. Nicht alle ChatGPT-Versionen ermöglichen dies, insbesondere Free oder Plus. In diesem Artikel erfährst du, welche Lizenzen infrage kommen, wie du den Vertrag praktisch abschließt, worauf du achten solltest und welche zusätzlichen Anforderungen der AI Act künftig stellt.

→ Weiterlesen
Was ist ein ISMS (Informationssicherheitsmanagementsystem)?

Ein Informationssicherheitsmanagementsystem (ISMS, englisch: Information Security Management System) ist der zentrale Baustein, um Informationssicherheit in Unternehmen systematisch zu steuern und zu verbessern. Es schafft klare Strukturen und Prozesse, um Risiken zu minimieren und rechtliche Anforderungen zu erfüllen. Neben den bekannten Standards wie ISO 27001 oder dem BSI IT-Grundschutz spielt TISAX (Trusted Information Security Assessment Exchange) eine zentrale Rolle für Unternehmen der Automobilindustrie. Dieser Artikel erklärt, was ein ISMS ist, wie es funktioniert und welche Vorteile es für KMU bietet.

→ Weiterlesen

Aus dem Magazin

KI-Verordnung 2025: Neue Regeln für Künstliche Intelligenz: Das müssen kleine Unternehmen beachten

Ab Februar 2025 gilt die neue EU-KI-Verordnung – ein entscheidender Schritt für den sicheren und verantwortungsvollen Einsatz von Künstlicher Intelligenz. Besonders für kleine und mittlere Unternehmen (KMU) bringt sie neue Herausforderungen, aber auch Chancen. In diesem Leitfaden erfährst du, welche Pflichten auf dich zukommen, welche KI-Risikostufen es gibt und wie du die Vorschriften effizient und kostengünstig umsetzt. Zudem bieten wir praxisnahe Lösungen, Schulungen und Tools, die dich optimal auf die kommenden Anforderungen vorbereiten. Jetzt handeln und compliant bleiben!

→  Weiterlesen

Verwandte Frameworks

EU AI Act

Der EU AI Act reguliert den Einsatz von KI-Systemen in der EU nach Risikoklassen. Je höher das Risiko eines Systems, desto strenger die Anforderungen. Die ersten Pflichten gelten bereits heute.

→ Mehr erfahren
▶︎
Alle Frameworks
▶︎
Norm
Thorsten Wälde, Gründer und Geschäftsführer von Digimojo, Experte für Datenschutz und Informationssicherheit
Kontakt

Wie können wir dich unterstützen?

Schreib uns kurz, worum es geht. Wir melden uns innerhalb von 24 Stunden mit konkreten nächsten Schritten.

Unverbindlich anfragen
Einfach. Klar. Verlässlich.
Informationssicherheit | Datenschutz | Cybersecurity
Lösungen
DigimojoCOMPLYDigimojoSECURE
Leistungen
Externer DSBExterner ISBNIS-2-BeratungCyberRisikoCheck
Ressourcen
Kostenlose RessourcenMagazinWissenNewsletter
Frameworks
Unternehmen
Über DigimojoKontaktStrategiegespräch
© 2026 Digimojo
Impressum
|
Datenschutz
|
LinkedIn