Rahmenwerke

Das EU-KI-Gesetz und ISO 42001: Unterschiede, Überschneidungen und wie man sie gemeinsam nutzt

Das EU-KI-Gesetz im Vergleich zu ISO 42001: Erfahren Sie mehr über die wichtigsten Unterschiede, die Überschneidungen und wie Sie beide Standards nutzen können, um eine praxisorientierte und konforme KI-Governance aufzubauen.

Tuomas Pitkänen
1. April 2026
@

Inhalt des Artikels

ISO 27001-Sammlung
Das EU-KI-Gesetz und ISO 42001: Unterschiede, Überschneidungen und wie man sie gemeinsam nutzt
NIS2-Sammlung
Das EU-KI-Gesetz und ISO 42001: Unterschiede, Überschneidungen und wie man sie gemeinsam nutzt
Cyberday Blog
Das EU-KI-Gesetz und ISO 42001: Unterschiede, Überschneidungen und wie man sie gemeinsam nutzt

Unternehmen, die KI einsetzen, stehen vor einem Spagat. Einerseits müssen sie wissen, was das Gesetz vorschreibt. Andererseits benötigen sie einen praktischen Ansatz, um den Einsatz von KI team-, anwendungs- und anbieterübergreifend zu steuern.

Hier kommen das EU-KI-Gesetz und die Norm ISO 42001 ins Spiel.

Auf den ersten Blick behandeln beide dasselbe Thema, lösen jedoch unterschiedliche Probleme. Der AI Act ist eine verbindliche EU-Verordnung, die rechtliche Verpflichtungen für KI-Systeme und allgemeine KI-Modelle festlegt. ISO 42001 ist eine freiwillige internationale Norm für den Aufbau eines KI-Managementsystems im gesamten Unternehmen.

Viele Organisationen werden letztendlich beides nutzen: den AI Act, um zu verstehen, was zu beachten ist, und die Norm ISO 42001, um ein Governance-Modell zu entwickeln, das ihnen hilft, dies konsequent umzusetzen.

Was ist das EU-KI-Gesetz?

Das EU-KI-Gesetz ist der Rechtsrahmen der EU zur Regulierung künstlicher Intelligenz. Es legt verbindliche Vorschriften fest, die sich nach dem KI-Risiko richten, und definiert Verpflichtungen je nachdem, wie KI entwickelt, bereitgestellt oder genutzt wird.

Das EU-KI-Gesetz ist die Verordnung (EU) 2024/1689, der harmonisierte Rechtsrahmen der EU für künstliche Intelligenz. Die Europäische Kommission beschreibt es als den ersten umfassenden Rechtsrahmen für KI, der auf einem risikobasierten Ansatz beruht. Sein Ziel ist es, vertrauenswürdige KI zu fördern und gleichzeitig Gesundheit, Sicherheit und Grundrechte zu schützen.

In der Praxis ist das KI-Gesetz von Bedeutung, da es nicht alle Anwendungsfälle von KI gleich behandelt. Es unterscheidet zwischen verbotenen Praktiken, risikoreichen KI-Systemen, Transparenzpflichten für bestimmte KI-Anwendungen und Verpflichtungen für Anbieter von Allzweck-KI-Modellen. Diese Struktur ist entscheidend, da die Verpflichtungen eines Unternehmens davon abhängen, welche Art von KI es entwickelt, bereitstellt oder einsetzt, sowie von der Rolle, die es in der Wertschöpfungskette spielt.

Von Bedeutung ist auch, dass das Gesetz bereits schrittweise in Kraft tritt. Die Kommission erklärt, dass das KI-Gesetz am 1. August 2024 in Kraft getreten ist und am 2. August 2026 vollständig anwendbar sein wird, wobei einige Bestimmungen bereits früher gelten. Verbotene KI-Praktiken und Verpflichtungen zur KI-Kompetenz gelten seit dem 2. Februar 2025, und die Verpflichtungen für Anbieter von Allzweck-KI-Modellen traten am 2. August 2025 in Kraft. Organisationen befinden sich daher in einer Übergangsphase, in der einige Verpflichtungen bereits gelten und andere schrittweise eingeführt werden.

Was ist ISO/IEC 42001?

ISO/IEC 42001 ist eine internationale Norm für den Aufbau eines KI-Managementsystems. Sie unterstützt Organisationen dabei, den Einsatz von KI durch festgelegte Richtlinien, Prozesse, Rollen und kontinuierliche Verbesserung zu steuern.

ISO/IEC 42001:2023 ist die internationale Norm für KI-Managementsysteme. Laut ISO enthält sie Anforderungen und Leitlinien für Organisationen, die KI-Systeme entwickeln, bereitstellen oder nutzen, und ist die erste globale Norm, die sich auf die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines KI-Managementsystems konzentriert.

Dieser Rahmen ist wichtig. ISO 42001 ist kein Gesetz und beschränkt sich nicht auf ein einzelnes KI-Produkt oder eine eng gefasste rechtliche Kategorie. Es handelt sich um eine Norm für Managementsysteme auf Organisationsebene. Ihr Zweck besteht darin, Richtlinien, Ziele, Prozesse, Verantwortlichkeiten und kontinuierliche Verbesserungen im Bereich der KI zu verankern. Mit anderen Worten: Es geht darum, wiederholbare Steuerungsmechanismen zu schaffen, und nicht nur einmalige Kontrollmaßnahmen zu dokumentieren.

Dadurch ist die Norm ISO 42001 besonders relevant für Organisationen, die die KI-Governance über Produktteams, den internen Einsatz von KI, die Beschaffung, die Aufsicht durch die Führungsebene sowie Audit- oder Sicherungsfunktionen hinweg koordinieren müssen.

Selbst wenn sie freiwillig ist, kann sie als strukturiertes Betriebsmodell für ein verantwortungsbewusstes KI-Management dienen. Dieser letzte Punkt ergibt sich aus der Beschreibung der Norm durch die ISO als organisationsweites Managementsystem zur Festlegung von Richtlinien, Zielen und Prozessen im Zusammenhang mit der verantwortungsvollen Entwicklung, Bereitstellung oder Nutzung von KI.

Wesentliche Unterschiede zwischen dem EU-KI-Gesetz und der Norm ISO 42001

Rechtsstatus

Dies ist der größte Unterschied zwischen den beiden. Das EU-KI-Gesetz ist für Organisationen und KI-Anwendungsfälle, die in seinen Geltungsbereich fallen, rechtsverbindlich. ISO 42001 ist eine freiwillige Norm. Ein Unternehmen kann sich entscheiden, ISO 42001 als Teil seines Governance-Programms einzuführen, aber es kann sich nicht gegen das KI-Gesetz entscheiden, wenn die Verordnung für es gilt.

Zweck

Das KI-Gesetz soll KI-Risiken auf dem EU-Markt regulieren und öffentliche Interessen wie Gesundheit, Sicherheit und Grundrechte schützen. Die Norm ISO 42001 soll Organisationen dabei unterstützen, ein KI-Managementsystem mit Richtlinien, Prozessen und kontinuierlicher Verbesserung einzurichten und zu betreiben. Das eine ist regulatorischer Natur, das andere betrieblicher.

Umfang

Das KI-Gesetz legt Verpflichtungen fest, die sich nach der Art der KI, dem Risikograd und der Rolle des Akteurs – beispielsweise Anbieter oder Betreiber – richten. Die Norm ISO 42001 gilt auf der Ebene des Managementsystems für die gesamte Organisation und kann die Entwicklung, Bereitstellung, Beschaffung und Nutzung von KI in einem breiteren Sinne abdecken.

So funktioniert die Umsetzung

Das KI-Gesetz verlangt von Organisationen, festzustellen, ob bestimmte Systeme oder Modelle unter die regulierten Kategorien fallen, und anschließend die entsprechenden Verpflichtungen zu erfüllen. Die Norm ISO 42001 verlangt von Organisationen, eine Governance-Struktur aufzubauen, die Verantwortlichkeiten, Prozesse, Kontrollmaßnahmen, Überprüfungsmechanismen und Verbesserungszyklen definiert.

Wie „stichhaltige Beweise“ aussehen

Gemäß dem KI-Gesetz sind Nachweise an die gesetzlichen Verpflichtungen im Rahmen der Verordnung geknüpft. Nach ISO 42001 liegen die Nachweise eher im Managementsystem selbst: Richtlinien, Rollen, dokumentierte Prozesse, interne Überprüfungen und Aufzeichnungen zur kontinuierlichen Verbesserung. Diese Unterscheidung ist wichtig, da die Einhaltung gesetzlicher Vorschriften und die Reife des Managementsystems zwar miteinander zusammenhängen, aber nicht identisch sind.

Wo sie sich überschneiden

Auch wenn sie sich in Status und Aufbau unterscheiden, überschneiden sich die beiden Rahmenwerke in mehreren wichtigen Punkten.

  1. Beide fördern eine stärkere Unternehmensführung und Rechenschaftspflicht. Der AI Act erreicht dies durch gesetzliche Verpflichtungen und akteursspezifische Pflichten. Die ISO 42001 erreicht dies durch ein strukturiertes Managementsystem, das Richtlinien, Ziele und Prozesse festlegt.
  2. Beide befassen sich mit dem Risikomanagement. Das KI-Gesetz ist ausdrücklich risikobasiert und sieht je nach Art des KI-Systems oder -Modells unterschiedliche Verpflichtungen vor. Die Norm ISO 42001 soll Organisationen dabei unterstützen, KI-bezogene Risiken mithilfe eines systematischen Governance-Rahmens zu bewältigen.
  3. Beide basieren auf Dokumentation, Überwachung und Überprüfung. Die genauen Abläufe unterscheiden sich zwar, doch keines der beiden Rahmenwerke funktioniert isoliert. Unternehmen benötigen klar definierte Zuständigkeiten, Aufzeichnungen, interne Prozesse und eine Möglichkeit, zu überwachen, ob die KI wie vorgesehen eingesetzt wird.

Genau diese Überschneidung ist der Grund, warum viele Organisationen sie nicht als Alternativen betrachten. Sie betrachten sie vielmehr als aufeinander aufbauende Ebenen. Der AI Act legt die externen Anforderungen fest. Die Norm ISO 42001 kann dabei helfen, die interne Governance-Architektur zu schaffen, die diese Anforderungen unterstützt.

Wie man das EU-KI-Gesetz und die Norm ISO 42001 gemeinsam anwendet

Für viele Organisationen ist es am sinnvollsten, beide Ansätze zu kombinieren. Beginnen Sie mit dem AI Act und nutzen Sie anschließend die ISO 42001, um die erforderlichen Maßnahmen in der Organisation umzusetzen. Der AI Act gibt Ihnen vor, worauf Sie aus rechtlicher und regulatorischer Sicht achten müssen, während die ISO 42001 Ihnen dabei hilft, ein Managementsystem aufzubauen, das diese Vorgehensweise wiederholbar macht.

Ein sinnvoller Ablauf beginnt mit einer rechtlichen Bestandsaufnahme. Ein Unternehmen sollte zunächst ermitteln, welche KI-Systeme oder Allzweck-KI-Modelle es entwickelt, bereitstellt, einsetzt oder in seine Betriebsabläufe integriert, und anschließend feststellen, ob diese Systeme verboten, mit hohen Risiken behaftet, Transparenzpflichten unterworfen oder von den Verpflichtungen für Allzweck-KI erfasst sind. Dies ist die sogenannte regulatorische Bestandsaufnahme. Ohne diese könnten Teams Governance-Prozesse auf der Grundlage falscher Annahmen aufbauen.

Sobald die rechtlichen Rahmenbedingungen geklärt sind, erweist sich die Norm ISO 42001 als nützliche Governance-Ebene. Die Norm kann der Organisation dabei helfen, Richtlinien für den Einsatz von KI zu definieren, Rollen und Verantwortlichkeiten zuzuweisen, Ziele festzulegen, Verfahren zur Risikobewertung und -überprüfung einzurichten, Dokumentationspraktiken zu formalisieren sowie Mechanismen zur Überwachung und kontinuierlichen Verbesserung zu schaffen. Genau diese Maßnahmen tragen dazu bei, dass eine Organisation den Übergang von einer ad hoc-basierten KI-Aufsicht zu einem tragfähigen System vollzieht.

Deshalb lässt sich das Verhältnis am treffendsten wie folgt beschreiben: Das EU-KI-Gesetz legt die rechtlich relevanten Verpflichtungen fest, während die Norm ISO 42001 ein Managementsystem bereitstellt, das einer Organisation dabei helfen kann, diese Verpflichtungen auf strukturierte und wiederholbare Weise zu erfüllen. Dies ist zwar teilweise eine Zusammenfassung, ergibt sich jedoch unmittelbar aus den offiziellen Zielen der beiden Rahmenwerke.

Warum viele Organisationen beides nutzen werden

Viele Unternehmen werden feststellen, dass das KI-Gesetz allein als internes Betriebsmodell nicht ausreicht. Ein Gesetz kann zwar aufzeigen, welche Verpflichtungen bestehen, schafft jedoch nicht automatisch die Governance-Prozesse, die für den unternehmensweiten Umgang mit KI erforderlich sind. Die Teams benötigen nach wie vor Verantwortlichkeiten, Richtlinien, Überprüfungsmechanismen, Schulungen, Lieferantenprozesse und Aufsicht. Hier kommt die Norm ISO 42001 ins Spiel.

Gleichzeitig reicht die ISO 42001 allein für Organisationen, die dem EU-KI-Gesetz unterliegen, nicht aus. Ein Managementsystem kann zwar die Reife der Governance verbessern, ersetzt jedoch nicht das Verständnis der tatsächlichen rechtlichen Pflichten im Zusammenhang mit KI-Systemen mit hohem Risiko, der Transparenzpflichten, verbotener Praktiken oder allgemein einsetzbarer KI-Modelle.

Genau deshalb ist diese Kombination so attraktiv. Das KI-Gesetz bildet die Grundlage für die Compliance-Agenda. Die Norm ISO 42001 bietet dem Unternehmen eine praktische Struktur, um diese Agenda funktionsübergreifend und langfristig umzusetzen.

Fazit

Das EU-KI-Gesetz und die Norm ISO 42001 sollten nicht als Entweder-oder-Entscheidung betrachtet werden. Das eine legt die regulatorischen Verpflichtungen für KI im Anwendungsbereich fest, während das andere Organisationen dabei unterstützt, ein Governance-System aufzubauen, das konsistent, dokumentiert und wiederholbar ist.

Für viele Organisationen dürfte es am sinnvollsten sein, beide Standards gemeinsam anzuwenden. Beginnen Sie mit dem AI Act, um festzustellen, welche Verpflichtungen gelten. Nutzen Sie dann die ISO 42001, um eine Governance-Struktur aufzubauen, die der Organisation hilft, diese Verpflichtungen in der Praxis zu erfüllen. Dies dürfte der realistischste Weg für Teams sein, die sowohl KI-Compliance als auch ein praktikables Betriebsmodell für die KI-Governance anstreben.

Webinar: KI-Agenten in der ISMS-Arbeit

Erfahren Sie, wie KI-Agenten die zeitaufwändigsten Teile Ihres Compliance-Prozesses beschleunigen können, vom Aufbau der ISMS-Grundlage bis hin zu Risikomanagement, Audits, Fragebögen, Dokumentation und Schulungen – ohne dabei die Kontrolle, Konsistenz oder Überprüfbarkeit zu beeinträchtigen.

Sehen Sie sich das Webinar an

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Weitere Artikel in der Kategorie

01.04.2026

Das EU-KI-Gesetz und ISO 42001: Unterschiede, Überschneidungen und wie man sie gemeinsam nutzt

Das EU-KI-Gesetz im Vergleich zu ISO 42001: Erfahren Sie mehr über die wichtigsten Unterschiede, die Überschneidungen und wie Sie beide Standards nutzen können, um eine praxisorientierte und konforme KI-Governance aufzubauen.
26.02.2026

ISO 27001 und DSGVO: Wie der globale Standard die Datenschutz-Grundverordnung unterstützt

In diesem Blog werden wir kurz auf die Norm ISO 27001 und die DSGVO eingehen, ihre Gemeinsamkeiten betrachten und diskutieren, wie ISO 27001 für die Einhaltung der DSGVO nützlich sein kann. Wir werden auch einen Blick auf die Zusammenarbeit zwischen DSGVO und ISO 27701 werfen.
06.02.2026

NIS2 in Slowenien: Was ZInfV-1 für Ihre Organisation bedeutet

NIS2 Slowenien-Compliance-Leitfaden zum Zakon o informacijski varnosti. Siehe Geltungsbereich, Managementaufgaben, Risikokontrollen, Meldung von Vorfällen und Schritte zur Umsetzung.
Mühelose Verbesserung der Compliance
Größte Rahmenbibliothek in der EU
Umfassende Unterstützung

Legen Sie in wenigen Minuten den Grundstein für Ihr Compliance-
.

Erfahren Sie, wie ein KI-gestütztes ISMS in der Praxis aussieht.
Starten Sie eine kostenlose Testversion und sehen Sie, wie Ihre Compliance-Arbeit in wenigen Minuten beginnt.

Kostenlose Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagenTrust Center
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung von VermögenswertenDatenschutz-ManagementBewertungen von AnbieternInterne Audits
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseTrust CenterInhalt der BibliothekLeitfädenNewsletterCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
tcyberdayerday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit