Kontakt
Insights Blog Von Risiko zu Verantwortung: ISO 42001 ...

Von Risiko zu Verantwortung: ISO 42001 als Grundlage für eine effektive KI-Governance

Verfasst von Selman Özen, Carolin Eisemann & Dogu Can Akbaba
Agenda
Das Wichtigste in 20 Sekunden

  • Gravierende KI-Risiken entstehen heute oftmals durch fehlende Governance, unklare Zuständigkeiten und mangelnde Steuerungsprozesse.

  • ISO 42001 schafft einen international anerkannten Rahmen, um KI-Risiken strukturiert, auditierbar und organisationsweit steuerbar zu machen.
  • Mit dem PDCA-Zyklus wird KI-Governance als kontinuierlicher Verbesserungsprozess etabliert, der sich an neue Risiken und Anforderungen anpassen kann.
  • Für die Umsetzung sind eine systematische Bestandsaufnahme, ein klar definierter Scope, eine Gap-Analyse und eine priorisierte Maßnahmen-Roadmap entscheidend.

 

Mit dem zunehmenden Einsatz von KI steigen auch die Anforderungen an Verantwortlichkeit, Nachweisbarkeit und Risikosteuerung. ISO 42001 bietet einen Rahmen für ein auditierbares KI Managementsystem (AIMS), das KI über den gesamten Lebenszyklus steuerbar macht und eine kontinuierliche Weiterentwickelung ermöglicht. Der Beitrag erläutert, welche organisatorischen Herausforderungen dabei im Mittelpunkt stehen und wie der PDCA Zyklus eine nachhaltige Governance ermöglicht.

Die schleichende Ausbreitung der unsichtbaren Risiken

Die öffentliche Debatte über KI-Risiken fokussiert sich vornehmlich auf technische Risikodimensionen – algorithmische Verzerrungen, eingeschränkte Erklärbarkeit sowie datenschutzrechtliche Fragestellungen. Diese Dimensionen sind von unbestreitbarer Relevanz, erfassen jedoch nur einen Ausschnitt des tatsächlichen Risikoumfangs.

Bild1-Jun-03-2026-01-01-13-9742-PM

Laut einer branchenübergreifenden Erhebung unter in der EU tätigen Unternehmen stufen 71 % der Befragten ihre AI Risk Governance als „less than mature" ein; weniger als 10 % erfüllen die Anforderungen des EU AI Act bereits vollständig (vgl. McKinsey & Company, 2024). Der quantitativ wie qualitativ bedeutendere Teil der Risikolage verbleibt damit im organisatorischen Bereich: strukturelle Schwachstellen, die keine Systemfehlermeldungen erzeugen und dennoch über Erfolg oder Scheitern von KI-Initiativen entscheiden. Organisatorische und strategische Risiken sind im Gegensatz zu technischen Risiken unsichtbar. Sie erzeugen keine unmittelbaren Fehlermeldungen, kein Model Drift und auch keinen roten Warnhinweis im Monitoring. Solange „nichts passiert“, wirkt die Organisation handlungsfähig, obwohl zentrale Steuerungsmechanismen fehlen:

  • Governance-Lücken (fehlende Richtlinien, keine klaren KI-Rollen ),
  • Unklare Zuständigkeiten (wer genehmigt KI-Systeme?),
  • Fehlende Datenstrategie (ungenügende Datenqualität, fehlende Datenkontrollen)
  • Und mangelndes Change Management (Schulungen, KI-Kultur).

 

Solche Probleme zeigen sich oft erst, wenn KI-Systeme bereits laufen oder ein Vorfall eintritt. Beispielsweise sind ungeklärte Genehmigungsverfahren oder fehlende Rollenverteilungen (etwa ein KI-Officer oder Governance Lead) unsichtbare Schwachstellen, die zu Reputationsschäden und hohen Nacharbeitungskosten führen können.

In einem typischen Szenario entsteht sogenannte „Schatten-KI", wenn Mitarbeitende KI-Anwendungen ohne formale Freigabe und außerhalb etablierter Kontrollprozesse einsetzen. Ein bekanntes Beispiel ist ein dokumentierter Vorfall bei Deloitte Australien: Dort erzeugte generative KI falsche Quellen und Zitate, weil das KI-System „ungesteuert“ lief, mit der Folge erheblicher Reputationsschäden. Dieser Fall illustriert exemplarisch, dass das Fehlen verbindlicher Nutzungsrichtlinien und Kontrollmechanismen substanzielle Haftungs- und Reputationsrisiken begründet. (vgl. The Guardian, 2024).

Ohne ganzheitliche KI-Governance entstehen Compliance-Brüche, Sicherheitslücken und Haftungsrisiken. Darüber hinaus sieht der EU AI Act seit seinem Inkrafttreten verbindliche Anforderungen vor – darunter die Einrichtung eines Risikomanagementsystems sowie qualifikationsbezogene Schulungspflichten für das Personal, deren Nichterfüllung mit erheblichen Sanktionen bewehrt ist. Ohne eine funktionstüchtige KI-Governance können die genannten Herausforderungen sowie gesetzlich vorgeschriebenen Pflichten kaum erfüllt werden.

Während „klassische“ technische Risiken in vielen Unternehmen bereits systematisch adressiert werden, bleiben organisatorische Risikoaspekte häufig unberücksichtigt. Die folgende Tabelle macht diese Unterschiede sichtbar.

Sichtbare KI-Risiken

Unsichtbare (organisatorische) Risiken

Algorithmen-Verzerrung (Bias, Fairness-Probleme)

Fehlende KI-Verantwortlichkeiten (unklare Rollen/Zuständigkeiten)

„Black-Box“ (mangelnde Erklärbarkeit)

Keine formalen KI-Richtlinien und Prozesse (fehlende Dokumentation/Audits)

Datenschutz- und Sicherheitsvorfälle

Unzureichendes Risikomanagement (keine regelmäßigen KI-Risikoanalysen)

Ethische Konflikte (Diskriminierung, Nachvollziehbarkeit)

Mangelnde Schulung und Kompetenz (fehlende Weiterbildung für KI-Entscheider)

Rechts- und Reputationsprobleme (Bußgelder, Vertrauensverlust)

Unkontrollierte KI-Nutzung (Schatten-KI undkein zentrales Monitoring)

 

ISO 42001 als Rahmen für KI-Governance

In Zeiten stetig wachsenden Einsatzes von KI im operativen Tagesgeschäft und zunehmender regulatorischer Vorgaben kann es für Unternehmen schwierig werden, ein funktionstüchtiges Governance System aufzubauen oder ein bereits bestehendes so weiterzuentwickeln, dass es KI-spezifische Risiken und Verantwortlichkeiten verlässlich abdeckt.

Genau an diesem Punkt setzt die ISO 42001 an: Sie bietet erstmals einen international anerkannten Rahmen für ein auditierbares Managementsystem, um KI nicht nur technisch, sondern organisatorisch verantwortbar zu steuern.

ISO-Normen sind freiwillige, internationale Standards, die von der International Organization for Standardization (ISO), einer unabhängigen, nichtstaatlichen Organisation und dem weltweit größten Entwickler freiwilliger internationaler Standards, entwickelt werden.

Die ISO 42001 ist der weltweit erste Managementsystem-Standard speziell für Künstliche Intelligenz. Sie definiert Anforderungen und gibt zugleich eine Anleitung, um in Organisationen ein KI Management System (Artificial Intelligence Management System, AIMS) aufzubauen, umzusetzen, aufrechtzuerhalten und kontinuierlich zu verbessern. Hierbei ist das AIMS kein einzelnes Tool und auch keine „KI-Abteilung“. Vielmehr ist es ein strukturiertes Framework aus miteinander verbundenen und interagierenden Elementen wie KI-spezifischen Richtlinien und Zielen, Prozessen zur Risiko- und Folgenabschätzung, sowie Mechanismen zur Überwachung. Es verknüpft Strategie, Verantwortung und Risikosteuerung mit Nachweisführung und kontinuierlicher Verbesserung. Auf diese Weise können KI-Systeme verantwortungsbewusst entwickelt und eingeführt werden. Zusätzlich wird hierdurch ein ethischer, transparenter sowie überprüfbarer Einsatz von KI-Systemen ermöglicht. Ein zertifiziertes AIMS signalisiert Kunden, Partnern und Aufsichtsbehörden, dass das Unternehmen aktiv KI-Risiken steuert. Somit senkt ein AIMS kostspielige Fehlentscheidungen und Reputationsrisiken und schafft Vertrauen.

Bild2-Jun-03-2026-01-03-48-1689-PM

Die Norm richtet sich an Organisationen jeder Größe, die KI-basierte Produkte/Services entwickeln, bereitstellen oder nutzen.

 

PDCA-Zyklus für ein KI-Managementsystem

Wie andere ISO-Managementsystemstandards nutzt auch ISO 42001 den bewährten Plan‑Do‑Check‑Act-(PDCA)-Zyklus. Dieser vierstufige Verbesserungsprozess ist in zahlreichen ISO-Normen (z.B. ISO 27001, ISO 9001) etabliert und erleichtert die systematische Implementierung und Optimierung eines KI-Managementsystems.

Für die KI-Governance ist dieser Ansatz besonders relevant, da Risiken und Anforderungen im Zusammenhang mit KI nicht statisch sind. KI-Systeme verändern sich kontinuierlich durch neue Daten, veränderte Einsatzkontexte oder technologische Fortschritte. KI-Governance kann deshalb nicht als einmalige Maßnahme verstanden werden, sondern muss als fortlaufender Steuerungsprozess etabliert werden.

Die Notwendigkeit einer adaptiven KI-Governance wird aktuell durch den Einsatz von Agentic AI besonders deutlich. Autonome Systeme, die eigenständig planen und handeln, führen zu neuen Risikoprofilen und komplexeren Entscheidungsketten, wodurch kontinuierliche Überwachung und klare Verantwortlichkeiten zwingend werden. KI-Governance muss daher als fortlaufender Prozess verstanden werden, der mit Reifegrad und Autonomie der Systeme mitwächst.

Die ISO 42001 überträgt dieses Prinzip auf den verantwortungsvollen Umgang mit KI und schafft damit einen strukturierten Rahmen, um organisatorische Risiken systematisch zu adressieren. Mehrwert besteht insbesondere darin, Governance nicht als isolierte Compliance-Maßnahme, sondern als integrierten Managementprozess zu konzipieren, der organisationsübergreifend verankert ist.

Durch den PDCA-Ansatz werden insbesondere die unsichtbaren und organisatorischen Risiken (fehlende Richtlinien, unklare Rollen, lückenhafte Prozesse usw.) strukturiert angegangen: Jede Phase dieses Zykluses schreibt vor, wie Governance-Anforderungen festgelegt, umgesetzt, überprüft und verbessert werden.

Bild1-Jun-10-2026-05-04-47-7755-AM

Plan

Relevante Interessengruppen benennen und deren Anforderungen (z. B. Transparenz, Fairness, Datenschutz, Sicherheit) ableiten.

Scope des AIMS festlegen: (KI‑Systeme, Prozesse, Organisationseinheiten und Lifecycle‑Phasen)

Rollen & Verantwortlichkeiten zuweisen (z. B. Risiko, Ethik, Sicherheit, Betrieb, Eskalation)

Messbare KI-Ziele definieren inkl. Maßnahmenplan (Was? Ressourcen? Wer? Bis wann? Wie wird bewertet?)

Risiko- & Impact‑Management planen: Bewertung, Priorisierung sowie Behandlung der Auswirkungen auf Individuen und Gesellschaft definieren.

Do

Ressourcen & Kompetenzen (Skills, Tools/Infrastruktur, Budget) passend zum Scope und den Risiken bereitstellen

Schulungen, Awareness & Kommunikation etablieren: Mitarbeitende im Umgang mit KI befähigen und sensibilisieren sowie kontinuierliche über Anforderungen, Risiken und Ziele informieren.

Risikoanalysen & Impact Assessments durchführen: KI‑Risiken und Auswirkungen regelmäßig sowie bei Änderungen bewerten und dokumentieren.

Risikobehandlung & Kontrollen operationalisieren: geeignete Maßnahmen implementieren und im KI‑Lifecycle wirksam verankern.

Check

Monitoring & Messkonzept anwenden: festlegen, was überwacht wird (Leistung, Bias, Sicherheit, Compliance etc.), wie und wann gemessen wird.

Ergebnisse analysieren & bewerten: Abweichungen, Trends und Restrisiken identifizieren und bewerten.

Wirksamkeit der Kontrollen überprüfen: beurteilen, ob implementierte Maßnahmen die Risiken ausreichend reduzieren.

Interne Audits durchführen (Auditprogramm planen, objektiv auditieren, Findings berichten).

Management Review durchführen: Gesamtleistung, Veränderungen und Verbesserungsbedarf des AIMS auf Führungsebene bewerten.

Act

Nichtkonformitäten & Vorfälle behandeln: Ursachen analysieren, Korrekturmaßnahmen umsetzen und nachhaltig absichern.

Kontinuierliche Verbesserung vorantreiben: Prozesse, Kontrollen und Governance auf Basis von Erkenntnissen optimieren.

Risiko- & Maßnahmensteuerung aktualisieren: neue Risiken, Technologien oder regulatorische Änderungen berücksichtigen.

Ziele, Scope & Policy weiterentwickeln: AIMS an neue Anforderungen und strategische Entwicklungen anpassen.

 

Fazit und Handlungsempfehlungen

Die ISO 42001 stellt den derzeit einzigen international anerkannten Zertifizierungsrahmen für ein auditierbares AIMS bereit und schafft damit die strukturelle Grundlage, KI nicht allein technisch, sondern auch organisatorisch steuerbar zu machen. Regulatorische Anforderungen wie der EU AI Act geben dabei einen verbindlichen Orientierungsrahmen vor, den Organisationen kontextspezifisch operationalisieren müssen. Angesichts erheblich unterschiedlicher Reifegrade in der Praxis empfiehlt sich ein strukturiertes, phasenweises Vorgehen.

Die folgenden Handlungsempfehlungen sollen Organisationen dabei unterstützen, systematisch einzuschätzen, ob und in welchem Umfang eine ISO 42001 Zertifizierung sinnvoll ist, was konkret zertifiziert werden sollte und welche Maßnahmen mit hoher Priorität adressiert werden müssen, um Governance Lücken und Risiken zu schließen.

Analyse der KI-Landschaft als Ausgangspunkt
Am Anfang steht ein strukturiertes Screening der bestehenden KI-Landschaft. Ziel ist eine systematische Bestandsaufnahme:


Ohne dieses Gesamtbild ist eine fundierte Risiko- und Anforderungsbewertung nicht möglich. Erfahrungsgemäß werden in diesem Schritt auch bislang informelle oder nicht autorisierte Nutzungen identifiziert, die außerhalb formaler Steuerungsstrukturen operieren.

Definition des Scopes des AIMS
Auf Basis der KI-Landschaft ist der Scope des AIMS festzulegen. Dabei wird entschieden, welche Organisationseinheiten, Produkte, Services oder Prozesse vom Managementsystem erfasst werden sollen. Zudem ist die Scope-Definition eine strategische Weichenstellung: Ein zu weit gefasster Scope erhöht Implementierungsaufwand und Zertifizierungskosten; ein zu enger Scope hingegen riskiert, wesentliche Risikobereiche auszuklammern und den Mehrwert einer Zertifizierung zu limitieren.

Strukturierte Gap-Analyse
Im nächsten Schritt erfolgt eine systematische Gegenüberstellung des Ist-Zustands mit den Anforderungen der ISO 42001. Dabei wird geprüft, inwieweit zentrale Governance Elemente bereits vorhanden sind oder fehlen. Typische Lücken zeigen sich insbesondere bei

  • fehlenden oder unklaren Rollen und Verantwortlichkeiten,
  • nicht definierten Entscheidungsrechten für KI-Systeme,
  • mangelnden Richtlinien und Prozessen,
  • fehlender Risiko- und Folgenabschätzung
  • sowie unzureichender Dokumentation und Nachweisführung.

Die Gap-Analyse bildet die evidenzbasierte Grundlage für eine priorisierte Maßnahmenplanung.

Ableitung einer priorisierenden Roadmap und eines Maßnahmenplans
Auf Basis der identifizierten Lücken wird eine Roadmap abgeleitet, die Maßnahmen nach Risiko, Dringlichkeit und Umsetzbarkeit priorisiert. Hohe Priorität haben in der Regel grundlegende Governance Themen, etwa die Festlegung klarer Verantwortlichkeiten, definierte Entscheidungs- und Freigabeprozesse, eine übergreifende KI-Richtlinie sowie ein konsistenter Umgang mit Risiken über den gesamten KI-Lebenszyklus.

Die Roadmap dient als pragmatischer Orientierungsrahmen, um schrittweise Auditfähigkeit herzustellen und gleichzeitig den laufenden Betrieb nicht zu gefährden.

Einordnung des Zertifizierungsnutzens
Erst auf Grundlage dieser strukturierten Vorarbeit lässt sich fundiert beurteilen, ob eine ISO 42001 Zertifizierung für die Organisation sinnvoll ist, welchen Mehrwert sie stiftet und welcher zeitliche sowie organisatorische Aufwand realistisch zu erwarten ist. Unabhängig von einer formalen Zertifizierung leistet bereits die strukturierte Auseinandersetzung mit Scope, Governance-Lücken und priorisierten Maßnahmen einen messbaren Beitrag zur Risikotransparenz und organisatorischen Steuerbarkeit von KI.