EU AI Act und ISO 42001: Praxis-Crosswalk
Praxisnaher Crosswalk, der ISO/IEC 42001 auf die Pflichten des EU AI Act abbildet — Überschneidungen, Lücken und ein gemeinsames Managementsystem.
Zwei Dokumente bestimmen aktuell die KI-Governance-Diskussionen in europäischen Vorständen — und sie ziehen in unterschiedliche Richtungen. Der EU AI Act ist Recht: präskriptiv, produktbezogen, mit Fristen und Bußgeldern. ISO/IEC 42001 ist ein freiwilliger, zertifizierbarer Managementsystem-Standard: prozessorientiert, organisationsweit und bewusst technologieneutral. Governance-Teams stellen immer dieselbe Frage — brauchen wir beides, und wenn ja, wie vermeiden wir zwei parallele Bürokratien?
Die Antwort ist ein Crosswalk. Bei CC Conceptualise haben wir genau dieses Mapping für regulierte Kunden gebaut, und die praktische Erkenntnis lautet: Rund zwei Drittel der Arbeit überschneiden sich. Betreiben Sie ein KI-Managementsystem, weisen Sie jede Maßnahme einmal nach und setzen Sie die rein AI-Act-spezifischen Pflichten obenauf. Dieser Beitrag zeigt, wo sich beide decken, wo sie auseinandergehen und wie Sie das Mapping vor der Hochrisiko-Frist am 2. August 2026 operationalisieren.
Kurzfassung / Kernaussagen
- ISO 42001 ist der Motor, der EU AI Act die Regulierung, die er erfüllen muss. Die Zertifizierung ist ein starker Reifenachweis, aber kein rechtlicher Haftungsausschluss.
- Etwa zwei Drittel der Maßnahmen überschneiden sich — Risikomanagement, Datenqualität, Protokollierung, menschliche Aufsicht und Lebenszyklus-Dokumentation lassen sich sauber abbilden.
- Die rein AI-Act-spezifischen Pflichten sind die kritischen: Konformitätsbewertung, Registrierung in der EU-Datenbank, technische Dokumentation nach Anhang IV und Beobachtung nach dem Inverkehrbringen.
- Die Fristen stehen fest: Hochrisiko-Pflichten (Anhang III) gelten ab dem 2. August 2026; GPAI-Pflichten seit dem 2. August 2025.
- Bauen Sie das Managementsystem zuerst. Es macht die Konformitätsbewertung günstiger und wiederholbar statt zum einmaligen Kraftakt.
Zwei Instrumente, zwei Aufgaben
Es lohnt sich, präzise zu sein, was beide Instrumente sind — denn ihre Vermischung ist der häufigste und teuerste Fehler, den wir sehen.
Der EU AI Act reguliert KI-Systeme nach Risiko. Er weist Anbietern (die ein System in Verkehr bringen) und Betreibern (die es unter ihrer Aufsicht nutzen) rechtliche Pflichten zu. Für Hochrisiko-Systeme nach Anhang III sind diese Pflichten konkret und nach außen gerichtet: Sie müssen eine Konformitätsbewertung durchführen, das System in der EU-Datenbank registrieren, die technische Dokumentation nach Anhang IV führen, menschliche Aufsicht sicherstellen und eine Beobachtung nach dem Inverkehrbringen betreiben. Verstöße sind teuer — bis zu 15 Mio. EUR oder 3 % des weltweiten Umsatzes bei Hochrisiko-Verstößen und bis zu 35 Mio. EUR oder 7 % bei verbotenen Praktiken.
ISO/IEC 42001 ist der Standard für KI-Managementsysteme (AIMS). Wer eine ISO-27001-Einführung durchlebt hat, kennt die Struktur: Die Kapitel 4–10 decken Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung der Leistung und Verbesserung ab, mit einem auf KI zugeschnittenen Maßnahmenkatalog in Anhang A. Der Standard sagt, wie Sie KI über den Lebenszyklus steuern, nicht welche KI rechtlich zulässig ist.
Diese Unterscheidung ist entscheidend. Der Standard liefert wiederholbare Prozesse; das Recht definiert die verbindlichen Ergebnisse. Ein reifes AIMS macht den Nachweis der Rechtskonformität erheblich leichter, ersetzt ihn aber nicht.
Wo sie sich überschneiden — und wo nicht
Die folgende Tabelle ist eine verdichtete Fassung des Crosswalks, den wir in der Umsetzung einsetzen. Sie bildet die zentralen Pflichtbereiche des AI Act auf das jeweils nächste ISO-42001-Pendant ab und benennt die Lücke.
| AI-Act-Pflicht | Nächstes ISO-42001-Element | Überschneidung | Was noch fehlt |
|---|---|---|---|
| Risikomanagementsystem (Art. 9) | Kapitel 6 Planung + KI-Risikobewertung | Hoch | AI-Act-spezifische Kriterien mit Grundrechtsbezug |
| Daten und Daten-Governance (Art. 10) | Datenmanagement-Maßnahmen (Anhang A) | Hoch | Dokumentierte Verzerrungs-/Repräsentativitätsprüfungen |
| Technische Dokumentation (Art. 11, Anhang IV) | Anforderungen an dokumentierte Information | Mittel | Konkrete Struktur und Inhalte nach Anhang IV |
| Aufzeichnung / Protokollierung (Art. 12) | Betriebliche Protokollierung | Hoch | Aufbewahrung und Nachvollziehbarkeit für Hochrisiko |
| Menschliche Aufsicht (Art. 14) | Lebenszyklus- und Betriebsmaßnahmen | Mittel | Konkrete Aufsichtsmaßnahmen und Bedienerkompetenz |
| Genauigkeit, Robustheit, Cybersicherheit (Art. 15) | Leistungsbewertung + Sicherheitsmaßnahmen | Hoch | Quantifizierte Schwellen und Tests gegen Angriffe |
| Konformitätsbewertung (Art. 43) | — | Keine | Kein ISO-Pendant — ein rechtliches Verfahren |
| Registrierung EU-Datenbank (Art. 49) | — | Keine | Kein ISO-Pendant — eine rechtliche Meldung |
| Beobachtung nach Inverkehrbringen (Art. 72) | Verbesserungs- und Überwachungsmaßnahmen | Mittel | Strukturierter Plan und Meldung schwerer Vorfälle |
| Qualitätsmanagement für Anbieter (Art. 17) | Das gesamte AIMS | Hoch | Bildet das Managementsystem nahezu direkt ab |
Das Muster ist eindeutig. Governance-, Risiko-, Daten- und Lebenszyklusmaßnahmen überschneiden sich stark. Die Punkte ohne ISO-Pendant sind die nach außen gerichteten Rechtsverfahren: Konformitätsbewertung und Registrierung. Diese bauen Sie einmal auf dem Managementsystem auf — Sie können sich nicht in sie hineinzertifizieren.
Die Abkürzung über Artikel 17
Sind Sie Anbieter von Hochrisiko-KI, verlangt Artikel 17 ein Qualitätsmanagementsystem. ISO 42001 bildet dies nahezu eins zu eins ab. Für Anbieterkunden ist das die wirkungsvollste Erkenntnis des Crosswalks: Das AIMS, das Sie für die Zertifizierung bauen, ist mit moderater Anpassung das vom AI Act geforderte Qualitätsmanagementsystem. Sie bauen nicht zwei Dinge.
Wie Sie es als ein System betreiben
Dies ist die Reihenfolge, die wir empfehlen und in Projekten anwenden.
- Inventarisieren und klassifizieren. Steuern lässt sich nur, was erfasst ist. Erstellen Sie ein Inventar Ihrer KI-Systeme und klassifizieren Sie jeden Eintrag nach den Risikoklassen des AI Act und Ihrer Rolle (Anbieter vs. Betreiber). Die Einstufung nach Anhang III ist die häufigste Stolperfalle — die Entscheidungslogik finden Sie in unserem Leitfaden zur Hochrisiko-Klassifizierung nach Anhang III.
- AIMS aufsetzen. Definieren Sie Anwendungsbereich, KI-Leitlinie, Rollen und Ziele nach ISO 42001. Entscheidend: Verankern Sie die Verantwortung auf Ebene der Geschäftsleitung — sowohl Standard als auch Recht erwarten nachweisbare Verantwortung der Leitung, kein delegiertes Häkchen.
- Crosswalk-Matrix erstellen. Halten Sie zu jeder ISO-42001-Maßnahme aus Anhang A fest, welchen AI-Act-Artikel sie unterstützt. Kennzeichnen Sie jede Maßnahme mit ihrem doppelten Zweck, damit ein einziger Nachweis sowohl das Zertifizierungsaudit als auch die Konformitätsakte bedient.
- AI-Act-Lücken schließen. Ergänzen Sie Konformitätsbewertung, Registrierung in der EU-Datenbank, Dokumentation nach Anhang IV und Beobachtung nach dem Inverkehrbringen als eigene Arbeitsstränge. Unser Leitfaden zur Konformitätsbewertung führt durch das Hochrisiko-Verfahren im Detail.
- Betreiben, nachweisen, bewerten. Erheben Sie Nachweise einmal. Führen Sie internes Audit und Managementbewertung im selben Takt durch. Wenn Auditor und Aufsicht überlappende Nachweise verlangen, übergeben Sie dieselben gelenkten Dokumente.
Das ist der Unterschied zwischen einer Governance-Funktion, die skaliert, und einer, die in doppelter Dokumentation ertrinkt. Einmal abbilden, einmal nachweisen, beides erfüllen.
Ein realistischer Zeitplan
Teams unterschätzen die Vorlaufzeit regelmäßig. Eine ISO-42001-Einführung samt Zertifizierungszyklus ist ein Vorhaben über mehrere Quartale, und die Konformitätsbewertung eines echten Hochrisiko-Systems ist ebenfalls kein Sprint.
| Phase | Typische Dauer | Wesentliches Ergebnis |
|---|---|---|
| Inventar + Klassifizierung | 4–6 Wochen | Risikoklassifiziertes KI-Register |
| AIMS-Design + Crosswalk | 8–12 Wochen | Betriebsbereites Managementsystem |
| Nachweisaufbau + internes Audit | 8–12 Wochen | Auditreifer Maßnahmensatz |
| Konformitätsbewertung (Hochrisiko) | je nach System | Erklärung + Registrierung |
Da die Hochrisiko-Pflichten ab dem 2. August 2026 gelten, hat eine Organisation, die erst Ende 2025 startet, nur dann genug Vorlauf, wenn sie AIMS und AI-Act-Arbeit als ein Programm behandelt. Als getrennte Initiativen verdoppeln sich die Budgets. Die Meilensteine nach Frist liefert unsere Readiness-Checkliste für August 2026.
Was der Standard nicht für Sie leistet
Seien Sie gegenüber Stakeholdern ehrlich über die Grenzen. ISO 42001 wird nicht:
- Ihre Konformitätsbewertung durchführen. Das ist ein Rechtsverfahren ohne ISO-Pendant.
- Ihr System registrieren in der EU-Datenbank.
- Ihre Risikoklasse bestimmen. Die Einstufung ist eine rechtliche Beurteilung am Wortlaut des AI Act.
- GPAI-Anbieterpflichten vollständig abdecken — Transparenz-, Urheberrechts- und Systemrisikopflichten liegen außerhalb des Standards. Betreiber auf Fremdmodellen sollten das AIMS nutzen, um Lieferantennachweise zu erfassen und Verantwortlichkeiten entlang der Lieferkette vertraglich zu regeln.
Was der Standard leistet, ist das disziplinierte, prüfbare Rückgrat, das jede dieser rechtlichen Pflichten günstiger, schneller und belastbarer macht. Deshalb empfehlen wir ihn jeder Organisation mit Hochrisiko- oder GPAI-Bezug — und stellen ISO/IEC 42001 in nahezu jedem Projekt als Governance-Gegenstück zum AI Act daneben.
Schlussgedanke
Der Crosswalk verschiebt die Frage. Es heißt nicht „AI Act oder ISO 42001", sondern „ein KI-Managementsystem, das beides erfüllt". Bauen Sie den Motor einmal, richten Sie ihn auf die Regulierung aus und setzen Sie die rein rechtlichen Verfahren obenauf. Teams, die das verinnerlichen, entgehen der Parallelbürokratie-Falle und erreichen August 2026 mit Nachweisen in der Hand.
Wenn Sie Unterstützung beim Aufbau des Crosswalks für Ihr Portfolio möchten, setzt unser Team für KI-Governance und Plattform-Engineering genau das praktisch um — wir bringen die Matrix, Sie bringen die Systeme.
FAQ
Macht mich eine ISO-42001-Zertifizierung konform zum EU AI Act?
Nein. ISO/IEC 42001 ist ein freiwilliger Managementsystem-Standard; der EU AI Act ist bindendes Recht mit produktbezogenen Pflichten. Ein ISO-42001-KI-Managementsystem liefert das Governance-Rückgrat — Risikoprozesse, Rollen, Dokumentationsdisziplin — erfüllt aber nicht die konkreten Hochrisiko-Anforderungen wie Konformitätsbewertung, Registrierung in der EU-Datenbank oder die technische Dokumentation nach Anhang IV. Die Zertifizierung ist ein starker Reifenachweis, kein rechtlicher Haftungsausschluss.
Worin unterscheiden sich EU AI Act und ISO 42001?
Der EU AI Act reguliert KI-Systeme nach Risikoklassen und verpflichtet Anbieter und Betreiber rechtlich, mit Bußgeldern bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes. ISO/IEC 42001 ist ein organisationsbezogener Managementsystem-Standard, strukturiert wie ISO 27001, der regelt, wie Sie KI über den Lebenszyklus steuern. Das eine ist Produktrecht, das andere ein zertifizierbares Rahmenwerk für Ihre Organisation.
Ab wann gelten die Hochrisiko-Pflichten des EU AI Act?
Die Hochrisiko-Pflichten nach Anhang III gelten ab dem 2. August 2026, einschließlich Konformitätsbewertung, Registrierung in der EU-Datenbank, technischer Dokumentation, Beobachtung nach dem Inverkehrbringen und menschlicher Aufsicht. GPAI-Pflichten gelten seit dem 2. August 2025; GPAI-Modelle, die vor diesem Datum bereits am Markt waren, müssen bis zum 2. August 2027 konform sein.
Kann ich einen Satz Maßnahmen für ISO 42001 und den AI Act nutzen?
Weitgehend ja, genau das ist der Sinn eines Crosswalks. Risikomanagement, Datenqualität, Protokollierung, menschliche Aufsicht und Lebenszyklus-Dokumentation lassen sich sauber zwischen beiden abbilden. Sie betreiben ein KI-Managementsystem, kennzeichnen jede Maßnahme mit der Pflicht, die sie erfüllt, und ergänzen die rein AI-Act-spezifischen Punkte wie Konformitätsbewertung und Registrierung.
Lohnt sich ISO 42001 vor der Frist im August 2026?
Wenn Sie Hochrisiko-KI betreiben oder planen, ja. Das Managementsystem zuerst aufzubauen liefert die wiederholbaren Risiko- und Nachweisprozesse, auf denen die Konformitätsarbeit des AI Act aufsetzt. Selbst wenn eine formale Zertifizierung bis August 2026 nicht realistisch ist, senkt die ISO-42001-Struktur Aufwand und Chaos der Konformitätsbewertung deutlich.
Deckt ISO 42001 die Pflichten für GPAI ab?
Teilweise. ISO 42001 hilft bei der Steuerung von Beschaffung, Feinabstimmung und Einsatz von GPAI-Modellen und beim Führen des Nachweispfads. Der AI Act legt GPAI-Anbietern jedoch spezifische Transparenz-, Urheberrechts- und Systemrisikopflichten auf, die über den Standard hinausgehen. Betreiber, die auf Fremdmodellen aufbauen, sollten das Managementsystem nutzen, um Lieferantennachweise zu erfassen und Verantwortlichkeiten entlang der Lieferkette vertraglich zu regeln.
Themen