Zum Inhalt springen
Alle Beiträge
Audit-Praxis 8 Min. Lesezeit· von Lars Zimmermann

Was ein ISO-42001-Audit wirklich prüft (und was nicht)

Ein ISO-42001-Audit prüft nicht Ihre Technik. Es prüft, ob jemand Verantwortung trägt, Risiken kennt und Nachweise hat. Was ein Auditor wirklich sehen will, aus der Praxis eines Senior Lead Auditors.

Kurz gesagt

Ein ISO/IEC 42001-Audit prüft nicht die KI-Technik selbst, sondern das Managementsystem dahinter: ob Rollen, Risikobewertung, KI-Richtlinie, Datenqualität, menschliche Aufsicht und Überwachung definiert, dokumentiert und wirksam gelebt werden. Der Auditor sucht den Nachweis, dass ein Unternehmen seine KI tatsächlich steuert, nicht nur auf dem Papier.

Read in English: English version

Wenn ich als Auditor in einen Betrieb komme, erwarten viele, dass ich mir die Server anschaue. Modelle, Trainingsdaten, Algorithmen. Das ist ein Missverständnis. Ein ISO-42001-Audit prüft keine Technik. Es prüft, ob die Organisation ihre KI im Griff hat und das ist etwas ganz anderes.

Erst Prozess. Dann Rolle. Dann Nachweis. In dieser Reihenfolge schaue ich hin.

Was ein ISO-42001-Audit nicht ist

Ein Auditor prüft nicht, ob ein KI-Modell gut funktioniert. Das ist Aufgabe der Validierung. Auch nicht, ob die Cloud-Architektur sauber ist, das gehört in den ISO-27001-Scope. Und auch nicht, ob Sie das beste verfügbare Modell einsetzen. Modellwahl ist Ihre Entscheidung, nicht meine.

Ein Audit fragt nicht: Funktioniert eure KI? Es fragt: Wer trägt Verantwortung, wenn sie nicht funktioniert?

Was wirklich auf dem Prüfstand steht

Ein ISO-42001-Audit (geprüft wird gegen die Norm ISO/IEC 42001:2023, durchgeführt von nach ISO/IEC 42006 akkreditierten Zertifizierungsstellen) prüft fünf Kernbereiche, kein einziger davon ist primär technisch:

  • Führung und Verantwortung: Hat jemand sichtbar das Mandat, KI-Governance zu verantworten? Steht das in einer Rolle, einem Protokoll, einem Beschluss?
  • Risikomanagement: Kennen Sie die Risiken Ihrer KI für Betroffene und Organisation? Haben Sie sie systematisch bewertet, nicht aus dem Bauch heraus?
  • Impact Assessment: Können Sie zeigen, welche Folgen ein KI-System für die Außenwelt hat (ISO/IEC 42005)? Nicht nur Risiken für Sie, Folgen für Andere.
  • Awareness und Kompetenz: Wissen die Mitarbeiter, was sie dürfen und was nicht? Wer hat die Pflicht-Schulung gemacht? Gibt es einen Nachweis?
  • Kontrollen und Nachweise: Haben Sie aus dem Annex A die relevanten Kontrollen ausgewählt und können Sie ihre Wirksamkeit zeigen?

Eine konkrete Szene aus der Audit-Praxis

Ich frage in einem mittelständischen Betrieb: „Welche KI-Systeme setzen Sie aktuell ein?“ Die Geschäftsführerin zählt drei auf. Der IT-Leiter sagt: „Plus die Bauteil-Inspektion in Halle drei. Und der Chat-Assistent für den Vertrieb.“ Die Geschäftsführerin guckt überrascht.

Das ist keine Falle. Das ist der Audit-Test: existiert ein KI-System-Verzeichnis, das vollständig ist und gepflegt wird? Wenn die Geschäftsführung Systeme erfährt, statt sie zu kennen, ist die Governance noch nicht da.

Der nächste Test ist die Einordnung. Ich frage nach dem Bewerber-Screening-Tool im HR-Bereich. „Das ist doch nur ein Filter", sagt der IT-Leiter. Falsch. Eine KI, die Bewerbungen vorsortiert oder bewertet, gehört zum Hochrisiko-Bereich nach Anhang III EU AI Act. Da gelten Pflichten zu menschlicher Aufsicht, Bias-Prüfung, Transparenz und Dokumentation. Wer das nicht weiß, hat eine Lücke im Risikoregister und im Audit eine harte Frage.

Ein KI-Tool, das Lebensläufe sortiert, ist keine Erleichterung. Es ist ein Diskriminierungs-Vorwurf, der nur darauf wartet, klagewürdig zu werden.

Genauso bei der KI-gestützten Qualitätsprüfung in der Fertigung: erkennt die Kamera einen Riss zuverlässig oder gibt sie Bauteile fälschlich frei? Das ist nicht nur Qualitätsthema, das ist Produkthaftung. Wer hier ohne dokumentierte Validierung, ohne Schwellenwert-Definitionen, ohne Eskalationspfad arbeitet, hat KI-Risiken in seine Produktion eingebaut, ohne sie zu kontrollieren.

Was ein Auditor in den ersten zwei Stunden sieht

Erfahrene Auditoren brauchen keine drei Tage, um den Reifegrad einzuschätzen. Vier Indikatoren zeigen es schon morgens:

  • Kann der Verantwortliche die Frage „Welche KI nutzen wir?“ in unter zwei Minuten beantworten?
  • Liegt ein Risikoregister mit konkreten Einträgen vor oder nur eine Liste theoretischer Risikoklassen?
  • Gibt es eine Schulungs-Übersicht mit Namen, Daten und Inhalten oder nur eine PDF auf dem Server?
  • Sind die Kontrollen aus Annex A mit konkreten Maßnahmen verknüpft oder einfach abgehakt?

Sind alle vier sauber, läuft das Audit als Bestätigung. Sind zwei dünn, geht es in die Tiefe. Sind drei oder vier dünn, ist es noch zu früh fürs externe Audit, dann hilft eine ehrliche Gap-Analyse mehr als ein peinlich verlorenes Zertifizierungs-Mandat.

Warum Technik im Audit nur Beifang ist

Stellen Sie sich vor, jemand zertifiziert Ihren Brandschutz, ohne sich Ihre Brandmeldeanlage anzuschauen. Klingt absurd, ist aber bei ISO 42001 zu erwarten. Die Norm prüft das Managementsystem, nicht die Anlage. Sie prüft, ob Sie wissen, was Sie tun, warum Sie es tun, wer dafür gradesteht und ob Ihre Kontrollen passen.

Das ist kein Mangel der Norm. Das ist ihr Sinn. Technik ändert sich monatlich. Verantwortung, Rollen und Risiken ändern sich nicht. Genau deshalb baut die Norm auf dem auf, was bleibt.

Wann eine Organisation auditreif ist

Auditreif heißt nicht: alle Antworten parat. Auditreif heißt: nachvollziehbar belegen können, wo man steht, wo nicht und was geplant ist. Auditoren erwarten keine Perfektion. Sie erwarten Ehrlichkeit, Nachweise und Konsequenz.

Wer das hat, geht entspannt ins Audit. Wer das nicht hat, sollte nicht zur Zertifizierungsstelle gehen, sondern zuerst zu sich selbst.

Teilen: LinkedIn E-Mail

Häufige Fragen

Werden Trainingsdaten geprüft?+

Indirekt: das Audit fragt, ob Sie Ihre Daten-Pipeline beschrieben haben, ob es Verfahren zur Datenqualitätssicherung gibt und ob Sie wissen, wo personenbezogene Daten ins Spiel kommen. Den konkreten Datensatz nimmt der Auditor nicht auseinander, das ist Aufgabe der internen Validierung.

Muss ich alle KI-Systeme nennen, auch zugekaufte SaaS-Tools?+

Ja. Wenn das Tool für Sie KI-Outputs produziert, gehört es ins Verzeichnis, egal ob selbst gebaut oder eingekauft. Genau diese Vollständigkeit ist der häufigste Schwachpunkt im ersten Audit.

Reicht es, ein KI-Leitlinien-Dokument zu schreiben?+

Nein. Das ist die Tür, nicht das Haus. Ein Audit prüft auch, ob die Leitlinie gelebt wird: über Rollen, Schulungen, dokumentierte Entscheidungen und gelebte Maßnahmen. Papier ohne Praxis fällt im Audit auf.

Wie lange dauert ein externes ISO-42001-Audit?+

Stage 1 (Dokumentenprüfung) typisch 1–2 Auditortage. Stage 2 (Vor-Ort) je nach Organisationsgröße 2–5 Auditortage. Plus Vorbereitung intern, Nachbereitung, Korrekturmaßnahmen. Realistischer Gesamtdurchlauf: 6–12 Wochen.

Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor & ISO/IEC 27001 Lead Auditor (PECB)

Auditor mit Stallgeruch, Geschäftsführer eines produzierenden Mittelständlers, der KI-Managementsysteme und Informationssicherheit prüft und aufbaut. Mehr über mich.

Stand: 30. Mai 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.

Quellen & weiterführend

Konkrete Fragen zu Ihrem Fall?

Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein, ehrlich und ohne Verkaufsdruck.

Kostenloses 15-Min-Erstgespräch Readiness-Check starten

Weiterlesen

Audit-Praxis

ISO 42001 Gap-Analyse: Ablauf, Dauer und Ergebnis

Lesen Audit-Praxis

Wie lange dauert die ISO-42001-Einführung? Ein realistischer Zeitplan

Lesen