EU AI Act und ISO 42001: das Mapping der Pflichten
Welche Pflicht des EU AI Act welche ISO/IEC-42001-Anforderung erfüllt, die Crosswalk-Tabelle, die zeigt, wie ein KI-Managementsystem den AI Act nachweisbar bedient.
Kurz gesagt
ISO/IEC 42001 ist kein automatischer Nachweis der EU-AI-Act-Konformität, aber der stärkste organisatorische Rahmen, um die Pflichten zu erfüllen und zu belegen. Der AI Act schreibt das Ziel vor (z. B. Risikomanagement nach Art. 9, menschliche Aufsicht nach Art. 14, Transparenz nach Art. 50), ISO 42001 liefert die Struktur dafür über Kapitel 4 bis 10 und Anhang A. Diese Tabelle zeigt die Zuordnung Pflicht für Pflicht.
Eine der häufigsten Fragen im Mittelstand: „Wenn ich ISO 42001 mache, bin ich dann AI-Act-konform?" Die ehrliche Antwort: nicht automatisch, aber ISO/IEC 42001 ist der mit Abstand stärkste organisatorische Rahmen, um die Pflichten des EU AI Act zu erfüllen und das auch zu belegen. Der AI Act sagt, WAS Sie erreichen müssen; ISO 42001 liefert, WIE Sie es geordnet und prüfbar tun.
Die folgende Crosswalk-Tabelle ordnet die zentralen Pflichten für Hochrisiko-KI den passenden ISO-42001-Anforderungen zu (Kapitel 4 bis 10 und Anhang A):
| EU-AI-Act-Pflicht | ISO/IEC 42001 (Kapitel / Anhang A) | Was Sie konkret tun |
|---|---|---|
| Art. 9, Risikomanagement | Kap. 6 + A.5 (Folgenabschätzung) | Laufende KI-Risiko- und Folgenabschätzung über den Lebenszyklus |
| Art. 10, Daten-Governance | A.7 (Daten) | Datenqualität, Herkunft und Bias dokumentiert steuern |
| Art. 11 + Anhang IV, Technische Doku | A.6/A.8 + dokumentierte Information (7.5) | Technische Dokumentation des Systems erstellen und aktuell halten |
| Art. 12, Protokollierung | A.6 (Betrieb & Monitoring) | Automatische Aufzeichnung von Ereignissen (Logging) |
| Art. 14, Menschliche Aufsicht | A.6 | Wirksames Human-Oversight-Konzept mit Eingriffs-/Abschaltmöglichkeit |
| Art. 15, Genauigkeit, Robustheit, Cybersicherheit | A.6 + ISO/IEC 27001 | Tests, Robustheit gegen Angriffe, Informationssicherheit |
| Art. 17, Qualitätsmanagementsystem | Das AIMS selbst (Kap. 4–10) | Der organisatorische Rahmen ist genau dieses Managementsystem |
| Art. 26, Betreiberpflichten | A.9 (akzeptable Nutzung) + A.6 (Aufsicht) | Bestimmungsgemäße Nutzung, Aufsicht, ggf. Grundrechte-Folgenabschätzung |
| Art. 50, Transparenz & Kennzeichnung | A.8 | Chatbots offenlegen, KI-Inhalte/Deepfakes kennzeichnen |
| Art. 72, Beobachtung nach Inverkehrbringen | Kap. 9 + A.6 | Post-Market-Monitoring, Wirksamkeit laufend prüfen |
Warum das mehr ist als eine Tabelle
Der eigentliche Hebel liegt im Wort „nachweisbar". Der AI Act verlangt nicht nur, dass Sie etwas tun, sondern dass Sie es belegen können, im Zweifel gegenüber einer Aufsichtsbehörde. Ein gepflegtes AIMS erzeugt diese Nachweise im Tagesgeschäft: Risikoregister, Folgenabschätzungen, Logs, Aufsichtsprotokolle, interne Audits. Wer ISO 42001 lebt, hat die AI-Act-Dokumentation fast nebenbei.
Was ISO 42001 NICHT leistet
Ehrlich bleibt: ISO 42001 ersetzt keine rechtliche Bewertung und keine Konformitätsbewertung nach AI Act. Die formale Einstufung Ihrer Systeme (verboten, hochriskant, transparenzpflichtig, minimal) und, bei Hochrisiko, das Konformitätsverfahren bleiben eigene Schritte. ISO 42001 ist die Brücke, die diese Schritte trägt und sie wirtschaftlich macht, weil ein Nachweis mehrere Pflichten gleichzeitig erfüllt.
Wo Ihre Systeme stehen, klären wir in der Einordnung, eine erste Orientierung liefert auch der AI-Act-Risikoklassen-Check. Den Rest baut das Managementsystem.
Häufige Fragen
Bin ich mit ISO 42001 automatisch AI-Act-konform?+
Nein, nicht automatisch. ISO/IEC 42001 ist aber der stärkste organisatorische Rahmen, um die Pflichten des EU AI Act (Risikomanagement, Daten-Governance, Transparenz, menschliche Aufsicht u. a.) zu erfüllen und nachweisbar zu machen. Die formale Konformitätsbewertung bei Hochrisiko-Systemen bleibt ein eigener Schritt.
Welche AI-Act-Pflicht deckt welche ISO-42001-Anforderung ab?+
Beispiele: Art. 9 (Risikomanagement) ↔ Kapitel 6 + A.5; Art. 14 (menschliche Aufsicht) ↔ A.6; Art. 50 (Transparenz) ↔ A.8; Art. 10 (Daten-Governance) ↔ A.7. Die vollständige Zuordnung steht in der Crosswalk-Tabelle oben.
Lohnt sich ISO 42001, wenn meine KI nicht hochriskant ist?+
Oft ja. Auch unterhalb der Hochrisiko-Schwelle schafft ein KI-Managementsystem Ordnung, Vertrauen bei Kunden und Lieferkette und erfüllt Transparenzpflichten (Art. 50) strukturiert. Es ist der Unterschied zwischen „wir nutzen KI" und „wir haben KI im Griff und können es zeigen".
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor & ISO/IEC 27001 Lead Auditor (PECB)
Auditor mit Stallgeruch, Geschäftsführer eines produzierenden Mittelständlers, der KI-Managementsysteme und Informationssicherheit prüft und aufbaut. Mehr über mich.
Stand: 14. Juni 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein, ehrlich und ohne Verkaufsdruck.