Zum Inhalt springen

Wissen

Klartext zu Audit, KI-Governance & Compliance

Wie ein Audit funktioniert, was ISO 42001 und 27001 verlangen und welche EU-AI-Act-Fristen kommen, ohne Fachchinesisch, mit Blick auf das, was im Mittelstand wirklich zählt. Selected articles in English.

ISO 42001 & KI-Governance

Was die KI-Norm verlangt und wie ein KI-Managementsystem im Mittelstand entsteht.

Zu Audit & Beratung
ISO 42001 8 Min.

Welche Dokumente braucht ISO 42001? Die rund 20 Dokumente im Überblick

ISO/IEC 42001 verlangt keinen Papierberg, sondern rund 20 echte Dokumente, gegliedert in Richtlinien, Verfahren und Nachweise und der jeweiligen Norm-Klausel zugeordnet. Der komplette, prüffähige Überblick.

Weiterlesen
ISO 42001 8 Min.

ISO 42001: kein Papierkrieg, wenn Sie Verantwortung verstehen

ISO 42001 klingt nach Aktenordner. Ist sie aber nicht, wenn Sie die Norm als gelebte Verantwortung begreifen statt als Papier. Aus der Auditor-Praxis.

Weiterlesen
ISO 42001 6 Min.

Der KI-Beauftragte: Braucht Ihr Unternehmen eine eigene Rolle für KI-Governance?

Anders als beim Datenschutzbeauftragten schreibt kein Gesetz einen „KI-Beauftragten“ vor. Warum die Rolle trotzdem fast immer sinnvoll ist und was EU AI Act und ISO 42001 zu Verantwortlichkeiten wirklich verlangen.

Weiterlesen
ISO 42001 6 Min.

Die ISO-42001-Familie im Überblick: Welche Normen zusammengehören

ISO 42001 steht nicht allein. Wie 42005, 42006, 23894, 22989 und 38507 zusammenspielen und welche Norm welche Frage beantwortet. Orientierung im KI-Normen-Dschungel.

Weiterlesen
ISO 42001 7 Min.

KI-Risikomanagement, Impact Assessment und DPIA, wie KI-Folgen bewertet werden

Wie man KI-Risiken systematisch bewertet (ISO 23894), worin sich ein AI Impact Assessment vom klassischen Risikomanagement unterscheidet und wann es mit der DSGVO-DPIA zusammenfällt.

Weiterlesen
ISO 42001 6 Min.

Annex A & Statement of Applicability: Welche Kontrollen Sie brauchen

Was der Kontroll-Anhang (Annex A) der ISO 42001 leistet, was ein Statement of Applicability ist und warum dieses Dokument zum wichtigsten Wegweiser im Audit wird.

Weiterlesen
Managementsysteme 5 Min.

ISO 42001 vs. ISO 27001: Warum KI-Governance auf Informationssicherheit aufbaut

ISO 42001 und ISO 27001 ergänzen sich. Wie sich KI-Managementsystem und Informationssicherheits-Managementsystem unterscheiden, überlappen und sinnvoll kombinieren lassen.

Weiterlesen
ISO 42001 7 Min.

ISO/IEC 42001 erklärt: Was der KI-Standard für den Mittelstand bedeutet

ISO/IEC 42001 ist die erste internationale Norm für KI-Managementsysteme. Was dahintersteckt, wer sie braucht und wie der Einstieg gelingt, praxisnah erklärt.

Weiterlesen

EU AI Act & Recht

Pflichten, Fristen und Risikoklassen des EU AI Act, eingeordnet für den Betrieb.

AI-Act-Einordnung
Recht & Normen 8 Min.

Diktiersoftware und DSGVO: worauf es wirklich ankommt

Cloud-Diktat schickt vertrauliche Aufnahmen auf fremde Server. Was das für Kanzleien und Praxen bedeutet, was § 203 StGB verlangt und wann lokal besser ist.

Weiterlesen
Recht & Normen 8 Min.

Der USB-Stick an der Pforte: Security-Awareness im Mittelstand

Social Engineering kostet fast nichts und richtet Millionenschäden an. Warum Security-Awareness der günstigste Schutzwall ist, und was ISO 27001 fordert.

Weiterlesen
Recht & Normen 8 Min.

Vendor Lock-in: Wenn Sie nicht Herr Ihrer Daten sind

Fremde Update-Zyklen, Sperrfristen, Ausstiegskosten: Vendor Lock-in macht Mittelständler abhängig. Wie Sie Herr Ihrer Daten und Ihrer Resilienz bleiben.

Weiterlesen
Recht & Normen 7 Min.

Seriöse KI-Berater erkennen: erst das Impressum prüfen

Gerade nennt sich halbe Welt KI-Berater. Der ehrlichste Test kostet zwei Minuten: Steht im Impressum noch das alte TMG statt dem DDG, hat jemand seinen eigenen KI-Output nicht geprüft.

Weiterlesen
Recht & Normen 6 Min.

Cyber Resilience Act: Was Geräte- und Maschinenhersteller jetzt wissen müssen

Der Cyber Resilience Act verpflichtet Hersteller von Produkten mit digitalen Elementen EU-weit zu Cybersicherheit über den Lebenszyklus. Wen er betrifft, welche Fristen gelten und warum ISO 27001 die naheliegende Grundlage ist.

Weiterlesen
EU AI Act 6 Min.

Prompt Injection lässt sich nicht wegpatchen, nur eingrenzen

Prompt Injection ist kein Bug, sondern ein architektonischer Schwachpunkt von Sprachmodellen. Was das für KI-Agenten und die KI-Lieferkette heißt und wie Sie das Risiko mit ISO 27001, ISO 42001 und dem EU AI Act eingrenzen.

Weiterlesen
EU AI Act 6 Min.

AI Act verschoben: Was der Digital Omnibus auf 2027 wirklich bedeutet

Die EU streckt den AI Act über den Digital Omnibus: Hochrisiko-Pflichten verschieben sich auf Dezember 2027, KI in Produkten auf August 2028. Was bleibt, was nur gestreckt wird und warum „verschoben" nicht „erledigt" heißt.

Weiterlesen
EU AI Act 6 Min.

Macht ISO 42001 mich AI-Act-konform? Harmonisierte Normen erklärt

ISO/IEC 42001:2023 ist die beste Vorbereitung auf den EU AI Act, aber kein Rechts-Freibrief. Warum die Vermutungswirkung nur über harmonisierte EN-Normen (EN 18286) entsteht und was das praktisch bedeutet.

Weiterlesen
EU AI Act 7 Min.

EU AI Act und ISO 42001: das Mapping der Pflichten

Welche Pflicht des EU AI Act welche ISO/IEC-42001-Anforderung erfüllt, die Crosswalk-Tabelle, die zeigt, wie ein KI-Managementsystem den AI Act nachweisbar bedient.

Weiterlesen
EU AI Act 7 Min.

KI-Agenten absichern: Agentic AI nach ISO 42001, ISO 27001 und EU AI Act

Agentic AI, KI-Agenten, die selbst planen und handeln, braucht eigene Sicherheits- und Governance-Leitplanken. Wie Sie Identität, Eingaben, Aktionen und Aufsicht von KI-Agenten absichern und sauber auf ISO/IEC 42001, ISO/IEC 27001 und den EU AI Act mappen.

Weiterlesen
EU AI Act 6 Min.

KI-Inhalte kennzeichnen: Was der neue EU-Code-of-Practice für den Mittelstand bedeutet

Die EU-Kommission hat den Code of Practice zur Kennzeichnung KI-generierter Inhalte veröffentlicht. Was ab dem 2. August 2026 gilt und was Betreiber jetzt tun sollten.

Weiterlesen
Recht & Normen 9 Min.

AI-Act-Hochrisiko-Selbstcheck: Ist meine KI wirklich hochriskant?

Hochrisiko-KI ist die Ausnahme, nicht die Regel. Mit diesem Selbstcheck ordnen Sie Ihre KI nach EU AI Act korrekt in die richtige Risikoklasse ein.

Weiterlesen
Recht & Normen 9 Min.

NIS2 und ISO 27001: Wie der Mittelstand die Pflicht beherrschbar macht

NIS2 trifft viele Mittelständler und Zulieferer. Warum ein ISMS nach ISO 27001 das stärkste Fundament ist und aus der Pflicht einen Vorteil macht.

Weiterlesen
EU AI Act 6 Min.

AI Literacy: Die KI-Kompetenz-Pflicht nach Art. 4 EU AI Act

Seit 2. Februar 2025 müssen Unternehmen für ausreichende KI-Kompetenz ihrer Mitarbeitenden sorgen (Art. 4 EU AI Act). Was das konkret heißt, wen es betrifft und wie Sie die Pflicht pragmatisch erfüllen.

Weiterlesen
EU AI Act 6 Min.

EU AI Act: Diese Fristen kommen auf Ihr Unternehmen zu

Der EU AI Act gilt gestaffelt und der Digital Omnibus (7. Mai 2026) verschiebt die Hochrisiko-Fristen. Welche Pflichten ab wann greifen, welche Risikoklassen es gibt und warum AI-Literacy schon heute gilt.

Weiterlesen

Audit-Praxis

Wie Audits wirklich ablaufen, von Findings bis Zertifizierungsaudit, aus erster Hand.

Lieferanten- & Second-Party-Audits
Audit-Praxis 6 Min.

Warum Kunden bald ISO 42001 von KI-Lieferanten verlangen

ISO/IEC 42001 wird zum Auswahlkriterium für KI-Anbieter. Was das für Ihre Beschaffung und Lieferkette heißt und wie Sie KI-Lieferanten gegen die Norm prüfen, bevor Ihre Kunden den Nachweis von Ihnen verlangen.

Weiterlesen
Audit-Praxis 5 Min.

ISO 42001 Gap-Analyse: Ablauf, Dauer und Ergebnis

Was eine ISO-42001-Gap-Analyse ist, wie sie abläuft, wie lange sie dauert und was am Ende herauskommt, der erste, risikoärmste Schritt zur Zertifizierungsreife.

Weiterlesen
Audit-Praxis 7 Min.

Wie lange dauert die ISO-42001-Einführung? Ein realistischer Zeitplan

Von der Gap-Analyse bis zur Zertifizierungsreife: ein realistischer Wochen-Zeitplan für die ISO-42001-Einführung im Mittelstand, mit den Faktoren, die wirklich über die Dauer entscheiden.

Weiterlesen
Audit 9 Min.

Second-Party-Audit: Wie Sie Lieferanten und Dienstleister selbst prüfen

Second-Party-Audit erklärt: Wann Sie Lieferanten und Auftragsverarbeiter selbst prüfen sollten, wie es abläuft und warum das Ihre Lieferkette absichert.

Weiterlesen
Audit-Praxis 8 Min.

Wenn ein Update Ihre Rechnungen ändert: ein GoBD-Risiko

Ein Software-Update verschickt vier finale Rechnungen neu, inhaltlich verändert. Warum das die GoBD-Unveränderbarkeit gefährdet und wer dafür geradesteht.

Weiterlesen
Audit-Praxis 8 Min.

Beratung, internes Audit, Third-Party-Audit: Wer prüft was?

Drei Audit-Rollen, drei verschiedene Aufträge. Wann braucht der Mittelstand Beratung, internes Audit oder Third-Party-Audit und warum die Vermischung gefährlich ist.

Weiterlesen
Audit-Praxis 8 Min.

Was ein ISO-42001-Audit wirklich prüft (und was nicht)

Ein ISO-42001-Audit prüft nicht Ihre Technik. Es prüft, ob jemand Verantwortung trägt, Risiken kennt und Nachweise hat. Was ein Auditor wirklich sehen will, aus der Praxis eines Senior Lead Auditors.

Weiterlesen
Audit-Praxis 7 Min.

Wie funktioniert ein Audit? Die 7 Prinzipien und der Audit-Lebenszyklus

Was ein Audit wirklich ist, welche sieben Prinzipien jeden Auditor leiten (ISO 19011) und wie ein Audit Schritt für Schritt abläuft, von der Planung bis zum Follow-up.

Weiterlesen
Audit-Praxis 7 Min.

Wie läuft ein externes Zertifizierungsaudit ab? Stage 1 und Stage 2

Vom Vertrag mit der Zertifizierungsstelle bis zum Zertifikat: Wie das zweistufige Zertifizierungsaudit (Stage 1 und Stage 2) abläuft, was geprüft wird und wer am Ende entscheidet.

Weiterlesen
Audit-Praxis 6 Min.

Findings verstehen: Hauptabweichung, Nebenabweichung, Beobachtung

Was Auditfeststellungen bedeuten, von der Hauptabweichung bis zum Verbesserungspotenzial und wie Sie mit Korrektur, Ursachenanalyse und Wirksamkeitskontrolle richtig darauf reagieren.

Weiterlesen
Audit-Praxis 5 Min.

Nach dem Zertifikat: Überwachungs- und Re-Zertifizierungsaudit

Ein ISO-Zertifikat ist kein Einmal-Ereignis, sondern ein Drei-Jahres-Zyklus. Wie Überwachungsaudits und die Re-Zertifizierung funktionieren und wann ein Zertifikat ausgesetzt werden kann.

Weiterlesen
Audit-Praxis 6 Min.

Internes Audit & Managementbewertung, die unterschätzte Pflicht

Jedes Managementsystem verlangt internes Audit und Managementbewertung. Was beide leisten, warum die Zertifizierungsstelle sie zuerst prüft und wie sie zum Motor der Verbesserung werden.

Weiterlesen

Grundlagen & Einstieg

Die Begriffe hinter Normen, Managementsystemen und KI-Audits, verständlich erklärt.

Selbst Auditor werden
Grundlagen 8 Min.

Whisper lokal nutzen: Spracherkennung ohne die Cloud

Spracherkennung, die den Rechner nie verlässt: Was das Open-Source-Modell Whisper lokal wirklich leistet, welche Hardware es braucht und wo die Grenzen liegen.

Weiterlesen
Grundlagen 8 Min.

Automatisieren statt neu bauen: ein Rechnungslauf als Praxisfall

Zwei Personentage pro Monat für die Rechnungsstellung, und der Reflex sagt: neues System kaufen. Ein Praxisfall zeigt den günstigeren Weg: vorhandene Werkzeuge verbinden, Kontrolle einbauen.

Weiterlesen
Grundlagen 9 Min.

Was ist ein KI-Auditor? Definition, Aufgaben, Abgrenzung

Was ein KI-Auditor als Dienstleistung wirklich tut: Definition der Rolle, Aufgaben, die drei häufigsten Audit-Arten und die saubere Abgrenzung zu Zertifizierungsstelle und KI-Berater.

Weiterlesen
Grundlagen 8 Min.

Sichtbarkeit ist Vertrieb: SEO und GEO für den Mittelstand

Die beste Kompetenz nützt nichts, wenn niemand Sie findet. Wie SEO und GEO den Mittelstand sichtbar machen, ohne Tricks, mit echter Substanz.

Weiterlesen
Grundlagen 8 Min.

Eigenes KI-Tool bauen statt kaufen: Chancen und Grenzen

KI-gestützte Entwicklung macht eigene Tools erschwinglich. Aber ohne Sicherheit, Tests und Datenarchitektur baut man sich ein Risiko. Ein Auditor ordnet ein.

Weiterlesen
Grundlagen 7 Min.

KI-Hype erkennen: Substanz von Show unterscheiden

LinkedIn ist voll von KI-Experten mit präzisen Zahlen und fertigen Tools. Wie Sie in zwei Minuten erkennen, ob hinter dem Auftritt Substanz steckt oder nur gut verpackte Luft.

Weiterlesen
Grundlagen 7 Min.

Theoretisch ja, praktisch nein: der häufigste KI-Einwand

Theoretisch ja, praktisch nein, bei uns ist jeder Auftrag anders. Warum dieser Einwand gegen Automatisierung fast nie an der Technik liegt und wie die Reihenfolge aussieht: erst Prozess, dann Tool, dann KI.

Weiterlesen
Grundlagen 7 Min.

PECB, TÜV oder IRCA: Welches Auditor-Zertifikat ist international anerkannt?

PECB, TÜV und IRCA im Vergleich: Was eine akkreditierte Personenzertifizierung nach ISO/IEC 17024 von einem reinen Teilnahme- oder Hauszertifikat unterscheidet und worauf es für die internationale Anerkennung ankommt.

Weiterlesen
Grundlagen 8 Min.

Lead Implementer oder Lead Auditor? Welcher ISO-Weg zu dir passt

Lead Implementer baut das Managementsystem auf, Lead Auditor prüft es. Welcher PECB-Weg (ISO 42001 / 27001) zu dir passt und warum beides zusammen am stärksten ist.

Weiterlesen
Grundlagen 9 Min.

Wie werde ich KI-Auditor? Der realistische Weg 2026

Ein Zertifikat allein macht keinen KI-Auditor. Was du wirklich brauchst, Schulung, Stunden, Stallgeruch. Aus der Praxis eines Senior Lead Auditors.

Weiterlesen
Grundlagen 6 Min.

Was ist eine ISO-Norm und was ein Managementsystem?

ISO-Norm, Managementsystem, Annex SL, PDCA, verständlich erklärt. Was hinter Begriffen wie „DIN EN ISO“ steckt und warum sich Normen wie 9001, 27001 und 42001 so ähneln.

Weiterlesen
Grundlagen 6 Min.

Akkreditierung, Zertifizierung, Audit, wer darf eigentlich was?

DAkkS, Zertifizierungsstelle, Lead Auditor, interner Auditor, Berater: Wer welche Rolle im Zertifizierungssystem spielt und warum Beratung und Zertifizierung getrennt sein müssen.

Weiterlesen

Branche & Kosten

Was Audits und Managementsysteme im produzierenden Mittelstand kosten und bringen.

Readiness-Check starten
Kosten & Förderung 8 Min.

Was darf KI-Beratung kosten? Make-or-Buy ehrlich gerechnet

Mehrere zehntausend Euro für einen einzigen automatisierten Prozess, oder selbst bauen? Wie Sie die Make-or-Buy-Frage bei KI ehrlich rechnen, statt für die Lernkurve eines Beraters zu zahlen.

Weiterlesen
Kosten & Förderung 6 Min.

Was kostet ein Lieferantenaudit? Tagessätze, Aufwand, Praxis

Was ein Second-Party-/Lieferantenaudit wirklich kostet: realistische Tagessätze, wie viele Audittage Sie brauchen, Reisekosten und wann sich ein externer Auditor gegenüber dem eigenen Team rechnet.

Weiterlesen
Branche 7 Min.

Keine Angst vor KI: Prozesse statt Köpfe im Mittelstand

KI baut im Mittelstand keine Stellen ab, sondern räumt Routine weg. Warum Angst der falsche Reflex ist, wo KI entlastet und wer die Verantwortung trägt.

Weiterlesen
Kosten & Förderung 7 Min.

Was kostet ISO 42001? Ehrliche Zahlen und Förderwege 2026

Beratung, Audit, Zertifikat: Was eine ISO-42001-Einführung im Mittelstand wirklich kostet, mit realistischen Spannen, dem größten versteckten Kostenfaktor und welche Förderung 2026 hilft.

Weiterlesen
Branche 8 Min.

ISO 42001 in der Zerspanung & im Metallbau: KI in der Fertigung im Griff

Wo KI in Zerspanung und Metallbau wirklich steckt, von der Kalkulation bis zur Vision-Qualitätsprüfung und wie ISO/IEC 42001 sie beherrschbar und nachweisbar macht.

Weiterlesen
Branche 8 Min.

KI in der CNC-Fertigung EU-AI-Act-konform einsetzen

Welche Fertigungs-KI ist Hochrisiko und welche nicht? Eine ehrliche Risikoeinordnung für Zerspanung und Metallbau, mit den entscheidenden Ausnahmen.

Weiterlesen