ISO/IEC 42001 einführen — Leitfaden für Industrieunternehmen

ISO/IEC 42001:2023 ist der erste internationale Standard für Managementsysteme im Bereich Künstlicher Intelligenz. Die Norm ist zertifizierbar, integriert sich nahtlos in vorhandene ISO-Strukturen und wird in Lieferkettenprüfungen und Ausschreibungen zunehmend zum Qualifikationskriterium. Die Einführung ist eine planbare Organisationsaufgabe — kein Großprojekt.

Was die Norm fordert

ISO/IEC 42001 definiert Anforderungen an die Organisation, Planung, Durchführung und Überwachung von KI-Aktivitäten. Kernelemente sind eine dokumentierte KI-Richtlinie, systematische Risikobewertungen, klar zugeordnete Verantwortlichkeiten, nachweisbare Schulungsmaßnahmen, Dokumentationspflichten über den gesamten Lebenszyklus sowie interne Audits und Managementbewertung. Der Aufbau folgt bekannten Managementsystem-Prinzipien: Plan, Do, Check, Act.

High-Level-Structure als Integrations-Vorteil

Die Norm nutzt die High-Level-Structure (HLS), die auch ISO 9001 (Qualitätsmanagement) und ISO 27001 (Informationssicherheit) zugrunde liegt. Unternehmen mit bestehendem Managementsystem nach einer dieser Normen können erhebliche Teile wiederverwenden: Risikomanagementprozesse, Dokumentenlenkung, Schulungsverwaltung, internes Auditverfahren, Lieferantenbewertung. In der Praxis reduziert das den Einführungsaufwand deutlich.

Für Unternehmen ohne bestehendes ISO-Managementsystem ist der Einstieg anspruchsvoller, aber nicht ungewöhnlich — ISO 42001 eignet sich als Erstzertifizierung ebenso wie als Ergänzung.

Zertifizierungsprozess

Eine Zertifizierung verläuft in mehreren Schritten. Zunächst Aufbau des Managementsystems: KI-Richtlinie, Prozesse, Dokumentation, Mitarbeiterschulungen. Nach interner Implementierung typischerweise ein Vor-Audit durch die Zertifizierungsstelle, um Reife und Schwachstellen zu erkennen. Anschließend das eigentliche Zertifizierungsaudit in zwei Stufen: Stufe 1 prüft die Dokumentation, Stufe 2 die praktische Umsetzung vor Ort. Die Zertifizierung gilt in der Regel drei Jahre; jährliche Überwachungsaudits halten sie aufrecht.

Akkreditierte Zertifizierungsstellen im deutschsprachigen Raum umfassen TÜV, DEKRA, DQS und BSI. Die Wahl der Stelle hängt von bestehenden Zertifizierungspartnerschaften, der Branchenerfahrung und dem Leistungsangebot ab.

Zusammenspiel mit dem EU AI Act

ISO/IEC 42001 und der EU AI Act verfolgen unterschiedliche Logiken, ergänzen sich aber. Der EU AI Act definiert gesetzliche Pflichten mit bindenden Anforderungen für Anbieter und Betreiber. ISO 42001 liefert ein Managementsystem, mit dem diese Pflichten strukturiert umgesetzt und dokumentiert werden können. Ein Unternehmen mit wirksam betriebenem ISO-42001-System erfüllt viele EU-AI-Act-Anforderungen bereits strukturell — ersetzt wird die gesetzliche Prüfung dadurch aber nicht.

Typischer Einführungsablauf

Erfahrungsgemäß entsteht ein einsatzfähiges ISO-42001-System in drei bis sechs Monaten. Die ersten Wochen dienen der Bestandsaufnahme: Welche KI-Systeme sind im Einsatz? Welche Prozesse existieren bereits? Wo sind die Lücken? Anschließend wird die KI-Richtlinie ausgearbeitet und freigegeben, Rollen und Verantwortlichkeiten werden zugewiesen, Risikobewertungen durchgeführt.

In der zweiten Hälfte der Einführung stehen Schulungen, Dokumentation und der Aufbau des internen Auditverfahrens im Vordergrund. Die Zertifizierungsvorbereitung beginnt, sobald das System mindestens einen kompletten Managementzyklus durchlaufen hat.

Wann ISO 42001 NICHT die Priorität sein sollte

Für Unternehmen, die aktuell keine KI im kritischen Einsatz haben und keine unmittelbaren Kunden- oder Ausschreibungsanforderungen sehen, ist eine sofortige Zertifizierung selten wirtschaftlich. Sinnvoller ist in diesem Fall, die Kernelemente — Inventar, Schulungen nach Artikel 4 EU AI Act, Risikobewertung eingesetzter Systeme — schlank umzusetzen und die Zertifizierung erst anzugehen, wenn konkrete Treiber vorliegen.

Ebenso problematisch: eine Zertifizierung anstreben, ohne ein gelebtes Managementsystem aufzubauen. Eine Zertifizierung dokumentiert funktionierende Prozesse; sie schafft sie nicht. Wer nur das Zertifikat will, ohne die zugrundeliegende Struktur, verschwendet Zeit und Geld.

Fazit

ISO/IEC 42001 ist der richtige Standard für Unternehmen, die ihren KI-Einsatz strukturiert managen und nachweisbar machen wollen. Die Einführung ist ein kalkulierbarer Organisationsprozess, besonders in Unternehmen mit ISO-9001- oder 27001-Struktur. Die Entscheidung für oder gegen eine Zertifizierung hängt von Kundenanforderungen, Branchenanforderungen und strategischer Positionierung ab — nicht vom Wunsch, ein Zertifikat an die Wand zu hängen.