fairlane.systems

ISO 42001 · COMPLIANCE

ISO/IEC 42001: Der internationale Standard für AI-Management-Systeme

ISO/IEC 42001:2023 ist der erste internationale AIMS-Standard. Wer braucht eine Zertifizierung, was sie kostet, welche Annex-A-Kontrollen verpflichtend sind.

Recherche & Faktencheck: · Stand: 2026-05

Was ist ISO/IEC 42001?

ISO/IEC 42001:2023 ist der internationale Standard für ein "Artificial Intelligence Management System" (AIMS). Er wurde im Dezember 2023 von ISO und IEC gemeinsam publiziert und ist der erste verbindliche Managementsystem-Standard, der speziell auf KI-Entwicklung, KI-Bereitstellung und KI-Nutzung zugeschnitten ist. Strukturell folgt 42001 dem üblichen ISO-Aufbau (zehn Klauseln plus Annex), wie er von ISO 9001 (Qualität), ISO 27001 (Informationssicherheit) und ISO 14001 (Umwelt) bekannt ist. Wer eines dieser Systeme bereits zertifiziert betreibt, kennt den Rahmen.

Die zehn Klauseln decken den klassischen Plan-Do-Check-Act-Zyklus ab: Kontext der Organisation (4), Führung (5), Planung inklusive Risikobewertung (6), Unterstützung (7), Betrieb (8), Leistungsbewertung (9), Verbesserung (10). Das eigentliche KI-spezifische Werkzeug liegt im Annex A – eine Liste von 38 Kontrollen über neun Bereiche: AI-Policies, interne Organisation, Ressourcen für AI-Systeme, AI-System-Auswirkungsbewertung, AI-System-Lebenszyklus, Daten für AI-Systeme, Information für interessierte Parteien, AI-Nutzung und Beziehungen zu Dritten.

Mit Stand Mai 2026 ist 42001 als de-facto-Governance-Standard etabliert. Microsoft, AWS, SAP, Google haben für ihre AI-Services 42001-Zertifizierungen erworben oder befinden sich im Audit. Auf europäischer Seite ist EN ISO/IEC 42001:2026 als harmonisierte Norm in Vorbereitung – sie wird voraussichtlich als Konformitätsvermutung für Pflichten unter dem EU AI Act anerkannt, insbesondere für Hochrisiko-Systeme nach Anhang III.

Warum es relevant ist

Drei Treiber machen 42001 für Schweizer Anbieter und Anwender 2026 wirtschaftlich relevant.

B2B-Anforderungen: Grosse Kunden – Banken, Versicherer, Konzerne – verlangen in Ausschreibungen zunehmend ein "AI Trust Mark". ISO 27001 ist die Standardanforderung für Informationssicherheit; 42001 wird die analoge Standardanforderung für KI-Tools. Ein KMU-AI-Dienstleister ohne 42001 verliert in der Vorqualifizierung Punkte gegenüber zertifizierten Konkurrenten.

EU-AI-Act-Konformität: Hochrisiko-AI-Systeme nach Anhang III des EU AI Act (Art. 6 und 7) müssen ab 2. August 2026 ein Risikomanagement-System, Datenqualitätspflichten, technische Dokumentation und Post-Market-Monitoring vorweisen. Ein nach 42001 zertifiziertes AIMS deckt diese Pflichten weitgehend ab. Sobald EN ISO/IEC 42001:2026 harmonisiert ist, gilt für zertifizierte Systeme eine Konformitätsvermutung – der direkte Nachweisaufwand sinkt.

Versicherbarkeit: Cyber- und Berufshaftpflicht-Versicherer beginnen 2026, KI-spezifische Ausschlussklauseln einzufügen. AIG, Zurich und Helvetia bieten ab Q2/2026 KI-Module an, deren Prämienreduktionen an ein zertifiziertes 42001-AIMS gekoppelt sind. Für eine Schweizer KMU, die KI-Tools an dritte verkauft oder im Eigenbetrieb für Mandanten einsetzt, ist die Versicherungs-Frage 2026 ein direktes Kostenargument.

Wie eine 42001-Zertifizierung abläuft

Der Zertifizierungspfad gliedert sich in vier Phasen.

Phase 1 – Gap Analyse (1 bis 2 Monate): Eine Bestandsaufnahme der bestehenden Prozesse, Policies und technischen Kontrollen gegen die 42001-Anforderungen. Wer ISO 27001 bereits zertifiziert betreibt, kann ca. 40 Prozent der Anforderungen wiederverwenden – die Kontroll-Domänen Informationssicherheit, Lieferanten-Management, Awareness überlappen.

Phase 2 – Aufbau des AIMS (3 bis 6 Monate): Die fehlenden Annex-A-Kontrollen werden erarbeitet. Typische Lieferobjekte: AI-Policy mit Geltungsbereich, KI-Inventar mit Risikoklassifizierung, AI-Impact-Assessment-Template (vergleichbar einer DPIA, aber mit KI-spezifischen Fragen zu Bias, Erklärbarkeit, Datenherkunft), Datenqualitäts-Prozess, Logging- und Monitoring-Konzept für KI-Outputs, Lieferanten-Bewertungs-Schema für KI-Anbieter, Incident-Response-Spielbücher für KI-Vorfälle, Schulungsplan für Mitarbeiter.

Phase 3 – Internes Audit und Management-Review (1 Monat): Wie bei jedem ISO-Standard verlangt 42001 ein internes Audit und ein Management-Review vor dem externen Audit. Diese Schritte decken nicht nur Lückenformulare, sondern bringen das obere Management in die Pflicht – die Geschäftsleitung muss die KI-Strategie nachweislich verantworten.

Phase 4 – Externes Audit (Stage 1 + Stage 2, 1 bis 2 Monate): Eine akkreditierte Zertifizierungsstelle prüft zuerst die Dokumentation (Stage 1), danach die gelebte Praxis durch Stichproben (Stage 2). In der Schweiz akkreditiert die Schweizerische Akkreditierungsstelle SAS Zertifizierungsstellen; international anerkannt sind BSI (UK), Schellman (US), DNV (NO), TUEV SUED (DE), KPMG. Die Zertifizierung ist drei Jahre gültig, mit jährlichen Überwachungsaudits.

ISO-42001-Zertifizierung in 7 Schritten

  1. 01Strategischer Entscheid: Definieren Sie den Geltungsbereich (welche AI-Systeme, welche Organisationseinheiten) und das Zielzertifikat.
  2. 02Gap-Analyse: Bestehende Prozesse (ISO 27001, ISMS, DSG-Compliance) gegen 42001 Klauseln 4-10 und Annex A prüfen.
  3. 03AIMS-Dokumentation: AI-Policy, Risikomanagement-Verfahren, KI-Inventory, AI-Impact-Assessment-Templates erstellen.
  4. 04Annex-A-Kontrollen implementieren: 38 Kontrollen aus 9 Domänen, priorisiert nach Risikoanalyse.
  5. 05Internes Audit: Ein interner oder externer Auditor prüft die AIMS-Dokumentation und Wirksamkeit der Kontrollen.
  6. 06Management-Review: Geschäftsleitung dokumentiert die Verantwortung, genehmigt Korrekturmassnahmen, gibt Audit frei.
  7. 07Externes Audit (Stage 1 + Stage 2): Akkreditierte Zertifizierungsstelle prüft Dokumentation und Praxis; bei Erfolg 3-Jahres-Zertifikat.

Wann eine Zertifizierung sich lohnt

Sinnvoll für drei Profile:

KI-Anbieter mit B2B-Geschäft: Wer KI-gestützte Produkte oder Services an Banken, Versicherer, Konzerne, öffentliche Hand verkauft, hat ab 2026 in vielen Ausschreibungen die explizite Anforderung "ISO 42001 zertifiziert oder im Audit". Ohne ist man im RFP-Filter.

Hochrisiko-AIA-Deployer: Wer ein Hochrisiko-AI-System nach EU AI Act betreibt (z.B. KI-gestützte Kreditvergabe, Bewerber-Screening, biometrische Identifikation, kritische Infrastruktur), kann mit 42001 die Konformitäts-Nachweisarbeit halbieren.

Multi-Mandanten-Service-Provider: AI-Boutiquen, MSPs und Beratungshäuser, die KI-Tools für mehrere Mandanten betreiben (typisch: ein Treuhand-spezifischer LLM-Stack für 30 Kunden), profitieren vom Vertrauensgewinn und der vereinfachten Auftragsverarbeiter-Prüfung. Mandanten müssen den Provider nicht mehr einzeln auditieren – das Zertifikat reicht als Beleg.

Wann eine Zertifizierung nicht lohnt

Wenig sinnvoll bei reinen Konsumenten-Cases oder kleinen internen Tools. Wer ChatGPT Enterprise zur internen E-Mail-Korrektur einsetzt, braucht kein 42001. Wer ein internes KI-Tool ohne Drittwirkung betreibt (interne Knowledge-Base über RAG), kann mit einer schlanken AI-Policy und einem AI-Inventory ebenfalls die wesentlichen Risiken adressieren, ohne 50 bis 150 Beratertage in eine Zertifizierung zu stecken.

Wenig sinnvoll auch für sehr kleine Anbieter (1 bis 5 Mitarbeiter), deren Kundenstruktur nicht zertifizierungsgetrieben ist. Eine Treuhandkanzlei mit fünf Mandanten, deren KI-Werkzeug intern bleibt, braucht praxisgerechte Compliance – keine Zertifizierung. Hier reicht eine AI-Policy nach 42001-Vorlage, ohne formelle Zertifizierungs-Pflicht.

Unwirtschaftlich, wenn ISO 27001 fehlt: 42001 baut konzeptuell stark auf 27001 auf. Wer keines der beiden hat, sollte typischerweise zuerst 27001 zertifizieren (Markt-Standard, breitester Versicherungs-Nutzen) und 42001 dann als Aufsatz draufsetzen. Beide gleichzeitig in 12 Monaten ist machbar, aber kostenintensiv.

Vor- und Nachteile

STÄRKEN

  • International anerkannter Standard, schliesst RFP-Filter-Lücken
  • Konformitäts-Vermutung unter EU AI Act erwartet (harmonisierte EN-Version 2026)
  • Versicherungs-Prämienvorteile bei Cyber- und Haftpflicht-Policen
  • Strukturierte Risikobewertung deckt Halluzinationen, Bias, Datenherkunft systematisch ab

SCHWÄCHEN

  • Erstzertifizierung kostet CHF 65 000 bis 210 000 inklusive Beratung
  • Aufwand 6 bis 12 Monate; ohne Top-Management-Commitment unrealistisch
  • Jährliche Überwachungsaudits binden 2 bis 5 Tage Personal pro Jahr
  • Für kleine interne Tools überdimensioniert; ROI nur bei B2B-Fokus klar

Häufige Fragen

Was kostet eine ISO-42001-Zertifizierung in der Schweiz?

Externes Audit (Stage 1 + Stage 2) durch eine akkreditierte Stelle: CHF 25 000 bis 60 000 für ein KMU, abhängig von Komplexität und Anzahl der Standorte. Interne Vorbereitung (Beratung, Dokumentation, Schulung): typisch CHF 40 000 bis 150 000. Jährliche Überwachungsaudits: CHF 8 000 bis 18 000. Rezertifizierung nach 3 Jahren: ca. 70 Prozent der Erst-Audit-Kosten. KMU mit bestehender ISO 27001-Zertifizierung sparen 30 bis 50 Prozent.

Wie lange dauert die Zertifizierung?

Erstzertifizierung: 6 bis 12 Monate ab Projektstart, abhängig vom Reifegrad. Wer aus dem Stand startet, plant 12 Monate. Wer ISO 27001 zertifiziert hat, schafft 42001 in 6 bis 9 Monaten. Das Zertifikat ist drei Jahre gültig, mit jährlichen Überwachungsaudits (jeweils 2 bis 5 Tage Prüfung).

Gilt die Zertifizierung auch in der EU?

Ja, ISO/IEC 42001:2023 ist ein internationaler Standard und wird in der EU anerkannt. Die harmonisierte europäische Version EN ISO/IEC 42001:2026 ist in Vorbereitung; sie wird voraussichtlich als Konformitätsvermutung für Pflichten unter dem EU AI Act dienen, insbesondere für Hochrisiko-Systeme nach Anhang III. Wer 42001 früh zertifiziert, hat einen Vorsprung gegenüber Konkurrenten, die erst nach Inkrafttreten der harmonisierten Norm starten.

Reicht ISO 27001 statt 42001?

Nein. ISO 27001 deckt Informationssicherheit ab (Vertraulichkeit, Integrität, Verfügbarkeit), aber nicht die KI-spezifischen Risiken wie Bias, Erklärbarkeit, Datenherkunfts-Drift, Output-Halluzinationen, Model-Drift. 42001 ist die KI-Erweiterung des klassischen ISO-Managementsystems. Beide ergänzen sich; keiner ersetzt den anderen. Wer ohnehin 27001 hat, kommt mit 30 bis 50 Prozent zusätzlichem Aufwand zu 42001.

Verwandte Themen

EU AI ACT · COMPLIANCEEU AI Act 2026: Hochrisiko-Pflichten ab 2. August 2026 – was Schweizer Anbieter jetzt tun müssenrevDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutetAUDIT-TRAIL · AI-KONZEPTAI-Audit-Trail-Design: Was Sie loggen müssen, damit eine KI-Antwort revisionsfähig bleibtFINMA · COMPLIANCEFINMA-Awareness: KI-Governance für Banken, Versicherer und Treuhänder mit VermögensverwaltungAI-READINESS AUDIT · SERVICEAI-Readiness Audit: Wo Ihr Betrieb heute mit KI steht – in ein bis fünf Tagen geklärt

Quellen

  1. ISO/IEC 42001:2023 – AI management systems (iso.org) · 2023-12
  2. ISO 42001 explained – What it is and how it works (iso.org) · 2026-02
  3. EN ISO/IEC 42001:2026 – European harmonised version (CEN-CENELEC catalogue) · 2026-04
  4. KPMG Switzerland – ISO/IEC 42001: AI Management System for Governance · 2026-03
  5. Schweizerische Akkreditierungsstelle SAS – Akkreditierte Stellen · 2026-04

PASSEND ZU IHREM STACK?

Dies ist keine Rechtsberatung. Für verbindliche Auslegung CH-Anwalt / Datenschutzberater. Wir begleiten ISO-42001-Vorbereitungen für Schweizer KMU – Gap-Analyse, AIMS-Aufbau, Audit-Begleitung. Erstgespräch kostenlos.

Erstgespräch buchen