Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht Audit Begleitung as a Service GAP-Analyse Implementierung Awareness & Schulungen
ISMS
Übersicht Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht Externer KI-Beauftragter EU AI Act ISO 42001 ISO 42005
BCMS
Übersicht Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht Insights KI-Security Briefing
Über uns
Übersicht Presse
+49 40-298 4553-0 [email protected]
ISO 42005 Beratung: AI Impact Assessment methodisch absichern | SECURAM
AIMS · ISO/IEC 42005:2025

ISO 42005 Beratung: AI Impact Assessment methodisch absichern

Die ISO/IEC 42005:2025 liefert die Methodik für die Folgenabschätzung von KI-Systemen. SECURAM bewertet betroffene Gruppen, Auswirkungen und Mitigation strukturiert — als Grundlage für ISO 42001 und die FRIA-Pflicht nach EU AI Act Artikel 27.

Erstgespräch vereinbaren Leistungsumfang ↓
42005 AI Impact Assessment
ISMS AIMS BCMS RMS

Ausgangslage

Warum die Folgenabschätzung zum Pflichtbaustein wird

KI-Systeme greifen in Lebensbereiche ein, in denen sie früher keine Rolle spielten. ISO 42005 macht diese Auswirkungen methodisch sichtbar und dokumentierbar.

Die ISO/IEC 42005:2025 definiert ein Rahmenwerk für die Folgenabschätzung von KI-Systemen (AI System Impact Assessment). Die Norm beschreibt, wie Organisationen die Auswirkungen ihrer KI-Systeme auf betroffene Personen, Gruppen und gesellschaftliche Strukturen strukturiert bewerten und dokumentieren. ISO 42005 ergänzt die ISO/IEC 42001:2023 um die Bewertungsmethodik, die das KI-Managementsystem im Annex bereits voraussetzt.

Der regulatorische Anker liegt im EU AI Act (Verordnung (EU) 2024/1689): Artikel 27 verpflichtet Betreiber von Hochrisiko-KI-Systemen zu einer Grundrechte-Folgenabschätzung, der Fundamental Rights Impact Assessment (FRIA). Die Anforderungen greifen bis 02. August 2026. Wer ein nach ISO 42005 strukturiertes Impact Assessment erstellt, erfüllt die methodischen Anforderungen der FRIA und liefert gleichzeitig den Bewertungsbaustein, der im AIMS-Annex verankert ist.

In unseren Projekten bauen wir das Impact Assessment auf einem KI-Inventar auf: Welche Systeme sind im Einsatz, welche Risikokategorie ordnet der EU AI Act ihnen zu, welche Personengruppen sind betroffen. Aus dieser Grundlage entsteht ein Bewertungsbericht, der als FRIA-Nachweis, als Annex-Dokument im AIMS und als interne Entscheidungsgrundlage gleichzeitig verwendbar ist.

Leistungsumfang

ISO 42005: Vom Scoping bis zum Review-Zyklus

Sechs aufeinander abgestimmte Leistungsbausteine, die ein methodisch belastbares Impact Assessment ergeben.

01

Scoping und Systemkontext

Beschreibung des KI-Systems, seines Anwendungsfeldes und seiner Einbettung in Geschäftsprozesse. Festlegung des Bewertungsumfangs nach ISO 42005 und Abgleich mit der Risikokategorisierung des EU AI Act.

02

Stakeholder-Mapping

Identifikation der betroffenen Personen, Gruppen und Organisationen entlang der Wirkungskette. Strukturierte Erfassung der Perspektiven, die für eine belastbare Folgenabschätzung gehört werden müssen.

03

Auswirkungsanalyse

Bewertung der potenziellen Auswirkungen auf Grundrechte, Sicherheit, Fairness, Datenschutz und gesellschaftliche Teilhabe. Methodische Tiefe nach ISO 42005 Abschnitt 7, ergänzt um die Anforderungen aus Artikel 27 EU AI Act.

04

Mitigation und Maßnahmenplan

Ableitung konkreter Maßnahmen zur Reduktion identifizierter Auswirkungen. Zuordnung zu Verantwortlichen, Fristen und Wirksamkeitskriterien. Schnittstelle zum Risikobehandlungsplan im AIMS.

05

Dokumentation und FRIA-Nachweis

Erstellung des Bewertungsberichts als belastbarer Nachweis im Sinne EU AI Act Artikel 27 und als Annex-Dokument im AIMS. Klar strukturiert, prüfungsfähig, intern und extern kommunizierbar.

06

Review-Zyklus und Verankerung

Festlegung der Anlässe für erneute Folgenabschätzungen — neue Anwendungsfälle, Änderungen am Modell, Auffälligkeiten im Betrieb. Übergabe der Methodik in die laufenden AIMS-Prozesse.

Ablauf

Vom Scoping zum prüfungsfähigen Bewertungsbericht

Scoping und Systemkontext

Woche 1

Abgleich mit dem KI-Inventar, Auswahl der zu bewertenden KI-Systeme, Beschreibung von Anwendungsfeld, Datenfluss und Betriebsmodell. Festlegung der Bewertungstiefe nach ISO 42005 und EU AI Act Risikokategorie.

Ergebnis: Scoping-Dokument mit Systemsteckbrief, Bewertungsumfang und Beteiligten

Stakeholder-Workshop und Auswirkungsanalyse

Woche 2–3

Strukturierte Erfassung der betroffenen Gruppen, Bewertung der Auswirkungen auf Grundrechte, Sicherheit, Fairness und gesellschaftliche Teilhabe. Methodik nach ISO 42005, ergänzt um die FRIA-Anforderungen aus EU AI Act Artikel 27.

Ergebnis: Stakeholder-Map, Auswirkungsmatrix, priorisierte Risikofelder

Mitigation und Dokumentation

Woche 3–5

Ableitung der Maßnahmen zur Reduktion identifizierter Auswirkungen, Zuordnung zu Verantwortlichen und Wirksamkeitskriterien. Erstellung des Bewertungsberichts als belastbarer Nachweis im AIMS und im Sinne der FRIA-Pflicht.

Ergebnis: Maßnahmenplan, dokumentierter Bewertungsbericht, FRIA-Nachweis

Übergabe und Review-Zyklus

Woche 5–6

Verankerung der Methodik in den laufenden AIMS-Prozessen. Definition der Anlässe für Wiederholungsbewertungen — neue Anwendungsfälle, Modellanpassungen, regulatorische Änderungen. Übergabe an die internen Verantwortlichen.

Ergebnis: Review-Plan, Verfahrensanweisung, Wissensübergabe an die KI-Governance-Rolle

Zeitangaben beziehen sich auf ein einzelnes KI-System mittlerer Komplexität. Organisationen mit mehreren KI-Systemen profitieren von einem gemeinsamen Bewertungsrahmen, der den Aufwand pro Folge-Assessment reduziert.

Regulatorischer Rahmen

Eckdaten zu EU AI Act und ISO 42005

Die folgenden Eckdaten sind verifizierbar aus den Primärquellen: ISO/IEC 42005:2025, ISO/IEC 42001:2023 und der Verordnung (EU) 2024/1689 (EU AI Act). Sie bilden den regulatorischen Anker, an dem sich ein Impact Assessment ausrichtet.

Art. 27
FRIA-Pflicht im EU AI Act
08/2026
Geltungsbeginn für Hochrisiko-KI
35 Mio €
Maximaler Bußgeldrahmen EU AI Act
7 %
Alternativ als Anteil am Welt-Jahresumsatz

Einordnung

Wo Impact Assessment im KI-Governance-Stack steht

Das Impact Assessment ist kein isolierter Schritt, sondern verbindet das KI-Managementsystem mit den regulatorischen Pflichten des EU AI Act.

Wer ein AIMS nach ISO 42001 betreibt, ist auf eine belastbare Bewertungsmethodik angewiesen. ISO 42005 liefert sie. Das resultierende Impact Assessment erfüllt zugleich die FRIA-Pflicht aus Artikel 27 des EU AI Act und bleibt damit doppelverwendbar.

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — ISO 42005

ISO/IEC 42005:2025 ist der internationale Standard für die Folgenabschätzung von KI-Systemen (AI System Impact Assessment). Die Norm definiert ein methodisches Rahmenwerk, mit dem Organisationen die Auswirkungen ihrer KI-Systeme auf betroffene Personen, Gruppen und Gesellschaft strukturiert bewerten und dokumentieren. ISO 42005 ergänzt die ISO/IEC 42001:2023 (AIMS) um die konkrete Bewertungsmethodik.
ISO/IEC 42005:2025 beschreibt einen strukturierten Prozess für die Folgenabschätzung von KI-Systemen. Die Norm gliedert sich in Anwendungsbereich, Begriffe, Bedingungen (wann eine Folgenabschätzung erforderlich ist), Dokumentationsanforderungen, Bewertungsbereiche (betroffene Personen und Gruppen, Auswirkungen auf Grundrechte, Sicherheit, Gesellschaft und Umwelt), Methodik der Durchführung, Mitigation und Review-Zyklen. Sie liefert konkrete Hinweise zur Verzahnung mit ISO 42001 und kann als Annex-Dokument im AIMS hinterlegt werden.
ISO/IEC 42001:2023 definiert die Anforderungen an ein KI-Managementsystem als Ganzes — Governance, Rollen, Prozesse, Controls. ISO/IEC 42005:2025 fokussiert auf einen einzelnen Prozessbaustein innerhalb des AIMS: die Folgenabschätzung. Wer ISO 42001 implementiert, muss laut Annex Risikobewertungen für KI-Systeme durchführen — ISO 42005 liefert dafür die Methodik. Die beiden Normen sind komplementär und werden gemeinsam betrieben.
ISO/IEC 42005 ist Teil einer wachsenden Familie internationaler KI-Standards, die jeweils unterschiedliche Aspekte adressieren. ISO/IEC 42001:2023 definiert das KI-Managementsystem als organisatorischen Rahmen. ISO/IEC 42005:2025 liefert die Methodik für eine zentrale Aufgabe in diesem Rahmen — die Folgenabschätzung einzelner KI-Systeme. ISO/IEC 23894:2023 beschreibt die übergeordnete KI-Risikomanagement-Methodik entlang ISO 31000 und prägt den Risikoansatz im AIMS. ISO/IEC 22989:2022 standardisiert die Begriffe — wichtig, weil KI in der Praxis oft unscharf verwendet wird. ISO/IEC 38507:2022 adressiert die Governance-Implikationen für die Geschäftsleitung.

Auf der regulatorischen Seite koppeln sich diese Standards an den EU AI Act (Verordnung (EU) 2024/1689) sowie an das NIST AI Risk Management Framework als US-Pendant. Für die Praxis im Mittelstand bedeutet das: Nicht jede dieser Normen muss vollständig implementiert werden. ISO 42001 und 42005 bilden den Kern, die übrigen Standards liefern Querverweise und Tiefenmethodik bei Bedarf.
Nein. ISO/IEC 42005 ist eine Methodik-Norm (Leitfaden), keine Anforderungsnorm. Sie kann nicht zertifiziert werden. Der Wert liegt in der strukturierten Bewertungsmethodik und der Dokumentation: Ein nach ISO 42005 erstelltes Impact Assessment ist als belastbarer Nachweis im Sinne des EU AI Act und einer ISO-42001-Zertifizierung verwendbar.
Der EU AI Act (Verordnung (EU) 2024/1689) verpflichtet Anbieter und Betreiber von Hochrisiko-KI-Systemen nach Artikel 27 zu einer Grundrechte-Folgenabschätzung (Fundamental Rights Impact Assessment, FRIA). ISO/IEC 42005 liefert eine strukturierte Methodik, mit der diese Pflicht erfüllbar ist. Die Anforderungen an Hochrisiko-KI greifen bis 02. August 2026.
FRIA steht für Fundamental Rights Impact Assessment, auf Deutsch: Grundrechte-Folgenabschätzung. Mit dem EU AI Act wird sie zur gesetzlichen Pflicht für bestimmte Organisationen, die Hochrisiko-KI einsetzen. Betroffen sind öffentliche Stellen wie Behörden, Kommunen und Sozialträger sowie private Anbieter wesentlicher Dienstleistungen wie Banken, Versicherungen oder Energieversorger, wenn sie KI in Bereichen wie Personalauswahl, Kreditvergabe, Sozialleistungen oder Verwaltungsentscheidungen einsetzen.

Praktisch bedeutet die FRIA: Bevor die KI in Betrieb geht, muss die Organisation dokumentieren, welche Menschen betroffen sind (Bewerber, Antragsteller, Kunden), welche Auswirkungen die KI auf deren Grundrechte haben kann (Diskriminierung, Eingriff in die Privatsphäre, ungerechte Entscheidungen) und welche Schutzmaßnahmen ergriffen werden. Aufsichtsbehörden können diesen Nachweis im Zweifelsfall anfordern. Bei Verstößen drohen Bußgelder bis 35 Millionen Euro oder sieben Prozent des Welt-Jahresumsatzes.

ISO 42005 liefert die strukturierte Methodik, damit der FRIA-Nachweis vor Behörden bestand hat und nicht beliebig wirkt.
Drei Gruppen profitieren konkret: Erstens Organisationen, die Hochrisiko-KI nach Artikel 6 EU AI Act betreiben und zur FRIA verpflichtet sind. Zweitens Unternehmen mit ISO-42001-Ambitionen, die ihre Risikobewertungen methodisch absichern wollen. Drittens Auftraggeber öffentlicher Hand, die strukturierte Nachweise zur Folgenabschätzung in Vergabeverfahren fordern.
Verantwortlich für die Folgenabschätzung ist die Organisation, die das KI-System einsetzt — typischerweise vertreten durch den KI-Beauftragten, den Informationssicherheits-Beauftragten oder eine zentrale Compliance-Funktion. Den Fachbereich, in dem das KI-System genutzt wird, bezieht die Bewertung als Auskunftsperson ein.

Der richtige Zeitpunkt ist vor der Inbetriebnahme: Sobald ein konkreter Anwendungsfall feststeht, aber bevor das System produktiv geht. Zusätzlich wird die Bewertung wiederholt bei wesentlichen Änderungen am Modell, bei der Erweiterung auf neue Anwendungsfälle, bei auffälligen Vorkommnissen im Betrieb und in einem festen Review-Zyklus, typischerweise einmal jährlich. Für Hochrisiko-KI nach EU AI Act ist die Folgenabschätzung gesetzlich vor der Inbetriebnahme vorgeschrieben.
Pro KI-System rechnen wir mit zwei bis sechs Wochen — abhängig von Komplexität, Datengrundlage und Stakeholder-Tiefe. Ein einfaches regelbasiertes System ist schneller bewertet als ein generatives Sprachmodell mit unklarem Anwendungsfeld. Organisationen mit mehreren KI-Systemen profitieren von einem gemeinsamen Bewertungsrahmen, der pro Folge-Assessment Aufwand spart.
Die Kosten richten sich nach Anzahl und Komplexität der zu bewertenden KI-Systeme sowie der Tiefe des Stakeholder-Einbezugs. SECURAM arbeitet auf Tagessatzbasis, sodass der Aufwand transparent bleibt. Vor Projektbeginn liefert ein Scoping-Workshop eine belastbare Aufwandsschätzung in Personentagen.
Ergebnis ist ein dokumentierter Bewertungsbericht: Beschreibung des KI-Systems und seines Kontextes, Identifikation der betroffenen Personen und Gruppen, Bewertung der Auswirkungen auf Grundrechte, Sicherheit und Gesellschaft, abgeleitete Mitigationsmaßnahmen und ein Review-Zyklus. Der Bericht ist als FRIA-Nachweis im Sinne des EU AI Act und als Annex-Dokument im AIMS verwendbar.
ISO/IEC 23894:2023 liefert allgemeine Leitlinien zum KI-Risikomanagement entlang ISO 31000. ISO/IEC 42005 fokussiert auf einen Spezialfall — die Folgenabschätzung. In der Praxis werden beide Normen kombiniert: ISO 23894 prägt den übergeordneten Risikomanagement-Ansatz im AIMS, ISO 42005 schärft den Prozessbaustein Impact Assessment.
KI-Governance droht zu erstarren, wenn jedes KI-System ein vollständiges Folgenabschätzungs-Verfahren durchläuft. ISO 42005 erlaubt eine risikoangepasste Bewertungstiefe: Hochrisiko-Systeme erhalten die volle Methodik mit Stakeholder-Einbezug, niedrige Risikoklassen werden mit einem schlanken Kurz-Assessment dokumentiert. SECURAM arbeitet mit standardisierten Bewertungsrahmen, die pro Folge-Assessment den Aufwand reduzieren und Doppelarbeit zur DSGVO-Folgenabschätzung oder zum Informationssicherheits-Risikomanagement vermeiden. So entsteht ein belastbarer Nachweis ohne Aktenberg.
SECURAM betreibt Impact Assessments nicht als Stand-alone-Service, sondern verknüpft sie mit dem AIMS-Aufbau nach ISO 42001 und der EU-AI-Act-Compliance. Das Ergebnis ist ein Bewertungsbericht, der in beiden Systemen verwendbar ist und keine Doppelarbeit erzeugt. Hinzu kommt die Anbindung an Informationssicherheit und Datenschutz aus über 20 Jahren Beratungserfahrung.

Impact Assessment beauftragen

SECURAM bewertet Ihre KI-Systeme nach ISO 42005 und liefert den FRIA-Nachweis für den EU AI Act.

Erstgespräch vereinbaren →

Nächster Schritt

So ordnet sich ISO 42005 in Ihre KI-Governance ein

Managementsystem

ISO 42001 Beratung

Das KI-Managementsystem nach ISO/IEC 42001:2023 ist der übergeordnete Rahmen. ISO 42005 liefert die Bewertungsmethodik für den Annex zur Folgenabschätzung.

Zur ISO 42001 →
Regulatorisch

EU AI Act Umsetzung

Artikel 27 der Verordnung (EU) 2024/1689 verpflichtet zur Grundrechte-Folgenabschätzung. Ein nach ISO 42005 erstelltes Impact Assessment erfüllt die Anforderungen.

Zum EU AI Act →
Säulen-Hub

AIMS Übersicht

Alle Leistungen zur KI-Governance auf einer Seite: AIMS-Aufbau, Schatten-KI, KI-Beauftragter und das Zusammenspiel der Normen ISO 42001, 42005, 23894 und EU AI Act.

Zum AIMS Hub →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen