Preise
Login
Demo vereinbaren
Risikoklassifizierung von KI-Anwendungsfällen - AI Act Best Practices
Zum Webinar anmelden

ISO 42001 ist der neue internationale Standard für KI-Managementsysteme.

Die ISO/IEC 42001:2023 ist der erste internationale Standard für Managementsysteme im Bereich Künstliche Intelligenz. Sie unterstützt Unternehmen dabei, den verantwortungsvollen Einsatz von KI zu strukturieren und bietet zugleich Orientierung im Umgang mit regulatorischen Anforderungen wie der KI-Verordnung. 

Unser Artikel beantwortet kompakt und praxisnah die wichtigsten Fragen zur Relevanz, Anwendung und Umsetzung der Norm.
6. August 2025
5 Minuten
von Leah Klees, Legal Content & Compliance Specialist

Worum geht es bei ISO/IEC 42001:2023?

Die zunehmende Integration von Künstlicher Intelligenz (KI) in Unternehmen bringt nicht nur Chancen mit sich, sondern auch neue Herausforderungen in Sachen Transparenz, Sicherheit, Ethik und Governance.

Die ISO/IEC 42001:2023 bietet hier erstmals einen international einheitlichen Rahmen, um diesen Herausforderungen systematisch zu begegnen. Die Norm legt Anforderungen für die Einrichtung, Umsetzung und kontinuierliche Verbesserung eines KI-Managementsystems in Organisationen fest – unabhängig von Branche oder Unternehmensgröße.

Dabei werden insbesondere folgende Ziele verfolgt:

Förderung eines verantwortungsvollen Umgangs mit KI,

Sicherstellung von Transparenz, Nachvollziehbarkeit und Erklärbarkeit von KI-Systemen,

Risikomanagement entlang des gesamten KI-Lebenszyklus,

Unterstützung bei der Einhaltung rechtlicher (z. B. KI-VO) und ethischer Anforderungen

Für wen ist die ISO/IEC 42001:2023 gedacht?

Die Norm richtet sich an alle Organisationen, die KI-Systeme entwickeln, bereitstellen oder einsetzen – unabhängig von Branche oder Größe. Besonders relevant ist sie für Unternehmen, die regulatorischen Anforderungen unterliegen, etwa der KI-Verordnung (KI-VO), und deshalb verpflichtet sind, ein systematisches KI-Risikomanagement umzusetzen.

Vor allem für Unternehmen, die Hochrisiko-KI-Systeme im Sinne der KI-VO entwickeln, anbieten oder einsetzen, schafft die Norm einen strukturierten Rahmen zur Umsetzung dieser Anforderungen. Auch Organisationen in stark regulierten oder sicherheitskritischen Branchen - etwa im Gesundheitswesen, der Finanzwirtschaft oder der öffentlichen Verwaltung - profitieren von der ISO/IEC 42001:2023, da sie ein nachvollziehbares und überprüfbares Vorgehen bei der Einhaltung gesetzlicher Vorgaben ermöglicht.

Warum ist die ISO/IEC 42001:2023 jetzt relevant?

Mit dem Inkrafttreten der KI-Verordnung rückt die ISO/IEC 42001:2023 stärker in den Fokus: Sie unterstützt Unternehmen dabei, zentrale Anforderungen der Verordnung - wie Risikomanagement, Transparenz, Überwachung und Dokumentation - strukturiert umzusetzen. Die Norm bietet nicht nur konkrete Vorgaben, sondern auch eine hilfreiche Guidance zur Verbindung technischer und rechtlicher Anforderungen.

Darüber hinaus ist sie auch unabhängig von regulatorischem Druck relevant: Organisationen, die die Norm anwenden, dokumentieren ihren verantwortungsvollen Umgang mit KI, schaffen Vertrauen bei KundInnen, Partnern und Aufsichtsbehörden – und sichern sich so einen nachhaltigen Wettbewerbsvorteil.

Vertiefung für die Praxis

Sie möchten wissen, wie sich die technischen Anforderungen für Hochrisiko-KI konkret umsetzen lassen?

Unser Whitepaper zur technischen Umsetzung der KI-VO zeigt, wie internationale Standards und geeignete Maßnahmen in der Praxis angewendet werden, inklusive anschaulichem Use Case und Systemübersicht.

Was umfasst das Managementsystem nach ISO/IEC 42001:2023?

Die ISO/IEC 42001:2023 gliedert sich in sieben Hauptabschnitte, die gemeinsam den Lebenszyklus eines funktionierenden KI-Managementsystems abbilden.
1.

Kontext der Organisation

2.

Führung (Leadership)

3.

Planung (Planning)

4.

Unterstützung (Support)

5.

Betrieb (Operation)

6.

Leistungsbewertung (Performance Evaluation)

7.

Verbesserung (Improvement)

Ergänzt werden diese Kernbereiche durch mehrere Anhänge (Annex A bis D), die praxisorientierte Leitlinien für die Umsetzung der Anforderungen enthalten und damit besonders relevant für den operativen Einsatz der Norm sind.

Übersicht über die Inhalte der ISO/IEC 42001:

Was verlangt ISO/IEC 42001:2023 und welche Überschneidungen gibt es mit der KI-VO?

Die Norm stellt eine Vielzahl konkreter Anforderungen an die Umsetzung eines KI-Managementsystems. In diesem Abschnitt geben wir einen Überblick über die zentralen Inhalte und zeigen Ihnen, wo sich Überschneidungen mit den Vorgaben der KI-Verordnung (KI-VO) ergeben.

Die Abschnitte „Kontext der Organisation“ und „Verbesserung“ bleiben in dieser Betrachtung außen vor, da der Fokus auf dem Kern der Norm liegt: der Einrichtung, Steuerung und Etablierung eines wirksamen KI-Managements.

Leadership

Eine zentrale Anforderung im Bereich Leadership ist die klare Verankerung des KI-Managementsystems auf oberster Führungsebene. Die Unternehmensleitung trägt die Verantwortung dafür, dass das System in bestehende Geschäftsprozesse integriert wird und mit den notwendigen Ressourcen wie Zeit, Personal und Budget ausgestattet ist. Ebenso ist sie in die Umsetzung und kontinuierliche Verbesserung des Systems eingebunden.

Darüber hinaus soll die Führungsebene eine verbindliche KI-Richtlinie formulieren und die Verantwortlichkeiten im KI-Management klar definieren und kommunizieren. Diese beiden Maßnahmen bilden das Fundament für klare Ziele, Rollen und Prozesse und sind essentiell für ein resilientes und langfristig tragfähiges Managementsystem.

Auch wenn die KI-Verordnung (KI-VO) keine expliziten Anforderungen an Leadership enthält, ist der Bezug klar: Die Einrichtung eines robusten Rahmens auf Führungsebene erleichtert die Umsetzung zentraler regulatorischer Anforderungen wie z. B. die Etablierung eines Qualitätsmanagementsystems gemäß Art. 17 KI-VO.

Die Erfüllung dieser Anforderung zahlt direkt auf die gesamte KI-Compliance ein und bietet durch ihre Verankerung auf Führungsebene den risikoärmsten Ansatz zur Minimierung von Haftungsrisiken.

Planung und Betrieb

Zentrale Anforderungen in diesem Bereich betreffen die Bewertung und Behandlung von KI-Risiken (AI risk assessment and treatment). Organisationen müssen definieren, wie Risiken im Zusammenhang mit ihren KI-Systemen systematisch identifiziert, bewertet und anschließend durch geeignete Maßnahmen minimiert werden.

Ergänzend dazu fordert die Norm eine KI-Folgenabschätzung (AI system impact assessment). Dabei soll analysiert und dokumentiert werden, welche Auswirkungen die eingesetzten KI-Systeme auf Individuen und die Gesellschaft insgesamt haben könnten – auf Basis eines strukturierten, nachvollziehbaren Prozesses.

Hier bestehen klare inhaltliche Überschneidungen mit der KI-Verordnung:

Für Hochrisiko-KI-Systeme schreibt die KI-VO ein verpflichtendes Risikomanagementsystem vor (Art. 9 KI-VO).

Zusätzlich verlangt sie eine Grundrechte-Folgenabschätzung (Art. 27 KI-VO).

Beide Anforderungen lassen sich durch die Umsetzung der ISO/IEC 42001:2023 direkt adressieren – was die Norm zu einem wirksamen Instrument zur Erfüllung gesetzlicher Pflichten macht.

Support

Die wichtigsten Anforderungen aus diesem Bereich sind, ausreichende Ressourcen und Kompetenzen für das KI-Management bereitzustellen, sowie eine Dokumentation über das KI-Managementsystem zu erstellen. Organisationen müssen sicherstellen, dass die mit KI befassten Personen über die erforderliche fachliche Qualifikation verfügen.

Zudem verlangt die Norm eine Dokumentation bestimmter Elemente des Managementsystems. Dazu zählen unter anderem relevante Prozesse, identifizierte KI-Risiken und die daraus abgeleiteten Maßnahmen zur Risikobehandlung.

Auch hier ergeben sich Parallelen zwischen der ISO/IEC 42001:2023 und der KI-Verordnung:

Gemäß Art. 4 KI-VO müssen Anbieter und Betreiber von KI-Systemen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt.

Darüber hinaus verpflichtet Art. 9 Abs. 1 KI-VO zur Dokumentation des Risikomanagementsystems – eine Anforderung, die sich mit den Vorgaben der ISO/IEC 42001:2023 deckt und durch deren Umsetzung wirksam erfüllt werden kann.

Was steht in den Anlagen?

Die ISO/IEC 42001:2023 enthält insgesamt vier Anlagen (Annex A bis D), die zentrale Hilfestellungen für die praktische Umsetzung der Norm bieten:

Annex A listet konkrete Maßnahmen zur Adressierung von KI-Risiken.

Annex B liefert Umsetzungshinweise zu den risikominimierenden Maßnahmen aus Annex A.

Annex C enthält beispielhafte Sicherheitsziele und Gefährdungsszenarien zur Unterstützung der Risikoanalyse.

Annex D beschreibt, wie ein KI-Managementsystem sektorübergreifend eingesetzt und in andere Managementsysteme (und den damit verbundenen ISO-Standards) integriert werden kann.

Besonders wichtig ist die Unterscheidung der Verbindlichkeit:

Annex A und B sind normativ, d. h. sie sind für eine Zertifizierung bindend und damit Bestandteil offizieller Audits.

Annex C und D sind hingegen informativ, d. h. ihre Anwendung ist freiwillig, sie dienen der Orientierung.

Was spricht für die Umsetzung der ISO/IEC 42001:2023 in der Praxis?

Organisationen sollten die ISO/IEC 42001:2023 umsetzen, wenn sie - regulatorisch oder strategisch motiviert - ein strukturiertes KI-Managementsystem einführen, betreiben und kontinuierlich weiterentwickeln wollen.

Besonders relevant ist die Norm für Unternehmen, die eine ISO-Zertifizierung anstreben: Mit einem zertifizierten KI-Managementsystem können Organisationen nach außen dokumentieren, dass sie KI verantwortungsvoll, regelkonform und transparent einsetzen – ein starkes Signal gegenüber Kunden, Partnern und Investoren, der einen klaren Wettbewerbsvorteil mit sich bringt.

Ein weiterer praktischer Vorteil liegt im Aufbau der Norm: Dank ihrer Orientierung an der High Level Structure (HLS) kann ISO/IEC 42001:2023 problemlos in bestehende Managementsysteme integriert oder mit Normen wie ISO 9001 (Qualitätsmanagement), ISO 27001 (Informationssicherheit) oder ISO 37301 (Compliance-Management) kombiniert werden.

Zudem ist die Norm branchenunabhängig und für Organisationen jeder Größe anwendbar – von Start-ups mit KI-Produkten bis hin zu etablierten Unternehmen im hochregulierten Umfeld.

Fazit

Wie sich zeigt, kann die ISO/IEC 42001:2023 ein zentraler Baustein für wirksames KI-Management sein. Wer die Norm anwendet, verankert KI-Compliance nicht nur punktuell, sondern über den gesamten Lebenszyklus seiner KI-Anwendungen hinweg. So wird der verantwortungsvolle Umgang mit KI messbar, nachvollziehbar und gegenüber Dritten belegbar.

Damit schafft diese Norm also nicht nur regulatorische Sicherheit, sondern stärkt auch das Vertrauen in KI-Anwendungen, sowohl intern als auch extern. Organisationen, die frühzeitig auf strukturierte KI-Governance setzen, können sich entscheidende Vorteile in einem zunehmend regulierten Markt sichern.
Auf dieser Seite
Primary Item (H2)

Über die Autorin

Leah Klees
Legal Content & Compliance Specialist bei caralegal
Leah Klees ist Unternehmensjuristin bei der caralegal GmbH mit Schwerpunkt auf KI-Governance und Datenschutzrecht. Sie spezialisiert sich darauf, komplexe regulatorische Anforderungen in umsetzbare, praxisnahe Maßnahmen zu übersetzen.

Unser nächstes Webinar

Melden Sie sich jetzt kostenfrei zu unserem nächsten Live-Webinar an.
Startet in 
 Tagen

Klassifizierung, Abgrenzung & Dokumentation von KI-Systemen

„Hochrisiko-KI, ja oder nein?“:

Klassifizierung, Abgrenzung & Dokumentation von KI-Systemen

In diesem Webinar führen Sie unsere Rechtsexperten Leah Klees und Björn Möller Schritt für Schritt durch die Kriterien der Risikoklassifizierung und zeigen Ihnen, wie Sie Ihre Systeme rechtssicher einordnen
Jetzt anmelden
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

Diesen Beitrag teilen

Teilen Sie die interessantesten Neuigkeiten aus der Welt 
des Datenrechts mit FreundInnen und KollegInnen.
linked-in-logo

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:
Hochrisiko-KI-Systeme im Spannungsfeld von Recht und Technik: Technische Umsetzung der regulatorischen Anforderungen
Hochrisiko-KI: So setzen Sie die technischen Anforderungen der KI-VO um
Mehr erfahren
Das Whitepaper beschreibt, wie ein bestehendes Datenschutzmanagementsystem zu einem integrierten KI-Governance-System ausgebaut werden kann.
,
KI-VO & DSGVO: Wie Unternehmen Synergien klug nutzen können
Mehr erfahren
Alles, was Anbieter und Betreiber zur KI-VO wissen müssen
KI-VO: Überblick für Anbieter und Betreiber (2025)
Mehr erfahren

Dafür fehlt mir
die Zeit caralegal

caralegal live testen
In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2025 caralegal GmbH
DatenschutzerklärungImpressum
Cookie-Einstellungen