Kontakt
Zurück

KI braucht Steuerung

Wie ISO/IEC 42001 für AI Governance sorgt

  • Veröffentlicht:
  • Autor: Henrik Maas
  • Kategorie: Deep Dive
Inhaltsverzeichnis
    KI braucht Steuerung, Henrik Maas
    Alexander Thamm GmbH 2025

    Künstliche Intelligenz revolutioniert Branchen und verändert Geschäftsstrategien grundlegend – doch ohne klare Steuerung drohen Risiken. Hier kommt AI Governance ins Spiel, die entscheidend für den verantwortungsvollen Einsatz von KI ist. Genau dafür wurde ISO/IEC 42001 entwickelt – der erste internationale Standard, der ein strukturiertes Rahmenwerk für das Management von KI-Systemen bietet. In diesem Blogbeitrag erfahren Sie alles Wichtige über den ISO/IEC 42001, seine Bedeutung, den Anwendungsbereich und wie Unternehmen von seiner Einhaltung profitieren können.

    Was ist der ISO/IEC 42001 und warum brauchen wir ihn?

    Die Risiken von mangelnder Transparenz und Erklärbarkeit sowie potenziell fehlerhaften oder diskriminierenden Ergebnissen rücken die verantwortungsvolle Entwicklung und Anwendung vertrauenswürdiger KI zunehmend in den Vordergrund. Doch Unternehmen müssen nicht nur technisch robuste, ethische und rechtskonforme KI-Systeme entwickeln – eine große Herausforderung besteht auch darin, diese Aspekte nahtlos in interne Prozesse und Strukturen zu integrieren. Dabei gilt es, zahlreiche Einflussfaktoren zu berücksichtigen, wie etwa strategische Unternehmensziele, Erwartungen von Stakeholdern, Compliance-Vorgaben und das richtige Gleichgewicht zwischen Governance-Maßnahmen und Innovationsbestrebungen.

    Um diese Aufgaben für Unternehmen realisierbar zu machen, wurde der ISO/IEC 42001-Standard im Jahr 2023 gemeinsam von der International Organisation of Standards (ISO) und der Internationalen Electronical Commission (IEC) erarbeitet und veröffentlicht. Er ist die weltweit erste Norm für Managementsysteme von künstlicher Intelligenz und bietet Unternehmen damit einen klaren Rahmen, um Best Practices für die Governance von KI-Systemen erfolgreich zu implementieren. Der Standard definiert spezifische Anforderungen an den Aufbau, die Umsetzung, Pflege und kontinuierliche Verbesserung eines Managementsystems für KI-Systeme in Organisationen. Dabei wird die Interoperabilität mit anderen Managementsystemstandards (siehe Liste) gewährleistet. Der Standard ist zudem ein Standard des Typ A. Das bedeutet, dass dieser Anforderungen enthält, für die eine Organisation Konformität beanspruchen kann. Typ B der Managementstandards tut dies nicht. Grundsätzlich liefern Management-System Standards (MSS) eine Grundlage für die solide Führung einer Organisation. Die Verwendung von MSS ist demnach ein praktisches Mittel zur Unterstützung von Entscheidungen, die sich aus den Dynamiken eines Managementsystems ergeben.

    Was ist ein KI-Managementsystem

    Gemäß der Definition des ISO/IEC 42001 ist ein KI-Managementsystem eine Reihe von miteinander verbundenen oder interagierenden Elementen einer Organisation, die dazu dienen, Richtlinien und Ziele sowie Prozesse zur Erreichung dieser Ziele in Bezug auf die verantwortungsvolle Entwicklung, Bereitstellung oder Nutzung von KI-Systemen festzulegen. 

    An wen richtet sich der ISO/IEC 42001?

    Management Standards sind in allen Wirtschaftszweigen für verschiedene Arten und Größen von Organisationen und unter verschiedenen geografischen, kulturellen und sozialen Bedingungen anwendbar. Zudem unterstützen sie Governance- und Führungsfunktionen auf allen Ebenen.

    Der ISO/IEC 42001 Standard gilt somit für jede Organisation, die KI einsetzt, und eine hohe Qualität seiner KI-Systeme sicherstellen und nachweisen möchten. Auch Startups, die sich einen Wettbewerbsvorteil verschaffen und Vertrauen in ihre KI-Lösungen aufbauen wollen, profitieren von einer klaren AI Governance gemäß der ISO/IEC 42001. Die Einhaltung dieses Standards bietet insbesondere denjenigen Organisationen frühzeitige Orientierung, die die neuen und kommenden globalen KI-Gesetze und -Vorschriften einhalten möchten.

    So können beispielsweise Unternehmen, dessen KI-Anwendungen unter dem EU AI-Act ein hohes Risikopotential aufweisen (Art. 6 & Annex I & III) rechtskonforme Governance Strukturen sicherstellen. Wer also KI-System verantwortungsvoll skalieren möchte, sollte sich mit dem ISO/IEC 42001 beschäftigen.

    Die wichtigsten Inhalte von ISO/IEC 42001

    Der ISO/IEC 42001-Standard legt zentrale Elemente fest, die die Entwicklung eines KI-Managementsystems leiten. Insbesondere stehen dabei folgende Themen im Fokus. Sie alle werden durch die Gestaltung von Management-Prozessen abgedeckt.

    • Festlegung der organisatorischen Ziele unter Einbeziehung von Stakeholdern und organisatorischen Richtlinien.
    • Das Management von KI-Risiken und -Chancen.
    • Prozesse, die das Management von Aspekten einer Trustworthy AI betreffen, wie Sicherheit, Fairness, Transparenz, Datenqualität und Qualität von KI-Systemen während ihres gesamten Lebenszyklus.
    • Prozesse für das Management von Lieferanten, Partnern und Dritten, die KI-Systeme für die Organisation bereitstellen oder entwickeln.

    Der Standard definiert zentrale Begrifflichkeiten und weist die Interoperabilität mit bestehenden ISO-Standards auf, beispielsweise mit dem ISO 27001 für Informationssicherheitsmanagementsysteme (ISMS). Dabei folgt der Standard einer High Level Struktur, die im Folgenden vorgestellt wird. Die folgenden Abschnitte bieten Ihnen eine Übersicht über die Anforderungen in den Klauseln 4 bis 10, die auch in anderen Managementsystemstandards enthalten sind:

    ARTIKEL 4: KONTEXT DER ORGANISATION

    Die Organisation muss die relevanten internen und externen Bedürfnisse, Erwartungen und Probleme ermitteln und die Grenzen und Anwendbarkeit des KI-Managementsystems festlegen.

    ARTIKEL 5: LEADERSHIP

    Das Buy-In der Führungsebene ist entscheidend für die erfolgreiche Implementierung des KI-Managementsystems nach ISO/IEC 42001. Das Seniormanagement muss eine klare KI-Policy und KI-Ziele etablieren, diese in die Geschäftsprozesse integrieren und die notwendigen Ressourcen bereitstellen. Zudem tragen sie die Verantwortung für die Kommunikation, Förderung und kontinuierlicher Verbesserungen der AI Governance.

    ARTIKEL 6: PLANNING

    Organisationen müssen einen Aktionsplan entwickeln, der die Risiken und Chancen zur Erreichung der festgelegten Ziele in Einklang bringt. Dies beinhaltet regelmäßige Risikobewertungen, die Auswahl geeigneter Maßnahmen zur Risikobehandlung sowie die Festlegung und Überwachung klarer Ziele. Diese Ziele sollten SMART sein: spezifisch, messbar, erreichbar, relevant und zeitgebunden.

    ARTIKEL 7: SUPPORT

    Die Sicherstellung von Support und Trainings ist essenziell für den Erfolg des KI-Managementsystems. Dazu gehört die Bereitstellung der erforderlichen finanziellen, technologischen und personellen Ressourcen. Ein klarer Kommunikations- und Dokumentationsrahmen unterstützt zudem die Kompetenzentwicklung des Personals.

    ARTIKEL 8: OPERATION

    Im operativen Teil müssen Organisationen sicherstellen, dass alle Prozesse den definierten Kriterien entsprechen, regelmäßig überwacht und bei Bedarf angepasst werden. Dies umfasst die Durchführung von Risikobewertungen und Risikobehandlungsmaßnahmen, sowie die regelmäßige Bewertung der Auswirkungen von KI-Systemen auf Individuen und die Gesellschaft, um alle relevanten Risiken und Chancen kontinuierlich zu berücksichtigen.

    ARTIKEL 9: PERFORMANCE EVALUATION

    Artikel 9 legt Anforderungen fest für die kontinuierliche Überwachung und Bewertung der Leistung des KI-Managementsystems. So können Schwachstellen identifiziert und Verbesserungen gefördert werden. Dies umfasst regelmäßige Messungen und Analysen der Systemleistung, interne Audits zur Sicherstellung der Konformität sowie Managementbewertungen hinsichtlich der langfristigen Eignung und Wirksamkeit des Systems.

    ARTIKEL 10: IMPROVEMENT

    Organisationen müssen die Wirksamkeit des KI-Managementsystems kontinuierlich sicherstellen und sich wandelnden Anforderungen anpassen. Es sind sofortige Korrekturmaßnahmen erforderlich, um ungenügende Prozesse, zukünftige zu verhindern und alle hierzu getroffen Schritte transparent zu dokumentieren.

    Scope of Management System; Quelle: The Cyber Navigator
    Fig.1: Scope of Management System; Quelle: The Cyber Navigator

    Die Abbildung zeigt den PDCA-Zyklus des KI-Managementsystem-Standards ISO/IEC 42001. Standards – wie ISO/IEC 42001 –, die bereits der High-Level-Structure unterliegen, lassen sich kapitelweise dem PDCA-Zyklus zuordnen.

    Detaillierte Anleitungen zur Umsetzung der ISO/IEC 42001 sind in den vier Anhängen des Standards enthalten. Während Anhang A sich auf die Kontrollen, Ziel- und Risikoaspekte konzentriert, ähnlich wie in der ISO 27001, bietet ISO/IEC 42001 in Form von drei weiteren Anhängen auch Anleitungen, die über den Anwendungsbereich anderer Managementsystemnormen hinausgehen.

    • Anhang B - Anleitung zur Umsetzung der AI-Kontrollen in Anhang A
    • ‍Anhang C - Mögliche KI-bezogene organisatorische Ziele und Risikoquellen
    • ‍Anhang D - Standards für den Einsatz von KI-Managementsystemen in verschiedenen Bereichen und Sektoren

    ISO/IEC 42001 und der EU AI-Act

    Der freiwillige ISO/IEC 42001 Standard und der AI-Act der Europäischen Union ergänzen sich, um eine sichere, transparente und ethisch verantwortungsvolle Nutzung von Künstlicher Intelligenz (KI) zu gewährleisten. Während der AI-Act gesetzliche Anforderungen festlegt, hilft ISO/IEC 42001 Unternehmen dabei, Best Practicesund Verfahren zu implementieren, um diese Vorschriften einzuhalten und interne Strukturen für die Governance von KI-Systemen aufzubauen. Die ISO/IEC 42001 bietet eine solide Grundlage, um ein Risikomanagementsystem (Art. 9) und ein Qualitätsmanagementsystem gemäß des EU AI-Acts in die Abläufe eines Unternehmens zu integrieren und nachzuweisen (Art. 17).

    Der AI-Act und der ISO/IEC 42001 unterstützen Unternehmen dabei, rechtliche Anforderungen zu erfüllen und gleichzeitig sicherzustellen, dass ihre KI-Systeme den international anerkannten Standards für Ethik, Sicherheit und Transparenz entsprechen.

    Ist eine Zertifizierung notwendig?

    Der ISO/IEC 42001 Standard ist ein Management System Standard nach Typ A, der einen Konformitätsnachweis benötigt. Um diesen geltend zu machen, muss eine Organisation nachweisen, dass sie die Anforderungen erfüllt. Dieser Nachweis geschieht durch ein Audit. 

    Dabei gibt es drei Arten von Audits: First-Party-, Second-Party- und Third-Party-Audits. First-Party -Audits sind interne Audits. Second-Party und Third-Party-Audits sind externe Audits, wobei letztere von unabhängigen Institutionen durchgeführt werden. Diese Audits werden von akkreditierten Zertifizierungsstellen wie dem TÜV, der DEKRA oder qualifizierten Wirtschaftsprüfungsunternehmen angeboten. Bei einem erfolgreichen Audit erhält die Organisation ein Zertifikat, das als offizieller Nachweis für die Erfüllung der Norm dient. 

    Die Wahl zwischen internen, externen oder kombinierten Audits spielt eine entscheidende Rolle bei der Gestaltung der Compliance-Strategie einer Organisation. Interne Audits fördern eine kontinuierliche Verbesserung und bereiten die Organisation auf externe Audits vor. Externe Audits sind hingegen unverzichtbar, um die Zertifizierung zu erlangen und das Vertrauen der Öffentlichkeit zu stärken. Durch die Kombination beider Ansätze lassen sich die jeweiligen Stärken optimal nutzen, um eine solide Compliance-Strategie zu gewährleisten, die den Anforderungen des Management-Review-Prozesses entspricht. 

    Key Takeaways

    ISO/IEC 42001 bietet Unternehmen einen verständlichen Rahmen für die sichere und effiziente Gestaltung ihrer AI Governance. Folgende Punkte sind dabei besonders zu beachten:

    Freiwillige Umsetzung: Die Einführung der ISO/IEC 42001 ist eine strategische Entscheidung und keine gesetzliche Verpflichtung, bietet jedoch erhebliche Vorteile.

    Trustworthy AI: Der Standard fördert die Entwicklung und den Betrieb von technisch robusten, ethisch einwandfreien und rechtlich sicheren KI-Systemen.

    Regulatorische Compliance: ISO/IEC 42001 hilft Unternehmen, lokale und internationale Vorschriften wie den EU AI-Act einzuhalten und rechtliche Risiken zu minimieren.

    Managementsystem Standard: Der Standard ist kompatibel mit anderen Managementsystemstandards wie ISO 27001 und ermöglicht sowohl interne als auch externe Audits.

    AI Policy: Eine klar definierte Unternehmensrichtlinie zur Entwicklung und zum Einsatz von KI bildet die Grundlage für eine effektive AI-Governance.

    Kontinuierliche Verbesserung: Ein Kernelement der Norm ist die regelmäßige Überprüfung und Verbesserung der KI-Prozesse, um die Effizienz und Sicherheit der Systeme zu gewährleisten.

    Risikomanagement: Der Standard fordert eine proaktive Identifikation, Bewertung und Behandlung von KI-bezogenen Risiken.

    Wettbewerbsvorteil: Eine externe Zertifizierung signalisiert Kunden und Stakeholdern, dass das Unternehmen verantwortungsvoll mit seinen KI-Systemen umgeht.

    Verantwortungsvolle AI-Governance: ISO/IEC 42001 unterstützt Unternehmen dabei, eine stärkere Aufsicht zu implementieren, die die Verantwortlichkeit und Zuverlässigkeit ihrer KI-Systeme verbessert.

    Zusammengefasst bietet die ISO/IEC 42001 Unternehmen eine solide Grundlage für eine ethische, sichere und rechtskonforme Verwaltung von KI-Systemen. Dies gewährleistet einerseits die Einhaltung von Vorschriften, und stärkt andererseits das Vertrauen in KI-Technologien und schafft Wettbewerbsvorteile.

    Quellen

    Diesen Beitrag teilen:

    Autor

    Henrik Maas

    Henrik ist seit Mai 2021 Teil von [at] und als Software Product Manager für [at]’s SaaS-Tool Casebase tätig – eine AI Portfolio Management System, das Unternehmen bei der Verwaltung von Daten- und KI-Use Cases unterstützt. Dabei beschäftigt er sich intensiv mit den verschiedene Aspekte der AI Governance, einschließlich Change Management und regulatorischer Themen wie dem EU AI Act.

    Cookieeinstellungen
    X

    Cookie Freigabe

    Diese Website verwendet notwendige Cookies zur Sicherstellung des Betriebs der Website. Eine Analyse des Nutzerverhaltens durch Dritte findet nicht statt. Detaillierte Informationen über den Einsatz von Cookies finden Sie in unseren Datenschutzerklärung.

    Alle Cookies akzeptieren

    Individuelle Cookie Einstellungen

    Nur notwendige Cookies akzeptieren

    Datenschutzerklärung Impressum

    X

    Datenschutzeinstellungen

    Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Zustimmung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.

    Notwendige Cookies

    Diese Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.

    Cookie Informationen anzeigen

    Cookie Informationen verbergen

    Hubspot CMS

    HubSpot CMS ist ein Content-Management-System, das verschiedene Cookies zur Verfolgung von Besucherinteraktionen verwendet.

    Anbieter:HubSpot, Inc., 25 First Street, Cambridge, MA 02141, USA
    Cookiename:__hstc; hubspotutk; __hssc; __hssrc; __cf_bm; __cfruid
    Laufzeit:6 Monate; 6 Monate; 30 Minuten; Sitzungsende; 30 Minuten; Sitzungsende
    Datenschutzlink:https://legal.hubspot.com/de/privacy-policy
    Host:.hubspot.com

    Matomo Analytics

    Matomo ist eine Open-Source-Webanalyselösung, die Datenschutz und Datenhoheit betont und statistische Nutzer-Informationen festhält.

    Anbieter:InnoCraft Ltd., 150 Willis St, 6011 Wellington, New Zealand
    Cookiename:_pk_id..; _pk_ses..
    Laufzeit:13 Monate; 30 Minuten
    Datenschutzlink:https://matomo.org/gdpr-analytics/
    Host:.matomo.cloud

    Cookies für Externe Inhalte

    Inhalte von Videoplattformen und Social Media Plattformen werden standardmäßig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner manuellen Zustimmung mehr.

    Cookie Informationen anzeigen

    Cookie Informationen verbergen

    YouTube

    YouTube setzt verschiedene Cookies zur Verwaltung von Benutzereinstellungen und zur Verfolgung von Nutzerinteraktionen. Und wird verwendet, um YouTube-Inhalte freizuschalten.

    Anbieter:Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
    Cookiename:YSC; VISITOR_INFO1_LIVE; PREF
    Laufzeit:Sitzungsende; 6 Monate; 8 Monate
    Datenschutzlink:https://policies.google.com/privacy?hl=de
    Host:.youtube.com

    Podigee

    Podigee ist ein Podcast-Hosting-Dienst, der Cookies für die Freischaltung von Inhalten gesetzt.

    Anbieter:Podigee GmbH, Revaler Straße 28, 10245 Berlin, Deutschland
    Cookiename:Nicht spezifiziert
    Laufzeit:Nicht spezifiziert
    Datenschutzlink:https://www.podigee.com/de/ueber-uns/datenschutz/
    Host:.podigee.com

    Google Maps

    Dient zum Entsperren von Google Maps-Inhalten. Google Maps verwendet Cookies, um Benutzerpräferenzen zu speichern und die Nutzung zu erleichtern.

    Anbieter:Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
    Cookiename:SID; HSID; NID
    Laufzeit:2 Jahre; 2 Jahre; 6 Monate
    Datenschutzlink:https://policies.google.com/privacy?hl=de
    Host:.google.com

    Speichern

    ZurückNur notwendige Cookies akzeptieren

    Datenschutzerklärung Impressum

    Ihre Cookie-Einstellungen erlauben keine externen Inhalte von Google Maps.

    Ihre Cookie-Einstellungen erlauben keine externen Inhalte von Matomo Analytics.