Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht Audit Begleitung as a Service GAP-Analyse Implementierung Awareness & Schulungen
ISMS
Übersicht Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht Externer KI-Beauftragter EU AI Act ISO 42001 ISO 42005
BCMS
Übersicht Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht Insights KI-Security Briefing
Über uns
Übersicht Presse
+49 40-298 4553-0 [email protected]
Startseite Glossar AIMS (AI Management System)
Glossar, AIMS / ISO 42001

AIMS (AI Management System)

Englisch: AI Management System

Zuletzt aktualisiert: April 2026
Lesedauer: ca. 6 Minuten

AIMS (AI Management System) ist der organisatorische Rahmen, mit dem ein Unternehmen die Entwicklung, Beschaffung und den Betrieb von Systemen der künstlichen Intelligenz systematisch steuert. ISO/IEC 42001:2023 verlangt in Clause 4.4, dass die Organisation ein AIMS etabliert, umsetzt, aufrechterhält und kontinuierlich verbessert.

Normative Grundlage: ISO/IEC 42001:2023 Clause 4.4

Hintergrund und normative Einordnung

Der Begriff entstammt der internationalen Norm ISO/IEC 42001:2023, die im Dezember 2023 als erste zertifizierbare Managementsystemnorm für künstliche Intelligenz veröffentlicht wurde. Sie folgt der Harmonized Structure, Annex SL, und ist damit strukturell anschlussfähig an ISO/IEC 27001 und ISO 9001. ISO/IEC 42001 definiert in Clause 3 ein AI Management System als System zur Steuerung von KI-bezogenen Aktivitäten, das Richtlinien, Ziele und Prozesse zur Erreichung dieser Ziele bündelt. Der normative Kern ist damit kein Werkzeug, sondern ein Führungssystem mit klaren Verantwortlichkeiten, messbaren Zielen und dokumentierten Kontrollen entlang des Annex A der Norm.

In der europäischen Compliance-Landschaft übernimmt das AIMS die Rolle, die das ISMS im Bereich der Informationssicherheit einnimmt. Die Verordnung (EU) 2024/1689 (EU AI Act) fordert für Anbieter und Betreiber von Hochrisiko-KI-Systemen in Artikel 17 ein Qualitätsmanagementsystem, dessen Bestandteile weitgehend den Anforderungen der ISO/IEC 42001 entsprechen. Das ISO/IEC 42001-konforme AIMS liefert damit einen praktikablen Nachweisrahmen für die Einhaltung des EU AI Act. Ergänzend nutzt das NIST AI Risk Management Framework eine kompatible Logik aus Govern, Map, Measure und Manage. Für die konkrete Umsetzung bietet SECURAM eine spezialisierte AIMS-Beratung rund um Aufbau, Zertifizierung und Betrieb.

Normative Bezüge:

ISO/IEC 42001:2023 Clause 4.4 (AI management system) Verordnung (EU) 2024/1689 (EU AI Act) Artikel 17 (Qualitätsmanagementsystem) NIST AI Risk Management Framework 1.0 (AI RMF, Januar 2023)

Vorgehen in der Praxis

Der Aufbau eines AIMS folgt in der Praxis einem Plan-Do-Check-Act-Zyklus. Die folgenden vier Phasen entsprechen den Clauses 4 bis 10 der ISO/IEC 42001:2023 und lassen sich direkt mit den Governance-Pflichten des EU AI Act verzahnen.

1
Kontext, Scope und KI-Leitlinie festlegen Zuerst werden Anwendungsbereich, interessierte Parteien und das KI-Risikoprofil der Organisation bestimmt. ISO/IEC 42001:2023 Clauses 4.1 bis 5.2 verlangen eine dokumentierte KI-Leitlinie sowie die Festlegung von Rollen wie AI-Verantwortlichen oder Chief AI Officer. Der EU AI Act verlangt in Artikel 26 zusätzlich eine verantwortliche Person auf Seiten des Betreibers von Hochrisiko-Systemen.
2
KI-Risiken und Auswirkungen bewerten Auf Basis von ISO/IEC 23894 werden Risiken für Individuen, Gruppen, Gesellschaft und Organisation identifiziert, analysiert und behandelt. Ergänzend verlangt der EU AI Act in Artikel 9 ein durchgängiges Risikomanagementsystem für Hochrisiko-KI. Ergebnis ist ein dokumentiertes Risikoregister inklusive Restrisikobeurteilung und Statement of Applicability nach Annex A der ISO/IEC 42001.
3
Kontrollen, Daten und Betrieb umsetzen Rollen werden besetzt, Datenqualitäts- und Bias-Kontrollen werden etabliert, Entwicklungs- und Betriebsprozesse werden nach ISO/IEC 42001 Clauses 7 und 8 aufgebaut. Der EU AI Act verlangt in den Artikeln 10 bis 15 konkrete Anforderungen an Datenqualität, technische Dokumentation, Protokollierung, Transparenz, menschliche Aufsicht sowie Genauigkeit und Robustheit.
4
Überwachen, auditieren, verbessern Interne Audits, Management Review und eine Post-Market-Monitoring-Funktion schließen den Zyklus. ISO/IEC 42001:2023 Clauses 9 und 10 fordern Messung, Auditierung und Korrekturmaßnahmen. Artikel 72 des EU AI Act verlangt darüber hinaus eine laufende Beobachtung der im Markt befindlichen Hochrisiko-Systeme und Meldepflichten bei schwerwiegenden Vorfällen.

Ein AIMS ist nur dann wirksam, wenn es Datenqualität, menschliche Aufsicht und Protokollierung nach ISO/IEC 42001 Annex A Controls A.6 und A.7 nicht an die IT delegiert, sondern in der Fachbereichsverantwortung verankert.

Abgrenzung zu verwandten Begriffen

Begriff Fokus Verhältnis zu AIMS (AI Management System)
ISMS Schutz von Informationen nach ISO/IEC 27001 Ein ISMS schützt die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Ein AIMS adressiert zusätzlich die spezifischen Risiken von KI-Systemen wie Bias, mangelnde Erklärbarkeit oder unerwünschte Auswirkungen. ISO/IEC 42001 und ISO/IEC 27001 sind komplementär und können als integriertes Managementsystem betrieben werden.
EU AI Act Regulatorische Pflichten für KI-Systeme in der EU Der EU AI Act ist Rechtsnorm und beschreibt das Was der Pflichten. Ein AIMS nach ISO/IEC 42001 liefert das Wie der organisatorischen Umsetzung. Wer sein AIMS am Annex A der ISO 42001 ausrichtet, deckt einen Großteil der Governance- und Dokumentationspflichten des EU AI Act systematisch ab.
NIST AI RMF Freiwilliger US-Rahmen für KI-Risikomanagement Das NIST AI Risk Management Framework gliedert sich in die Funktionen Govern, Map, Measure und Manage. Es ist nicht zertifizierbar, liefert aber ein inhaltlich kompatibles Risikomodell. Ein AIMS nach ISO/IEC 42001 lässt sich mit den Core Functions des AI RMF kreuzreferenzieren und ist damit auch für global tätige Unternehmen anschlussfähig.

Typische Fehler und wie ihr sie vermeidet

  • AIMS als reines IT-Projekt führen: KI-Governance betrifft Fachbereiche, Einkauf, HR und Recht. ISO/IEC 42001 Clause 5.1 verlangt ausdrücklich Leadership der obersten Leitung. Wird das AIMS in der IT oder im Data-Science-Team isoliert, fehlen Verantwortung, Ressourcen und die notwendige Verknüpfung zu Compliance-Prozessen.
  • Schatten-KI ignorieren: Ohne ein vollständiges Inventar aller eingesetzten KI-Anwendungen bleibt das AIMS lückenhaft. ISO/IEC 42001 Clause 6.1.4 fordert eine KI-Impact-Analyse über alle Systeme. Nicht gemeldete SaaS-Nutzung von Large Language Models entzieht sich der Governance und führt zu unkalkulierten Risiken unter Artikel 26 EU AI Act.
  • Risikoeinstufung nach EU AI Act falsch vornehmen: Die Einstufung als Hochrisiko-System nach Artikel 6 und Anhang III EU AI Act bestimmt, welche Pflichten greifen. Wer systematisch zu niedrig einstuft, verletzt Nachweispflichten und riskiert Bußgelder nach Artikel 99. Die Einstufung muss dokumentiert und im AIMS begründet sein.
  • Post-Market-Monitoring vergessen: ISO/IEC 42001 Clauses 9.1 und 10 sowie Artikel 72 EU AI Act verlangen eine kontinuierliche Beobachtung der eingesetzten KI-Systeme im Betrieb. Wird das AIMS nur zur Zertifizierung aufgebaut und danach nicht gepflegt, erlischt sowohl die normative Wirksamkeit als auch die rechtliche Absicherung.

Relevanz im regulatorischen Kontext

Die Verordnung (EU) 2024/1689 (EU AI Act) trat am 1. August 2024 in Kraft und wird gestaffelt anwendbar. Verbote nach Artikel 5 gelten ab Februar 2025, Pflichten für General Purpose AI ab August 2025, die zentralen Pflichten für Hochrisiko-Systeme überwiegend ab August 2026. Artikel 17 fordert für Anbieter von Hochrisiko-KI ein Qualitätsmanagementsystem, dessen Elemente einem AIMS nach ISO/IEC 42001 inhaltlich entsprechen. Die Kommission hat bereits klargestellt, dass harmonisierte Normen wie ISO/IEC 42001 eine Konformitätsvermutung stützen können, sobald sie im Amtsblatt notifiziert werden.

Neben dem EU AI Act greifen weitere Regelungen mit Bezug zu KI: Die DSGVO bleibt für personenbezogene Datenverarbeitung maßgeblich, insbesondere Artikel 22 zu automatisierten Entscheidungen. Der Digital Services Act adressiert algorithmische Systeme auf Plattformen, und sektorale Regulierung wie DORA oder MaRisk greift bei KI-Einsatz in Finanzinstituten. In Deutschland wird die Marktüberwachung des EU AI Act voraussichtlich durch die Bundesnetzagentur gebündelt, flankiert durch das BSI für sicherheitskritische Aspekte. Der BSI AIC4-Kriterienkatalog liefert bereits heute eine Prüfgrundlage für KI-Dienste in der Cloud.

Häufige Fragen

Was ist ein AIMS in einem Satz?
Ein AIMS ist das dokumentierte Managementsystem, mit dem eine Organisation KI-Systeme risikobasiert plant, entwickelt, einsetzt, überwacht und verbessert, so definiert in ISO/IEC 42001:2023 Clause 4.4.
Ist ein AIMS nach ISO 42001 für den EU AI Act verpflichtend?
Der EU AI Act nennt ISO/IEC 42001 nicht namentlich, verlangt aber in Artikel 17 ein Qualitätsmanagementsystem für Anbieter von Hochrisiko-KI. Ein AIMS nach ISO 42001 ist die direkteste Möglichkeit, diese Pflicht nachweisbar und zertifizierbar zu erfüllen.
Wie unterscheidet sich ein AIMS von einem ISMS?
Beide folgen der Harmonized Structure und können integriert betrieben werden. Ein ISMS nach ISO/IEC 27001 schützt Informationen, ein AIMS nach ISO/IEC 42001 steuert KI-spezifische Risiken wie Bias, Erklärbarkeit und gesellschaftliche Auswirkungen über den gesamten KI-Lebenszyklus.

Quellen & weiterführende Literatur

  1. ISO/IEC 42001:2023 Information technology, Artificial intelligence, Management system (iso.org)
  2. Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (EU AI Act) (eur-lex.europa.eu)
  3. NIST AI Risk Management Framework (AI RMF 1.0), NIST AI 100-1, Januar 2023 (nist.gov)
  4. BSI AIC4, AI Cloud Service Compliance Criteria Catalogue (bsi.bund.de)