DIgilife - stock.adobe.com

Meinung

KI-Zertifizierung nach ISO/IEC 42001:2023

Beim Einsatz von KI müssen Unternehmen ethische, sicherheitstechnische sowie Datenschutzaspekte berücksichtigen. Ein KI-Management-System (KIMS) unterstützt dabei.

von
  • Thomas Janz, Dr. Ibrahim Halfaoui, TÜV SÜD
Zuletzt aktualisiert:11 Juli 2025

KI revolutioniert Prozesse und steigert deren Effizienz. So führen etwa Banken automatisierte Bonitätsprüfungen durch; und im Einzelhandel analysieren KI-Tools das Kaufverhalten in Echtzeit, um individuelle Angebote zu erstellen. Zugleich schafft KI jedoch neue Lücken im Datenschutz. Etwa, wenn personenbezogene Daten unrechtmäßig verwendet, zweckentfremdet oder nicht ausreichend anonymisiert werden. Eine andere Gefahr besteht darin, wenn die KI mit einseitigen Trainingsdaten gespeist wird, oder Entwickler bestimmte Muster in den Daten überbetonen. Beim KI-gestützten Kreditscoring können so soziale Herkunft oder Wohnort unbewusst zur Ablehnung führen.

Darüber hinaus verstößt es gegen die DSGVO (Datenschutz-Grundverordnung), dass KI oft mehr Daten und über längere Zeit speichert als notwendig. Viele Online-Shops archivieren etwa das Klickverhalten und die Mausbewegungen über lange Zeiträume. Auch ist der Weg, wie KI vom Sammeln, Aufbereiten und Bewerten von Daten zu ihren Ergebnissen gelangt, häufig nicht nachvollziehbar. Und nicht zuletzt ist die Frage, in welchem rechtlichen Rahmen eine KI „verortet“ wird, wichtig – insbesondere, wenn es um Regeln zur Datennutzung und zum Datenschutz geht. Intransparenz in diesem Zusammenhang kann zu Vertrauensverlust auf Seiten des Kunden führen oder Fragen zur Verantwortung und Haftung aufwerfen.

Herausforderung managen

Ein KI-Managementsystem unterstützt Unternehmen dabei, KI-Systeme zu implementieren und zu betreiben, die Risiken zu analysieren und Schutzmaßnahmen aufzustellen. So lassen sich die Tools kontinuierlich verbessern. Die Norm ISO/IEC 42001:2023 bietet dafür einen strukturierten Rahmen. Veröffentlicht Ende 2023, ist sie die erste international anerkannte Norm für KI-Managementsysteme, nach der zertifiziert werden kann. Sie richtet sich an alle Organisationen, die KI nutzen, entwickeln oder anbieten. Die Norm folgt der High Level-Struktur der Internationalen Organisation für Normung (ISO), die darauf abzielt, Aufbau und Anforderungen aller ISO-Normen zu vereinheitlichen und zu harmonisieren. Somit ist ISO/IEC 42001:2023 in bestehende Managementsysteme integrierbar, wie zum Beispiel Qualitätsmanagementsysteme nach ISO 9001 oder Informationssicherheits-Managementsysteme nach ISO 27001. Als erstes europäisches Unternehmen hat die Unique AG, ein Schweizer Anbieter von KI-Lösungen, sein KIMS durch TÜV Süd gemäß ISO/IEC 42001:2023 zertifizieren lassen – der einzigen international anerkannten, zertifizierbaren Norm für KI-Management-Systeme.

Thomas Janz, TÜV SÜDThomas Janz,
TÜV SÜD

Im Zentrum des Zertifizierungsprozesses steht der Audit, in dem alle Prozesse zur KI-Entwicklung, -Nutzung und -Überwachung, sowie vorgegebene Maßnahmen zur Risikominimierung (sofern anwendbar) geprüft werden. Der Stufe-1-Audit legt den Fokus auf die Zertifizierungsreife des Managementsystems und auf den festgelegten Umfang der KI-Anwendungen und -Systeme sowie deren Dokumentation. Der Stufe-2-Audit prüft die Umsetzung und Wirksamkeit der normativen Anforderungen des Managementsystems. Werden kleinere Abweichungen festgestellt, muss das Unternehmen Maßnahmen ergreifen und die Lücken innerhalb einer Frist beheben, größere gegebenenfalls kritische Abweichungen erfordern dagegen eine Nachbegutachtung in kürzerem Zeitabstand.

Weichenstellung

Um KI sicher, ethisch und gemäß der DSGVO zu nutzen, müssen in vielen Unternehmen noch die Voraussetzungen geschaffen werden. Allzu oft sind die Verantwortlichkeiten für KI-Systeme nicht eindeutig geklärt. Zudem mangelt es teils an Erfahrung mit KI-Ethik: Wie kann KI ethisch korrekt und damit gerecht genutzt werden? Auch eine fehlende oder schlecht strukturierte Risikobewertung ist problematisch und behindert ein effektives KIMS. Für eine erfolgreiche Zertifizierung sind drei Aspekte entscheidend:

  1. Klar definierter Anwendungsbereich
    Unternehmen sollten genau definieren, welche Prozesse, Systeme und KI-Anwendungen unter das KIMS fallen.
  2. Einhaltung aller relevanten Vorschriften
    Sie müssen sicherstellen, dass alle relevanten Vorschriften und Anforderungen beachtet werden.
  3. Lückenlose Dokumentation
    Um KI wirklich transparent einzusetzen, müssen alle Prozesse, Risiken, Richtlinien und Tests innerhalb des KIMS dokumentiert werden.

Ist das KI-Managementsystem „audit-ready“?

Unternehmen sollten früh mit internen und externen Experten zusammenarbeiten, um ihr KIMS auf das Audit vorzubereiten. Dazu können Pilot-Implementierungen von KI-Systemen durchgeführt werden, um Funktionalität und Nutzen zu prüfen.

Dr. Ibrahim Halfaoui, TÜV SÜDDr. Ibrahim Halfaoui,
TÜV SÜD

Interne Audits vorab sind für die Zertifizierung zwingend erforderlich und geben Aufschluss über die Performance und mögliche Verbesserungspotenziale. Auch kann es in größeren Unternehmen sinnvoll sein, zuerst eine kleinere Einheit, zum Beispiel bestimmte, wesentliche Prozesse, zertifizieren zu lassen. Insgesamt gilt: Je klarer Prozesse und Verantwortlichkeiten festgelegt sind, desto erfolgreicher verläuft die Zertifizierung.

Während des Audits sollten wichtige Nachweise griffbereit sein. Dazu gehören Risikobewertungen, Maßnahmenpläne, KI-Policy, Leistungsberichte, Dokumentationen über Entwicklungs- und Betriebsprozesse der KI oder Nachweise zu Schulungen der Mitarbeiter. Ist das Team über KI-Belange umfassend informiert, steigt auch die Chance auf ein erfolgreiches Audit

Vorreiterrolle nutzen

Mit der Zertifizierung bekennen sich Unternehmen zu Ethik, Transparenz und verantwortungsvollem Management im Umgang mit KI – und festigen das Vertrauen von Kunden, Partnern und Aufsichtsbehörden. Wird das KIMS darüber hinaus regelmäßig geprüft, lassen sich potenzielle Abweichungen frühzeitig erkennen. Vor allem in technologiegetriebenen Branchen wie IT, Finanzdienstleistung, Industrieautomation und Digital Business trägt ein zertifiziertes KIMS entscheidend dazu bei, die regulatorischen Anforderungen des EU AI Acts zu erfüllen.

Über die Autoren:
Thomas Janz ist Product Compliance Manager IT-Standards bei derTÜV SÜD Management Service GmbH
Dr. Ibrahim Halfaoui ist AI Expert Consultant bei TÜV SÜD Digital Service GmbH.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.