ISO 42001: kein Papierkrieg, wenn Sie Verantwortung verstehen

„ISO 42001? Noch so ein Aktenordner, den am Ende keiner liest.“ Diesen Satz höre ich oft, wenn ich mit Geschäftsführern über die KI-Norm spreche. Und ehrlich: Ich verstehe ihn. Wer schon einmal eine Norm-Einführung erlebt hat, bei der am Ende ein Regal voller Dokumente stand, das niemand mehr anfasst, hat allen Grund, skeptisch zu sein. Aber das ist nicht die Norm. Das ist eine schlechte Übersetzung der Norm in den Betrieb.

ISO/IEC 42001 ist seit Dezember 2023 die erste internationale Norm für KI-Managementsysteme. Auf dem Papier wirkt sie sperrig. Im Kern macht sie aber etwas sehr Bodenständiges: Sie zwingt Sie, drei Fragen zu beantworten, die ein Geschäftsführer ohnehin beantworten können sollte, welche KI setzen wir ein, was kann dabei schiefgehen, und wer steht dafür gerade?

Warum ISO 42001 nach Papierkrieg klingt

Der schlechte Ruf kommt selten von der Norm selbst. Er kommt von der Art, wie sie oft eingeführt wird. Ein Berater kommt, bringt eine Vorlagensammlung mit, füllt Felder aus, druckt einen Aktenordner und ist wieder weg. Was bleibt, ist ein Dokument, das formal alle Anforderungen abhakt und im Betrieb keine einzige Entscheidung verändert.

Das ist der eigentliche Papierkrieg: Dokumentation, die für das Audit gebaut wurde und nicht für den Betrieb. Sie kostet Zeit, sie kostet Geld, und im Ernstfall schützt sie niemanden, weil sie nichts mit der Wirklichkeit zu tun hat. Wer so an eine Norm herangeht, bekommt am Ende genau das, was er befürchtet hat: Bürokratie ohne Nutzen.

Governance ist kein Papierkrieg. Governance ist Risikokontrolle. Ob sie sich wie das eine oder das andere anfühlt, entscheiden nicht die Dokumente, sondern ob jemand Verantwortung trägt.

Was die Norm wirklich will: Verantwortung organisieren

Wenn Sie ISO 42001 von ihren Anforderungen befreien und auf den Kern schauen, geht es nicht um Papier. Es geht um Verantwortung. Wer entscheidet, welche KI im Unternehmen eingesetzt wird? Wer prüft, ob ein KI-System Menschen benachteiligt? Wer merkt es, wenn ein Modell anfängt, Unsinn zu produzieren und wer darf es dann abschalten?

Das sind keine Dokumentationsfragen. Das sind Führungsfragen. Die Norm verlangt nur, dass Sie sie nicht dem Zufall überlassen, sondern einer Rolle, einem Prozess, einer nachvollziehbaren Entscheidung. Ein KI-System ohne klaren Verantwortlichen ist im Audit eine Lücke. Im Betrieb ist es ein Risiko, das niemand bemerkt, bis es zu spät ist.

• Wer hat das Mandat, über den KI-Einsatz zu entscheiden, sichtbar, nicht nur informell?
• Welche Risiken bringt jedes System für Kunden, Mitarbeiter und das Unternehmen mit sich?
• Welche Kontrollen aus dem Anhang A der Norm passen zu Ihrem Betrieb und greifen sie wirklich?
• Wissen die Mitarbeiter, was sie mit KI dürfen und was nicht?

Wer diese vier Fragen ehrlich beantworten kann, hat den Großteil der Norm schon gelebt, ganz ohne Aktenordner. Was danach an Dokumentation kommt, ist nur noch das Festhalten dessen, was ohnehin gilt. Die Reihenfolge ist entscheidend: erst die Verantwortung klären, dann sie aufschreiben. Wer umgekehrt anfängt, schreibt Papier, das niemand lebt.

Der Unterschied: gelebt oder abgeheftet

Ich sehe in Audits beides. Eine KI-Leitlinie kann ein gelebtes Dokument sein oder ein totes. Tot ist sie, wenn sie als PDF auf einem Server liegt und niemand im Betrieb sie kennt. Gelebt ist sie, wenn ich den Produktionsleiter frage „Was machen Sie, wenn die Bauteil-Kamera ein Teil fälschlich freigibt?“ und er die Antwort aus dem Kopf gibt, weil sie Teil seines Arbeitsalltags ist.

Ein konkretes Beispiel: Ein Betrieb setzt ein KI-Tool ein, das Bewerbungen vorsortiert. Abgeheftet heißt: Es gibt eine Zeile im Risikoregister, „HR-KI, geprüft“. Gelebt heißt: Es gibt einen Menschen, der jede Vorauswahl gegenliest, eine dokumentierte Prüfung auf Benachteiligung und einen klaren Weg, wie ein abgelehnter Bewerber eine Erklärung bekommt. Das Erste besteht kein ernsthaftes Audit. Das Zweite schützt das Unternehmen vor einem Diskriminierungsvorwurf, der nur darauf wartet, teuer zu werden.

Derselbe Unterschied gilt für die KI in der Qualitätsprüfung, für den Chat-Assistenten im Vertrieb, für das KI-gestützte ERP. Nicht das Dokument entscheidet, ob Sie Ihre KI im Griff haben. Die gelebte Verantwortung entscheidet es.

Das Schöne daran: Den Unterschied erkennt man schnell. Ich brauche keine drei Tage, um zu merken, ob eine KI-Governance gelebt wird oder nur abgeheftet ist. Ich frage die Leute, die mit dem System arbeiten, ein paar einfache Fragen. Kommt die Antwort aus der täglichen Arbeit, ist das System verankert. Muss erst jemand einen Ordner suchen, ist es Theater fürs Audit. Mitarbeiter beschönigen an dieser Stelle selten, sie zeigen einfach, wie es wirklich läuft.

Wann Dokumentation Sie schützt und wann sie nur Ballast ist

Jetzt werden Sie sagen: Aber irgendetwas muss ich doch dokumentieren. Stimmt. ISO 42001 verlangt Nachweise. Der Unterschied ist nur, wofür. Dokumentation ist kein Selbstzweck. Sie ist Ihre Versicherung für den Tag, an dem etwas schiefgeht.

Stellen Sie sich vor, ein KI-System Ihres Betriebs trifft eine Fehlentscheidung, ein Kunde wird falsch eingestuft, ein Bauteil fälschlich freigegeben, eine Bewerbung zu Unrecht aussortiert. Wenn dann jemand fragt „Wie konnte das passieren?“, entscheidet Ihre Dokumentation darüber, ob Sie eine Antwort haben oder nur ein Schulterzucken. Wer zeigen kann, wer wann was geprüft hat, steht. Wer nichts hat, haftet.

Dokumentation ist nicht Bürokratie, wenn sie Sie im Ernstfall schützt. Sie wird erst dann zu Ballast, wenn sie für niemanden außer den Auditor geschrieben ist.

Die Faustregel aus meiner Audit-Praxis: Jedes Dokument, das im Betrieb eine Entscheidung leitet, ist Gold wert. Jedes Dokument, das nur existiert, um ein Häkchen zu setzen, ist verschwendete Zeit. Die Norm verlangt das Erste. Schlechte Beratung produziert das Zweite.

Und es geht nicht nur um Haftung. Toter Papierkrieg kostet jeden Monat Geld, Stunden, die Mitarbeiter mit dem Pflegen von Dokumenten verbringen, die niemand nutzt. Gelebte Governance dreht das um: Sie spart Zeit, weil Verantwortlichkeiten klar sind und niemand zweimal über dieselbe Frage stolpert. Die teuerste Variante ist nicht die saubere Norm-Einführung. Die teuerste ist die halbe, viel Papier, wenig Wirkung, und im Ernstfall trotzdem keine Antwort.

Warum das gerade jetzt zählt

Es gibt einen Grund, warum diese Unterscheidung gerade jetzt wichtig wird: Der EU AI Act macht aus „Wir gehen verantwortungsvoll mit KI um“ eine Sache, die Sie belegen müssen. Wer KI in sensiblen Bereichen einsetzt, Personal, Qualitätssicherung, Bonitätsbewertung –, steht zunehmend in der Nachweispflicht. ISO 42001 ist der strukturierteste Weg, diese Pflicht zu erfüllen, ohne sich darin zu verlieren. Aber nur, wenn Sie die Norm als Betriebssache verstehen. Als Pflichtübung erfüllt sie keinen einzigen Zweck, außer dem, Geld zu kosten.

Genau hier geraten viele Mittelständler ins Straucheln: Sie hören „Nachweispflicht“ und denken an noch mehr Bürokratie. Dabei ist es umgekehrt. Wer seine KI von Anfang an mit klaren Rollen und nachvollziehbaren Entscheidungen aufbaut, hat die Nachweise fast nebenbei. Wer es schleifen lässt und erst auf Druck reagiert, baut hektisch Papier auf, das weder den Betrieb schützt noch im Audit überzeugt. Vorsorge ist hier schlicht billiger als Nachsorge.

Wie aus Papierkrieg Betriebsrealität wird

Der Weg aus dem Papierkrieg ist kein Trick. Er ist eine Reihenfolge. Fangen Sie nicht beim Dokument an, sondern beim Prozess. Erst Prozess. Dann Rolle. Dann Nachweis. In dieser Reihenfolge wird aus einer trockenen Anforderung eine Sache, die Ihr Betrieb wirklich braucht.

Nehmen Sie eine einzelne Norm-Anforderung, etwa „Es muss eine Risikobeurteilung für KI-Systeme geben.“ Statt eine leere Vorlage auszufüllen, setzen Sie sich mit den Leuten zusammen, die das System täglich nutzen, und fragen: Was kann hier konkret schiefgehen? Wen trifft es? Wie merken wir es? Was tun wir dann? Das Dokument, das am Ende entsteht, ist dann kein Papier für den Auditor. Es ist die Antwort auf eine Frage, die Sie sich sowieso stellen mussten.

Fangen Sie klein an. Sie müssen nicht das ganze Managementsystem an einem Tag aufbauen. Nehmen Sie das eine KI-System, das in Ihrem Betrieb die größte Wirkung hat oder das größte Risiko trägt und arbeiten Sie es sauber durch: Wer ist verantwortlich, welche Risiken bestehen, welche Kontrolle greift, wo wird dokumentiert. Wenn dieses eine System sitzt, haben Sie die Methode verstanden. Den Rest übertragen Sie dann Schritt für Schritt. So wächst Governance mit dem Betrieb, statt ihn zu überfordern und genau diese Reihenfolge unterscheidet eine Norm, die trägt, von einer, die nur Regale füllt.

Wenn Sie es so angehen, passiert etwas Überraschendes: Das Audit wird leicht. Denn ein Auditor und ich sitze auf dieser Seite des Tisches, prüft nicht, ob Ihre Ordner schön sind. Er prüft, ob Sie wissen, was Sie tun, warum Sie es tun und wer dafür geradesteht. Wer das gelebt hat, muss vor dem Audit nichts auswendig lernen. Er muss nur zeigen, wie er ohnehin arbeitet.

Ein letzter Gedanke aus der Praxis: Niemand erwartet Perfektion. Auditreif heißt nicht, alle Antworten parat zu haben. Es heißt, ehrlich zeigen zu können, wo Sie stehen, wo noch nicht und was als Nächstes geplant ist. Eine offen benannte Lücke mit einem Plan ist im Audit mehr wert als ein perfekt aussehender Ordner ohne Substanz. Deshalb ist gelebte Governance am Ende auch die entspanntere Variante: Sie müssen nichts vortäuschen.

ISO 42001 ist kein Papierkrieg. Sie wird nur dann dazu, wenn Sie sie als Pflichtübung behandeln statt als das, was sie ist: ein Rahmen, der Ihre Verantwortung sichtbar und beherrschbar macht. KI ohne Governance ist wie eine Maschine ohne Schutzhaube, sie läuft, bis sie jemanden verletzt. Die Norm ist die Schutzhaube. Ob sie sich nach Bürokratie anfühlt oder nach Sicherheit, liegt an Ihnen.