KI-Risikomanagement, Impact Assessment und DPIA – wie KI-Folgen bewertet werden
Wie man KI-Risiken systematisch bewertet (ISO 23894), worin sich ein AI Impact Assessment vom klassischen Risikomanagement unterscheidet und wann es mit der DSGVO-DPIA zusammenfällt.
KI ohne Risikobetrachtung ist wie Maschinen ohne Schutzeinrichtung. ISO 42001 verlangt deshalb, dass Organisationen die Risiken ihrer KI systematisch beurteilen und behandeln. Drei Begriffe werden dabei oft vermischt – lohnt sich, sie zu trennen.
Klassisches Risikomanagement: Risiko FÜR die Organisation
Das vertraute Risikomanagement fragt: Was kann meiner Organisation schaden? Bei KI sind das z. B. fehlerhafte Modellentscheidungen, schlechte Datenqualität, Ausfälle oder Abhängigkeit von Anbietern. ISO/IEC 23894 gibt diesem Vorgehen Tiefe und knüpft an die allgemeine Risikonorm ISO 31000 an: identifizieren, analysieren, bewerten, behandeln, überwachen.
- Behandlungsoptionen: vermeiden, vermindern, übertragen oder bewusst akzeptieren.
- KI-typische Risikoquellen: Bias, mangelnde Robustheit, Drift im Betrieb, fehlende Transparenz.
- Wichtig: Risiken werden dokumentiert und ihre Behandlung nachverfolgt – nicht einmal bewertet und vergessen.
Impact Assessment: Risiko DURCH die KI für Andere
Hier liegt der entscheidende Unterschied bei KI: Ein AI System Impact Assessment (Leitlinie: ISO/IEC 42005) fragt nicht, was der Organisation schadet, sondern welche Auswirkungen die KI auf Betroffene und die Gesellschaft hat – etwa auf Bewerber, Kunden oder Patienten. Diese Außenperspektive kennt klassisches Risikomanagement so nicht, und genau sie verlangt der verantwortungsvolle KI-Einsatz.
DPIA: die Datenschutz-Folgenabschätzung
Verarbeitet die KI personenbezogene Daten mit voraussichtlich hohem Risiko, verlangt die DSGVO (Art. 35) eine Datenschutz-Folgenabschätzung (DPIA). Inhaltlich überschneidet sie sich stark mit dem KI-Impact-Assessment – beide fragen nach Folgen für Menschen.
Praxis-Tipp: Wo KI personenbezogene Daten verarbeitet, lohnt es sich, AI Impact Assessment und DPIA zusammenzuführen – ein konsolidiertes Dokument statt zwei getrennter Pflichtübungen.
Warum das zusammengehört
ISO 42001 zwingt dazu, beide Blickrichtungen einzunehmen: das Risiko für die Organisation und die Wirkung auf die Außenwelt. Genau diese doppelte Sicht macht aus „wir nutzen KI“ ein verantwortungsvolles, prüfbares Vorgehen – und liefert nebenbei die Nachweise, die der EU AI Act für Hochrisiko-Systeme verlangt.
Häufige Fragen
Was ist der Unterschied zwischen Risikomanagement und Impact Assessment?+
Risikomanagement betrachtet Risiken für die Organisation. Das Impact Assessment betrachtet die Auswirkungen der KI auf Betroffene und Gesellschaft – die Außenperspektive.
Brauche ich AI Impact Assessment und DPIA getrennt?+
Wenn KI personenbezogene Daten mit hohem Risiko verarbeitet, lassen sich beide sinnvoll in einem konsolidierten Dokument zusammenführen, da sie sich inhaltlich stark überschneiden.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor (PECB)
Stand: 26. Mai 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein – ehrlich und ohne Verkaufsdruck.