- Veröffentlicht: Dezember 2023 durch ISO/IEC JTC 1/SC 42.
- Typ: Management-System-Standard, aufgebaut wie ISO 27001 oder ISO 9001.
- Zertifizierbar: ja, durch akkreditierte Stellen wie DEKRA, TÜV Süd, TÜV Rheinland, DNV, DQS.
- Rechtspflicht: nein. Aber sinnvoll als Nachweis für KI-VO und DSGVO-Compliance.
- Typischer Projektzeitraum: 8 bis 18 Monate bis zur Erstzertifizierung.
Was ist ISO 42001?
ISO/IEC 42001:2023, ausgeschrieben "Artificial Intelligence Management System Standard" (AIMS), ist der erste internationale Standard, der Anforderungen an den Aufbau, die Implementierung und die kontinuierliche Verbesserung eines KI-Managementsystems definiert. Er wurde vom Joint Technical Committee ISO/IEC JTC 1, Subcommittee SC 42 entwickelt.
Der Standard folgt der High-Level-Structure, die auch bei ISO 27001 (Informationssicherheit), ISO 9001 (Qualität) und ISO 14001 (Umwelt) verwendet wird. Unternehmen, die bereits ein ISMS oder QMS betreiben, finden eine vertraute Struktur: Kontext, Führung, Planung, Unterstützung, Betrieb, Leistungsbewertung, Verbesserung.
Inhaltlich deckt ISO 42001 alle typischen KI-Risiken ab: Bias und Fairness, Transparenz und Erklärbarkeit, Datenschutz, Sicherheit, Zuverlässigkeit, menschliche Aufsicht, ethische Fragen, Lieferkettenkontrolle bei eingekauften KI-Systemen.
Rechtsgrundlage und rechtliche Einordnung
ISO 42001 ist kein Gesetz, sondern ein privater Normungsstandard. Herausgeber sind die International Organization for Standardization (ISO) und die International Electrotechnical Commission (IEC). In Deutschland veröffentlicht das DIN den Standard als DIN EN ISO/IEC 42001.
Eine gesetzliche Pflicht zur Zertifizierung besteht nicht. Der Standard wird jedoch zunehmend herangezogen, um Compliance mit gesetzlichen Vorgaben zu belegen:
- EU-KI-Verordnung: Eine ISO 42001-Zertifizierung deckt weite Teile der Anforderungen an Hochrisiko-KI-Systeme ab. Siehe auch Artikel 4 der KI-Verordnung zur KI-Kompetenzpflicht.
- DSGVO: ISO 42001 verlangt Risikobewertungen, die mit Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO kompatibel sind.
- Ausschreibungen: Öffentliche Auftraggeber und Konzerne verlangen zunehmend ISO 42001 (oder die Bereitschaft dazu) bei KI-Projekten.
Wer sollte sich zertifizieren?
ISO 42001 ist nicht für jeden Anwender von KI-Tools gedacht. Sinnvoll ist die Zertifizierung typischerweise für:
- Entwickler von KI-Systemen: Softwarehäuser, KI-Startups, Hersteller von Bilderkennung, Chatbots, Entscheidungssystemen.
- Große Betreiber kritischer KI-Anwendungen: Banken bei Kreditvergabe, Versicherer bei Risikobewertung, Personaldienstleister bei Bewerber-Matching.
- Unternehmen mit Hochrisiko-KI nach EU-AI-Act: ab August 2026 greifen die Pflichten aus Artikel 6 ff. KI-VO. ISO 42001 ist der praktikabelste Compliance-Weg.
- Öffentliche Auftragnehmer: Wer bei Ausschreibungen für Behörden punkten will, ist mit ISO 42001 gut positioniert.
Für einen Handwerksbetrieb, der nur ChatGPT gelegentlich für Angebotstexte nutzt, ist eine ISO 42001-Zertifizierung überdimensioniert. Dort reicht eine strukturierte Umsetzung von Artikel 4 KI-VO mit Schulung und Dokumentation.
Kosten, Dauer, Ablauf
Die Einführung eines KI-Managementsystems nach ISO 42001 verläuft typischerweise in mehreren Phasen:
| Phase | Dauer | Inhalt |
|---|---|---|
| Gap-Analyse | 4 bis 8 Wochen | Ist-Zustand bewerten, Lücken zur Norm identifizieren |
| Aufbau AIMS | 3 bis 9 Monate | Prozesse, Richtlinien, Risikobewertungen, Schulungen |
| Interne Audits | 2 bis 4 Wochen | Wirksamkeit prüfen, Nachbesserungen |
| Zertifizierungsaudit | 15 bis 40 Prüftage | Stufe 1 (Dokumentation) und Stufe 2 (Umsetzung) vor Ort |
| Überwachungsaudit | jährlich | Stichprobenprüfung, Nachzertifizierung alle 3 Jahre |
Gesamtkosten für einen Mittelständler mit 100 bis 500 Mitarbeitern: 30.000 bis 150.000 Euro für die Erstzertifizierung. Davon entfallen grob 40 Prozent auf externe Beratung, 30 Prozent auf eigene Personalzeit, 20 Prozent auf das Zertifizierungsaudit und 10 Prozent auf Tools und Infrastruktur.
Abgrenzung zu ISO 27001
Wer bereits ISO 27001 (Informationssicherheit) implementiert hat, fragt sich zu Recht: Wozu noch ISO 42001? Die Standards sind komplementär:
| Aspekt | ISO 27001 | ISO 42001 |
|---|---|---|
| Fokus | Schutz von Informationen | Verantwortungsvoller Einsatz von KI |
| Risiken | Vertraulichkeit, Integrität, Verfügbarkeit | Bias, Fairness, Erklärbarkeit, Aufsicht |
| Typische Beispiele | Zugriffskontrolle, Kryptografie, Backups | Trainingsdaten-Governance, Modellmonitoring, Human-in-the-Loop |
| Zertifikat separat nötig | ja | ja |
In der Praxis bauen viele Unternehmen ISO 42001 auf einem bestehenden ISO-27001-System auf. Die Struktur ist identisch, viele Prozesse (Risikomanagement, Dokumentenlenkung, interne Audits) können parallel genutzt werden.
Beispielrechnung: KI-Beratung mit 40 Mitarbeitern
Eine GmbH entwickelt eine KI-Lösung für Personalabteilungen, die Bewerberauswahl unterstützt. Das System wird nach EU-AI-Act voraussichtlich als Hochrisiko-KI eingestuft (Anhang III Nr. 4). Die Firma entscheidet sich für ISO 42001:
- Gap-Analyse: 8 Wochen, 15.000 Euro externe Beratung.
- AIMS-Aufbau: 7 Monate, davon 0,4 Stellen intern (Projektleiterin QM), 25.000 Euro Tool-Lizenzen und Templates.
- Interne Audits: 3 Wochen, 5.000 Euro Beraterhonorare.
- Zertifizierungsaudit: 22 Prüftage, 30.000 Euro durch DEKRA.
- Gesamtinvestition: rund 95.000 Euro Jahr 1 plus 20.000 Euro jährlich für Überwachungsaudits und Personalaufwand.
- Nutzen: Compliance-Nachweis für KI-VO, Zugang zu öffentlichen Ausschreibungen, Wettbewerbsvorteil gegenüber nicht-zertifizierten Marktteilnehmern.
Häufige Missverständnisse
"ISO 42001 ersetzt die KI-Verordnung." Nein. Der Standard ist ein Werkzeug zur Umsetzung, aber keine rechtliche Befreiung. Wer ISO-zertifiziert ist, erfüllt viele Anforderungen der KI-VO, muss aber trotzdem die spezifischen gesetzlichen Pflichten einhalten.
"Kleine Unternehmen brauchen keine ISO 42001." Das stimmt für den durchschnittlichen Handwerksbetrieb. Es stimmt nicht für kleine Softwarehäuser, die KI-Produkte entwickeln oder vertreiben. Dort ist der Standard oft Pflichtnachweis bei Ausschreibungen.
"ISO 42001 ist zu generisch." Der Standard ist bewusst branchenunabhängig. Branchenspezifische Ergänzungen (etwa im Gesundheitswesen) werden über zusätzliche ISO-Standards wie ISO/IEC 23053 und ISO/IEC TR 24028 abgedeckt.
Quellen und Rechtsstand
- ISO/IEC 42001:2023, Information technology, Artificial intelligence, Management system, ISO/IEC JTC 1/SC 42
- DIN EN ISO/IEC 42001:2024, deutsche Fassung
- DEKRA, TÜV Süd, DQS Zertifizierungs-Informationen 2025
- Bitkom, Leitfaden ISO 42001 in der Praxis, 2025
- Europäische Kommission, FAQ KI-Verordnung und harmonisierte Normen, 2025
Zuletzt geprüft am 24.04.2026.