ISO 42001 vs. EU AI Act: Brauchen Sie beides?

Der EU AI Act gilt seit August 2024 verbindlich für alle, die KI in der EU einsetzen oder anbieten. ISO 42001 ist der internationale Standard für AI Management Systems (AIMS), freiwillig einführbar seit Dezember 2023. Beides dreht sich um KI-Governance — was aber ist der Unterschied? Und braucht ein Unternehmen beides? Dieser Artikel gibt klare Antworten.

Die Grundunterscheidung: Gesetz vs. Managementsystem

Das ist der wichtigste Punkt:

• EU AI Act = EU-Recht. Verbindlich. Definiert was bei KI beachtet werden muss.
• ISO 42001 = freiwillige Norm. Zertifizierbar. Definiert wie man KI systematisch steuert.

Vereinfacht: Der AI Act sagt „Sie müssen Ihre Hochrisiko-KI dokumentieren, Risiken bewerten, Transparenz schaffen“. ISO 42001 sagt „Hier ist ein strukturiertes Rahmenwerk, mit dem Sie das tun können“.

Der AI Act erzwingt bestimmtes Verhalten. ISO 42001 hilft, dieses Verhalten systematisch und auditierbar umzusetzen.

Überblick im Vergleich

Wen der EU AI Act betrifft

Der AI Act gilt für:

• Anbieter (Provider): Wer KI-Systeme entwickelt oder in der EU in Verkehr bringt
• Betreiber (Deployer): Wer KI-Systeme beruflich einsetzt
• Importeure, Händler: In der Lieferkette

Praktisch: Jedes Unternehmen, das KI nutzt, ist Betreiber. Wer ChatGPT, Copilot, Gemini für Arbeit nutzt, fällt unter den AI Act — zumindest unter die AI-Literacy-Pflicht nach Art. 4.

Pflichten je nach Rolle

Anbieter von Hochrisiko-KI haben die schwersten Pflichten:

• Risikomanagement-System über gesamten Lebenszyklus
• Data Governance (Qualität, Bias-Prüfung)
• Technische Dokumentation
• Logging
• Transparenz für Nutzer
• Menschliche Aufsicht
• Genauigkeit, Robustheit, Cybersicherheit
• Qualitätsmanagementsystem
• Konformitätsbewertung + CE-Kennzeichnung
• EU-Datenbank-Registrierung

Betreiber von Hochrisiko-KI:

• Anweisungen des Anbieters befolgen
• Menschliche Aufsicht sicherstellen
• Eingabedaten prüfen (wenn unter eigener Kontrolle)
• Überwachung während des Betriebs
• Betriebsprotokoll führen
• Grundrechte-Folgenabschätzung (bestimmte öffentliche Anwendungen)

Alle Nutzer (unabhängig von Risikoklasse):

• AI-Literacy sicherstellen (Art. 4) — seit Februar 2025 Pflicht

Bei begrenztem Risiko:

• Transparenzpflichten nach Art. 50 (Kennzeichnung von Chatbots, KI-Content)

Was ISO 42001 bietet

ISO 42001 („Artificial intelligence — Management system“) definiert Anforderungen an ein AIMS (AI Management System). Die Struktur folgt dem bekannten ISO-Managementsystem-Muster:

• Klauseln 4-10: Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung, Verbesserung
• Anhang A: 38 Controls in 9 Kategorien

Die 9 Control-Kategorien

1. Policies related to AI
2. Internal organization
3. Resources for AI
4. Assessing impacts of AI systems
5. AI system life cycle
6. Data for AI systems
7. Information for interested parties of AI systems
8. Use of AI systems
9. Third party and customer relationships

Das ist im Vergleich zum AI Act deutlich breiter — ISO 42001 deckt auch AI-Ethik, Stakeholder-Management, Lifecycle-Management und organisatorische Aspekte ab, die im AI Act nur punktuell angesprochen werden.

Die Überschneidungen: 70% gemeinsam

Wer ISO 42001 umsetzt, erfüllt automatisch große Teile des AI Act:

Fazit: ISO 42001 erfüllt circa 70 Prozent der technisch-organisatorischen AI-Act-Pflichten. Die verbleibenden 30 Prozent (CE-Kennzeichnung, EU-Registrierung, spezifische Transparenz-Details) müssen separat erbracht werden.

Szenario-Analyse: Wer braucht was?

Szenario 1: KMU nutzt KI (Betreiber, Minimal/Limited Risk)

Ein Beratungsunternehmen mit 40 MA nutzt ChatGPT, Copilot, Midjourney. Kein Hochrisiko.

• AI Act-Pflichten: AI-Literacy, Transparenzpflichten bei Chatbots/KI-Content
• ISO 42001-Bedarf: Nice-to-have, aber nicht notwendig

Empfehlung: AI Act reicht. ISO 42001 ist überdimensioniert.

Szenario 2: Mittelstand entwickelt interne KI-Anwendungen

Ein Industriedienstleister mit 200 MA entwickelt eine Wartungs-KI. Die KI wird intern eingesetzt.

• AI Act-Pflichten: Je nach Risikoklasse — vermutlich „begrenzt“, außer bei kritischen Entscheidungen
• ISO 42001-Bedarf: Empfehlenswert für systematische Governance

Empfehlung: Beides, aber pragmatisch. AI Act als Muss, ISO 42001 als strukturierende Basis.

Szenario 3: SaaS-Anbieter mit KI-Feature (Hochrisiko)

Ein HR-Tech-Startup bietet eine KI-gestützte Bewerberanalyse an. → Hochrisiko-KI nach Anhang III.

• AI Act-Pflichten: Vollständige Hochrisiko-Compliance (Risikomanagement, Dokumentation, Konformitätsbewertung, CE, EU-Datenbank)
• ISO 42001-Bedarf: Essential

Empfehlung: ISO 42001-Zertifikat als zentraler Nachweis. Der AI Act ist Pflicht, ISO 42001 beschleunigt die Umsetzung um 40-60 Prozent.

Szenario 4: Unternehmen mit internationaler Ausrichtung

Ein Tech-Unternehmen mit Kunden in USA, UK, Asien. Verschiedene KI-Regulierungen.

• AI Act-Pflichten: Nur bei EU-Kunden
• ISO 42001-Bedarf: Hoch — internationale Norm, in US + UK anerkannt

Empfehlung: ISO 42001 als übergreifendes Framework, AI Act als regionale Ergänzung für EU-Geschäft.

Szenario 5: B2B-Kunde verlangt AI-Compliance-Nachweis

Ein Unternehmen bekommt von Großkunden Sicherheitsfragebögen: „Haben Sie ein AI Management System?“

• AI Act-Pflichten: Erfüllen, aber ohne Zertifikat
• ISO 42001-Bedarf: Hoch als Nachweis

Empfehlung: ISO 42001-Zertifizierung, weil es B2B-Verkäufe erleichtert.

Die Kombi-Strategie: Gemeinsame Einführung

Wer ohnehin AI Act-Compliance aufbaut, sollte ISO 42001 gleich mitnehmen. Der Mehraufwand ist gering, der Nutzen groß.

Schritt 1: Gap-Analyse gegen beide

Ein systematischer Abgleich der eigenen Prozesse mit:

• AI Act-Pflichten (je nach Rolle)
• ISO 42001-Klauseln + Controls

Das deckt alle relevanten Lücken auf einmal auf.

Schritt 2: Gemeinsames AIMS aufsetzen

Das AIMS nach ISO 42001 wird so gestaltet, dass es auch die AI Act-Pflichten erfüllt. Konkret:

• AI Act-spezifische Dokumentationen (Risikoklassifizierung, Konformitätsbewertung) werden als AIMS-Dokumente geführt
• AI-Literacy-Schulungen werden als AIMS-Schulungen dokumentiert
• Lifecycle-Management wird nach beiden Normen aufgebaut

Schritt 3: Gemeinsam auditieren

Das interne Audit prüft sowohl AI Act als auch ISO 42001. Externe ISO 42001-Zertifizierung gibt dem Kunden + Aufsicht einen etablierten Nachweis.

Kosten-Nutzen-Analyse

Sequenzielle Einführung (AI Act, dann ISO 42001 separat): ca. 35.000 € gesamt (KMU).

Parallele Einführung: ca. 22.000 € — 37 Prozent Ersparnis.

Die Kombination mit ISO 27001

Wer bereits ISO 27001 umgesetzt hat, profitiert doppelt. Viele Controls überlappen sich zwischen ISO 27001, ISO 42001 und AI Act:

• Access Control
• Change Management
• Incident Response
• Supplier Management
• Risk Management (Grundlage)
• Awareness & Training

Praktischer Aufwand-Spareffekt bei bestehender ISO 27001:

• Ohne ISO 27001: ISO 42001 ≈ 18.000 € (KMU)
• Mit ISO 27001: ISO 42001 ≈ 11.000 € (40 % weniger)

Die häufigsten Missverständnisse

„AI Act gilt nur für Tech-Unternehmen“

Falsch. Jedes Unternehmen, das KI nutzt (auch ChatGPT im Marketing), fällt unter den AI Act. AI-Literacy-Pflicht greift generell.

„ISO 42001 brauche ich nur, wenn ich KI entwickle“

Falsch. ISO 42001 ist auch für Betreiber relevant — das AIMS regelt, wie man KI systematisch nutzt.

„Der AI Act ist noch nicht in Kraft“

Falsch. Er trat 1. August 2024 in Kraft. Verbote und AI-Literacy-Pflicht gelten seit 2. Februar 2025. Hochrisiko-Pflichten ab August 2026.

„ISO 42001 ersetzt den AI Act“

Falsch. ISO 42001 ist freiwillig, der AI Act ist Gesetz. Eine ISO 42001-Zertifizierung befreit nicht von AI Act-Pflichten — sie hilft aber, diese zu erfüllen.

„Wir können warten, bis Standards klarer sind“

Gefährlich. Der AI Act ist bereits verbindlich. Wer AI-Literacy oder Transparenzpflichten nicht erfüllt, riskiert schon heute Bußgelder.

Zeitplan: Was bis wann machen?

Für ein typisches Mittelstandsunternehmen ohne bestehendes AIMS:

Unsere Empfehlung

Für die überwältigende Mehrheit der Mittelstandsunternehmen:

1. AI Act ist Pflicht. Mindestens AI-Literacy (Art. 4) und Transparenzpflichten (Art. 50). Sofort umsetzen.
2. ISO 42001 bei spezifischen Treibern: B2B-Kundenanforderung, Hochrisiko-KI, internationale Ausrichtung. Dann zertifizieren.
3. Parallel denken: Wenn beides relevant ist, kombinieren Sie die Einführung. Spart 30-40 % Kosten.

Fazit: Ihre nächsten Schritte

Drei konkrete Schritte:

1. EU AI Act Check: Der EU AI Act Check (3 Min) zeigt, welche Pflichten für Ihr Unternehmen gelten.
2. ISO 42001 Check: Der ISO 42001 AIMS-Check (3 Min) klärt, ob sich eine Zertifizierung für Sie lohnt.
3. Leitfäden lesen: Unser EU AI Act Leitfaden und ISO 42001 Leitfaden (je 18 Seiten PDF) erklären beide Regelwerke detailliert.

KI-Governance ist kein Hype — sie ist ein Wettbewerbsthema. Unternehmen, die strukturiert agieren, gewinnen B2B-Aufträge, reduzieren Haftungsrisiken und bauen Vertrauen bei Kunden + Aufsicht auf. Wer wartet, verpasst den Startvorteil.