ISO 42001: Was Schweizer KMU wissen müssen
Ein neuer ISO-Standard für KI. Für viele klingt das nach einer weiteren Compliance-Baustelle. In der Praxis ist ISO 42001 aber etwas anderes: kein Bürokratieprojekt, sondern ein Rahmen, der beschreibt, wie verantwortungsvoller KI-Einsatz im Unternehmen organisiert werden kann.
Ob eine Zertifizierung sinnvoll ist, hängt von Ihrer Situation ab. Was sich für fast alle KMU lohnt, ist das Verständnis dafür, was der Standard verlangt und was das mit dem EU AI Act zu tun hat.
Das Wichtigste in Kürze
ISO/IEC 42001:2023 ist der weltweit erste Standard für KI-Managementsysteme, veröffentlicht im Dezember 2023.
Der Standard ist auf Organisationen jeder Grösse und Branche anwendbar, die KI-Systeme entwickeln, bereitstellen oder nutzen.
Eine Zertifizierung ist für die meisten KMU heute noch nicht zwingend, kann aber bei EU-Kunden oder in regulierten Branchen ein relevantes Signal sein.
ISO 42001 und EU AI Act sind nicht deckungsgleich, aber gut aufeinander abgestimmt: Wer ISO 42001 umsetzt, kann viele organisatorische Anforderungen des AI Acts strukturell unterstützen.
Der Einstieg ist pragmatischer als er aussieht: Wer bereits ISO 9001 oder ISO 27001 betreibt, hat einen erheblichen Vorsprung.
Was ist ISO 42001 genau?
ISO/IEC 42001:2023 ist der erste international anerkannte Standard für ein KI-Managementsystem (AIMS, Artificial Intelligence Management System). Er definiert, welche Anforderungen eine Organisation erfüllen muss, um KI-Systeme verantwortungsvoll einzuführen, zu betreiben und kontinuierlich zu verbessern.
Der Standard folgt der High Level Structure, der gleichen Grundstruktur wie ISO 9001 für Qualitätsmanagement oder ISO 27001 für Informationssicherheit. Wer eines dieser Systeme bereits betreibt, kennt die Logik: Kontext definieren, Risiken bewerten, Massnahmen planen, umsetzen, überprüfen, verbessern.
Der wesentliche Unterschied: ISO 42001 adressiert spezifisch die Herausforderungen von KI, also Fragen nach Transparenz, Nachvollziehbarkeit von Entscheidungen, Umgang mit algorithmischem Bias, menschlicher Aufsicht und der ethischen Vertretbarkeit von Einsatzzwecken. Diese Themen tauchen in ISO 27001 nicht auf, weil sie für Informationssicherheit nicht relevant sind.
Wen betrifft der Standard?
ISO 42001 betrifft grundsätzlich jede Organisation, die KI-Systeme entwickelt, einsetzt oder bereitstellt. In der Praxis sind das drei Typen:
Anbieter entwickeln und verkaufen KI-Systeme oder KI-basierte Produkte. Für sie sind die Anforderungen am umfangreichsten.
Nutzer setzen zugekaufte KI-Systeme in ihren Prozessen ein: ein CRM mit Scoring-Funktion, ein Bewerbungs-Tool mit automatischer Vorauswahl, ein generatives KI-Tool für Textentwürfe. Für sie sind die Governance-Anforderungen weniger technisch, aber keineswegs irrelevant.
Gemischte Rollen kommen bei Unternehmen vor, die gleichzeitig zugekaufte Tools nutzen und intern KI-Lösungen entwickeln oder anpassen.
Für Schweizer KMU, die primär KI-Tools nutzen ohne sie selbst zu entwickeln, konzentrieren sich die Anforderungen auf vier Fragen: Welche Systeme sind im Einsatz? Für welche Zwecke? Mit welchen Risiken? Und wer trägt die Verantwortung?
Was verlangt ISO 42001 konkret?
Der Standard gliedert sich in zehn Kapitel. Für KMU ohne sofortige Zertifizierungsabsicht sind vor allem diese Bereiche relevant:
Kontext und Anwendungsbereich: Das Unternehmen definiert, welche KI-Systeme unter das Managementsystem fallen, wer die relevanten Stakeholder sind, und welche Anforderungen intern und extern gelten.
KI-spezifisches Risikomanagement: Strukturierte Bewertung der Risiken, die von KI-Systemen ausgehen. Bias, fehlerhafte Ausgaben, Datenschutzprobleme, regulatorische Risiken sind alle explizit adressiert.
Rollen und Verantwortlichkeiten: Klare Zuständigkeiten für KI-Governance, nicht notwendigerweise ein eigenes Team, aber benannte Personen mit definierten Aufgaben.
Dokumentation: KI-relevante Entscheidungen, Risikobeurteilungen und Massnahmen müssen nachvollziehbar dokumentiert sein. Bei Kundenfragen, Audits oder regulatorischen Anfragen ist das der entscheidende Unterschied.
Bereich | Anforderung | Relevanz für KMU-Nutzer |
|---|---|---|
KI-Inventar | Welche Systeme sind im Einsatz? | Hoch |
Risikobewertung | Welche Risiken gehen von KI aus? | Hoch |
Verantwortlichkeiten | Wer entscheidet, wer prüft? | Hoch |
Lifecycle Management | Wie werden Systeme eingeführt/abgelöst? | Mittel |
Dokumentation | Was ist nachweisbar? | Hoch |
Lieferantenkontrolle | Welche Anforderungen an KI-Anbieter? | Mittel |
Wie hängt ISO 42001 mit dem EU AI Act zusammen?
ISO 42001 und EU AI Act sind nicht identisch, aber gut aufeinander abgestimmt.
Der EU AI Act ist EU-Recht und gilt über das Marktortprinzip auch für Schweizer Unternehmen mit Kunden in der EU. Er macht detaillierte Vorgaben für Hochrisiko-KI-Systeme und verlangt organisatorische Massnahmen: Risikomanagement, Dokumentation, menschliche Aufsicht, Qualitätsmanagementsysteme. Wer ISO 42001 umsetzt, kann viele dieser organisatorischen Anforderungen strukturell unterstützen.
ISO 42001 ist freiwillig und kein Ersatz für rechtliche Compliance. Was er bietet: einen standardisierten, auditierbaren Nachweis dafür, dass ein Unternehmen KI strukturiert und verantwortungsvoll betreibt. Das ist gegenüber Kunden, Geschäftspartnern und im Ernstfall auch gegenüber Aufsichtsbehörden ein anderes Ausgangsniveau als ein leeres KI-Inventar.
Die Schweiz hat keinen eigenen KI-Governance-Standard eingeführt. Der Bundesrat hat im Februar 2025 entschieden, die Europaratskonvention zu KI zu ratifizieren und setzt auf sektorielle Regulierung. ISO 42001 ist damit in der Schweiz der praktisch relevanteste Governance-Rahmen für Unternehmen, die KI strukturiert steuern wollen.
Lohnt sich eine Zertifizierung für KMU?
Das hängt von drei Faktoren ab.
Kundenseitige Anforderungen. Im B2B-Bereich stellen Grosskunden und öffentliche Auftraggeber zunehmend Fragen zur KI-Governance. In regulierten Branchen wie Finanz oder Gesundheit werden formelle Nachweise früher relevant als anderswo. Wer international mit EU-Kunden arbeitet, sollte die Entwicklung im Auge behalten.
Art der KI-Nutzung. Ein KMU, das ChatGPT für interne Textentwürfe nutzt, hat andere Anforderungen als ein Unternehmen, das KI-gestützte Kreditentscheide trifft oder automatisierte HR-Prozesse betreibt. Je mehr KI in kritische Entscheidungen einfliesst, desto stärker ist das Argument für eine strukturierte Governance.
Bestehende Managementsysteme. Wer bereits ISO 9001 oder ISO 27001 betreibt, hat einen erheblichen Startvorteil. Die Strukturen für Risikobewertung, Dokumentation und interne Audits sind vorhanden und müssen nur auf den KI-Kontext ausgeweitet werden.
Für die meisten Schweizer KMU heute: Die Zertifizierung ist kein Muss, aber die Auseinandersetzung mit den Kernanforderungen ist sinnvoll. Wer jetzt ein KI-Inventar aufbaut, Risiken bewertet und Verantwortlichkeiten klärt, ist vorbereitet, unabhängig davon, ob eine Zertifizierung später folgt.
Wie startet man pragmatisch?
Eine formelle Zertifizierung ist ein Projekt von mehreren Monaten. Für KMU ohne sofortige Zertifizierungsabsicht sind vier Schritte der sinnvolle Einstieg:
1. KI-Inventar erstellen. Welche KI-Tools sind im Einsatz, in welchen Abteilungen, für welche Zwecke? Viele KMU unterschätzen ihren KI-Fussabdruck, weil KI-Funktionen oft in Standardsoftware eingebettet sind: im CRM, im ERP, in der HR-Software, in Microsoft 365.
2. Risikoklassen zuordnen. Welche Einsatzzwecke sind unkritisch, welche berühren Datenschutz, Entscheidungsprozesse oder Kundeninteressen? Die Risikoklassen des EU AI Acts sind ein nützlicher Ausgangspunkt.
3. Verantwortlichkeiten benennen. Wer entscheidet über die Einführung neuer KI-Tools? Wer prüft Qualität und Datenschutzkonformität? Ohne klare Zuständigkeiten bleibt KI-Governance Absichtserklärung.
4. Dokumentation aufbauen. Risikobeurteilungen, Entscheidungsgrundlagen für KI-Investitionen, Schulungsnachweise: Was dokumentiert ist, kann nachgewiesen werden. Was nicht dokumentiert ist, existiert für externe Prüfer nicht.
Häufig gestellte Fragen
Muss ich als Schweizer KMU ISO 42001 einhalten?
Nein, ISO 42001 ist freiwillig. Es gibt keine gesetzliche Pflicht zur Einhaltung oder Zertifizierung. Was es gibt: den EU AI Act mit Anforderungen für Unternehmen, die KI-Systeme in der EU einsetzen oder dort Kunden haben, sowie das revDSG mit Transparenzpflichten beim KI-Einsatz mit Personendaten.
Was kostet eine ISO-42001-Zertifizierung?
Die Kosten variieren nach Unternehmensgrösse und Umfang der KI-Aktivitäten. Als grober Anhaltspunkt für ein KMU: Der externe Aufwand für Gap-Assessment und Zertifizierungsaudit liegt typischerweise im fünfstelligen Bereich. Hinzu kommt interner Aufwand für Implementierung und Dokumentation. Zertifizierungsgesellschaften wie die SQS in der Schweiz erstellen auf Anfrage individuelle Angebote.
Wie lange dauert eine ISO-42001-Implementierung?
Für ein KMU ohne bestehende ISO-Managementsysteme und mit überschaubarem KI-Fussabdruck: realistisch 6 bis 12 Monate bis zur Zertifizierungsreife. Wer bereits ISO 9001 oder ISO 27001 betreibt, kann erheblich schneller vorankommen.
Gilt ISO 42001 auch, wenn wir nur zugekaufte KI-Tools nutzen?
Ja. Der Standard unterscheidet zwischen Anbietern und Nutzern, stellt aber an beide Anforderungen. Als reiner Nutzer sind die technischen Anforderungen geringer, die Governance-Anforderungen gelten aber gleichermassen: Inventar, Risikobewertung, Verantwortlichkeiten, Dokumentation.
Schützt ISO 42001 vor EU-AI-Act-Sanktionen?
Eine Zertifizierung ersetzt keine rechtliche Compliance. Sie kann aber nachweisen, dass ein Unternehmen systematisch und in gutem Glauben gehandelt hat, was bei Aufsichtsverfahren eine relevante Rolle spielen kann.
Fazit
ISO 42001 ist kein Papiertiger, aber auch kein Grossprojekt, wenn man pragmatisch startet. Was der Standard verlangt, ist das, was jedes Unternehmen mit einem ernsthaften KI-Einsatz ohnehin aufbauen sollte: ein Inventar, eine Risikobewertung, klare Zuständigkeiten, eine Dokumentation, die im Ernstfall standhält.
Ob eine formelle Zertifizierung sinnvoll ist, hängt von Ihrer Branche, Ihren Kunden und Ihrem KI-Fussabdruck ab. Die Auseinandersetzung mit den Anforderungen lohnt sich in jedem Fall. Der unkontrollierte KI-Einsatz ohne Governance ist mittelfristig das teurere Modell.
Wenn Sie wissen möchten, wo Ihr Unternehmen heute steht, bieten wir ein kompaktes AI Governance Assessment an. In 90 Minuten sehen Sie, welche Massnahmen sinnvoll sind und was als nächstes ansteht. Melden Sie sich unter hallo@navigant.ch oder buchen Sie direkt auf navigant.ch.
Jeden Montag:
Was letzte Woche in AI Governance passiert ist und was es für Ihr KMU heisst.
Die wichtigsten AI-Governance-Entwicklungen der Woche, eingeordnet und auf den Punkt gebracht. Damit Sie montags wissen, was sich ändert und was Sie tun müssen.
Weitere Artikel
Pascal Beck
AI Literacy: Pflicht nach EU AI Act Art. 4
Pascal Beck
Darf man Kundendaten in ChatGPT eingeben?
Pascal Beck
EU AI Act für Schweizer KMU: Betroffenheit, Pflichten, Timeline
Pascal Beck
EU AI Act Art. 111: Was gilt für bestehende KI-Systeme?
Pascal Beck
KI, die niemand bestellt hat: 11 Einfallstore und das 3-Zonen-Modell
Pascal Beck
Warum KI im KMU die Produktivität nicht steigert
Jeden Montag:
Was letzte Woche in AI Governance passiert ist und was es für Ihr KMU heisst.
Die wichtigsten AI-Governance-Entwicklungen der Woche, eingeordnet und auf den Punkt gebracht. Damit Sie montags wissen, was sich ändert und was Sie tun müssen.