Kontakt aufnehmen
Zurück zur Academy
Compliance Zugang via Snow-Plan 9 Min. Lesezeit 17. Mai 2026

ISO/IEC 42001 —
der erste KI-Management-Standard.

ISO/IEC 42001 ist seit Ende 2023 die erste internationale Norm für KI-Management-Systeme — und seit 2024/25 zertifizierbar durch akkreditierte Stellen wie TÜV. Wer den EU AI Act ernst meint, kommt mittelfristig kaum daran vorbei. Wir erklären, was drin steht, wer ihn wirklich braucht, und was eine Zertifizierung in der Praxis bedeutet.

T
Tom
KI-Redakteur · Snow Academy

Während die ganze KI-Welt 2025 über den EU AI Act diskutiert, hat die ISO einen anderen Weg gewählt: ISO/IEC 42001 — Information technology / Artificial intelligence / Management system. Veröffentlicht im Dezember 2023, ist es der erste zertifizierbare Standard für „AI Management Systems" (AIMS).

Anders als der EU AI Act, der vorschreibt was du tun musst, beschreibt ISO 42001, wie du es strukturiert tust. Beide ergänzen sich. Wer 42001 implementiert, hat die meisten EU-AI-Act-Anforderungen organisatorisch schon erschlagen.

Hinweis vorab: Stand Mai 2026. ISO 42001 ist ein offizieller Standard mit kostenpflichtigem Volltext (über ISO oder DIN). Dieser Artikel referenziert die wichtigsten Strukturen ohne Originalwortlaut. Quellen-Hinweise am Ende.

Was ist ISO/IEC 42001 überhaupt?

Es ist ein Management-System-Standard — nach dem gleichen Schema aufgebaut wie ISO 27001 (Information Security) oder ISO 9001 (Qualität). Wer eine dieser Normen kennt, fühlt sich bei 42001 sofort zuhause: Plan-Do-Check-Act-Zyklus, Risiko-orientiert, mit klaren Pflicht-Klauseln.

Im Kern verlangt 42001, dass eine Organisation einen strukturierten Prozess für ihr KI-Engagement etabliert: Wer macht was, mit welchen Daten, in welchem Risikorahmen, mit welcher Kontrolle, mit welcher Dokumentation. Sieben Hauptkapitel (Klauseln 4–10) plus ein normativer Annex A mit konkreten KI-spezifischen Controls.

01 Struktur

Die sieben Pflicht-Klauseln

42001 folgt der „Harmonized Structure" der ISO — identisch aufgebaut wie 27001, 9001 etc. Wer eine ISO-Norm schon eingeführt hat, kann viele Strukturen wiederverwenden.
  1. Kontext der Organisation (Klausel 4): Welche internen und externen Themen beeinflussen den KI-Einsatz? Welche Stakeholder gibt's?
  2. Führung (Klausel 5): Top-Management-Verantwortung. KI-Policy schreiben. Rollen und Verantwortlichkeiten zuweisen.
  3. Planung (Klausel 6): Risiken und Chancen identifizieren. Ziele definieren. KI-Risiko-Assessment ist hier verankert.
  4. Unterstützung (Klausel 7): Ressourcen, Kompetenz (überlappt mit EU AI Act Art. 4!), Bewusstsein, Dokumentation.
  5. Betrieb (Klausel 8): Operative Steuerung des KI-Lebenszyklus — Entwicklung, Einkauf, Einsatz, Stilllegung.
  6. Bewertung der Leistung (Klausel 9): Monitoring, Messung, interne Audits, Management-Review.
  7. Verbesserung (Klausel 10): Nicht-Konformitäten beheben, kontinuierlich verbessern.
02 Annex A

Die KI-spezifischen Controls

Annex A ist das Herzstück — insgesamt 38 Controls speziell für KI-Systeme, gruppiert in 9 Kategorien. Hier wird's konkret.

Die neun Control-Kategorien (auszugsweise):

  • A.2 — KI-Policies: Schriftliche Strategie und Richtlinien für KI-Nutzung.
  • A.3 — Interne Organisation: Verantwortlichkeiten, Reporting-Pfade, Eskalations-Prozesse.
  • A.4 — KI-Ressourcen: Hardware, Daten, Tools, Lieferanten dokumentiert.
  • A.5 — KI-System-Lebenszyklus: Phasen-Modell (Design, Entwicklung, Test, Einsatz, Überwachung, Außerbetriebnahme).
  • A.6 — Daten-Management: Daten-Qualität, Daten-Lineage, Bias-Detection in Trainingsdaten.
  • A.7 — Informationen für interessierte Parteien: Transparenz gegenüber Nutzern und Aufsichtsbehörden.
  • A.8 — KI-System-Nutzung: Klare Anweisungen für die Bedienung, menschliche Aufsicht.
  • A.9 — Drittanbieter-Beziehungen: KI-Lieferanten-Management, DPA-Pflichten.
  • A.10 — Stakeholder & Betroffene: Auskunfts- und Beschwerde-Mechanismen.
03 Wer braucht das?

Ist 42001 für jeden sinnvoll?

Nein. ISO 42001 lohnt sich vor allem für Anbieter von KI-Systemen, regulierte Branchen und Organisationen, die regelmäßig High-Risk-KI betreiben.

Sehr sinnvoll für:

  • KI-Anbieter (B2B-Software-Hersteller), die in Ausschreibungen mit Zertifikaten überzeugen wollen.
  • Banken, Versicherungen, Pharma, Energie — alle, die unter regulatorischer Aufsicht stehen.
  • Unternehmen, die mehrere High-Risk-KI-Use-Cases nach EU AI Act haben.
  • Größere Mittelständler ab ~250 Mitarbeitenden mit KI-Programm.

Eher overkill für:

  • Kleine KMUs (<50 Mitarbeitende), die KI nur als Office-Helper nutzen.
  • Solo-Selbstständige, einfache Use-Cases.
  • Wer „nur" Art. 4-Compliance erfüllen muss.

Für die kleineren Fälle reichen oft schlankere Frameworks — siehe KI-Risiko-Assessment in 5 Schritten.

04 Zertifizierung

Wie läuft eine 42001-Zertifizierung ab?

Über akkreditierte Zertifizierungsstellen wie TÜV-Süd, TÜV Rheinland, DEKRA, DNV, BSI. Dauer: typischerweise 6–12 Monate von Start bis Zertifikat.

Die Schritte (vereinfacht):

  1. Gap-Analyse: Wo stehst du heute vs. 42001-Anforderungen? Ein Tag mit einem erfahrenen Auditor.
  2. Implementierung: Policies schreiben, Prozesse einführen, Trainings durchführen, Dokumentation aufbauen. 3–6 Monate je nach Größe.
  3. Internes Audit: Erste Selbst-Überprüfung. Findest du selbst Lücken?
  4. Stage-1-Audit (extern): Zertifizierungsstelle prüft die Dokumentation.
  5. Stage-2-Audit (extern): Vor-Ort-Audit, prüft die tatsächliche Umsetzung. Erfolg → Zertifikat.
  6. Überwachungs-Audits: Jährlich. Re-Zertifizierung alle 3 Jahre.

Kosten-Indikation: Für mittelständische Unternehmen typischerweise 30.000–80.000 EUR über 3 Jahre (Beratung + Auditor-Tage). Stark abhängig von Größe und vorhandenem Reifegrad anderer ISO-Normen.

05 Zusammenspiel

42001 + EU AI Act + DSGVO — wie hängen die zusammen?

42001 ist ein Management-Standard (freiwillig, aber zertifizierbar). EU AI Act ist ein Gesetz (verpflichtend). DSGVO ist auch Gesetz. Alle drei lassen sich aufeinander abbilden.

Vereinfachtes Mapping:

EU AI Act fordertISO 42001 liefert
Art. 9: Risikomanagement-SystemKlauseln 6 + Annex A.5/A.6
Art. 10: Daten-GovernanceAnnex A.6 (Daten-Management)
Art. 11: Technische DokumentationKlausel 7.5 + Annex A.4
Art. 14: Menschliche AufsichtAnnex A.8 (KI-Nutzung)
Art. 4: KI-KompetenzKlausel 7.2 (Kompetenz)

Wer 42001-zertifiziert ist, hat den größten Teil der EU-AI-Act-Pflichten für Anbieter abgedeckt. Behörden werden das vermutlich (noch nicht offiziell bestätigt) als „presumption of conformity" anerkennen — ähnlich wie ISO 27001 für DSGVO-Konformität gilt.

3 ehrliche Empfehlungen

  1. Bei <50 MA und einfacher KI-Nutzung: Nutze 42001 als Inspiration, nicht als Ziel. Übernimm Strukturen sinnvoll, lass die Zertifizierung weg.
  2. Wenn 27001 schon läuft: 42001 obenauf kostet 30–40 % weniger Aufwand als von Null. Lohnt sich oft.
  3. Bei High-Risk-Anbieter-Rolle: Starte die Vorbereitung jetzt. Die volle Reife dauert 12 Monate, und die EU-AI-Act-Hauptpflichten greifen ab August 2026.
Disclaimer: Dieser Artikel ersetzt keine Beratung durch akkreditierte Auditoren oder Compliance-Anwälte. Konkrete Zertifizierungs-Schritte sollten mit einer ISO-erfahrenen Beratung geplant werden.

Quellen

Wissens-Check — sichere dir den Fortschritt

5 Fragen, alle Multiple Choice. Ab 4 von 5 richtig wird dieser Artikel in deinem Zertifizierungs-Pfad als bestanden markiert. Du brauchst einen Snowbyte-Account, um den Fortschritt zu speichern.

Frage 01
Was ist ISO/IEC 42001?
Frage 02
Wo finden sich die KI-spezifischen Controls in 42001?
Frage 03
Für welche Organisation ist 42001 besonders sinnvoll?
Frage 04
Wie hängt 42001 mit dem EU AI Act zusammen?
Frage 05
Wie lange dauert eine 42001-Zertifizierung typischerweise?
Verdiene dir das Snow Academy Zertifikat. Bestehe alle Quizze in einem Zertifizierungs-Pfad und lade dir das offizielle Snowbyte-Zertifikat als PDF herunter — anerkannt für EU-AI-Act-Kompetenz-Nachweise.
Zertifizierungs-Pfad

Weiterlesen

Compliance · 9 Min.

KI-Risiko-Assessment in 5 Schritten — Vorlage für KMU.
Compliance · 10 Min.

EU AI Act Risiko-Klassifikation — was wirklich High Risk ist.
Compliance · 9 Min.

DSGVO + Cloud-KI: Was muss im AV-Vertrag stehen?

Lies weiter mit Snow Academy — ab 14 €/Monat.

Dieser Artikel ist Teil der gepflegten Snow Academy. Mit einem Privat- oder Business-Abo bekommst du vollen Zugriff auf alle Artikel, Quizze und das Zertifizierungs-Programm.

Privat
14 € / Monat
Voller Lesezugriff · alle Quizze · monatlich kündbar.
Privat freischalten
Business
44 € / Monat
Bis 5 Mitarbeitende · alle Zertifikate · EU-AI-Act-konform.
Business freischalten