ISO 42001 vs die EU-KI-Verordnung: Wie sie zusammenpassen
ISO/IEC 42001 ist ein freiwilliger, zertifizierbarer Managementsystem-Standard für KI. Die EU-KI-Verordnung ist bindendes Recht. Sie sind komplementär, nicht austauschbar: Ein gut geführtes ISO-42001-Managementsystem erstellt viel von der Governance-, Risiko- und Lebenszyklus-Beweislast, die die EU-KI-Verordnung erwartet — aber es macht Sie nicht allein rechtskonform. Hier sehen Sie genau, wo sie übereinstimmen und wo sie nicht.
ISO 42001 vs die EU-KI-Verordnung: Wie sie zusammenpassen
ISO/IEC 42001 ist ein freiwilliger, zertifizierbarer Managementsystem-Standard für KI. Die EU-KI-Verordnung ist bindendes Recht. Sie sind komplementär, nicht austauschbar: Ein gut geführtes ISO-42001-Managementsystem erstellt viel von der Governance-, Risiko- und Lebenszyklus-Beweislast, die die EU-KI-Verordnung erwartet — aber es macht Sie nicht allein rechtskonform. Hier sehen Sie genau, wo sie übereinstimmen und wo sie nicht.
Zuletzt aktualisiert: 4. Juli 2026
Was jedes ist
Zwei verschiedene Instrumente, die zwei verschiedene Aufgaben erfüllen:
- ISO/IEC 42001:2023 ist ein internationaler Standard für ein KI-Managementsystem (AIMS). Es legt fest, wie eine Organisation die Governance über ihre KI etablieren, umsetzen, aufrechterhalten und kontinuierlich verbessern soll. Es ist freiwillig, folgt der gleichen Managementsystem-Struktur wie ISO 27001 oder ISO 9001 und kann von einer akkreditierten dritten Partei zertifiziert werden.
- Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) ist bindendes EU-Recht. Sie gilt direkt in der gesamten Union, klassifiziert KI-Systeme nach Risiko und verhängt spezifische Produkt- und Anbieterpflichten — mit Strafen für Nicht-Einhaltung. Sie 'adoptieren' es nicht; es gilt für Sie, wenn Ihre KI auf dem EU-Markt platziert wird oder diesen beeinflusst.
- Kurz: ISO 42001 ist ein Prozess-/organisatorischer Standard, dem Sie folgen können; die EU-KI-Verordnung ist ein Rechtsregime, dem Sie gehorchen müssen.
Freiwilliger Standard vs bindende Verordnung
Die beiden operieren auf unterschiedlichen Ebenen, was der Grund ist, warum eine nicht die andere ersetzen kann:
- Rechtskraft. Die Konformität mit ISO 42001 ist optional und marktorientiert (Kunden, Ausschreibungen, Vertrauen). Die EU-KI-Verordnung ist verpflichtend und wird von nationalen Behörden durchgesetzt.
- Einheit der Governance. ISO 42001 regelt Ihr Managementsystem — Richtlinien, Rollen, Prozesse über Ihr gesamtes KI-Portfolio. Die EU-KI-Verordnung knüpft Pflichten an spezifische KI-Systeme nach Risikostufe (verboten, hochrisikoreich, begrenzt risikoreich, minimal risikoreich).
- Was 'erledigt' bedeutet. Der Erfolg von ISO 42001 ist ein zertifiziertes, kontinuierlich verbessertes AIMS. Der Erfolg der EU-KI-Verordnung besteht darin, die artikelbezogenen Pflichten für jedes in Frage kommende System zu erfüllen: Risikomanagement, Datenverwaltung, technische Dokumentation, Protokollierung, Transparenz, menschliche Aufsicht, Genauigkeit/Robustheit, Konformitätsbewertung und (für hochrisikoreiche Systeme) CE-Kennzeichnung und EU-Datenbank-Registrierung.
- Wer Sie beurteilt. Ein akkreditierter Zertifizierungsstellen überprüft ISO 42001. Eine Marktaufsichtsbehörde — nicht ein Zertifizierer — setzt die EU-KI-Verordnung durch.
Wie ISO 42001 die EU-KI-Verordnung unterstützt
Ein ISO-42001-AIMS produziert viel von der Governance-Struktur, die die EU-KI-Verordnung voraussetzt. Die Annex-A-Kontrollen entsprechen natürlicherweise mehreren EU-KI-Verordnung-Themen:
- Governance & Rechenschaftspflicht. KI-Richtlinie, definierte Rollen und Management-Review entsprechen den Erwartungen der EU-KI-Verordnung an ein Qualitätsmanagementsystem (Artikel 17) und ihre Rechenschaftspflicht.
- Risikomanagement. Das Risikobewertungs- und -behandlungsverfahren von ISO 42001 gibt Ihnen den Betriebsrhythmus, um das kontinuierliche, systemweite Risikomanagement zu betreiben, das die EU-KI-Verordnung für hochrisikoreiche KI (Artikel 9) erfordert.
- Daten & Lebenszyklus. Kontrollen für Datenqualität, Ressourcen und den KI-System-Lebenszyklus unterstützen die EU-KI-Verordnung-Datenverwaltung (Artikel 10) und technische Dokumentation (Artikel 11).
- Aufsicht & Betrieb. Kontrollen für menschliche Aufsicht, Überwachung und Betriebsaufzeichnungen geben Ihnen einen Vorsprung bei Artikel 14 (menschliche Aufsicht) und Artikel 12 (Protokollierung).
Wo ISO 42001 Sie nicht konform macht: Ein Managementsystem ist keine Konformitätsbewertung. ISO 42001 liefert keine CE-Kennzeichnung, EU-Datenbank-Registrierung, einen EU-Bevollmächtigten oder die artikelbezogenen Produktanforderungen für ein bestimmtes hochrisikoreiches System. Zwei präzise Warnungen: (1) ISO-42001-Readiness ist nicht dasselbe wie Zertifizierung — 'ausgerichtet' zu sein, bedeutet nicht zertifiziert zu sein; und (2) ISO-42001-Zertifizierung ist nicht dasselbe wie EU-KI-Verordnung-Rechtskonformität — ein Zertifikat ist Beweis für ein gutes Managementsystem, nie ein Rechtsschutz.
Zuordnung: ISO-42001-Bereiche zu EU-KI-Verordnung-Artikeln
Eine praktische Zuordnung. Verwenden Sie sie, um zu sehen, was Ihr AIMS bereits abdeckt und wo EU-KI-Verordnung-spezifische Arbeit noch verbleibt:
- KI-Richtlinie & Führung → Artikel 17 (Qualitätsmanagementsystem) und allgemeine Rechenschaftspflicht
- KI-Risikobewertung & -behandlung → Artikel 9 (Risikomanagementsystem)
- Daten für KI-Systeme / Ressourcenkontrollen → Artikel 10 (Daten und Datenverwaltung)
- KI-System-Lebenszyklus & Dokumentationskontrollen → Artikel 11 und Anhang IV (technische Dokumentation)
- Operative Überwachung & Aufzeichnungen → Artikel 12 (Protokollierung / Logging)
- Informationen für interessierte Parteien / Transparenzkontrollen → Artikel 13 (Transparenz gegenüber Deployern)
- Menschliche Aufsichtskontrollen → Artikel 14 (menschliche Aufsicht)
- Leistung, Verifizierung & Überwachungskontrollen → Artikel 15 (Genauigkeit, Robustheit, Cybersicherheit)
Dies ist eine richtungsweisende Zuordnung, um die Lückenanalyse zu leiten, kein offizieller Äquivalenznachweis. Keine ISO-42001-Klausel 'erfüllt' einen EU-KI-Verordnung-Artikel von selbst; jede erfordert noch die spezifische Beweislast für das spezifische System.
Wie AIAgentree hilft
AIAgentree erfasst die Entscheidungs- und Aufsichtsbeweise, die sowohl die ISO-42001- als auch die EU-KI-Verordnung-Anforderungen unterstützen — dieselben zugrunde liegenden Daten dienen beiden Modellen (AIAgentree ist nicht ISO-42001- oder EU-KI-Verordnung-'zertifiziert'; es generiert die Beweise):
- Manipulationssichere Entscheidungsaufzeichnungen für jede Agentenentscheidung, mit menschlicher Aufsicht und Genehmigungsworkflows — das Rohmaterial für sowohl ein AIMS-Betriebslog als auch Artikel-12-Protokollierung / Artikel-14-Aufsichtsbeweise.
- EU-Datenresidenz in Deutschland, prüfgeeignete Aufbewahrung (mindestens 6 Monate), plus Präzedenzsuche und Ergebnisverfolgung, damit Ihre Governance-Beweise konsistent, abrufbar und verteidigbar unter Prüfung sind.
- Python- und TypeScript-SDKs sowie REST-, MCP-, A2A- und OpenTelemetry-Schnittstellen, um diese Beweise in Ihre bestehenden AIMS-, GRC- oder SIEM-Tools zu integrieren. Beginnen Sie auf dem kostenlosen Tarif (25 Spuren) mit asynchroner Erfassung unter 10 ms. (SOC 2 ist in Bearbeitung.)
Häufig gestellte Fragen
Macht die ISO-42001-Zertifizierung mich konform mit dem EU-KI-Gesetz?
Nein. Die ISO-42001-Zertifizierung demonstriert ein solides KI-Management-System und kann ein starkes Beweis für die Reife der Governance sein, aber es ist kein rechtlicher Schutz. Das EU-KI-Gesetz verhängt systemspezifische Verpflichtungen — Konformitätsbewertung, CE-Kennzeichnung, EU-Datenbank-Registrierung und artikelbezogene technische Anforderungen für Hochrisiko-KI —, die ein Management-System-Zertifikat nicht liefert. Die Zertifizierung unterstützt die Konformität; sie ersetzt sie nicht.
Ist ISO 42001 in der EU verpflichtend?
Nein. ISO/IEC 42001 ist ein freiwilliger internationaler Standard. Das EU-KI-Gesetz ist das verpflichtende Instrument. Harmonisierte europäische Normen (entwickelt via CEN/CENELEC) — nicht ISO 42001 direkt — bieten den Vermutungsweg der Konformität unter dem Gesetz. ISO 42001 bleibt ein weit verbreitet nützliches Governance-Rückgrat, aber die Annahme ist eine Geschäftsentscheidung, keine rechtliche Anforderung.
Was ist der Unterschied zwischen ISO-42001-Bereitschaft und -Zertifizierung?
Bereitschaft bedeutet, dass Ihr Management-System den Anforderungen des Standards entspricht — Sie könnten eine Prüfung bestehen. Zertifizierung bedeutet, dass ein akkreditierter Dritter Sie tatsächlich geprüft und ein Zertifikat ausgestellt hat. 'Bereitschaft' ist ein selbst bewerteter Zustand; 'Zertifizierung' ist ein unabhängig überprüfter. Keines von beiden entspricht allein der rechtlichen Konformität mit dem EU-KI-Gesetz.
Wo hilft ISO 42001 am meisten bei dem EU-KI-Gesetz?
In der Governance, Risikomanagement und Lebenszyklusdisziplin. Ein ISO-42001-AIMS gibt Ihnen die Richtlinien, Rollen, Risikoprozess und Betriebsaufzeichnungen, die die Artikel 9, 10, 11, 12, 14 und 17 voraussetzen. Es ist schwächer bei den EU-spezifischen, systembezogenen Verpflichtungen — Konformitätsbewertung, CE-Kennzeichnung, Registrierung und die Anforderung eines autorisierten Vertreters —, die außerhalb eines Management-System-Standards liegen.
Kann ein Programm sowohl ISO 42001 als auch das EU-KI-Gesetz abdecken?
Ja, und die meisten reifen Organisationen führen sie zusammen aus. Verwenden Sie ISO 42001 als Management-System-Rahmen und legen Sie die systembezogenen Verpflichtungen des EU-KI-Gesetzes darüber, wiederverwendend gemeinsame Beweise (Risikobewertungen, Dokumentation, Aufsichtsaufzeichnungen, Protokolle). AIAgentree's Entscheidungsaufzeichnungen und Aufsichtsworkflows sind dafür konzipiert, beide ohne Verdoppelung der Arbeit zu speisen.
Fahren Sie mit der Erkundung des EU-KI-Gesetzes-Leitfadens fort
EU-KI-Gesetzes-Konformitäts-Leitfaden
Der vollständige Leitfaden zur Konformität mit dem EU-KI-Gesetz für KI-Agenten — starten Sie hier.
Artikel 12 — Aufzeichnung und Protokollierung
Was jedes Hochrisiko-KI-System protokollieren muss und wie man es erfassen kann.
Artikel 14 — Menschliche Aufsicht
Entwicklung effektiver menschlicher Kontrollen für KI-Entscheidungen.
Anhang III — Hochrisiko-KI-Systeme
Welche KI-Anwendungsfälle das Gesetz als hochrisikig einstuft.
EU-KI-Gesetzes-Konformitäts-Checkliste
Eine schrittweise Checkliste, um die Konformität zu erreichen und zu dokumentieren.
Konformitätskostenrechner
Schätzen Sie Ihre Konformitätsbemühungen und -kosten für das EU-KI-Gesetz.
Fristen und Zeitplan
Wichtige Durchsetzungsdaten, einschließlich der Frist vom 2. August 2026.
Geldstrafen und Bußgelder
Bußgeldstufen bis zu 35 Mio. € oder 7 % des globalen Jahresumsatzes.
Transparenzpflichten (Art. 13 und 50)
Offenlegungspflichten für KI-Systeme und ihre Ausgaben.
Risikomanagement und Konformitätsbewertung
Aufbau eines Risikomanagementsystems und Bewertung der Konformität.
GPAI-Pflichten
Regeln für Anbieter von allgemeinen KI-Modellen.
EU-KI-Gesetz für US-Unternehmen
Außerräumiger Anwendungsbereich und was US-Anbieter tun müssen.
Omnibus-Update
Die neuesten Änderungen an der EU-KI-Gesetz-Zeitachse und -Regeln.
Bußgeldrechner
Schätzen Sie Ihr maximales Bußgeld unter den Artikel 99-Stufen.
Artikel 11 + Anhang IV
Welche technische Dokumentation das EU-AI-Gesetz erfordert.
Artikel 26: Verpflichtungen des Deployers
Was Deployer von High-Risk-KI tun müssen, einschließlich Log-Aufbewahrung.
Artikel 17: Qualitätsmanagement
Das QMS, das Anbieter von High-Risk-KI dokumentieren müssen.
Artikel 10: Datenverwaltung
Datenqualität, Bias-Mitigation und Governance-Pflichten.
Artikel 4: KI-Literacy
Die KI-Literacy-Pflicht des Personals, die seit Februar 2025 in Kraft ist.
Deployer vs. Anbieter
Wer welche Verpflichtung trägt — und wann ein Deployer zu einem Anbieter wird.
FRIA (Artikel 27)
Wer eine Grundrechte-Auswirkungsabschätzung durchführen muss und wie.
Wer ist betroffen?
Anwendungsbereich, Betreiber und extraterritoriale Reichweite des EU-AI-Gesetzes.
Nachmarküberwachung
Artikel 72–73: laufende Überwachung und Meldung von Vorfällen.
NIST AI RMF vs. EU-AI-Gesetz
Ein praktischer Vergleich zwischen dem Framework und dem Gesetz.
EU-AI-Gesetz für den Gesundheitssektor
High-Risk-Medizin-KI, MDR/IVDR-Interaktion und klinische Überwachung.
EU-AI-Gesetz für Finanzdienstleistungen
Kreditwürdigkeit, Versicherungspreise und bestehende Finanzregulierung.
EU-AI-Gesetz für Personalwesen und Beschäftigung
Einstellung von KI als High-Risk, plus NYC LL144 und EEOC-Überschneidung.