Durch die Anwendung von KI in vielen Unternehmensbereichen werden die Themen Sicherheit, Ethik, Transparenz und Verantwortung immer wichtiger. Egal ob Unternehmen lediglich KI einsetzen oder Entwicklungen durchführen, stehen sie in der Pflicht vertrauenswürdig und regelkonform damit umzugehen. Die KI-VO stellt einen risikobasierten Regulierungsrahmen dar und enthält sehr starke Anforderungen an Hochrisikosysteme. (siehe Blogbeitrag Überblick über die KI-VO). Im Jahr 2023 wurde die ISO /IEC 42001, als erste, international anerkannte Norm für ein für KI-Managementsysteme (AIMS = AI-Managementsystem) veröffentlicht, nach der auch Zertifizierungen durchgeführt werden können. Sie liegt zur Zeit nur in englischer Sprache vor.
Relevante Schlüsselinhalte
Die ISO/IEC 42001 kann von allen Unternehmen jeder Größe und Branche verwendet werden, die KI-Systeme entwickeln, einsetzen oder betreiben. Die Norm ist auf alle Arten von KI anwendbar und stellt sicher, dass deren Nutzung ethisch, sicher und im Einklang mit den regulatorischen Anforderungen erfolgt.
Sie bietet Verfahren, Definitionen, Regeln und Leitlinien an, um den größtmöglichen Nutzen aus der Verwendung von KI-System ziehen zu können. Damit geht sie denselben Weg wie die ISO 9001 für das Qualitätsmanagement und die ISO/IEC 27001 für die Informationssicherheit und folgt ebenso der Hamonized Structure (HS), was die Integration in ein bestehendes Managementsystem sehr erleichtert.
Nachfolgende Übersicht stellt die Schlüsselinhalte der ISO/IEC 42001 dar:
Risikomanagement
- Bewertung und Steuerung von KI-spezifischen Risiken
Unternehmensführung und Verantwortlichkeiten
- Klare Festlegung von Verantwotlichkeiten
- Klare Zuweisung von Rollen
Lebenszyklus von KI-Systemen
- Dokumentation und Steuerung aller Phasen eine KI-Systems, von der Entwicklung bis hin zur Außerbetriebnahme
Ethische und gesellschaftliche Verantwortung
- Transparenz und Erklärbarkeit der KI-Systeme
- Berücksichtigung von Menschenrechten, Datenschutz und Gleichbehandlung
Interessierte Parteien
- Berücksichtigung von Erwartungen und Interessen von beispielsweise Nutzern, Behörden, Kunden
Kontinuierliche Überwachung und Verbesserung
- Ermittlung und Auswertung von KPI’s für KI-Systeme
- Durchführung von Audits und Schulungen
- Einführung von Korrektur und Vorbeugemaßnahmen
Sicherheit
- Sicherstellung von Robustheit und Ausfallsicherheit
- Verminderung und Vermeidung von Sicherheitsrisiken
- Schnelle Reaktion auf unerwartete Ereignisse
Datenmanagement
- Festlegung von Vorgehensweisen zur Datenvalidierung und -verifizierung
- Festlegung von Kriterien zur Datenqualität
- Überwachung von Datenquellen, -speicherung und -zugriff
Unterstützung der KI-VO durch die ISO/IEC 42001
Beide Standards legen ihren Fokus auf Transparenz, Risikomanagement, Verantwortlichkeit und Sicherheit bei Entwicklung und Anwendung von KI-Systemen. Allerdings handelt es sich bei der ISO/IEC 42001 um eine freiwillige Norm und bei der KI-VO um eine gesetzliche Anforderung.
Aus meiner Erfahrung bildet die ISO/IEC 42001 einen sehr hilfreichen Rahmen, für die Erfüllung der Anforderungen der KI-VO. Bei einem genauen Vergleich beider Standards, gibt es jedoch zentrale Punkte der KI-VO, die von der ISO/IEC 42001 nicht oder nur teilweise abgedeckt werden.
Beispielsweise, um nur einige Aspekte aufzugreifen, ist die ISO/IEC 42001 nicht rechtsverbindlich, sondern ein freiwilliger Standard. Die KI-VO teilt die Risiken in Klassen ein, die ISO/IEC 42001 kümmert sich um Maßnahmen zum Umgang mit Risiken. Bei der ISO/IEC 42001 können keine Sanktionen verhängt werden, sondern es kann lediglich dazu kommen, dass ein Zertifikat nicht erteilt wird. Die KI-VO hat unterschiedliche Anforderungen an die jeweiligen Akteure. Die ISO/IEC 42001 hat allgemeingültige Anforderungen.
Fazit
Dennoch kann die ISO/IEC 42001 als hilfreiches Werkzeug angesehen werden, um bei der Umsetzung der Anforderungen der KI-VO strukturiert zu unterstützen. Ich habe die Erfahrung gemacht, dass Unternehmen, die die ISO/IEC 42001 als eine hilfreiche und praxistaugliche Ergänzung ansehen und sich um ein Vielfaches leichter bei der Umsetzung der Anforderungen der KI-VO tun, wenn sie sich bereits mit der ISO/IEC 42001 beschäftigt haben, bzw. über ein KI-Managementsystem nach ISO/IEC 42001 verfügen.
Literaturhinweise
- ISO/IEC 42001:2023-12 Informationstechnik – Künstliche Intelligenz – Managementsystem: https://www.dinmedia.de/de/norm/iso-iec-42001/376160445
- Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz […],: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32024R1689
- Windholz, Natascha et al.: Praxishandbuch KI-VO, Künstliche Intelligenz rechtskonform im privaten und öffentlichen Bereich einsetzen; Carl Hanser Verlag, München 2025
- European approach to artificial intelligence: https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence
