Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht Audit Begleitung as a Service GAP-Analyse Implementierung Awareness & Schulungen
ISMS
Übersicht Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht Externer KI-Beauftragter EU AI Act ISO 42001 ISO 42005
BCMS
Übersicht Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht Insights KI-Security Briefing
Über uns
Übersicht Presse
+49 40-298 4553-0 [email protected]
Startseite Glossar AI Governance
Glossar, AIMS / KI-Strategie / Management-System

AI Governance

Englisch: AI Governance

Zuletzt aktualisiert: Mai 2026
Lesedauer: ca. 6 Minuten

AI Governance bezeichnet das strukturierte Managementsystem, mit dem eine Organisation den verantwortungsvollen, regelkonformen und wirksamen Einsatz von KI-Systemen steuert. Methodische Grundlage ist ISO/IEC 42001:2023, die erste internationale Norm für ein Artificial Intelligence Management System (AIMS), ergänzt durch das NIST AI Risk Management Framework 1.0 (mit den vier Funktionen GOVERN, MAP, MEASURE, MANAGE) und die OECD AI Principles. AI Governance verbindet drei Steuerungsebenen: strategisch (KI-Politik, Werte, Risikoappetit, Verantwortlichkeiten der obersten Leitung), operativ (Prozesse zur KI-Entwicklung, -Beschaffung, -Bereitstellung und -Überwachung) und technisch (Kontrollen zur Sicherstellung von Robustheit, Erklärbarkeit, Fairness, Datenschutz).

Normative Grundlage: ISO/IEC 42001:2023 (AIMS) Clauses 4-10; NIST AI Risk Management Framework 1.0; OECD AI Principles

Hintergrund und normative Einordnung

AI Governance ist als eigenständiges Disziplin-Feld jung, die normative Grundlage ISO/IEC 42001:2023 wurde im Dezember 2023 veröffentlicht und ist damit die erste internationale Managementsystem-Norm für künstliche Intelligenz. Inhaltlich folgt sie der bewährten Struktur der ISO-Managementsystem-Normen (Annex SL Harmonized Structure) und ist in zehn Hauptkapiteln gegliedert: Anwendungsbereich (Clause 1), normative Verweise (2), Begriffe (3), Kontext der Organisation (4), Führung (5), Planung (6), Unterstützung (7), Betrieb (8), Leistungsbewertung (9), Verbesserung (10). Diese Struktur macht ISO 42001 unmittelbar mit ISO 27001 (Informationssicherheit), ISO 22301 (Business Continuity) und ISO 9001 (Qualität) integrierbar, ein wichtiger Vorteil für Organisationen mit bestehenden Managementsystemen. Inhaltlich konkretisiert ISO 42001 die KI-Governance um KI-spezifische Anforderungen: AI Policy (Clause 5.2), AI Risk Assessment (Clause 6.1.2), AI Risk Treatment (Clause 6.1.3), AI System Impact Assessment (Clause 6.1.4), AI Operational Planning and Control (Clause 8.1), AI System Development Lifecycle (Clause 8.3) und AI System Impact Reviews (Clause 9.3).

Komplementär zu ISO 42001 ist das NIST AI Risk Management Framework 1.0 (Januar 2023) eine wichtige methodische Quelle. Das Framework strukturiert AI-Governance in vier Kernfunktionen: GOVERN (Kultur, Policies, Verantwortlichkeiten, Integration in Unternehmensrisikomanagement), MAP (Kontextverständnis, Identifikation von Risiken und Auswirkungen), MEASURE (Bewertung der Risiken und Wirksamkeit der Kontrollen), MANAGE (Priorisierung und Umsetzung von Risikobehandlung). NIST AI RMF ist in den USA nicht verpflichtend, wird aber von Bundesbehörden zunehmend gefordert und ist methodisch mit ISO 42001 kompatibel. Auf politischer Ebene bilden die OECD AI Principles (2019, aktualisiert 2024) und die UNESCO Recommendation on the Ethics of Artificial Intelligence (2021) die wertbasierte Grundlage. Der EU AI Act (Verordnung (EU) 2024/1689) übersetzt diese internationalen Prinzipien in verbindliches EU-Recht. ISO 42001 dient dabei nicht als alternativer Konformitätsweg zum AI Act, sondern als methodische Brücke. In der Praxis bauen Organisationen ihre ISO 42001-Compliance als integriertes Managementsystem mit den bestehenden ISMS- und Risikomanagement-Strukturen auf.

Normative Bezüge:

ISO/IEC 42001:2023 NIST AI RMF 1.0 OECD AI Principles

Vorgehen in der Praxis

Der Aufbau einer wirksamen AI Governance folgt einem strukturierten Vier-Schritte-Vorgehen, das die methodische Logik von ISO/IEC 42001 mit den Funktionen des NIST AI RMF kombiniert. Wichtig: AI Governance ist keine isolierte Funktion, sondern muss in bestehende Managementsysteme (ISMS, BCMS, RMS) integriert werden.

1
Kontext klären und AI-Strategie festlegen Im ersten Schritt klärt die oberste Leitung den Kontext der Organisation (ISO 42001 Clause 4) und legt die strategische Ausrichtung des KI-Einsatzes fest. Bestandteile: AI Policy (Clause 5.2) mit klaren Werten, ethischen Leitlinien und Risikoappetit, Identifikation der relevanten Stakeholder (Kunden, Mitarbeitende, Betroffene, Regulatoren), Festlegung des Anwendungsbereichs des AIMS (welche KI-Systeme, welche Geschäftsbereiche), Bestimmung der Rollen (AI Officer, AI Risk Owner, AI Steering Committee, Data Scientists, Compliance, Datenschutz). Die NIST AI RMF GOVERN-Funktion betont an dieser Stelle die Integration in das unternehmensweite Risikomanagement.
2
KI-Systeme identifizieren, klassifizieren und Risiken bewerten Im zweiten Schritt wird ein vollständiges Inventar aller KI-Systeme der Organisation erstellt, eigene Entwicklungen, beschaffte Systeme, eingebettete KI-Komponenten in Standardsoftware, Schatten-KI. Jedes System wird klassifiziert nach: Funktion (Klassifikation, Generierung, Empfehlung, Entscheidung), Datenquellen, Zielgruppe, Risikokategorie nach EU AI Act (verbotene Praktik Art. 5, Hochrisiko Art. 6 + Annex III, GPAI, allgemein). Anschließend folgt die AI Risk Assessment nach ISO 42001 Clause 6.1.2 und die AI System Impact Assessment nach Clause 6.1.4. NIST AI RMF MAP- und MEASURE-Funktionen liefern dafür konkrete Methodenelemente.
3
Kontrollen aus ISO 42001 Annex A auswählen und implementieren Im dritten Schritt werden die Kontrollen aus ISO/IEC 42001 Annex A (Reference Control Objectives and Controls) ausgewählt und implementiert. Annex A umfasst neun Themengruppen mit insgesamt 38 Controls, von A.2 (AI Policy) über A.5 (Roles and Responsibilities), A.6 (Resources for AI Systems), A.7 (AI System Impact Assessment), A.8 (AI System Lifecycle) bis A.10 (Information for Interested Parties). Annex B liefert dazu Implementation Guidance. Die Auswahl ist risikobasiert: Nicht alle Controls müssen angewendet werden, aber Ausschlüsse sind im AIMS-Statement of Applicability zu begründen, methodisch ähnlich zu ISO 27001 Annex A. Bei integrierten Managementsystemen lassen sich viele ISO-27001-Kontrollen direkt übernehmen und um KI-spezifische Aspekte ergänzen.
4
Wirksamkeit messen, AI-Vorfälle managen und kontinuierlich verbessern Im letzten Schritt wird die operative Wirksamkeit der AI Governance gesichert. ISO 42001 Clause 9 fordert Performance Evaluation: Monitoring der KI-Systeme im Betrieb (Drift, Bias, Halluzinationen), regelmäßige AI System Impact Reviews (Clause 9.3), internes Audit (Clause 9.2), Management Review mit Top Management (Clause 9.3). AI-Vorfälle werden über einen formalen Incident-Management-Prozess behandelt; bei systemischen GPAI und Hochrisiko-Systemen besteht zusätzlich eine Meldepflicht nach EU AI Act (Art. 55 GPAI, Art. 73 Hochrisiko). Die Verbesserungsphase (Clause 10) führt zu Anpassungen der AI Policy, neuer Controls, geänderter Trainingsdaten oder zur Außerbetriebnahme nicht haltbarer Systeme.

Ein wirksamer Hebel ist die Integration von ISO 42001 in ein bestehendes ISO 27001-ISMS. Beide Normen folgen der Annex-SL-Struktur und teilen viele Anforderungen (Top-Management-Commitment, Risk Assessment, internes Audit, Management Review). Wer schon ISO 27001 zertifiziert ist, kann ISO 42001 oft mit 30-40 % zusätzlichem Dokumentationsaufwand umsetzen, statt eines parallelen Managementsystems entsteht ein integriertes IMS für IT- und KI-Risiken.

Abgrenzung zu verwandten Begriffen

Begriff Fokus Verhältnis zu AI Governance
AIMS (AI Management System) Konkretes, zertifizierbares Managementsystem nach ISO/IEC 42001:2023 AIMS ist die Umsetzungsform von AI Governance nach der konkreten Norm ISO/IEC 42001:2023. Während AI Governance der breitere konzeptionelle Begriff für die Steuerung von KI-Risiken und -Chancen ist, beschreibt AIMS das normativ zertifizierbare Managementsystem mit klar definierten Klauseln, Controls und Auditpflichten. Jedes AIMS ist eine Ausprägung von AI Governance.
Informationssicherheits-Governance (ISMS-Governance) Steuerung der Informationssicherheit nach ISO/IEC 27001 ISMS-Governance steuert die Informationssicherheit der Organisation, die klassische CIA-Triade. AI Governance ergänzt diese Sicht um KI-spezifische Risikodimensionen: Bias, Erklärbarkeit, Robustheit gegen Adversarial Attacks, Trainingsdaten-Qualität, gesellschaftliche Auswirkungen. Beide Governance-Bereiche überlappen erheblich (Datenschutz, Zugriffskontrolle, Verfügbarkeit) und sollten integriert betrieben werden. Die Annex-SL-Struktur der ISO-Normen unterstützt diese Integration methodisch.
Datenschutz-Compliance (DSGVO-Governance) Einhaltung der DSGVO und nationaler Datenschutzgesetze Datenschutz-Governance konzentriert sich auf personenbezogene Daten und die Rechte der Betroffenen nach DSGVO. AI Governance hat einen weiteren Anwendungsbereich (auch nicht-personenbezogene KI-Risiken) und einen anderen methodischen Schwerpunkt (Risikomanagement statt Rechte-Compliance). Bei KI-Systemen mit personenbezogenen Daten überschneiden sich beide Governance-Bereiche stark, die KI-spezifische Datenschutz-Folgenabschätzung nach DSGVO Art. 35 ist methodisch eng mit der AI System Impact Assessment nach ISO 42001 Clause 6.1.4 verwandt.

Typische Fehler und wie ihr sie vermeidet

  • AI Governance als Parallelsystem statt Integration in bestehende Managementsysteme: Ein häufiger Fehler ist der Aufbau einer isolierten AI-Governance-Funktion, die parallel zu bestehenden Managementsystemen (ISMS, BCMS, Risikomanagement) operiert. Das führt zu doppelter Dokumentation, widersprüchlichen Bewertungen und ineffizienter Ressourcennutzung. Methodisch besser ist die Integration: ISO/IEC 42001 folgt der Annex-SL-Harmonized-Structure und ist damit strukturell kompatibel zu ISO 27001, ISO 22301 und ISO 9001. Ein integriertes Managementsystem (IMS) reduziert den Aufwand erheblich.
  • AI Policy als Marketing-Dokument statt operative Steuerungsgrundlage: Viele Organisationen formulieren ihre AI Policy als ethisches Bekenntnis mit Begriffen wie „verantwortungsvolle KI" oder „menschenzentrierte KI", ohne konkrete operative Konsequenzen. ISO/IEC 42001 Clause 5.2 fordert dagegen eine operative AI Policy mit messbaren Zielen, klaren Verantwortlichkeiten, definierten Risikogrenzen und Eskalationswegen. Auditoren prüfen, ob die in der Policy formulierten Prinzipien sich in der operativen Praxis wiederfinden, eine reine Marketing-Policy führt zu Major Nonconformity im ISO-42001-Audit.
  • AI System Impact Assessment auf personenbezogene Daten reduzieren: Die AI System Impact Assessment nach ISO/IEC 42001 Clause 6.1.4 wird häufig auf eine Datenschutz-Folgenabschätzung nach DSGVO Art. 35 reduziert. Tatsächlich ist die AISIA weiter gefasst: Sie bewertet die Auswirkungen des KI-Systems auf alle Stakeholder, einschließlich gesellschaftlicher Auswirkungen (Diskriminierung von Gruppen, Verzerrung öffentlicher Diskurse, Auswirkungen auf Beschäftigung), wirtschaftlicher Auswirkungen (Wettbewerbsverzerrung, Marktkonzentration) und ökologischer Auswirkungen (Energieverbrauch, CO2-Emissionen großer Modelle).
  • Statische AI Governance, keine kontinuierliche Anpassung: KI-Technologie und Regulierung entwickeln sich schnell, der EU AI Act ist in Stufen anwendbar (Februar 2025, August 2025, August 2026), der GPAI Code of Practice wird laufend angepasst, ISO/IEC 42001 wird durch Folgenormen ergänzt. Wer seine AI Governance als statisches Dokumentenpaket behandelt und nicht regelmäßig anpasst, verliert schnell die regulatorische Compliance. ISO/IEC 42001 Clause 10 fordert kontinuierliche Verbesserung, in der Praxis bedeutet das mindestens quartalsweise Regulierungs-Updates, halbjährliche AI-System-Reviews und jährliches Management Review.

Relevanz im regulatorischen Kontext

Die regulatorische Landschaft für AI Governance ist komplex und schnell wachsend. Zentrale verbindliche Regelung in der EU ist die Verordnung (EU) 2024/1689 (EU AI Act), die seit 1. August 2024 in Kraft ist und gestaffelt anwendbar wird: verbotene Praktiken nach Art. 5 ab 2. Februar 2025, AI Literacy nach Art. 4 ab 2. Februar 2025, GPAI-Pflichten nach Art. 53/55 ab 2. August 2025, Hochrisiko-System-Pflichten nach Kapitel III ab 2. August 2026. Die Sanktionen sind erheblich: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen verbotene Praktiken, bis zu 15 Millionen Euro oder 3 % bei sonstigen Verstößen. Aufsichtsstruktur: Das AI Office in der Generaldirektion Connect ist zentrale EU-Aufsicht; nationale Behörden überwachen die anwendungsbezogenen Bereiche. In Deutschland ist die genaue Aufsichtsstruktur durch das nationale AI-Umsetzungsgesetz in Vorbereitung. Eine ISO/IEC 42001-Zertifizierung gilt nicht als automatischer Konformitätsnachweis nach AI Act, ist aber als methodisches Rückgrat anerkannt.

Über den AI Act hinaus sind weitere Regelwerke relevant. Die DSGVO bleibt bei personenbezogenen Daten in KI-Systemen voll anwendbar, der EDPB hat in Opinion 28/2024 das Zusammenspiel von AI Act und DSGVO konkretisiert. Der Cyber Resilience Act (Verordnung (EU) 2024/2847) erfasst KI-Komponenten in Produkten mit digitalen Elementen ab Dezember 2027. Im Finanzsektor verlangt DORA (Verordnung (EU) 2022/2554) ein integriertes IKT-Risikomanagement, das KI-Risiken umfasst. NIS-2 (Richtlinie (EU) 2022/2555) Artikel 21 fordert risikobasiertes Cybersicherheitsmanagement, das die spezifischen Risiken von KI-Systemen einschließt. International orientieren sich viele Jurisdiktionen am OECD AI Recommendation (Mai 2019, aktualisiert Mai 2024) und an UNESCO Ethics of AI (2021). In den USA gilt seit Januar 2023 das NIST AI RMF als Defacto-Standard. Wer global agiert, muss seine AI Governance mehrebenen-fähig aufbauen, ISO/IEC 42001 bietet dafür die international anerkannte methodische Basis.

Häufige Fragen

Brauchen wir ein AIMS oder reicht eine AI Policy?
Eine reine AI Policy ohne strukturiertes Managementsystem ist regelmäßig nicht ausreichend, weder regulatorisch noch operativ. ISO/IEC 42001 verlangt zusätzlich zur AI Policy (Clause 5.2) konkrete Risk-Assessment-Prozesse (Clause 6.1), operative Steuerung (Clause 8), Performance Evaluation (Clause 9) und Verbesserung (Clause 10). Ohne diese Strukturen bleibt die AI Policy ein ethisches Bekenntnis ohne Wirksamkeit. Empfehlung: AI Policy als Teil eines AIMS aufbauen, das in ein bestehendes ISMS integriert ist. Eine formale ISO/IEC 42001-Zertifizierung ist nicht zwingend, methodisch aber sinnvoll, weil sie externe Prüfbarkeit schafft.
Wie verhält sich ISO/IEC 42001 zum EU AI Act?
ISO/IEC 42001 ist eine Managementsystem-Norm; der EU AI Act ist eine produktbezogene Regulierung. Die beiden Regelwerke ergänzen sich, sind aber nicht austauschbar. Ein ISO/IEC 42001-zertifiziertes Unternehmen erfüllt strukturell viele AI-Act-Anforderungen (etwa zu Risikomanagement, Dokumentation, menschlicher Aufsicht), muss aber die spezifischen produktbezogenen Pflichten des AI Act zusätzlich erfüllen, Konformitätsbewertung bei Hochrisiko-Systemen, Registrierung in der EU-Datenbank, CE-Kennzeichnung. Umgekehrt deckt eine AI-Act-Compliance nicht das volle ISO-42001-Spektrum ab. Empfehlung: ISO 42001 als methodisches Rückgrat aufbauen und die AI-Act-spezifischen produktbezogenen Pflichten ergänzend integrieren.
Welche Rollen brauche ich für AI Governance?
Mindestens vier Rollen sollten besetzt sein: AI Officer (operative Gesamtverantwortung für das AIMS, oft kombiniert mit ISMS-Verantwortlichkeit), AI Risk Owner (verantwortlich für KI-Risiken in den Geschäftseinheiten), AI Steering Committee (strategische Steuerung, typischerweise mit Vertretern aus IT, Datenschutz, Recht, Compliance, Geschäftseinheiten), Top Management Sponsor (Verantwortung für AIMS-Wirksamkeit nach ISO 42001 Clause 5.1). In kleineren Organisationen können Rollen kombiniert werden, der CISO übernimmt oft die AI-Officer-Funktion. Wichtig: Die Verantwortlichkeiten müssen dokumentiert (Clause 5.3) und mit klaren Eskalationswegen versehen sein. Bei Hochrisiko-KI-Systemen nach EU AI Act sind zusätzliche Rollen für Konformitätsbewertung und Behördenmeldungen erforderlich.

Quellen & weiterführende Literatur

  1. ISO/IEC 42001:2023, Information technology, Artificial intelligence, Management system (AIMS)
  2. ISO/IEC 23894:2023, AI Risk Management Guidance
  3. ISO/IEC 23053:2022, Framework for AI Systems Using Machine Learning
  4. NIST AI Risk Management Framework 1.0 (Januar 2023)
  5. NIST AI RMF Playbook, operative Umsetzungs-Anleitung
  6. OECD AI Principles (Mai 2019, aktualisiert Mai 2024)
  7. UNESCO, Recommendation on the Ethics of Artificial Intelligence (2021)
  8. Verordnung (EU) 2024/1689 (EU AI Act)
  9. EU AI Office (Generaldirektion Connect), zentrale EU-Aufsicht
  10. ENISA, AI Threat Landscape
  11. BSI, Themenseite Künstliche Intelligenz