1. Einleitung
Kurz-Antwort: KI-Governance erfordert die Kombination aus rechtlichen Pflichten (EU AI Act), operativen Standards (ISO 42001) und Sicherheitsfundament (ISO 27001).
Künstliche Intelligenz (KI) ist längst kein futuristisches Schlagwort mehr. Sie diagnostiziert Krankheiten, steuert Stromnetze und schreibt Code. Gleichzeitig steigen gesellschaftliche Erwartungen und regulatorischer Druck, Risiken wie Diskriminierung und Datenabflüsse in den Griff zu bekommen.
Unternehmen stehen damit vor drei Kernfragen:
- Welche Gesetze gelten in Bezug auf KI? – In der EU ist das der EU AI Act.
- Wie operationalisiere ich die Pflichten? – Mit ISO/IEC 42001 als spezialisiertem KI-Managementsystem.
- Wie verankere ich Informationssicherheit? – Über das etablierte ISMS ISO/IEC 27001.
Dieser Leitfaden zeigt, wie alle drei Frameworks zusammenspielen, liefert Praxis-Tipps und gibt eine Roadmap für integrierte Audits.
2. Grundlagen & Geltungsbereiche
Kurz-Antwort: Drei komplementäre Frameworks mit unterschiedlichen Schwerpunkten: Recht (AI Act), KI-Management (ISO 42001), Informationssicherheit (ISO 27001).
2.1 ISO/IEC 42001 – Artificial-Intelligence-Management-System (AIMS)
| Parameter | Eckdaten |
|---|---|
| Status | Erstveröffentlichung 2023 |
| Ziel | Einführung, Betrieb & kontinuierliche Verbesserung eines AIMS |
| Scope | Organisationen jeder Größe, die KI-Produkte oder -Services bereitstellen oder nutzen |
| Struktur | Annex SL (Clauses 4-10) + Annex A (38 Kontrollen) + Annex B (normativ) + Annex C/D (Informativ) |
| Besonderheit | Verknüpfung mit ISO/IEC 23894 (AI-Risk-Management) |
ISO 42001 deckt den kompletten Lebenszyklus eines KI-Systems ab, von der Problemdefinition über Training, Deployment und Monitoring bis zur Außerbetriebnahme.
2.2 EU AI Act – Rechtsrahmen für KI in Europa
| Parameter | Eckdaten |
|---|---|
| Status | In Kraft getreten (1. August 2024) |
| Ziel | Grundrechts- und Sicherheitsschutz, Innovationsförderung |
| Scope | Alle Anbieter & Betreiber von KI-Systemen innerhalb der EU |
| Klassifizierung | Verbotene KI • Hochrisiko-KI • KI mit Transparenzpflicht • Minimalrisiko |
| Durchsetzung | Nationale Behörden + European AI Board; Bußgelder bis 7 % Umsatz oder 35 Mio. EUR |
Hochrisiko-Anwendungen – z. B. biometrische Identifikation, HR-Screening – benötigen eine Konformitätsbewertung und laufendes Risikomanagement.
2.3 ISO/IEC 27001 – Information-Security-Management-System (ISMS)
| Parameter | Eckdaten |
|---|---|
| Status | Revision 2022 (Übergangsfrist bis Okt 2025) |
| Ziel | Vertraulichkeit, Integrität, Verfügbarkeit von Informationen |
| Struktur | Annex SL + Annex A (93 Security-Controls in 4 Themenblöcken) |
| Relevanz für KI | Controls wie A.8.34 Datenmaskierung sind essenziell für Trainingsdaten |
3. Gemeinsamer Kern: Managementsystem & Risikobasierung
Kurz-Antwort: Alle drei folgen dem PDCA-Zyklus und ermöglichen ein integriertes Managementsystem mit gemeinsamen Prozessen und Dokumentation.
Alle drei Frameworks folgen dem Plan-Do-Check-Act-Zyklus (PDCA). Das ermöglicht ein integriertes Managementsystem (IMS):
- Stakeholder-Analyse: ISO 42001 (Clause 4), EU AI Act (Grundrechte), ISO 27001 (Clause 4).
- Risikobasierter Ansatz: ISO 42001 & ISO 23894, EU AI Act-Klassifizierung, ISO 27001 (Clause 6).
- Dokumentierte Information: Einheitliches Repository (GRC-Tool, Git, DMS) spart Audit-Aufwand.
- Kontinuierliche Verbesserung: Gemeinsame Management-Reviews decken alle Domänen ab.
4. Deep-Dive-Vergleich
Kurz-Antwort: Detaillierte Analyse von Governance, Risikomanagement, Kontrollen und Dokumentation zeigt Synergien und Unterschiede der drei Frameworks.
4.1 Governance & Führung
| Dimension | ISO 42001 | EU AI Act | ISO 27001 |
|---|---|---|---|
| Policy | AI-Policy (5.2) | Technische Dokumentation (Art. 11) | IS-Policy (5.2) |
| Rollen | CAIO, AI-Team, AI-Owner | Anbieter, Betreiber, Importeure | CISO, Asset Owner |
| Aspekt | Verantwortungsvoller Umgang mit KI | Grundrechtsbezug | Cybersicherheit, Informationssicherheit, Datenschutz |
Praxis-Tipp: AI-Policy, InfoSec-Policy und AI-Act-Pflichten sollten aufeinander abgestimmt sein.
4.2 Risikomanagement & Impact-Assessment
| Schritt | ISO 42001 | EU AI Act | ISO 27001 |
|---|---|---|---|
| Identifikation | 6.1 + Annex A.6.1 | Hochrisiko-Matrix | 6.1 |
| Analyse | ISO 23894 | Art. 9-15 | ISO 31000, ISO 27002 |
| Impact-Assessment | AI-Impact-Assessment | Grundrechts-IA (Art. 27) | DSGVO-DPIA |
| Behandlung | Statement of Applicability | Konformitätsbewertung | Statement of Applicability |
| Überwachung | 9.1 | Post-Market-Monitoring | 9.1 |
4.3 Technische & organisatorische Kontrollen
| Themenfeld des EU AI Acts | Art. (AI Act) | ISO 42001 Annex A | ISO 27001:2022 Controls |
|---|---|---|---|
| Risikomanagement-System | Art. 9 | A.5 Auswirkungen von KI-Systemen bewerten + A.6 KI-System Lebenszyklus | 6.3 Bewertung von Informationssicherheitsrisiken, A.5.7 Erkenntnisse zur Bedrohungslage |
| Grundrechts-/Impact-Assessment | Art. 27 | A.5 Auswirkungen von KI-Systemen bewerten | A.5.31 Gesetzliche, behördliche und vertragliche Anforderungen |
| Daten & Datenverwaltung | Art. 10 | A.7 Daten für KI-Systeme | A.8.11 Datenmaskierung, A.8.33 Testdaten |
| Technische Dokumentation | Art. 11 | A.6 KI-System Lebenszyklus + A.8 Information | A.5.32 Geistige Eigentumsrechte |
| Aufzeichnung & Logs | Art. 12 | A.6.2.8 KI-System Aufzeichnungen + A.9 Verwendung von KI-Systemen | A.8.16 Monitoring activities |
| Transparenz gegenüber Nutzern | Art. 13 | A.8 Information für interessierte Parteien | A.5.1 Informationssicherheitsrichtlinien |
| Überwachung durch Menschen | Art. 14 | A.9 Verwendung von KI-Systemen | A.6.3 Sensibilisierung, Ausbildung und Schulung für Informationssicherheit |
4.4 Dokumentation & Nachweisführung
- ISO 42001: dokumentierte Information zu Scope, Prozessen, Risikobehandlung, Audits.
- EU AI Act: technische Dokumentation (Art. 11) inkl. Datenquellen, Training, PMM-Plan.
- ISO 27001: SoA, Risk-Treatment-Plan, Security-Policy, Prozesse.
Best Practice: Git-basiertes Doc-Repo → Versionierung, Pull-Requests, automatisierte Prüfungen.
5. Integrations-Leitfaden in 6 Schritten
Kurz-Antwort: Systematische Herangehensweise von Gap-Analyse bis Pilot-Audit für erfolgreiche Integration aller drei Frameworks.
Gap-Analyse
Gap-Analyse zwischen ISMS und AIMS / AI-Act-Pflichten.
Policy-Framework
Policy-Framework vereinheitlichen (AI-Policy ↔ IS-Policy).
Prozesslandkarte
Prozesslandkarte „Daten → Training → Deployment → Monitoring → Retirement".
Tool-Stack
Tool-Stack (MLOps-Plattform, GRC-Suite, Model Cards) auswählen.
Schulung
Rollenbasierte Schulung (Data Scientists, Product Owner, Auditoren).
Pilot-Audit
Pilot-Audit mit einem Hochrisiko-Use-Case (z. B. Recruiting-Chatbot).
6. Audit-Strategien & Kombi-Zertifizierung
Kurz-Antwort: Drei Audit-Optionen mit unterschiedlichen Vor- und Nachteilen: Einzel-, Kombi- oder Stufen-Audit.
| Option | Beschreibung | Vorteile | Herausforderungen |
|---|---|---|---|
| Einzel-Audit | ISMS → AIMS → AI Act | Klare Scopes | Mehrfache Vorbereitung |
| Kombi-Audit | Gemeinsame Checkliste | Zeit- & Kostenersparnis | Auditoren mit Doppel-Skill nötig |
| Stufen-Audit | 27001 Basis → 42001 Advanced → AI Act | Reifes Stufenmodell | Mehrjährige Roadmap |
7. Ausblick
Kurz-Antwort: Kommende Entwicklungen bei delegierten Rechtsakten, ISO-Revisionen und neuen Tech-Trends erfordern kontinuierliche Anpassung.
- Delegierte Rechtsakte präzisieren Klassifizierung & Transparenz-Templates (ab 2025).
- ISO 42001-Revision erwartet 2026; Schnittstellen zu ISO 42006 (AI-Lifecycle) kommen.
- Tech-Trends wie Generative AI erfordern neue Controls (Prompt-Injection-Schutz, Synthetic-Data-Governance).
8. FAQ
Kurz-Antwort: Häufige Fragen zu Unterschieden, Zeitplänen, Anwendbarkeit, Audit-Möglichkeiten und Strafen bei Verstößen.
Was unterscheidet ISO 42001 von ISO 27001?
ISO 42001 zielt auf KI-Governance; ISO 27001 schützt Informationen. Zusammen bilden sie ein robustes GRC-Gerüst.
Wann tritt der EU AI Act in Kraft?
Der EU AI Act ist am 1. August 2024 in Kraft getreten; Hochrisiko-Pflichten gelten ab 2026.
Braucht mein GPT-Chatbot eine Konformitätsbewertung?
Ja, wenn er in eine Hochrisiko-Kategorie fällt (z. B. Recruiting-Software).
Kann ich ISO 42001 & 27001 gemeinsam auditieren?
Ja, Kombi-Audits sparen bis zu 30 % Aufwand dank identischer Kapitelstruktur.
Welche Strafen drohen bei Verstößen?
Bußgelder bis 7 % des weltweiten Jahresumsatzes oder 35 Mio. €, je nach Verstoß.
9. Fazit
Kurz-Antwort: Integrierte Herangehensweise an EU AI Act, ISO 42001 und ISO 27001 bietet optimale Compliance bei minimalen Kosten.
EU AI Act liefert die rechtliche Marschroute, ISO 42001 operationalisiert KI-Governance, ISO 27001 schafft das Security-Fundament. Ein integriertes Managementsystem
- 1konsolidiert Risikomanagement,
- 2reduziert Audit-Aufwand und
- 3stärkt Vertrauen bei Kunden und Behörden.
Jetzt beginnen heißt: Compliance-Kosten senken, Wettbewerbsvorteile sichern und KI verantwortungsvoll in die Zukunft führen.