"Wir brauchen noch keine KI-Compliance. Das ist doch alles Zukunftsmusik."
Die haben sie nicht.
Der EU AI Act ist seit August 2024 in Kraft. Nicht als Entwurf. Nicht als Diskussionsgrundlage. Als geltendes Recht.
Die ersten Pflichten greifen bereits. Weitere folgen 2025 und 2026. Und wer denkt, das betrifft nur die Großen, irrt.
Die Zahlen sprechen Bände
In Deutschland nutzen 12 Prozent aller Unternehmen KI-Systeme. Klingt wenig. Ist aber täuschend.
Bei Großunternehmen sind es über 33 Prozent. Im Mittelstand 16 Prozent. Tendenz steil steigend. Aber hier ist das Problem: Viele Unternehmen wissen gar nicht, dass sie KI nutzen.
Ihr Buchhaltungssystem hat ein KI-Feature für automatische Kategorisierung? KI-Nutzung.
Ihr CRM schlägt automatisch Kundenempfehlungen vor? KI-Nutzung.
Ein Mitarbeiter nutzt ChatGPT für E-Mail-Entwürfe? Shadow AI.
Alles fällt unter den AI Act.
Zwei Standards, eine Mission
ISO 27001 kennen viele. Der Standard für Informationssicherheits-Management. Bewährt. Etabliert. Viele mittelständische Unternehmen sind bereits zertifiziert.
Aber ISO 27001 wurde entwickelt, bevor KI zum Mainstream wurde. Die aktuellen Controls decken KI nicht spezifisch ab.
Deshalb gibt es jetzt ISO 42001. Den neuen Standard für KI-Managementsysteme.
Das klingt nach doppelter Arbeit. Ist es aber nicht.
ISO 42001 baut auf der gleichen Struktur wie ISO 27001 auf. Gleiche Kapitel. Gleiche Logik. Nur eben mit KI-Fokus.
Was bedeutet das konkret? Wenn Sie bereits ISO 27001-zertifiziert sind, können Sie ISO 42001 30 bis 40 Prozent schneller umsetzen. Die Grundlagen stehen. Sie müssen nur die KI-spezifischen Teile ergänzen.
Ethische Grundsätze. Bias-Vermeidung. Transparenz. Erklärbarkeit. Datenqualität. Menschliche Aufsicht.
Für kleinere und mittlere Unternehmen kostet die Zertifizierung ab etwa 8.000 Euro. Nicht billig. Aber machbar.
Die Timeline ist eng
Manche Pflichten aus dem EU AI Act gelten bereits. Seit Februar 2025.
Verbotene Praktiken: Social Scoring, Manipulation. Wenn Ihr System Menschen kategorisiert oder manipuliert, ist es jetzt illegal.
KI-Kompetenz: Ihre Mitarbeiter müssen geschult sein. Sie müssen verstehen, wie die KI funktioniert, die sie nutzen.
Ab August 2025 kommen weitere Pflichten. Für Foundation Models wie GPT-4, Claude, Llama. Governance-Regeln für Anbieter.
Das betrifft uns als KnowledgePilot direkt. Wir müssen dokumentieren, welche Modelle wir nutzen, wie sie trainiert wurden, welche Risiken sie haben.
Aber es betrifft auch Sie. Denn wenn Sie ein System wie unseres nutzen, sind Sie nicht raus. Sie müssen wissen, was Ihre Anbieter tun.
Ab August 2026 wird es ernst. Hochrisiko-KI-Systeme müssen Konformitätsbewertungen durchlaufen. Transparenzpflichten greifen. Wenn Ihre Kunden mit einer KI interagieren, müssen Sie es kennzeichnen.
Was ist Hochrisiko? Personalauswahl. Kreditwürdigkeitsprüfung. Kritische Infrastruktur. Medizinische Diagnostik.
Nutzen Sie KI in einem dieser Bereiche? Dann haben Sie 20 Monate Zeit, Ihre Prozesse anzupassen.
Die Strafen sind real
Der EU AI Act hat Zähne.
Verbotene Praktiken: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Was höher ist.
Andere Verstöße: bis zu 15 Millionen oder 3 Prozent.
Das sind keine symbolischen Strafen. Das sind existenzbedrohende Beträge für mittelständische Unternehmen.
Wird die EU wirklich durchgreifen? Wir wissen es nicht. Aber können Sie es sich leisten, darauf zu setzen, dass sie es nicht tun?
Was Sie jetzt tun sollten
Erstens: Inventur.
Listen Sie alle KI-Systeme auf, die Sie nutzen. Alle. Auch die, von denen Sie nicht sicher sind, ob sie KI enthalten.
Fragen Sie Ihre Abteilungen. "Nutzt ihr irgendwelche Tools mit automatischen Vorschlägen? Mit Vorhersagen? Mit Kategorisierungen?"
Shadow AI ist überall. In Browser-Extensions. In SaaS-Tools. In mobilen Apps.
Dokumentieren Sie, wo die Systeme eingesetzt werden. Personalwesen? Vertrieb? Kundenservice? Jeder Anwendungsbereich hat andere Risiken.
Zweitens: Grundlagen schaffen.
Wenn Sie noch keine ISO 27001:2022-Zertifizierung haben, wird es Zeit. Die Übergangsfrist läuft am 31. Oktober 2025 ab.
Das ist nicht nur wegen KI wichtig. Das ist generell sinnvoll. Informationssicherheit ist nicht optional.
Schulen Sie Ihre Mitarbeiter. Nicht nur "KI ist toll". Sondern "KI hat Risiken. So erkennen Sie sie. So gehen Sie damit um."
Dokumentieren Sie Ihre KI-Nutzung. Welche Systeme. Welche Zwecke. Welche Datenflüsse.
Das klingt nach Bürokratie. Ist aber Selbstschutz.
Drittens: Zertifizierung prüfen.
ISO 42001 ist nicht für jeden sinnvoll. Wenn Sie KI nur am Rande nutzen, reicht vielleicht Dokumentation und Schulung.
Aber wenn KI strategisch wichtig ist? Wenn Sie selbst KI entwickeln? Wenn KI ein Wettbewerbsvorteil ist?
Dann sollten Sie ISO 42001 ernsthaft in Betracht ziehen.
Nicht nur wegen Compliance. Sondern weil es Ihnen hilft, KI verantwortungsvoll einzusetzen. Bias zu vermeiden. Transparenz zu schaffen. Vertrauen aufzubauen.
Was das für uns bedeutet
Wir bei KnowledgePilot nehmen das ernst.
Nicht, weil wir Angst vor Strafen haben. Sondern weil wir wollen, dass unsere Kunden sich auf uns verlassen können.
Wir dokumentieren unsere Modellauswahl. Wir testen auf Bias. Wir sorgen für Quellenangaben. Wir achten auf Datenschutz.
Das alles läuft auf ISO 42001 hinaus. Wir arbeiten daran.
Aber das reicht nicht. Denn Compliance ist eine Partnerschaft.
Sie als Kunde müssen wissen, was wir tun. Sie müssen dokumentieren, wie Sie unser System nutzen. Sie müssen Ihre Mitarbeiter schulen.
Wir können Ihnen die Werkzeuge geben. Aber die Verantwortung teilen wir.
Die Realität für den Mittelstand
Viele mittelständische Unternehmen sind überfordert.
ISO 27001 ist schon komplex genug. Jetzt kommt ISO 42001 dazu. Und der EU AI Act. Und DSGVO hatten wir ja auch noch.
Es fühlt sich an wie ein regulatorisches Bombardement.
Das verstehen wir.
Aber hier ist die gute Nachricht: Wenn Sie ISO 27001 bereits haben, ist der Weg zu ISO 42001 überschaubar. Die Struktur ist da. Sie müssen sie nur erweitern.
Und wenn Sie noch keine ISO 27001 haben? Dann schaffen Sie jetzt die Grundlagen. Bevor die Anforderungen komplexer werden. Bevor die Fristen knapper werden.
Hektische Nachbesserungen im August 2026 sind teurer als systematischer Aufbau jetzt.
Was wirklich zählt
ISO 27001 schützt Ihre Daten. ISO 42001 regelt Ihren KI-Einsatz. Der EU AI Act macht es verbindlich.
Das ist nicht nur Compliance. Das ist Risikomanagement.
Ein KI-System, das diskriminiert, kann Sie vor Gericht bringen. Ein System ohne Quellenangaben kann falsche Entscheidungen verursachen. Ein System ohne Transparenz kann Ihr Vertrauen zerstören.
Die Standards helfen Ihnen, das zu vermeiden.
Nicht als bürokratische Last. Sondern als strukturierter Prozess, KI richtig einzusetzen.
Der erste Schritt
Sie müssen nicht alles sofort machen.
Aber Sie sollten jetzt anfangen.
Inventur. Wo nutzen wir KI?
Bewertung. Welche Risiken haben wir?
Planung. Was müssen wir bis wann umsetzen?
Das sind keine Fragen für irgendwann. Das sind Fragen für diese Woche.
Der EU AI Act wartet nicht. Die Fristen laufen. Die Risiken wachsen.
Aber wenn Sie jetzt handeln, haben Sie noch Zeit, es richtig zu machen.
Quellen
ISO/IEC 27001:2022: Information Security Management Systems
ISO/IEC 42001:2023: Artificial Intelligence Management System
Weiterführend: Vanta Guide to ISO 42001
EU AI Act (Verordnung 2024/1689): EUR-Lex Volltext (DE)
Englische Version: EUR-Lex (EN)
Übersichtliche Aufbereitung: AI Act Law
EU-Kommission: KI-Gesetz – Regulatory Framework
OECD AI Policy Observatory: oecd.ai
Daten und Trends: Trends & Data
Deutschland-Report: OECD AI Review of Germany
Zertifizierungsstellen (Deutschland):
-
TÜV SÜD: ISO 42001 Zertifizierung
Interview EU AI Act & ISO 42001: Value Magazin -
DNV: ISO/IEC 42001 Künstliche Intelligenz
Akkreditierungsmeldung: DNV als akkreditierte Zertifizierungsstelle -
DEKRA: ISO 42001 Zertifizierung
Hintergrundartikel: ISO 42001 sichert die Potenziale
ANAB-Akkreditierung: Pressemitteilung