Zum Inhalt springen

Leistungen

Der KI-Auditor begleitet mittelständische Unternehmen bei ISO/IEC 42001 (KI-Managementsystem), ISO/IEC 27001 (Informationssicherheit) und EU-AI-Act-Readiness: Gap-Analyse, Aufbau und internes Audit. Zusätzlich buchbar sind unabhängige Lieferanten- und Second-Party-Audits, in Deutschland und weltweit. Die offizielle Zertifizierung selbst spricht stets eine akkreditierte Zertifizierungsstelle aus.

Ich mache Ihre KI prüfbar und Ihre Informationssicherheit belastbar, von der ersten Standortbestimmung bis zur Zertifizierungsreife.

Für wen ich arbeite

Mein Schwerpunkt ist der produzierende Mittelstand, Zerspanung, Metall- und Maschinenbau, Industrie und industrienahe Dienstleister. Also Unternehmen, die KI im realen Betrieb einsetzen und gegenüber Kunden, Lieferketten oder dem EU AI Act nachweisen müssen, dass sie sie im Griff haben. Ich spreche die Sprache der Fertigung, weil ich selbst eine führe und übertrage genau diese Praxis auf ISO 42001, ISO 27001 und den AI Act.

ISO/IEC 42001, KI-Managementsystem

Der weltweit erste Standard für verantwortungsvolle KI. Als Senior Lead Auditor und Senior Lead Implementer (PECB) baue ich Ihr AI-Management-System auf und prüfe es, von der Gap-Analyse bis zur Zertifizierungsreife.

  • Gap-Analyse gegen ISO/IEC 42001
  • Aufbau des AIMS (Risiken, Rollen, Kontrollen)
  • Internes Audit & Managementbewertung
  • Vorbereitung auf die Zertifizierung
Mehr zu ISO/IEC 42001

ISO/IEC 27001, Informationssicherheit

Das Fundament jeder seriösen KI-Governance: ein belastbares ISMS. Ich begleite Aufbau, interne Audits und die Vorbereitung auf die Zertifizierung nach ISO/IEC 27001.

  • ISMS-Gap-Analyse & Statement of Applicability
  • Risikobehandlung nach Annex A (2022)
  • Internes Audit nach ISO 19011
  • Schnittstelle zu ISO 42001 & EU AI Act
Mehr zu ISO/IEC 27001

EU AI Act, Readiness & Klassifizierung

Verbotene Praktiken, Hochrisiko-Systeme, Transparenzpflichten: Ich ordne Ihre KI-Anwendungen ein und zeige, was bis wann zu tun ist.

  • Risiko-Klassifizierung Ihrer KI-Systeme
  • Pflichten-Mapping (Art. 50, Anhang III)
  • Brücke zu ISO 42001 als Nachweis
  • Fahrplan mit Fristen
Mehr zu EU AI Act

KI-Entscheidungsberatung für Führungskräfte

Sie müssen über KI entscheiden, ohne selbst KI-Experte zu sein? Ich berate Geschäftsführung und Führungskräfte unabhängig: wo KI sich lohnt, wo sie zum Risiko wird und was ISO/IEC 42001 und der EU AI Act von Ihnen als Leitung verlangen. Klartext statt Hype, aus der Geschäftsführer-Perspektive.

  • KI-Strategie & Use-Case-Priorisierung
  • Governance- & Verantwortungsfragen (wer prüft, wer haftet)
  • ISO/IEC 42001 & EU AI Act für die Leitungsebene eingeordnet
  • Sparring vor Investitions- & Anbieterentscheidungen
Unverbindliches Erstgespräch

Auch einzeln buchbar

Externe Lieferanten- & Second-Party-Audits

Sie müssen einen Lieferanten oder Standort auditieren, haben aber keine eigene Kapazität, oder brauchen einen unabhängigen Auditor mit Fertigungspraxis? Ich übernehme Lieferanten- und Second-Party-Audits als eigenständige Leistung, in Deutschland und weltweit, vor Ort oder remote.

  • Lieferanten- & Second-Party-Audits (2nd Party)
  • Gegen ISO 42001 / 27001 oder Ihre eigenen Vorgaben
  • Vor Ort oder remote, Sie entscheiden
  • Klarer Auditbericht mit Findings & Maßnahmen
  • Auch international, Audit-Erfahrung in mehreren Ländern
  • Auditor mit Stallgeruch: ich kenne die Fertigung von innen

Zur Einordnung: Die offizielle Zertifizierung darf nur eine akkreditierte Zertifizierungsstelle vergeben. Bei einem Lieferanten- oder Second-Party-Audit geht es um etwas anderes, um ein Audit in Ihrem Auftrag, mit dem Sie Ihre Lieferanten oder Ihre eigenen Prozesse unabhängig prüfen lassen.

Warum ich?

ISO/IEC 42001 ist eine internationale Norm, meine PECB-Qualifikation ist global anerkannt, und ich war nicht nur theoretisch im Ausland: Ich habe in mehreren Ländern auditiert und eine Fertigung im Ausland mit aufgebaut. Weil ich als Geschäftsführer selbst auf der auditierten Seite saß, weiß ich, wie ein Managementsystem im echten Betrieb funktionieren muss, nicht nur auf dem Papier. Das ist der Unterschied zwischen einem Bericht und einem Ergebnis.

Vor Ort auditiert in

NiederlandeGroßbritannien (Schottland)KroatienSerbienTürkei

… dazu Deutschland als Basis.

Effizient umgesetzt

Weniger Aufwand, weniger Kosten

Zwei Normen, ein Projekt

ISO 42001 und ISO 27001 teilen sich Grundstruktur, Risikologik und einen großen Teil der Nachweise. Wer beide gemeinsam angeht oder auf einem bestehenden ISMS aufsetzt –, muss Grundstruktur und Nachweise nicht doppelt aufbauen; das reduziert den Zusatzaufwand oft deutlich. Eine belastbare Schätzung erfolgt nach der Gap-Analyse. Genau das plane ich von Anfang an mit ein.

Werkzeugneutral, kein Tool-Zwang

Ich verkaufe Ihnen keine Software, an die Sie sich binden. Ihr Managementsystem läuft mit den Werkzeugen, die Sie schon haben, von der Tabelle bis zur GRC-Plattform. Sie behalten die Hoheit über Ihre Daten, Ihre Prozesse und Ihre laufenden Kosten.

Oft förderfähig

Beratungs- und Umsetzungsleistungen rund um Digitalisierung und KI sind für den Mittelstand häufig förderfähig, etwa über die bundesweite BAFA-Förderung „Unternehmensberatung" (noch bis Ende 2026) oder Landesprogramme wie den Digitalbonus Bayern oder MID NRW. Was in Ihrem Bundesland möglich ist, klären wir im kostenlosen Erstgespräch. Mehr zu Kosten & Förderung

Ihr Vorteil

Was Sie hier bekommen und woanders selten

Senior Lead Auditor persönlich

Kein Junior-Team, das auf Ihrem Projekt lernt: Sie arbeiten direkt mit mir. Die Senior-Stufe vergibt PECB erst ab 1.000+ nachgewiesenen Audit-Stunden und mindestens sieben Jahren Fachpraxis.

Doppelkompetenz: bauen und auditieren

Ich baue Managementsysteme auf UND prüfe sie als Auditor, Sie kaufen beides in einer Person. So entsteht von Anfang an ein System, das im externen Audit besteht.

Geschäftsführer-Perspektive

Ich saß selbst auf der auditierten Seite und führe eine Fertigung. Ich kenne den Druck des Tagesgeschäfts und baue Systeme, die den Betrieb entlasten statt lähmen.

Neutral, freie Wahl der Stelle

Keine Bindung an eine Zertifizierungsstelle: Sie wählen die Stelle frei, und meine Empfehlungen sind ausschließlich Ihren Interessen verpflichtet.

Sieben Jahre KI-Praxis

Sieben Jahre KI-Praxis, von eigener KI-/ERP-Entwicklung bis KI-Governance. Ich rede nicht nur über KI, ich habe sie selbst gebaut und betrieben.

Schlank & KI-gestützt

Weniger Beratertage für dasselbe Ergebnis: Ich arbeite KI-gestützt und ohne Wasserkopf. Das senkt Ihre Investition und Beratungsleistungen sind oft förderfähig.

Pakete & Ablauf

Drei Schritte, ein klarer Weg

Jedes Paket baut auf dem vorigen auf, Sie können auch nur mit der Standortbestimmung starten. Die Investition ist projektindividuell und oft förderfähig (z. B. BAFA). Richtwerte zur Größenordnung finden Sie im Kosten-Artikel; den verbindlichen Festpreis bekommen Sie nach dem kostenlosen Erstgespräch, keine Mondzahl.

01

Standortbestimmung

Wo stehen Sie wirklich?

ca. 2–4 Wochen

Bestandsaufnahme gegen ISO 42001 / ISO 27001 und Einordnung Ihrer KI-Anwendungen nach EU AI Act.

Sie erhalten

  • Gap-Analyse-Bericht
  • Risikoeinordnung Ihrer KI-Anwendungen
  • Priorisierter Maßnahmenplan

Festpreis nach kostenlosem Erstgespräch

02

Aufbau & Readiness

Vom Befund zum funktionierenden System

ca. 1–3 Monate

Aufbau des Managementsystems, das im Betrieb trägt, Leitlinien, Rollen, Risikobeurteilung und Kontrollen.

Sie erhalten

  • AIMS-/ISMS-Grundgerüst
  • Leitlinien & Verfahren
  • Risikobeurteilung & Kontrollen
  • Schulung Ihrer Verantwortlichen

Festpreis nach kostenlosem Erstgespräch

03

Zertifizierungsreife

Ohne Überraschungen ins externe Audit

bis zum Zertifizierungsaudit

Internes Audit wie die Zertifizierungsstelle, Korrekturmaßnahmen und Vorbereitung auf das externe Audit.

Sie erhalten

  • Internes Audit-Protokoll
  • CAPA-/Maßnahmen-Tracking
  • Management-Review-Vorlage
  • Begleitung Stage 1 / Stage 2

Festpreis nach kostenlosem Erstgespräch

Was Sie konkret bekommen

So sehen meine Ergebnisse aus

Keine PowerPoint-Wolken, sondern prüffähige Artefakte. Einige können Sie sofort als kostenlose Vorlage ausprobieren; im Projekt entstehen sie auf Ihr Unternehmen zugeschnitten.Hinweis: Muster zur Veranschaulichung, kein Kundenmaterial.

KI-System-Verzeichnis

Alle KI-Anwendungen mit Zweck, Datenarten, EU-AI-Act-Risikoklasse und Verantwortlichen.

Vorlage ausfüllen

KI-Leitlinie

Grundsätze, Rollen, Risiko- & Folgenabschätzung, Transparenz, AI Literacy.

Muster ansehen

AI Impact Assessment

Strukturierte Folgenabschätzung eines KI-Systems, inklusive DSGVO-Hinweis.

Muster ansehen

Audit-Vorbereitungs-Checkliste

12 Punkte, die vor jedem ISO-42001-/27001-Audit sitzen müssen.

Vorlage ausfüllen

Gap-Analyse-Bericht

Wo Sie heute gegenüber ISO 42001 / 27001 stehen, mit priorisiertem Maßnahmenplan.

Im Projekt

Internes Audit-Protokoll & CAPA

Auditbericht wie die Zertifizierungsstelle, plus Korrekturmaßnahmen-Tracking.

Im Projekt

Branchen-Fokus

Von der Werkstatt bis zur Luftfahrt

Mein Hintergrund reicht von Präzisionsfertigung, Metall- und Maschinenbau über die Industrie bis in die Luft- und Raumfahrt. Diese Praxis übertrage ich branchenspezifisch auf ISO 42001, ISO 27001 und den EU AI Act, mit echtem Stallgeruch statt Lehrbuch. Ein paar Beispiele:

Häufige Fragen

Was ist ISO/IEC 42001 und brauche ich das wirklich?+

ISO/IEC 42001 ist die erste internationale Norm für KI-Managementsysteme (AIMS). Sie hilft, KI verantwortungsvoll, nachvollziehbar und rechtssicher zu betreiben und ist der praktische Nachweis, dass Sie Ihre KI im Griff haben. Spätestens mit dem EU AI Act wird genau dieser Nachweis zum Wettbewerbsvorteil.

Wie hängen ISO 42001, ISO 27001 und der EU AI Act zusammen?+

ISO 27001 sichert Ihre Informationen (das Fundament). ISO 42001 setzt darauf auf und regelt den verantwortungsvollen Umgang mit KI. Der EU AI Act ist das Gesetz und ein nach ISO 42001 aufgebautes System ist ein bewährter, strukturierter Weg, seine Pflichten nachweisbar zu erfüllen.

Können Sie auch zertifizieren?+

Die Zertifizierung selbst spricht immer eine akkreditierte Zertifizierungsstelle aus, aus Gründen der Unabhängigkeit. Ich bringe Sie als ISO/IEC 42001 Senior Lead Auditor dorthin: Gap-Analyse, Aufbau, internes Audit. So gehen Sie ohne Überraschungen ins externe Zertifizierungsaudit.

Bieten Sie auch Lieferanten- oder Second-Party-Audits an?+

Ja. Lieferanten- und Second-Party-Audits können Sie als eigenständige Leistung buchen, in Deutschland und weltweit, vor Ort oder remote. Ich prüfe gegen ISO 42001 / 27001 oder Ihre eigenen Vorgaben und liefere einen klaren Auditbericht mit Findings und Maßnahmenempfehlungen. Das ist besonders sinnvoll, wenn Ihr eigenes Team keine Kapazität hat oder Sie einen unabhängigen Auditor mit Fertigungspraxis brauchen. Akkreditierte Zertifizierungsaudits bleiben davon unberührt, die spricht eine akkreditierte Zertifizierungsstelle aus.

Wie läuft ein Lieferanten- oder Second-Party-Audit bei Ihnen ab?+

In drei Schritten: Erstens stimmen wir Ziel, Umfang und Kriterien ab (welche Norm oder welche eigenen Vorgaben, welche Standorte, welche Prozesse) und ich erstelle einen Auditplan. Zweitens führe ich das Audit durch, vor Ort oder remote, mit Dokumentenprüfung, Interviews und Vor-Ort-Beobachtung. Drittens erhalten Sie einen nachvollziehbaren Auditbericht mit Findings, Risikoeinordnung und konkreten Maßnahmenempfehlungen. Auf Wunsch begleite ich auch die Nachverfolgung der Korrekturmaßnahmen.

Was ist der Unterschied zwischen einem Second-Party-Audit und einem Zertifizierungsaudit?+

Ein Second-Party-Audit ist ein Audit „durch eine interessierte Partei“, typischerweise prüfen Sie als Kunde einen Lieferanten in Ihrem Auftrag. Ein Zertifizierungsaudit (Third Party) führt dagegen eine akkreditierte Zertifizierungsstelle durch und mündet in ein offizielles Zertifikat. Beides hat seinen Platz: Das Second-Party-Audit gibt Ihnen schnell und unabhängig Sicherheit über einen Lieferanten oder Standort, ohne dass dieser dafür zertifiziert sein muss.

Für welche Unternehmen lohnt sich das?+

Für den Mittelstand, der KI ernsthaft einsetzt, in Fertigung, Verwaltung, Vertrieb. Wenn KI Entscheidungen beeinflusst, Kundendaten verarbeitet oder Sie gegenüber Auftraggebern Nachweise erbringen müssen, lohnt sich ein sauberes Managementsystem.

Erst ISO 27001 oder erst ISO 42001?+

Beides geht. Ein belastbares Informationssicherheits-Managementsystem (ISO 27001) ist ein gutes Fundament, aber kein zwingender Vorläufer für ISO 42001. Oft lohnt es sich, beide gemeinsam zu betrachten und doppelte Arbeit zu sparen. Im Erstgespräch klären wir die für Sie sinnvolle Reihenfolge.

Wie groß muss mein Unternehmen sein?+

Es gibt keine Mindestgröße. Entscheidend ist, dass Sie KI einsetzen oder einführen und Verantwortung dafür übernehmen wollen. Der Ansatz ist auf den Mittelstand zugeschnitten, pragmatisch und ohne Konzern-Overhead.

Was kostet ISO 42001 und gibt es Förderung?+

Das lässt sich seriös erst nach einer kurzen Bewertung sagen, deshalb steht am Anfang das kostenlose Erstgespräch und, wenn sinnvoll, eine Standortbestimmung. Danach bekommen Sie einen klaren Preis, keine Mondzahl. Dank schlanker, KI-gestützter Arbeitsweise bleibt der Aufwand gering; und Beratungsleistungen sind häufig förderfähig (z. B. BAFA-Unternehmensberatung, Landesprogramme). Wer vorab die marktüblichen Größenordnungen einordnen möchte, findet sie im Wissens-Artikel „Was kostet ISO 42001?“.

Wie halten Sie Vertraulichkeit und Interessenkonflikte sauber?+

Mit klaren Regeln. Eine Vertraulichkeitsvereinbarung (NDA) ist auf Wunsch Standard, sprechen Sie es einfach an. Mögliche Interessenkonflikte, etwa eine Wettbewerbernähe zu meiner eigenen Fertigung, lege ich vor Auftragsannahme offen, damit Sie entscheiden können. Auditberichte und Ergebnisse gehen ausschließlich an Sie als Auftraggeber. Und Beratung und akkreditierte Zertifizierung bleiben strikt getrennt: Das offizielle Zertifikat spricht immer eine unabhängige, akkreditierte Zertifizierungsstelle aus.