Künstliche Intelligenz verändert Geschäftsprozesse in nahezu allen Branchen. Von ChatGPT über Microsoft Copilot bis zu branchenspezifischen Anwendungen. Viele Unternehmen setzen KI bereits ein, ohne diese Systeme systematisch zu erfassen oder zu steuern. Der EU AI Act schafft nun einen verbindlichen Rechtsrahmen, der klare Governance-Strukturen, dokumentierte Prozesse und definierte Verantwortlichkeiten verlangt.

Laut OECD-Bericht nutzt ein nicht unerheblicher Teil von Unternehmen in Deutschland ein KI-System, bei Großunternehmen sind es bereits über ein Drittel. Besonders betroffen vom EU AI Act sind Unternehmen in Hochrisiko-Sektoren: Finanzdienstleistungen, Gesundheitswesen, kritische Infrastruktur, öffentliche Verwaltung und Bildung. Wer KI-gestützte Recruiting-Tools, Kreditwürdigkeitsprüfungen oder biometrische Systeme einsetzt, fällt ebenfalls unter die strengen Hochrisiko-Anforderungen.

Für mittelständische Unternehmen stellt die Umsetzung eine besondere Herausforderung dar: Fehlendes KI-spezifisches Know-how, begrenzte Ressourcen und die Komplexität der Integration in bestehende Systeme.

Ein KI Integrated Management System (KI-IMS) verbindet KI-Governance nach ISO/IEC 42001 mit bestehenden Managementsystemen wie ISO/IEC 27001 oder ISO 9001. SECURAM unterstützt Sie bei der Integration. Wir begeleiten Sie von der Gap-Analyse über die Roadmap-Entwicklung bis zur Zertifizierungsreife. Unsere Berater bringen langjährige Erfahrung in IT-Security, Compliance und KI-Governance im DACH-Raum mit.

SECURAM bietet ein modulares Leistungsportfolio rund um KI-Governance und ISO/IEC 42001. Sie wählen, was Sie benötigen.

Bei der Implementierung eines KI Management Systems verfolgt die SECURAM einen strukturierten Ansatz in vier Phasen: Analyse, Planung, Implementierung, Verifizierung. Dieser Prozess orientiert sich an der ISO/IEC 42001 und berücksichtigt die Anforderungen des EU AI Acts sowie bestehende Managementsysteme [Q2]. Ziel ist es, KI-Governance nicht isoliert, sondern als integralen Bestandteil Ihrer Unternehmenssteuerung zu verankern.

Nicht jedes Unternehmen kann oder will eine eigene Vollzeitstelle für KI-Governance schaffen. SECURAM bietet deshalb den KI-Beauftragten as a Service (KIBaaS): Ein erfahrener Experte übernimmt die Rolle des externen AI Officers und begleitet Sie beim systematischen Aufbau Ihrer Governance-Strukturen. Von der KI-Inventarisierung über die Risikobewertung nach EU AI Act bis zur Schulungskoordination gemäß Art. 4 – Sie erhalten kontinuierliche Unterstützung ohne eigenen Personalaufbau. Der externe KI-Beauftragte arbeitet eng mit Ihrer IT-Leitung, dem Datenschutzbeauftragten und der Geschäftsführung zusammen und sorgt dafür, dass KI-Governance nicht Projekt bleibt, sondern im Alltag gelebt wird.

Die europäische KI-Verordnung (EU AI Act) ist am 1. August 2024 in Kraft getreten und wird bis 2027 schrittweise umgesetzt. Für Unternehmen im DACH-Raum bedeutet dies konkrete Compliance-Pflichten: Seit dem 2. Februar 2025 gilt die KI-Kompetenzpflicht (Art. 4 AI Act), ab August 2025 greifen Regelungen für General Purpose AI, und ab August 2026 müssen Hochrisiko-KI-Systeme vollständig compliant sein [Q1]. Die Nichteinhaltung kann mit Bußgeldern von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes geahndet werden [Q1].

Mit der ISO/IEC 42001, die im Dezember 2023 veröffentlicht wurde, existiert erstmals ein international zertifizierbarer Standard für KI-Managementsysteme (AI Management System, AIMS). Die Norm definiert Anforderungen für die Einrichtung, Umsetzung und kontinuierliche Verbesserung eines strukturierten Rahmens zur KI-Governance [Q2]. Unternehmen, die bereits nach ISO/IEC 27001 oder ISO 9001 zertifiziert sind, können die ISO/IEC 42001 dank der einheitlichen High Level Structure nahtlos integrieren.

Ein KI Management System ist für alle Organisationen relevant, die KI-Systeme entwickeln, betreiben oder nutzen. Besonders dringlich ist der Bedarf für Unternehmen in Hochrisiko-Sektoren gemäß EU AI Act: Gesundheitswesen, Finanzdienstleistungen, kritische Infrastruktur, Bildung und öffentliche Verwaltung [Q1]. Auch Unternehmen mit KI-gestützten Recruiting-Tools, Kreditwürdigkeitsprüfungen oder biometrischen Systemen fallen unter die Hochrisiko-Kategorie. Ein strukturiertes KI Management System nach ISO/IEC 42001 schafft den Rahmen für verantwortungsvolle KI-Nutzung und demonstriert gegenüber Kunden und Aufsichtsbehörden das Engagement für ethische KI-Praktiken [Q2].

Die Integration gelingt dank der einheitlichen High Level Structure beider Normen reibungslos. Zentrale Elemente wie Organisationskontext, Stakeholder-Analyse, Risikomanagement und interne Audits sind identisch strukturiert [Q2]. Unternehmen mit bestehendem ISMS können die KI-spezifischen Anforderungen als Erweiterung integrieren. Gemeinsame Prozesse reduzieren Dokumentationsaufwand und Auditkosten. Viele Zertifizierungsstellen bieten Kombinationsaudits an. Die Integration empfiehlt sich insbesondere, da KI-Systeme häufig sensible Daten verarbeiten und somit ohnehin unter den Anwendungsbereich der ISO/IEC 27001 fallen [Q2].

Der EU AI Act wird schrittweise umgesetzt: Seit dem 2. Februar 2025 gelten Verbote für KI mit inakzeptablem Risiko und die KI-Kompetenzpflicht (Art. 4). Ab dem 2. August 2025 greifen Pflichten für General Purpose AI (GPAI). Ab dem 2. August 2026 ist der AI Act vollständig anwendbar für Hochrisiko-KI-Systeme. Bis zum 2. August 2027 läuft die Übergangsfrist für bestehende Systeme [Q1]. Unternehmen sollten die verbleibende Zeit nutzen, um Governance-Strukturen aufzubauen, Mitarbeitende zu schulen und KI-Systeme zu klassifizieren.

[Q1] EU AI Act – Verordnung (EU) 2024/1689, https://eur-lex.europa.eu/eli/reg/2024/1689, Abrufdatum: 10.12.2025

[Q2] ISO/IEC 42001:2023 – AI Management System, https://www.iso.org/standard/81230.html, Abrufdatum: 10.12.2025

[Q3] Handelsblatt: KI-Management für regulierte Organisationen, https://www.handelsblatt.com, Abrufdatum: 10.12.2025