ISO/IEC 42001: Der neue KI-Compliance-Standard - was Geschäftsführer 2026 wissen müssen
ISO/IEC 42001 ist der erste internationale Management-System-Standard für künstliche Intelligenz. Wer ihn zertifiziert, signalisiert Auditoren und Kunden eine systematische KI-Governance. Was er verlangt, wie er sich vom EU AI Act abgrenzt - und wann eine Zertifizierung sich lohnt.
Im Mai ist mir bei der Auswertung des deutschen Projektmarkts etwas aufgefallen: die ersten Stellenausschreibungen für ISO-42001-Lead-Auditoren. TÜV Süd, DEKRA und DQS suchen Leute, die einen Standard auditieren sollen, von dem die meisten Geschäftsführer noch nie gehört haben.
Solche Signale halte ich für verlässlicher als jede Hersteller-Studie. Zertifizierungsstellen stellen keine Auditoren ein, wenn keine Audit-Nachfrage in der Pipeline ist. Der Markt für KI-Compliance-Zertifizierung formiert sich - jetzt, nicht irgendwann.
Deshalb dieser Artikel: was ISO/IEC 42001 ist, was er konkret verlangt, wie er sich vom EU AI Act unterscheidet und wann sich eine Zertifizierung lohnt. Das Wichtigste vorab in fünf Punkten:
- ISO/IEC 42001 (verabschiedet Dezember 2023) ist der erste zertifizierbare Standard für KI-Management-Systeme - gebaut wie ISO 27001, nur für KI statt Informationssicherheit.
- Pflicht ist er nicht. Aber er wird zur Eintrittskarte, weil Großkunden beginnen, KI-Governance in Lieferanten-Audits abzufragen.
- Der EU AI Act ersetzt ihn nicht, und er ersetzt den AI Act nicht: Gesetz und Management-System beantworten verschiedene Fragen. Die Pflichteninhalte überschneiden sich allerdings erheblich.
- Von Gap-Assessment bis Zertifikat vergehen 12 bis 18 Monate. Mit einem bestehenden ISO-27001-ISMS eher 9 bis 12.
- Wer erst startet, wenn der erste Kunde fragt, zahlt doppelt: Crash-Projekt unter Zeitdruck plus Warteschlange bei den Auditoren.
Was ist ISO/IEC 42001?
ISO/IEC 42001 ist der erste internationale Standard für ein KI-Management-System (Artificial Intelligence Management System, AIMS). Er folgt der harmonisierten Grundstruktur aller modernen ISO-Management-System-Standards - wer ISO 27001 oder ISO 9001 kennt, findet sich sofort zurecht. Die Kapitel 4 bis 10 verlangen dasselbe Gerüst: Kontext, Führungsverantwortung, Planung, Betrieb, Bewertung, Verbesserung. Neu ist der Gegenstand: die Entwicklung, Bereitstellung und Nutzung von KI-Systemen.
Den fachlichen Kern bildet der Anhang A mit 38 Controls in neun Themenfeldern - von der KI-Policy über Impact Assessments und Lifecycle-Management bis zum Umgang mit Daten, Drittanbietern und betroffenen Personen. Anhang B liefert Umsetzungshinweise, die Anhänge C und D ordnen Risikoquellen und branchenspezifische Anwendung ein.
Für Geschäftsleitungen sind zwei Punkte entscheidend. Erstens: Der Standard ist zertifizierbar. Anders als Ethik-Leitlinien oder Selbstverpflichtungen gibt es ein externes Audit - und damit einen Nachweis, der in Ausschreibungen und Vertragsverhandlungen zählt. Zweitens: Ein AIMS lässt sich auf ein vorhandenes ISO-27001-ISMS aufsetzen. Gleiche Struktur, gemeinsame Prozesse für Risiko, Dokumentation und internes Audit - ein Management-System mit zwei Geltungsbereichen statt zwei parallele Bürokratien.
Warum gerade jetzt?
Standards entfalten ihre Wirkung nicht zum Verabschiedungsdatum, sondern wenn Prüfkapazität, regulatorischer Druck und Marktnachfrage zusammenkommen. Genau das passiert seit einigen Monaten.
Die Prüf-Infrastruktur entsteht: TÜV Süd, DEKRA und DQS bauen Auditoren-Kapazität auf, international haben Tech-Konzerne wie AWS, Microsoft und Google 2024/2025 erste Zertifikate für ihre KI-Services erworben. Die Akkreditierungslandschaft in Deutschland formiert sich derzeit.
Parallel wird der EU AI Act scharf. Die Verordnung ist seit August 2024 in Kraft, die wesentlichen Pflichten für Hochrisiko-KI-Systeme greifen ab dem 2. August 2026. Anbieter müssen dann unter anderem ein Risikomanagementsystem (Art. 9) und ein Qualitätsmanagementsystem (Art. 17) nachweisen. ISO 42001 ist kein automatischer Konformitätsnachweis - die harmonisierten europäischen Normen entstehen noch -, aber er ist die derzeit beste verfügbare Blaupause für genau diese Organisationspflichten.
Und der Lieferketten-Druck beginnt. Das Muster kenne ich aus der Informationssicherheit: Erst fragt ein einzelner Großkunde im Onboarding nach ISO 27001, zwei Jahre später steht die Anforderung in jeder Ausschreibung. Bei KI-Governance startet dieser Zyklus gerade - erste Konzerne fragen bei KI-Lieferanten nach systematischer Governance, zunehmend mit Verweis auf ISO 42001. Wer an regulierte Kunden verkauft, wird diese Frage in den nächsten 18 Monaten in Ausschreibungen wiederfinden.
Rechnet man die 12 bis 18 Monate Umsetzungszeit dagegen, liegt der richtige Startpunkt nicht bei „wenn der erste Kunde fragt”, sondern deutlich davor.
Was verlangt der Standard konkret?
Die 38 Controls lassen sich auf zehn Kern-Pflichten verdichten:
- KI-Policy und Strategie - eine Leitlinie, wofür die Organisation KI einsetzt, wofür nicht, und wer dafür geradesteht. Getragen von der Geschäftsleitung, nicht von der IT allein.
- Risiko-Assessment für jedes KI-System: Was kann schiefgehen, wie wahrscheinlich, mit welchen Folgen.
- Impact Assessment - über das Risikomanagement hinaus die Frage, was das System für Betroffene, Kundengruppen und gesellschaftliche Belange bedeutet.
- Datenqualität und Bias-Kontrolle mit nachvollziehbaren Anforderungen an Trainings- und Betriebsdaten.
- Lifecycle-Management von der Entwicklung über Validierung, Deployment und Monitoring bis zur geordneten Außerbetriebnahme.
- Transparenz und Erklärbarkeit, angemessen zum Risiko - nicht akademisch maximal.
- Human Oversight: Wer überwacht das System, wer kann es stoppen, welche Entscheidungen bleiben beim Menschen?
- Lieferanten-Management für eingekaufte KI-Komponenten - Modelle, APIs, Plattformen.
- Incident-Response für Fehlverhalten, Drift und Sicherheitsvorfälle, inklusive der Frage, wann Kunden und Behörden informiert werden.
- Kontinuierliche Verbesserung über interne Audits, Management-Reviews und Korrekturmaßnahmen.
Auf dem Papier klingt vieles davon nach gesundem Menschenverstand. In der Praxis entscheidet sich das Projekt an zwei Stellen. Erstens beim Impact Assessment - dafür gibt es in den meisten Organisationen kein Vorbild, weil die ISO-27001-Welt diese Disziplin nicht kennt. Zweitens beim Lieferanten-Management, denn kaum eine Organisation betreibt ihr Foundation Model selbst; die Pflichten des Modell-Anbieters müssen im eigenen Risikobild abgebildet werden. Wer diese beiden Punkte sauber löst, hat den schwierigen Teil hinter sich.
Und eine Warnung aus jeder Management-System-Einführung, die ich begleitet habe: Auditoren prüfen Gelebtes, nicht Geschriebenes. Ein Ordner voller Policies ist noch kein Management-System.
ISO 42001 vs. EU AI Act - wo überschneidet sich was?
In fast jedem Erstgespräch zur KI-Compliance fällt dieselbe Frage: „Brauchen wir das zusätzlich zum AI Act?” Die Kurzantwort: Das sind keine Alternativen. Sie beantworten verschiedene Fragen.
| Dimension | EU AI Act | ISO/IEC 42001 |
|---|---|---|
| Charakter | Gesetz (EU-Verordnung 2024/1689), verpflichtend | Freiwilliger, zertifizierbarer Standard |
| Gegenstand | Das KI-System als Produkt (Risikoklassen, Verbote, Pflichten) | Die Organisation und ihre Prozesse (Management-System) |
| Geltung | Alle Anbieter/Betreiber von KI im EU-Markt, gestaffelt bis August 2026 | Jede Organisation, die sich zertifizieren lässt - weltweit |
| Sanktionen | Bußgelder bis 35 Mio. Euro bzw. 7 % des Weltumsatzes | Keine - aber Zertifikatsverlust und Vertragsfolgen |
| Nachweis | Konformitätsbewertung, CE-Kennzeichnung (Hochrisiko) | Zertifizierungsaudit durch akkreditierte Stelle, 3-Jahres-Zyklus |
| Fokus | Was ein System dürfen muss/nicht darf | Wie eine Organisation KI steuert, überwacht, verbessert |
| Verhältnis | Verlangt u. a. Risikomanagement (Art. 9) und QMS (Art. 17) | Liefert die Organisationsstruktur, die genau diese Pflichten trägt |
Der AI Act sagt, was zu erfüllen ist. ISO 42001 ist das Betriebssystem, mit dem eine Organisation es dauerhaft erfüllt. Wer nur den AI Act abarbeitet, hat ein Compliance-Projekt mit Verfallsdatum. Wer ein AIMS aufbaut, hat eine Struktur, die auch die nächste Regulierung und den nächsten Kunden-Audit trägt.
Eine automatische Konformitätsvermutung („zertifiziert = AI-Act-konform”) gibt es derzeit nicht. Die Überschneidung der Pflichteninhalte ist aber so groß, dass ein 42001-Programm den AI-Act-Aufwand erheblich reduziert statt ihn zu verdoppeln.
Die detaillierte Gegenüberstellung pro Pflichtenkreis erscheint am 29.06. als eigener Artikel dieser Reihe.
Wann lohnt sich eine Zertifizierung?
Nicht jede Organisation braucht das Zertifikat - und ich rate auch nicht jeder dazu.
Klar dafür spricht es bei KI-Anbietern im B2B-Geschäft: Dort wird die Zertifizierung absehbar zur Eintrittskarte in Großkunden-Ausschreibungen, so wie ISO 27001 es bei Software-Anbietern geworden ist. Dasselbe gilt für Betreiber von Hochrisiko-KI im Sinne des AI Act - etwa in Personalauswahl, Kreditvergabe oder kritischer Infrastruktur. Die Organisationspflichten kommen dort ohnehin; ISO 42001 ist der strukturierteste Weg, sie zu erfüllen.
Genauso klar dagegen: Wer KI ausschließlich intern nutzt, ohne externe Schnittstellen und ohne Hochrisiko-Anwendungsfälle, für den übersteigt der Zertifizierungsaufwand den Nutzen. Die Disziplinen dahinter - KI-Inventar, Policy, Human Oversight - lohnen sich trotzdem. Nur das Audit kann man sich sparen.
Dazwischen liegt die größte Gruppe: Unternehmen, deren Großkunden heute schon Informationssicherheit auditieren. Dort empfehle ich, das Gap-Assessment jetzt zu machen und die Zertifizierungsentscheidung danach zu treffen - dann liegt die Faktenlage vor, bevor die erste Kundenanfrage kommt, und nicht unter deren Zeitdruck.
Die Faustregel: Je näher die KI am Kunden, an regulierten Prozessen oder an Personalentscheidungen arbeitet, desto eher rechnet sich das Zertifikat.
Der Weg zur Zertifizierung: der 18-Monats-Fahrplan
Den Weg gliedere ich in vier Phasen - die letzte Spalte zeigt, woran Projekte in der Praxis tatsächlich hängen bleiben:
| Phase | Zeitraum | Inhalt | Typische Stolperfalle |
|---|---|---|---|
| 1 - Gap-Assessment & Scope | Monat 1-3 | KI-Inventar erstellen, Reifegrad gegen die 38 Controls prüfen, Geltungsbereich festlegen, Business Case für die Leitung | Scope zu groß geschnitten - das erste Zertifikat muss nicht die ganze Organisation abdecken |
| 2 - Aufbau | Monat 4-9 | KI-Policy, Rollen, Risiko- und Impact-Prozesse, Lifecycle-Kontrollen implementieren; Integration ins bestehende ISMS/QMS | Dokumente schreiben statt Prozesse verankern - Auditoren prüfen Gelebtes, nicht Geschriebenes |
| 3 - Probelauf | Monat 10-12 | Internes Audit, Management-Review, Korrekturmaßnahmen; mindestens ein voller Durchlauf aller Prozesse | Internes Audit als Formalie behandeln - es ist die Generalprobe, die Stage 2 entscheidet |
| 4 - Zertifizierung | Monat 13-18 | Stage-1-Audit (Dokumentenprüfung), Korrekturen, Stage-2-Audit (Wirksamkeitsprüfung), Zertifikatserteilung | Audit-Slot zu spät anfragen - die Kapazität der Zertifizierungsstellen ist 2026/2027 der Engpass |
Wer bereits ein ISO-27001-ISMS betreibt, verkürzt vor allem Phase 2: Risikomanagement, Dokumentenlenkung, internes Audit und Management-Review existieren dann schon und werden um den KI-Geltungsbereich erweitert. Realistisch sind in diesem Fall 9 bis 12 Monate statt 18.
Der detaillierte Fahrplan mit Aufwandsschätzungen pro Phase erscheint am 13.07. als eigener Artikel dieser Reihe.
Was Sie diese Woche tun können
Ohne Projekt, ohne Budget-Antrag: Lassen Sie ein KI-Inventar erstellen - welche KI-Systeme sind im Einsatz, offiziell und inoffiziell? Ohne diese Liste ist jede Compliance-Diskussion Spekulation. Prüfen Sie dann, ob eines dieser Systeme unter die Hochrisiko-Kategorien des AI Act fällt und ob Ihre Kunden bereits nach KI-Governance fragen. Und ordnen Sie ehrlich ein, worauf Sie aufbauen können: Existiert eine KI-Policy? Gibt es ein ISMS? Daran entscheidet sich, ob Ihr Weg neun oder achtzehn Monate dauert.
Die 18 Monate bis zum Zertifikat beginnen mit dem Gap-Assessment, nicht mit dem Audit.
Sie wollen wissen, wo Ihre Organisation steht? Im EU AI Act Compliance Assessment prüfen wir Ihre KI-Systeme gegen die AI-Act-Pflichten und die ISO-42001-Controls - mit priorisierter Roadmap, die beides in einem Programm zusammenführt. Oder starten Sie mit dem kostenlosen AI Act Quick Check.
Dieser Artikel ist der Auftakt der ISO-42001-Reihe. Weitere Beiträge:
- ISO 42001 vs. EU AI Act: Wo überschneidet sich was? (29.06.2026)
- ISO 42001-Zertifizierung: Der 18-Monats-Fahrplan im Detail (13.07.2026)
- ISO 42001 in regulierten Branchen: 5 branchenspezifische Fallstricke (27.07.2026)