Die ISO/IEC 42001 ist die erste internationale Norm für KI-Managementsysteme (Artificial Intelligence Management System, AIMS). Sie wurde Ende 2023 veröffentlicht und folgt derselben High-Level-Structure wie ISO 27001 oder ISO 9001. Seitdem stellen uns Mandanten regelmässig dieselbe Frage: Macht eine ISO-42001-Zertifizierung uns AI-Act-konform? Die ehrliche Antwort lautet: Sie hilft erheblich, ersetzt aber keine einzige gesetzliche Pflicht. Wer beides verwechselt, gibt Geld für ein Zertifikat aus und steht trotzdem ohne Konformitätsnachweis da.
Was die ISO/IEC 42001 leistet
Die Norm verlangt, dass eine Organisation ihren Umgang mit KI systematisch steuert: Kontext und Stakeholder bestimmen, KI-Politik festlegen, Rollen und Verantwortlichkeiten zuweisen, Risiken und Chancen bewerten, Massnahmen umsetzen, Leistung messen und kontinuierlich verbessern. Der Anhang A enthält Controls zu Themen wie Datenqualität, Transparenz gegenüber Nutzern, menschlicher Aufsicht und dem gesamten KI-Lebenszyklus. Das ist genau die Governance-Schicht, die der AI Act in Art. 9 (Risikomanagement), Art. 10 (Daten-Governance) und Art. 17 (Qualitätsmanagementsystem) ebenfalls fordert.
Für eine Organisation, die ohnehin ein Managementsystem betreibt, ist die 42001 deshalb ein effizienter Rahmen: Sie strukturiert die Nachweise, die der AI Act verlangt, in einer auditierbaren Form. Wer bereits ISO 27001 hat, kann die 42001 mit überschaubarem Zusatzaufwand integrieren, weil sich Dokumentenlenkung, internes Audit und Management-Review teilen lassen.
Wo die Norm endet und das Gesetz beginnt
Entscheidend ist die Grenze. Die ISO 42001 ist eine freiwillige Prozessnorm — sie sagt, dass Sie Risiken managen müssen, aber nicht, welches konkrete Risikoniveau gesetzlich zulässig ist. Der AI Act dagegen ist verbindliches Recht mit konkreten Pflichten: die Risikoklassifizierung nach Anhang III, die technische Dokumentation nach Anhang IV, die Grundrechte-Folgenabschätzung nach Art. 27, die Registrierung in der EU-Datenbank, die CE-Kennzeichnung für Hochrisiko-Systeme und die Meldepflicht bei schwerwiegenden Vorfällen. Keine dieser Pflichten verschwindet durch ein 42001-Zertifikat.
Ein zweiter Punkt: Die im AI Act vorgesehenen harmonisierten Normen, auf die sich die Konformitätsvermutung nach Art. 40 stützt, werden derzeit vom CEN-CENELEC erarbeitet. Die ISO 42001 ist nicht automatisch eine solche harmonisierte Norm. Sie liefert also keine Konformitätsvermutung im Rechtssinn — sie liefert organisatorische Reife, die ein Audit erleichtert.
Der pragmatische Stufenplan
Wir empfehlen DACH-Organisationen einen dreistufigen Aufbau. Erstens: Gap-Analyse gegen den AI Act. Welche Systeme betreiben wir, in welche Risikoklasse fallen sie, welche konkreten gesetzlichen Pflichten ergeben sich? Das ist die rechtliche Pflicht-Schicht. Zweitens: Aufbau eines AIMS nach 42001 als organisatorisches Rückgrat — eine KI-Politik, ein KI-Risikoinventar, klare Verantwortlichkeiten, ein Lebenszyklus-Prozess. Drittens: optionale Zertifizierung durch eine akkreditierte Stelle, wenn Kunden oder Ausschreibungen sie verlangen.
Für die meisten KMU ist Stufe drei zunächst verzichtbar. Stufe eins und zwei dagegen sind nicht verhandelbar, wenn Sie Hochrisiko-Systeme betreiben. Das Zertifikat ist ein Vertriebs- und Vertrauensargument, kein Freibrief.
Was das in der Praxis bedeutet
Behandeln Sie die ISO 42001 als das, was sie ist: ein bewährtes Gerüst, um die vom AI Act verlangten Nachweise wiederholbar und prüffest zu produzieren. Sie reduziert den Aufwand, weil sie Doppelarbeit zwischen Datenschutz, Informationssicherheit und KI-Governance vermeidet. Aber sie verlagert die Verantwortung nicht. Die Konformität mit dem AI Act bleibt eine rechtliche Bewertung pro System, die ein Managementsystem unterstützt, aber nicht ersetzt. Wer diese Reihenfolge respektiert — erst die gesetzlichen Pflichten kartieren, dann das Managementsystem darüber legen — investiert sein Budget dort, wo es im Ernstfall zählt: im nachweisbaren, systembezogenen Konformitätsnachweis.
Aufwand und typische Stolpersteine
Der Aufbau eines AIMS nach ISO 42001 dauert in einem KMU erfahrungsgemäss mehrere Monate, abhängig davon, wie viel Managementsystem-Reife bereits vorhanden ist. Wer ISO 27001 betreibt, kann mit einem Bruchteil des Aufwands rechnen, weil sich die gemeinsamen Klauseln — Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung, Verbesserung — wiederverwenden lassen. Wer bei null startet, baut nicht nur die KI-spezifischen Controls, sondern die gesamte Managementsystem-Mechanik auf.
Der häufigste Stolperstein ist die Verwechslung von Dokumentation und Wirksamkeit. Ein Aktenordner voller Richtlinien besteht kein ernsthaftes Audit, wenn die Praxis ihnen nicht folgt. Auditoren prüfen Nachweise: Wurde das KI-Risikoinventar tatsächlich gepflegt, fanden die vorgesehenen Reviews statt, gibt es belegte Entscheidungen? Bauen Sie das System deshalb von Anfang an um echte Artefakte herum, die ohnehin entstehen, statt um Dokumente, die nur für das Zertifikat existieren.
Ein zweiter Stolperstein ist der Geltungsbereich. Definieren Sie früh und ehrlich, welche KI-Systeme und Prozesse das AIMS umfasst. Ein zu breiter Scope überfordert das Team; ein zu enger erzeugt ein Zertifikat, das die relevanten Systeme gar nicht abdeckt und im Vertrieb wertlos ist. Für die meisten KMU ist ein fokussierter Scope auf die produktiven, geschäftskritischen KI-Anwendungen der richtige Startpunkt — er lässt sich später erweitern.
Beachten Sie schliesslich das Zusammenspiel mit branchenspezifischen Normen und der kontinuierlichen Verbesserung. Die ISO 42001 ist bewusst branchenneutral; in regulierten Feldern wie Medizin, Finanzen oder Automotive treffen Sie auf zusätzliche sektorale Anforderungen, die das AIMS aufnehmen muss. Der eingebaute Verbesserungszyklus — messen, bewerten, anpassen — ist dabei kein bürokratischer Selbstzweck, sondern genau der Mechanismus, der Ihr KI-Risikomanagement mit der schnellen Entwicklung der Modelle und der Rechtslage Schritt halten lässt. Ein KI-System, das heute konform ist, kann durch ein Modell-Update oder eine neue Leitlinie morgen neu bewertet werden müssen; das Managementsystem ist der Rahmen, der diese laufende Neubewertung organisiert.