EU-KI-Verordnung und ISO/IEC 42001 Mapping
ISO/IEC 42001 wurde im Dezember 2023 veröffentlicht und ist der erste internationale Standard für KI-Managementsysteme. Er ist nicht rechtsverbindlich, deckt aber den Großteil der Managementsystem-Anforderungen der EU-KI-Verordnung ab. Wer ein 42001-konformes Managementsystem aufbaut, hat 2026 die solideste Basis, um Konformitätsbewertungen effizient zu durchlaufen. Die Konformitätsbewertung pro Hochrisiko-System ersetzt 42001 allerdings nicht.
Risikomanagementsystem (Art. 9)
ISO 42001 Klausel 6 (Planung) und Anhang A.6 (Auswirkungenbewertung) decken Risikoidentifikation, -bewertung und -behandlung ab. Ein nach 42001 etabliertes Risikoverfahren erfüllt die Anforderungen aus Art. 9 weitgehend. Lücken bestehen bei spezifischen Hochrisikopflichten zur Testphase und Restrisikobewertung.
Daten und Daten-Governance (Art. 10)
ISO 42001 Anhang A.7 (Daten für KI-Systeme) deckt Datenqualität, Repräsentativität sowie Trainings- und Validierungsdaten ab. Art. 10 der EU-KI-Verordnung ist bei Bias-Erkennung und -Korrektur konkreter. In der 42001-Implementierung pro Hochrisiko-System besteht Ergänzungsbedarf.
Technische Dokumentation (Art. 11)
ISO 42001 Klausel 7.5 (Dokumentierte Information) und Anhang A.8 decken Dokumentationspflichten allgemein ab. Anhang IV der EU-KI-Verordnung listet zehn spezifische Themenfelder, die als Pflichtinhalte in die 42001-Dokumentation aufzunehmen sind.
Aufzeichnungspflichten (Art. 12)
ISO 42001 Anhang A.9 (Verwaltung der Lebenszyklus-Aufzeichnungen) deckt Logging-Pflichten konzeptionell ab. Art. 12 der EU-KI-Verordnung ist konkreter: automatische Logs während des Betriebs, Aufbewahrung mindestens sechs Monate, Zugriff für die Aufsicht. Diese Konkretisierung muss in der Implementierung erfolgen.
Transparenz und menschliche Aufsicht (Art. 13, 14)
ISO 42001 Anhang A.6 (Verantwortungsstrukturen) und A.10 (Stakeholder-Information) decken das Konzept ab. Art. 13 der EU-KI-Verordnung verlangt spezifische Informationen für Betreiber, Art. 14 verlangt menschliche Aufsicht im Echtzeitbetrieb. Implementierungspflicht pro System.
Was 42001 nicht abdeckt
Konformitätsbewertung pro Hochrisiko-System (Anhang VI/VII). EU-Konformitätserklärung und CE-Kennzeichnung. Registrierung in der EU-Datenbank. Vorfallmeldung an die Marktüberwachung. Diese Anforderungen sind verordnungsspezifisch und müssen zusätzlich zum 42001-Managementsystem umgesetzt werden.
Diese deutsche Fassung wird laufend ausgebaut. Für ein konkretes Projekt nutzen Sie bitte das Beratungsgespräch oder schreiben an info@ainora.lt.