ISO/IEC 42001: Das Managementsystem für KI

ISO/IEC 42001: Das AI Managementsystem für eine verantwortungsvolle Zukunft mit KI Künstliche Intelligenz (KI) entwickelt sich vom technologischen Trend zu einem festen Bestandteil in Organisationen. Unsere Kunden nutzen KI aktuell in Bereichen wie Qualitätsmanagement, Prozessmanagement, Wissensmanagement, Kundenservice oder Personalwesen. 

Doch zögern weiterhin zahlreiche Schweizer Unternehmen aufgrund einer grossen Herausforderung. Für den Einsatz von KI existiert derzeit kein umfassender nationaler regulatorischer Rahmen. Dadurch fehlt diesen  Organisationen eine Orientierung, wie KI verantwortungsvoll, nachvollziehbar und organisationsweit gesteuert werden soll.

Zwar schafft der EU AI Act einen regulatorischen Rahmen innerhalb der Europäischen Union. Für zahlreiche Schweizer KMU ist dessen Anwendung jedoch nicht direkt verpflichtend. Dennoch stellen sich dieselben Fragen:

• Wer trägt die Verantwortung für KI-gestützte Entscheidungen?

• Welche Risiken müssen bewertet und überwacht werden?

• Wie wird Transparenz sichergestellt?

• Welche Kompetenzen benötigen Führungskräfte und Mitarbeitende?

• Wie können Haftungs- und Reputationsrisiken reduziert werden?

Genau hier setzt die ISO/IEC 42001:2023 an – die weltweit erste internationale Norm für ein Artificial Intelligence Management System (AIMS). Sie bietet Organisationen einen anerkannten organisatorischen Rahmen, um den Einsatz von KI systematisch, verantwortungsvoll und nachvollziehbar zu gestalten.

Was ist ISO/IEC 42001?

Die ISO/IEC 42001 definiert Anforderungen an ein Managementsystem für Künstliche Intelligenz. Ziel ist es, KI-Anwendungen über ihren gesamten Lebenszyklus wirksam zu steuern, Risiken frühzeitig zu erkennen und Verantwortlichkeiten klar zu regeln.

Die Norm folgt der bewährten High-Level-Structure (HLS) der ISO-Managementsysteme und lässt sich dadurch nahtlos in bestehende Managementsysteme wie ISO 9001, ISO 45001 oder ISO 27001 integrieren.

Für Organisationen entsteht dadurch keine isolierte Parallelwelt mit einem KI-System, sondern eine Erweiterung bestehender Führungs- und Managementstrukturen.

Die wichtigsten Anforderungen der ISO/IEC 42001

Die ISO/IEC 42001 unterstützt unsere Kunden dabei, den Einsatz von Künstlicher Intelligenz organisatorisch zu regeln und dauerhaft zu steuern. Viele Fragestellungen rund um Verantwortung, Risiken, Kompetenzen, Überwachung und Transparenz werden durch die Norm strukturiert beantwortet.

Folgende organisatorische Anforderungen können durch die Anwendung der Norm aufgebaut, umgesetzt und kontinuierlich verbessert werden:

1. Governance und Verantwortlichkeiten regeln
2. Klare Zuständigkeiten für Entwicklung, Einführung, Betrieb und Überwachung von KI-Systemen.
3. Risikomanagement: Systematische Identifikation, Bewertung und Steuerung von Risiken, die durch KI entstehen können.
4. Human Oversight: Sicherstellung menschlicher Aufsicht und Kontrolle über kritische KI-Anwendungen, um Fehlentwicklungen frühzeitig zu erkennen und korrigieren zu können.
5. Lebenszyklusmanagement: Steuerung von KI-Systemen von der Planung und Einführung bis zur Anpassung oder Ausserbetriebnahme.
6. Überwachung und Verbesserung: Regelmässige Bewertung der Leistung, Wirksamkeit und Auswirkungen von KI-Anwendungen.
7. Kompetenz und Befähigung: Aufbau der notwendigen Kompetenzen bei Führungskräften und Mitarbeitenden für einen verantwortungsvollen Umgang mit KI.
8. Dokumentierte Informationen: Nachvollziehbare Dokumentation von KI-Systemen, Risiken, Bewertungen, Entscheidungen und Verbesserungsmassnahmen.
9. Stakeholder- und Wirkungsperspektive: Berücksichtigung der Erwartungen und Bedürfnisse von Kunden, Mitarbeitenden, Behörden, Geschäftspartnern und weiteren interessierten Parteien sowie Bewertung möglicher Auswirkungen von KI auf Menschen, Organisationen und Prozesse.

Diese Anforderungen schaffen einen stabilen organisatorischen Rahmen, der Innovation ermöglicht und gleichzeitig Risiken kontrollierbar macht. 

Für welche Unternehmen eignet sich ISO/IEC 42001?

Die Norm richtet sich an Organisationen jeder Grösse und Branche. Besonders relevant ist sie für Unternehmen, die:

• KI-Systeme entwickeln oder betreiben,

• KI-Anwendungen einkaufen und einsetzen,

• sensible Daten verarbeiten,

• regulatorischen Anforderungen unterliegen,

• Vertrauen bei Kunden und Geschäftspartnern stärken möchten.

Auch Unternehmen, die sich erst am Anfang ihrer KI-Reise befinden, erhalten mit der ISO/IEC 42001 einen strukturierten Orientierungsrahmen für den Aufbau einer nachhaltigen KI-Governance.

Praxistipp: Kein Compliance-Projekt 

Die Einführung eines AI Managementsystems soll nicht als reine Compliance-Massnahme, sondern als beteiligenden Change verstanden werden. Richtig umgesetzt schafft sie der  Organisation und Mitarbeitenden:

• höhere Akzeptanz von KI-Anwendungen,

• klare Verantwortlichkeiten und Entscheidungswege,

• reduzierte Haftungs- und Reputationsrisiken,

• bessere Nachvollziehbarkeit von Entscheidungen,

• vertrauenswürdiger Umgang mit KI gegenüber Kunden und Partnern,

• nachhaltige Integration von KI in bestehende Managementsysteme.

siehe dazu auch unseren separaten Blogbeitrag zu Häufige Fehler bei der Einführung von KI – Warum KI Projekte scheitern

Die Norm ISO/IEC 42001 schliesst eine wichtige Lücke zwischen technologischer Entwicklung und organisatorischer Steuerung von Künstlicher Intelligenz. Sie bietet Unternehmen einen international anerkannten Rahmen, um KI strukturiert, verantwortungsvoll und zukunftsorientiert einzusetzen.

Erfolgreiche Unternehmen warten nicht auf Vorgaben, sondern schaffen eigenverantwortlich ihren Ordnungsrahmen bis eine nationale Regelung eingeführt wird. Dafür stellt diese Norm bereits heute einen international anerkannten  Orientierungsrahmen dar. Wer KI langfristig erfolgreich nutzen möchte, benötigt nicht nur leistungsfähige Technologien, sondern auch klare Verantwortlichkeiten, wirksame Prozesse und eine Kultur, die Innovation und Verantwortung miteinander verbindet und einen Rahmen dafür schafft.