KI-Risikomanagement, Impact Assessment und DPIA, wie KI-Folgen bewertet werden
Wie man KI-Risiken systematisch bewertet (ISO 23894), worin sich ein AI Impact Assessment vom klassischen Risikomanagement unterscheidet und wann es mit der DSGVO-DPIA zusammenfällt.
Kurz gesagt
Klassisches Risikomanagement (vertieft durch ISO/IEC 23894) fragt, was der Organisation schaden kann. Ein AI System Impact Assessment (Leitlinie ISO/IEC 42005) fragt umgekehrt, welche Auswirkungen die KI auf Betroffene und die Gesellschaft hat. Verarbeitet die KI personenbezogene Daten mit hohem Risiko, verlangt die DSGVO (Art. 35) zusätzlich eine Datenschutz-Folgenabschätzung (DPIA), die sich mit dem Impact Assessment stark überschneidet.
Read in English: English version
KI ohne Risikobetrachtung ist wie Maschinen ohne Schutzeinrichtung. ISO 42001 verlangt deshalb, dass Organisationen die Risiken ihrer KI systematisch beurteilen und behandeln. Drei Begriffe werden dabei oft vermischt, lohnt sich, sie zu trennen.
Klassisches Risikomanagement: Risiko FÜR die Organisation
Das vertraute Risikomanagement fragt: Was kann meiner Organisation schaden? Bei KI sind das z. B. fehlerhafte Modellentscheidungen, schlechte Datenqualität, Ausfälle oder Abhängigkeit von Anbietern. ISO/IEC 23894 gibt diesem Vorgehen Tiefe und knüpft an die allgemeine Risikonorm ISO 31000 an: identifizieren, analysieren, bewerten, behandeln, überwachen.
- Behandlungsoptionen: vermeiden, vermindern, übertragen oder bewusst akzeptieren.
- KI-typische Risikoquellen: Bias, mangelnde Robustheit, Drift im Betrieb, fehlende Transparenz.
- Wichtig: Risiken werden dokumentiert und ihre Behandlung nachverfolgt, nicht einmal bewertet und vergessen.
Impact Assessment: Risiko DURCH die KI für Andere
Hier liegt der entscheidende Unterschied bei KI: Ein AI System Impact Assessment (Leitlinie: ISO/IEC 42005) fragt nicht, was der Organisation schadet, sondern welche Auswirkungen die KI auf Betroffene und die Gesellschaft hat, etwa auf Bewerber, Kunden oder Patienten. Diese Außenperspektive kennt klassisches Risikomanagement so nicht, und genau sie verlangt der verantwortungsvolle KI-Einsatz.
DPIA: die Datenschutz-Folgenabschätzung
Verarbeitet die KI personenbezogene Daten mit voraussichtlich hohem Risiko, verlangt die DSGVO (Art. 35) eine Datenschutz-Folgenabschätzung (DPIA). Inhaltlich überschneidet sie sich stark mit dem KI-Impact-Assessment, beide fragen nach Folgen für Menschen.
Praxis-Tipp: Wo KI personenbezogene Daten verarbeitet, lohnt es sich, AI Impact Assessment und DPIA zusammenzuführen, ein konsolidiertes Dokument statt zwei getrennter Pflichtübungen.
Warum das zusammengehört
ISO 42001 zwingt dazu, beide Blickrichtungen einzunehmen: das Risiko für die Organisation und die Wirkung auf die Außenwelt. Genau diese doppelte Sicht macht aus „wir nutzen KI“ ein verantwortungsvolles, prüfbares Vorgehen und liefert nebenbei die Nachweise, die der EU AI Act für Hochrisiko-Systeme verlangt.
Häufige Fragen
Was ist der Unterschied zwischen Risikomanagement und Impact Assessment?+
Risikomanagement betrachtet Risiken für die Organisation. Das Impact Assessment betrachtet die Auswirkungen der KI auf Betroffene und Gesellschaft, die Außenperspektive.
Brauche ich AI Impact Assessment und DPIA getrennt?+
Wenn KI personenbezogene Daten mit hohem Risiko verarbeitet, lassen sich beide sinnvoll in einem konsolidierten Dokument zusammenführen, da sie sich inhaltlich stark überschneiden.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor & Senior Lead Implementer · ISO/IEC 27001 Lead Auditor & Lead Implementer (PECB)
Auditor mit Stallgeruch, Geschäftsführer eines produzierenden Mittelständlers, der KI-Managementsysteme und Informationssicherheit prüft und aufbaut. Autor von „Stallgeruch“. Qualifikation auf Credly verifizieren · Mehr über mich.
Stand: 26. Mai 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein, ehrlich und ohne Verkaufsdruck.