ISO 42001 Compliance Dashboard

Überblick über Ihren Zertifizierungsfortschritt – alle Normen-Schnittstellen auf einen Blick. (Stand: Mai 2026, Quellen: ISO/IEC, EU, BSI)

Standard

ISO/IEC 42001:2023

Erste AIMS-Norm weltweit · Veröff. Dez. 2023

Klauseln (PDCA)

7

Klausel 4–10 · ISO HLS-konform

Annex A Controls

39

9 Kategorien A.2–A.10

EU AI Act Frist

2.8.2026

Hochrisiko-KI Anhang III

ISO 27001 Overlap

37

Direkte Control-Schnittmengen

Mein Fortschritt

0%

Gap-Analyse & Audit-Status

🎯 Was ist ISO 42001?

ISO/IEC 42001:2023 ist die weltweit erste internationale Norm für KI-Managementsysteme (AIMS), veröffentlicht im Dezember 2023 durch ISO/IEC JTC 1/SC 42. Sie legt Anforderungen für Aufbau, Umsetzung, Pflege und kontinuierliche Verbesserung eines AIMS fest.

Die Norm basiert auf der ISO High-Level Structure (HLS/Annex SL) – identisch aufgebaut wie ISO 27001, ISO 9001, ISO 14001. Bestehende Managementsystem-Infrastruktur kann direkt wiederverwendet werden.

⚡ Warum jetzt handeln?

EU AI Act: Hochrisiko-KI-Pflichten ab 2. August 2026
ISO 42001 = anerkannter Konformitätspfad für EU AI Act Art. 17
Bis zu −40% Aufwand bei paralleler ISO 27001-Nutzung
Zertifizierungsdauer typisch 12–18 Monate
Bußgelder EU AI Act: bis zu €30 Mio. oder 6% Jahresumsatz

Normen-Ökosystem

🇪🇺

EU AI Act (VO 2024/1689)

Rechtlich bindend. Hochrisiko-Pflichten ab Aug 2026. ISO 42001 Art. 17-Konformitätspfad.

PflichtHochrisiko

🔐

ISO 27001:2022 (ISMS)

37 direkte Control-Überschneidungen. AIMS als natürliche ISMS-Erweiterung möglich.

37 Overlaps−40% Aufwand

⚖️

ISO 31000:2018 (Risiko)

Universeller Risikoprozess. ISO 42001 Clause 6 baut darauf auf – ergänzt um KI-Risiken.

Risikorahmen

🛡️

DSGVO / GDPR

Art. 22 (automat. Entscheidungen), Art. 35 (DSFA) direkt mit ISO 42001 Annex A verknüpft.

Art. 22DSFA Art. 35

🤝

ISO 27701:2025 (PIMS)

Datenschutz-Erweiterung von ISO 27001. Annex D = DSGVO-Mapping. Kombination mit 42001 optimal.

Privacy by Design

📋

NIST AI RMF 1.0

US AI Risk Management Framework – Govern · Map · Measure · Manage. Methodenreferenz für ISO 42001 Clause 6.

NISTUS-Referenz

ISO 42001 – Klauseln 4–10

7 Hauptklauseln nach PDCA-Zyklus · ISO High-Level Structure (identisch mit ISO 27001, ISO 9001)

Kl. 4Kontext der Organisation

Was wird gefordert: Interne/externe Faktoren analysieren, interessierte Parteien und Anforderungen identifizieren, AIMS-Anwendungsbereich festlegen.

KI-spezifisch (Annex A): Regulatorisches Umfeld (EU AI Act, NIS2, DSGVO), ethischer Rahmen, KI-Reifegrad, gesellschaftliche Auswirkungen von KI-Systemen.

→ ISO 27001: Klausel 4.1–4.4 identisch → bestehende ISMS-Kontextanalyse um KI-Faktoren erweitern. Kein Duplikat – Erweiterung.

Kl. 5Führung & Governance

Was wird gefordert: Top-Management-Commitment, KI-Richtlinie (AI Policy) verabschieden, Rollen und Verantwortlichkeiten für AIMS zuweisen.

Neue Rollen: AI Officer · Ethics Reviewer · Model Risk Manager · Algorithm Audit Committee

→ EU AI Act Art. 17: Qualitätsmanagementsystem-Anforderung für Anbieter von Hochrisiko-KI-Systemen direkt abgedeckt durch Klausel 5.

Kl. 6Planung & Risikomanagement

Was wird gefordert: KI-spezifische Risikoidentifikation, Folgenabschätzung (AI Impact Assessment, Annex B), AIMS-Ziele (AI Objectives) definieren.

KI-Risikoarten (Erweiterung zu ISO 31000):
• Algorithmischer Bias · Model Drift · Adversarial Attacks
• Shadow AI · IP-Leakage · Unbeabsichtigte Outputs · Halluzinationen

→ ISO 31000:2018: Identischer Risikoprozess (Identify → Analyse → Bewerten → Behandeln), erweitert um KI-spezifische Kategorien.

Kl. 7Unterstützung & Ressourcen

Was wird gefordert: Ressourcen, Kompetenz (KI-Fachkenntnisse), Bewusstsein, Kommunikation, dokumentierte Information für alle KI-Systeme.

→ EU AI Act Art. 9 Abs. 5(c) + Art. 26 Abs. 6: Schulung der Nutzer von Hochrisiko-KI-Systemen explizit gefordert – direkt durch Klausel 7.2/7.3 abgedeckt.

Kl. 8Betrieb – KI-Lifecycle

Was wird gefordert: KI-Entwicklungs-, Deployment- und Wartungsprozesse operationalisieren. Incident-Response für KI-Vorfälle. Kontinuierliches Monitoring.

KI-Lifecycle-Stufen: Anforderungen → Design → Datenbeschaffung → Training → Validierung → Deployment → Monitoring → Dekommissionierung

→ EU AI Act Art. 9, 10, 11, 12: Risikomanagement, Datengovernance, technische Dokumentation, Logging direkt abgedeckt.

Kl. 9Leistungsbewertung & Audits

Was wird gefordert: AIMS-Performance messen, KI-Metriken überwachen, interne Audits, Management Review. Bias-Erkennung und ethische Compliance prüfen.

KI-Metriken: Accuracy · Fairness-Score · Drift-Rate · Explainability-Index · Incident-Rate

→ EU AI Act Art. 15 + Art. 72: Genauigkeit, Robustheit, Cybersicherheit + Post-Market-Monitoring.

Kl. 10Verbesserung – PDCA-Abschluss

Was wird gefordert: Nichtkonformitäten identifizieren, Ursachenanalyse, Korrekturmaßnahmen einleiten, AIMS und KI-Modelle kontinuierlich verbessern.

KI-spezifisch: Modell-Retraining bei Drift, Algorithmus-Anpassungen nach Bias-Erkennung, Policy-Updates nach EU AI Act-Delegierten Rechtsakten (2026/2027).

Annex A Controls (ISO 42001)

39 KI-spezifische Maßnahmen in 9 Kategorien. Auswahl risikoorientiert – begründete Ausschlüsse im SoA dokumentieren.

Control	Kategorie	Titel	ISO 27001:2022	EU AI Act
A.2.1	Policies	KI-Richtlinien	Kl. 5.2	—
A.2.2	Policies	Rollen und Verantwortung KI	Kl. 5.3	Art. 17
A.3.1	Organisation	Interne Aufgaben für KI	—	Art. 9
A.3.2	Organisation	Meldung von KI-Problemen/Incidents	A.6.8	Art. 73
A.3.3	Organisation	Prozesse über Organisationsgrenzen	A.6.6	—
A.4.1	Ressourcen	KI-Systemressourcen	—	—
A.4.2	Ressourcen	Humanressourcen für KI	Kl. 7.2	Art. 26
A.4.3	Ressourcen	Daten als Ressource	—	Art. 10
A.4.4	Ressourcen	Werkzeuge für KI-Systeme	—	—
A.4.5	Ressourcen	Infrastruktur für KI	A.8.1	—
A.5.1	Impact	Folgenabschätzung für Betroffene ⭐	—	Art. 9, Art. 13
A.5.2	Impact	Gesellschaftliche Auswirkungen ⭐	—	Art. 9
A.5.3	Impact	Auswirkungen auf KI-Systeme	—	—
A.6.1	Lifecycle	KI-System-Designziele	—	Art. 13
A.6.2	Lifecycle	KI-System-Designprozesse	—	Art. 11
A.6.2.2	Lifecycle	KI-System-Inventar ⭐	—	Art. 49
A.6.2.5	Lifecycle	Lifecycle-Management KI-Modelle ⭐	—	Art. 72
A.6.3	Lifecycle	Erwerb von KI-Systemen (Dritte)	A.5.22	Art. 25
A.6.4	Lifecycle	Datenbeschaffung	—	Art. 10
A.6.5	Lifecycle	Datenvorbereitung	—	Art. 10
A.6.6	Lifecycle	Entwicklung von KI-Modellen	—	Art. 9, Art. 15
A.6.7	Lifecycle	KI-Modell-Validierung	—	Art. 9 Abs. 6
A.6.8	Lifecycle	Testen von KI-Systemen	—	Art. 9 Abs. 6–8
A.6.9	Lifecycle	Deployment / Inbetriebnahme	A.8.32	Art. 49
A.6.10	Lifecycle	Außerbetriebnahme KI-Systeme	—	—
A.7.1	Daten	Datenherkunft und -qualität ⭐	A.8.10	Art. 10
A.7.2	Daten	Sammlung / Akquisition von Daten	—	Art. 10
A.7.3	Daten	Datenaufbereitung	—	Art. 10 Abs. 3
A.7.4	Daten	Datenzugang und -protokollierung	A.8.12	Art. 12
A.7.5	Daten	Wissen über KI-Systeme	—	—
A.8.1	Kommunikation	System-Dokumentation	Kl. 7.5	Art. 11
A.8.2	Kommunikation	Nutzerinformation	—	Art. 13
A.8.3	Kommunikation	Transparenz über Datennutzung	—	Art. 13, Art. 50
A.8.4	Kommunikation	Kommunikation Einschränkungen	—	Art. 13
A.9.1	Nutzung	Zugang zu KI-Systemen	A.8.2	Art. 14
A.9.2	Nutzung	Menschliche Aufsicht ⭐	—	Art. 14
A.10.3	Nutzung	Automatisierte Entscheidungen ⭐	—	Art. 14 + DSGVO Art. 22
A.10.1	Dritte	Lieferanten und Dritte	A.5.19	Art. 25
A.10.2	Dritte	Nutzung durch Kunden / Betreiber	—	Art. 26

⭐ = KI-exklusiv (kein ISO 27001-Äquivalent) · Quelle: ISO/IEC 42001:2023 Annex A

Gap-Analyse

Bewerten Sie Ihren aktuellen AIMS-Reifegrad je Klausel. Fortschritt fließt in den Compliance-Score ein.

Klausel 4Kontext der Organisation0/3

Internes/externes Umfeld für KI dokumentiert

Stakeholder-Analyse, regulatorisches Umfeld (EU AI Act, DSGVO), KI-Strategie

Interessierte Parteien und Anforderungen identifiziert

Kunden, Regulatoren, Betroffene, Lieferanten, Aufsichtsbehörden

AIMS-Scope festgelegt und dokumentiert

Scope-Statement inkl. Abgrenzungen und Begründungen (Pflichtdokument)

Klausel 5Führung & Governance0/4

KI-Richtlinie (AI Policy) verabschiedet

Inkl. ethischer Grundsätze, regulatorischer Bezüge (EU AI Act Art. 17)

Rollen und Verantwortlichkeiten zugewiesen (A.2.2)

AI Officer, Ethics Reviewer, Model Risk Manager, AIMS-Beauftragter benannt

AI Governance Committee eingerichtet

Reporting-Linie zur obersten Leitung, Protokolle vorhanden

Ressourcen für AIMS gesichert (Budget, Personal)

Formale Ressourcenzusage durch Top-Management dokumentiert

Klausel 6Planung & Risikomanagement0/4

KI-Risikoregister erstellt (inkl. KI-spezifischer Risiken)

Bias, Drift, Adversarial, Shadow AI, IP-Leakage, Halluzinationen

AI Impact Assessment (Annex B) durchgeführt

A.5.1 + A.5.2 – kombinierbar mit DSFA (DSGVO Art. 35)

AIMS-Ziele (AI Objectives) definiert

SMART-Ziele, Verantwortliche, Zeitrahmen, Messgrößen

Risikobehandlungsplan erstellt

Maßnahmen, Verantwortliche, Zeitrahmen, Akzeptanzkriterien

Klauseln 7–10Betrieb, Bewertung & Verbesserung0/5

KI-Inventar angelegt (A.6.2.2)

Zweck, Datenherkunft, Modellversion, Eigentümer, EU AI Act Risikoeinstufung

KI-Lifecycle-Prozesse dokumentiert

Design → Training → Deployment → Monitoring → Dekommissionierung

Internes Audit-Programm eingerichtet

Häufigkeit, Scope, Kompetenz der Auditoren dokumentiert

Statement of Applicability (SoA) erstellt

Anwendbare Controls, begründete Ausschlüsse, genehmigt und datiert

Management Review für AIMS etabliert

Mindestens jährlich, inkl. Audit-Ergebnisse, KI-Vorfälle, KPI-Übersicht

EU AI Act – Schnittstelle zu ISO 42001

Verordnung (EU) 2024/1689 · In Kraft: 1. August 2024 · Hochrisiko-KI (Anh. III): 2. August 2026 · Quelle: EUR-Lex

Feb 2025

✓ In Kraft

Art. 5 Verbote + Art. 4 KI-Kompetenz

Aug 2025

✓ In Kraft

AI Office, AI Board, GPAI-Modelle

Aug 2026

⏳ Frist!

Hochrisiko-KI Anhang III + Art. 50

Aug 2027

→ Geplant

Hochrisiko-KI Anhang I (Produkte)

ISO 42001 ↔ EU AI Act Mapping

Hochrisiko-Kategorien

Sanktionen & Bußgelder

EU AI Act Artikel	Thema	ISO 42001 Control	Abdeckung
Art. 9	Risikomanagementsystem	Clause 6, A.5.1–A.5.3	Vollständig
Art. 10	Daten und Datenverwaltung	A.7.1–A.7.5, A.4.3	Vollständig
Art. 11	Technische Dokumentation	A.8.1, A.6.2	Vollständig
Art. 12	Logging / Aufzeichnungen	A.7.4, Clause 7.5	Vollständig
Art. 13	Transparenz für Nutzer	A.8.2–A.8.4, A.6.1	Vollständig
Art. 14	Menschliche Aufsicht	A.9.2, A.10.3	Vollständig
Art. 15	Genauigkeit, Robustheit, Cybersicherheit	A.6.7, A.6.8, Clause 9	Weitgehend
Art. 17	Qualitätsmanagementsystem (QMS)	Clause 4–10 (AIMS gesamt)	Vollständig
Art. 25	Pflichten Betreiber / Deployer	A.10.1, A.10.2	Weitgehend
Art. 49	Registrierungspflicht EU-Datenbank	A.6.2.2 (KI-Inventar)	Weitgehend
Art. 50	Transparenzpflichten Chatbots/Deepfakes	A.8.3	Teilweise
Art. 72	Post-Market Monitoring	A.6.2.5, Clause 9+10	Vollständig
Art. 73	Incident-Meldung (15 Tage)	A.3.2	Weitgehend

Hochrisiko-KI-Systeme (Anhang III) – ab 2. August 2026 verpflichtend

Biometrie & Emotionserkennung

Fernbiometrische Identifizierung, biometrische Kategorisierung, Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen → auch ab Feb. 2025 teilweise verboten

Kritische Infrastruktur

KI als Sicherheitskomponente für Strom-, Wasser-, Verkehrs- und digitale Infrastruktur

Bildung & Ausbildung

Zugang zu Bildungseinrichtungen, Prüfungsbewertung, KI-gestützte Überwachung bei Prüfungen

Beschäftigung & HR

Einstellung, Bewerberauswahl, Leistungsbewertung, Mitarbeiterüberwachung, Beförderungsentscheidungen

Wesentliche private / öffentliche Dienste

Kreditwürdigkeitsprüfung, öffentliche Sozialleistungen, Notfalldienste, Versicherungsrisikobewertung

Strafverfolgung & Justiz

Individuelle Risikoeinschätzungen, Lügendetektion, Beweisauswertung, Rückfallprognosen

Bußgelder und Sanktionen

Verstoß	Maximales Bußgeld	Basis
Verstoß gegen verbotene KI-Praktiken (Art. 5)	€35 Mio. oder 7% Jahresumsatz	Art. 99 Abs. 3
Verstoß gegen Hochrisiko-Anforderungen (Art. 9–15)	€15 Mio. oder 3% Jahresumsatz	Art. 99 Abs. 4
Falsche Angaben gegenüber Behörden	€7,5 Mio. oder 1% Jahresumsatz	Art. 99 Abs. 5
KMU / Start-ups: Sondersatz	Je niedriger der beiden Beträge gilt	Art. 99 Abs. 6

💡 ISO 42001 Zertifizierung als Risikominimierung: Ein dokumentiertes AIMS mit nachweisbarer Compliance reduziert Bußgeldrisiken erheblich (Due-Diligence-Nachweis).

ISO 27001:2022 ↔ ISO 42001 Integration

37 direkte Control-Überschneidungen · −40% Dokumentationsaufwand · −35% Audit-Stunden · −28% Zertifizierungskosten

🔗 Integrationsprinzip

ISO 42001 ist keine parallele Norm zum ISMS – es ist eine natürliche Erweiterung. Beide Normen teilen die identische HLS-Klauselstruktur (4–10). Bestehende ISMS-Infrastruktur (Risikoregister, Policies, Audit-Programme, Dokumentenmanagement) wird direkt übernommen.

Cloud Security Alliance veröffentlichte im August 2025 ein AI Controls Matrix ↔ ISO 42001 Mapping für integrierte Compliance-Programme.

📊 Einspar-Potenzial (bei bestehender ISO 27001)

Dokumentationsstunden−40%

Interne Audit-Stunden−35%

Externe Zertifizierungskosten−28%

Quelle: A-LIGN Comparison ISO 27001 ↔ 42001; LinkedIn Angela Polania 2025

Schlüssel-Mappings ISO 27001:2022 ↔ ISO 42001:2023

Bereich	ISO 27001:2022	ISO 42001:2023	Integrationsansatz
Governance / Kontext	Klausel 4.1–4.4	Klausel 4.1–4.4	ISMS-Kontextanalyse um KI-Faktoren erweitern
Risikobeurteilung	Klausel 6.1 + ISO 27005	Klausel 6.1 + ISO 31000	KI-Risikoregister ins ISMS integrieren
Richtlinien	A.5.1 (InfoSec Policy)	A.2.1 (AI Policy)	AI Policy als Anhang zur InfoSec Policy
Rollen / RACI	A.5.2, A.5.3	A.2.2, A.3.1	RACI-Matrix um KI-spezifische Rollen erweitern
Lieferanten	A.5.19–A.5.22	A.6.3, A.10.1–A.10.2	Vendor-Assessment um KI-Kriterien erweitern
Asset-Management	A.5.9 (Asset Inventory)	A.6.2.2 (KI-Inventar)	KI-Modelle als neue Asset-Klasse im CMDB
Datenverwaltung	A.8.10 (Datenlöschung)	A.7.1–A.7.5	Datenklassifikation um ML-Trainingsdaten erweitern
Zugangskontrolle	A.8.2 (Privileged Access)	A.9.1 (KI-Systemzugang)	IAM-Richtlinie um KI-Modell-Zugriffsrechte erweitern
Incident Management	A.6.8 (Incident Reporting)	A.3.2 (KI-Problem-Meldung)	IR-Plan um KI-Vorfälle (Bias, Drift) erweitern
Dokumentation	Klausel 7.5 (DMS)	A.8.1 (System-Dokumentation)	DMS für beide Normen vereinheitlichen

💡 18 KI-exklusive Controls (kein ISO 27001-Äquivalent – neu zu implementieren):

A.6.2.2 (KI-Inventar) · A.5.1–A.5.2 (Impact Assessment) · A.10.3 (Automatisierte Entscheidungen) · A.6.2.5 (Model Lifecycle) · A.9.2 (Human Oversight) · A.6.7 (Modell-Validierung) · A.6.8 (KI-Tests) müssen neu aufgebaut werden.

ISO 31000:2018 ↔ ISO 42001

ISO 31000 liefert den universellen Risikoprozess. ISO 42001 Clause 6 baut darauf auf und ergänzt ihn um KI-spezifische Risikokategorien.

Risikoprozess: ISO 31000 mit KI-Erweiterung (ISO 42001)

1. Kontext festlegen (ISO 31000 §5.4)

ISO 42001-Ergänzung: EU AI Act Regulierungsumfeld, ethischer Rahmen, KI-Strategie, Risikoapetit-Statement spezifisch für KI-Systeme

2. Risiken identifizieren (ISO 31000 §6.4.2)

KI-spezifische Risiken: Algorithmischer Bias · Adversarial Attacks · Model Poisoning · Model Drift · Shadow AI · IP-Leakage · Halluzinationen · Explainability-Versagen · Drittanbieter-Risiken

3. Risiken analysieren (ISO 31000 §6.4.3)

Wahrscheinlichkeit × Auswirkung. ISO 42001 ergänzt: Gesellschaftliche Auswirkungen (A.5.2) und Folgenabschätzung für Betroffene (A.5.1) als eigenständige Dimensionen

4. Risiken bewerten & behandeln (ISO 31000 §6.4.4 / §6.5)

ISO 42001 Annex A Controls als Behandlungsmaßnahmen. SoA dokumentiert Auswahl und Begründung. Restrisiken explizit akzeptieren und dokumentieren.

5. Überwachen & Überprüfen (ISO 31000 §6.6)

Kontinuierliches KI-Monitoring (Accuracy, Fairness, Drift, Incident-Rate). Post-Market-Monitoring gemäß EU AI Act Art. 72. Jährliche Überprüfung im Management Review (Clause 9.3).

KI-Risiko-Bewertungsmatrix (Wahrscheinlichkeit × Auswirkung)

Skala: 1 = selten/gering · 5 = sicher/katastrophal · Behandlungsschwelle bei Score ≥ 6

↑ Hoch (5)

Mittel

Hoch

Kritisch

Mittel (3)

Niedrig

Mittel

Hoch

Kritisch

↓ Niedrig (1)

Niedrig

Mittel

Hoch

Selten (1)

Möglich (3)

Wahrsch. (4)

Sicher (5)

KI-Top-Risiken (typisch)

KritischAlgorithmischer Bias in HR-KI: W4 × A5 = 20
HochHalluzinationen LLM Chatbot: W4 × A3 = 12
HochDSGVO-Verstoß Trainingsdaten: W3 × A4 = 12
MittelModel Drift (Accuracy-Verlust): W3 × A3 = 9

Behandlungsoptionen (ISO 31000 §6.5.1)

Vermeiden: KI-System nicht einsetzen
Reduzieren: Fairness-Tests, Human Oversight (A.9.2)
Übertragen: Versicherung, Vertragsbedingungen
Akzeptieren: Restrisiko dokumentiert + Management-Genehmigung

DSGVO / GDPR ↔ ISO 42001

Die DSGVO stellt besondere Anforderungen an KI-Systeme, die personenbezogene Daten verarbeiten – direkte Synergien mit ISO 42001.

⚖️ Zentrale DSGVO-Artikel mit KI-Bezug

Art. 5: Grundsätze (Zweckbindung, Datenminimierung, Richtigkeit) → ISO 42001 A.7.1, A.7.3
Art. 22: Automatisierte Entscheidungen / Profiling → A.10.3, A.9.2
Art. 25: Privacy by Design/Default → A.6.1 (KI-Designziele)
Art. 32: Technisch-organisatorische Maßnahmen → Annex A allgemein
Art. 35: Datenschutz-Folgenabschätzung (DSFA) → A.5.1, A.5.2, Annex B
Art. 44ff: Drittstaatenübermittlung von Trainingsdaten → A.10.1

🔗 Dreifach-Integration: ISO 42001 + 27001 + DSGVO

ISO 27701:2025 (PIMS) ist die Brücke: Als Erweiterung von ISO 27001 enthält Annex D ein vollständiges DSGVO-Mapping (Art. 5–35, Art. 44–49).

ISO 27001→ InfoSec-Grundlage (93 Controls)

+ ISO 27701→ DSGVO/Datenschutz-Overlay

+ ISO 42001→ KI-Governance-Erweiterung (39 Controls)

Art. 35 DSFA ↔ ISO 42001 Impact Assessment – Synergie

DSGVO Art. 35 – DSFA

Pflicht bei hohem Datenschutzrisiko (Blacklist der Datenschutzaufsicht). Beschreibt Verarbeitung, Notwendigkeit, Risikobewertung und geplante Maßnahmen. Konsultation der Aufsichtsbehörde bei verbleibenden Hochrisiken.

ISO 42001 Annex B – AI Impact Assessment

Bewertung für Betroffene (A.5.1) und Gesellschaft (A.5.2). Annex B liefert die Methodik. In einem kombinierten Dokument zusammenfassbar mit DSFA → ca. 50% Aufwandseinsparung.

✓ Synergie: Ein kombiniertes "DSFA + AI Impact Assessment"-Dokument deckt DSGVO Art. 35 UND ISO 42001 Annex B ab. Empfehlung: Gemeinsame Vorlage erstellen, von DPO und AI Officer unterzeichnen.

KI-Risikoregister

Erfassen Sie KI-spezifische Risiken nach ISO 42001 Clause 6 / ISO 31000. Bewertung: Wahrscheinlichkeit × Auswirkung (1–5).

Neues KI-Risiko erfassen

KI-SYSTEM / PROZESS

RISIKOKATEGORIE

WAHRSCHEINLICHKEIT (1–5)3

AUSWIRKUNG (1–5)3

MASSNAHME / ISO 42001 CONTROL-REFERENZ

Risikoregister

KI-System	Kategorie	W	A	Score	Einstufung	Maßnahme
Chatbot (Customer Service)	Fehlende Erklärbarkeit	4	3	12	Hoch	A.8.2, A.9.2 Human Oversight
HR Bewerber-Scoring	Algorithmischer Bias	3	5	15	Kritisch	Fairness-Audit A.6.7, A.5.1, DSFA Art. 35
LLM-Assistent (intern)	IP / Datenleck aus Training	2	4	8	Mittel	Datenschutz-Review A.7.2, DSGVO Art. 35

Statement of Applicability (SoA)

Pflichtdokument für ISO 42001 Zertifizierung. Dokumentiert für jeden Annex-A-Control: anwendbar oder nicht – mit Begründung und Normbezug.

Control	Titel	Anwendbar	Begründung / Normbezug
A.2.1	KI-Richtlinien	Ja	Grundlage des AIMS; EU AI Act Art. 17 (QMS-Pflicht)
A.2.2	Rollen/Verantwortung KI	Ja	Clause 5.3; EU AI Act Art. 17 §1(e)
A.3.2	Meldung KI-Probleme	Ja	EU AI Act Art. 73 (15-Tage-Meldepflicht); ISO 27001 A.6.8
A.5.1	Folgenabschätzung Betroffene	Ja	DSGVO Art. 35 (DSFA-Pflicht); EU AI Act Art. 9
A.5.2	Gesellschaftliche Auswirkungen	Ja	Clause 6; Annex B Methodik
A.6.2.2	KI-System-Inventar	Ja	EU AI Act Art. 49 (Registrierungsdatenbank); Risikogrundlage
A.6.3	Erwerb KI von Dritten	Ja	EU AI Act Art. 25 (Betreiberpflichten); Supply-Chain-Risiko
A.6.7	KI-Modell-Validierung	Ja	EU AI Act Art. 9 Abs. 6–8 (Testpflicht vor Deployment)
A.7.1–A.7.4	Datenverwaltung (Herkunft, Qualität, Zugang)	Ja	EU AI Act Art. 10; DSGVO Art. 5 (Richtigkeit)
A.8.1–A.8.3	Dokumentation, Nutzer-Info, Transparenz	Ja	EU AI Act Art. 11, 13, 50
A.9.2	Menschliche Aufsicht	Ja	EU AI Act Art. 14; DSGVO Art. 22 (Recht auf menschl. Überprüfung)
A.10.3	Automatisierte Entscheidungen	Ja	DSGVO Art. 22; EU AI Act Anhang III Hochrisiko
A.10.1	Lieferanten und Dritte	Ja	EU AI Act Art. 25; Supply-Chain-Risiko
A.6.10	Außerbetriebnahme KI-Systeme	Bedingt	Gilt für Legacy-KI; neue Systeme: im Lifecycle-Prozess integriert
A.3.3	Prozesse über Organisationsgrenzen	Bedingt	Nur wenn externe KI-Nutzung in anderen Org.-Einheiten relevant

💡 Das SoA muss von der obersten Leitung (Klausel 5) genehmigt werden. Begründete Ausschlüsse sind gleichwertig zu dokumentieren. Das SoA wird im Stage-1-Audit der Zertifizierungsstelle geprüft.

Interne Audit-Checkliste ISO 42001

Strukturierte Prüffragen für das interne AIMS-Audit · Inkl. EU AI Act, DSGVO, ISO 27001-Bezüge · Stand: Mai 2026

Block 1AIMS-Grundstruktur (Klausel 4–5)0/5

Aktueller AIMS-Scope vorhanden und durch Management genehmigt?

Klausel 4.3 – Abgrenzungen und Begründungen für Ausschlüsse dokumentiert

Formell verabschiedete KI-Richtlinie (AI Policy) liegt vor?

Klausel 5.2 + A.2.1 – Datum, Unterzeichnung, Verteiler nachweisbar

KI-Governance-Rollen klar zugewiesen und kommuniziert?

A.2.2 – AI Officer, Ethics Reviewer, Model Risk Manager namentlich benannt

AI Governance Committee mit Reporting-Linie zur Geschäftsführung?

Klausel 5.1 – Protokolle, Häufigkeit, Eskalationswege dokumentiert

EU AI Act-Pflichten in der Governance berücksichtigt?

Klausel 4.1/4.2 – Hochrisiko-Einstufung dokumentiert, Art. 17 QMS-Anforderung

Block 2KI-Risikomanagement (Clause 6 / ISO 31000)0/4

Aktuelles KI-Risikoregister vorhanden und gepflegt?

Klausel 6.1 + A.5.1–A.5.3 – inkl. KI-spezifischer Risiken (Bias, Drift, Shadow AI)

AI Impact Assessment (Annex B) durchgeführt für relevante Systeme?

Pflicht bei DSGVO-relevanten KI-Systemen kombinierbar mit DSFA Art. 35

AIMS-Ziele messbar dokumentiert?

Klausel 6.2 – SMART-Ziele, Verantwortliche, Zeitrahmen, Messgrößen

Risikobehandlungsplan regelmäßig aktualisiert?

Clause 6.1.3 – Nachweis der letzten Aktualisierung, Wirksamkeitsprüfung

Block 3KI-Lifecycle & Datenverwaltung (A.6/A.7)0/5

Vollständiges KI-Inventar (A.6.2.2) gepflegt?

Zweck, Datenherkunft, Modellversion, Eigentümer, EU AI Act Risikoeinstufung

Datenqualitäts- und Herkunftsnachweise für Trainingsdaten dokumentiert?

A.7.1–A.7.3 + EU AI Act Art. 10 – Datenverfolgbarkeit (Lineage) nachweisbar

KI-Modelle vor Deployment getestet (inkl. Fairness/Bias-Testing)?

A.6.7, A.6.8 – Testprotokolle mit Fairness-Metriken und Akzeptanzkriterien vorhanden

Post-Deployment-Monitoring für alle produktiven KI-Systeme etabliert?

A.6.2.5 + EU AI Act Art. 72 – Monitoring-Konzept, Alerting-Schwellenwerte, Eskalation

Menschliche Aufsicht (A.9.2) für automatisierte Entscheidungen sichergestellt?

EU AI Act Art. 14 + DSGVO Art. 22 – Nachweis von Override-Möglichkeiten für Nutzer

Block 4Transparenz, Dokumentation & DSGVO0/4

Technische Dokumentation gemäß EU AI Act Art. 11 vorhanden?

A.8.1 – Systembeschreibung, Leistungsmetriken, bekannte Grenzen, Update-Historie

Nutzer über KI-Interaktionen informiert (Art. 50)?

A.8.2, A.8.3 – Kennzeichnung Chatbots, Transparenzhinweise (ab 2.8.2026 Pflicht)

Statement of Applicability (SoA) aktuell und durch Management genehmigt?

Pflichtdokument für Zertifizierung Stage 1 – genehmigt, datiert, versioniert

DSFA (DSGVO Art. 35) für KI-Systeme mit hohem Datenschutzrisiko durchgeführt?

A.5.1 + Art. 35 – Kombination mit AI Impact Assessment empfohlen (−50% Aufwand)

Implementierungs-Roadmap (12 Monate)

Optimiert für Organisationen mit bestehender ISO 27001. Zertifizierungsziel: vor August 2026 (EU AI Act Deadline).

Erstimplementierung (ohne Basis)

12–18 Mo.

Ohne bestehende Normbasis

Mit ISO 27001 (empfohlen)

9–12 Mo.

40% weniger Dokumentationsaufwand

Externe Zertifizierungskosten

€15–50k

Je nach Org.-Größe und Scope

Laufender AIMS-Betrieb

1–2 FTE

Nach Zertifizierung (intern)

Phase 1 (Monate 1–3): Grundlagen & Gap-Analyse

• KI-Inventar anlegen (A.6.2.2) · EU AI Act Risikoeinstufung aller KI-Systeme
• Gap-Analyse gegen ISO 42001 Klauseln 4–10 + Annex A
• Governance-Struktur festlegen (AI Officer, Committee)
• Bestehende ISO 27001 / ISO 31000 Strukturen kartieren und Synergien identifizieren

Phase 2 (Monate 4–6): Policies & Risikomanagement

• KI-Richtlinie (AI Policy) entwickeln und durch Management verabschieden
• KI-Risikoregister aufbauen (ISO 31000 + KI-spezifische Risiken)
• AI Impact Assessment (Annex B) + DSFA (Art. 35 DSGVO) für kritische Systeme
• Risikobehandlungsplan erstellen · SoA-Entwurf

Phase 3 (Monate 7–9): Controls implementieren

• Annex A Controls gemäß SoA implementieren (A.6.x Lifecycle, A.7.x Daten, A.8.x Kommunikation, A.9.x Nutzung)
• KI-Lifecycle-Prozesse dokumentieren und schulen
• Monitoring für produktive KI-Systeme einrichten (Post-Market, Art. 72)
• EU AI Act Art. 9–15 für Hochrisiko-KI vollständig umsetzen

Phase 4 (Monate 10–12): Internes Audit & Zertifizierung

• Internes Audit mit dieser Checkliste durchführen · Nichtkonformitäten schließen
• Management Review durchführen (Klausel 9.3)
• Stage 1 Audit (Dokumentenprüfung) durch akkreditierte Zertifizierungsstelle
• Stage 2 Audit (On-Site) → Zertifikat ISO/IEC 42001:2023
• Surveillance-Modus: jährliche Überwachungsaudits, 3-Jahres-Rezertifizierung

⚠️ EU AI Act Deadline: 2. August 2026

Hochrisiko-KI nach Anhang III muss bis 2.8.2026 vollständig konform sein. ISO 42001 Zertifizierung gilt als anerkannter Konformitätspfad für Art. 17 QMS. Bußgelder bei Verstoß: bis zu €15 Mio. oder 3% Jahresumsatz. Jetzt mit Phase 1 starten!

Quellen: Verordnung (EU) 2024/1689, ISO/IEC 42001:2023, EU-Kommission Art. 113, TÜV Consulting Apr. 2026