ISO 42001 und EU AI Act: Was Unternehmen bis 2. August 2026 tun müssen

Unternehmen, die KI produktiv einsetzen, sollten ISO 42001 und den EU AI Act nicht getrennt betrachten. Der AI Act bringt verbindliche Pflichten und feste Fristen, während ISO 42001 die Managementsystem-Struktur liefert, mit der sich Rollen, Prozesse, Nachweise und interne Steuerung sauber aufbauen lassen. Wer erst 2026 startet, arbeitet unter Zeitdruck. Wer jetzt strukturiert beginnt, reduziert Reibung, Audit-Stress und spätere Nacharbeiten.

Seit dem 2. Februar 2025 gelten bereits erste Regeln des EU AI Act, darunter Vorgaben zu verbotenen KI-Praktiken und zur AI Literacy. Seit dem 2. August 2025 greifen weitere Pflichten für General-Purpose-AI-Modelle. Ab dem 2. August 2026 wird der Rechtsrahmen weitgehend allgemein anwendbar. Quelle: EU-Kommission Quelle: EU-Kommission

Gerade bei der AI Literacy unterschätzen viele Unternehmen den Zeitdruck. Die Schulungspflicht läuft bereits seit 2. Februar 2025 für Provider und Deployer von KI-Systemen. Viele Organisationen glauben, sie hätten bis 2026 Zeit, tatsächlich gilt die Pflicht aber schon heute, auch wenn die formelle Marktüberwachung und Durchsetzung erst ab August 2026 greift. Für Beratung ist das ein starker Hebel, weil Unternehmen nicht nur ein Konzept brauchen, sondern jetzt schon nachweisen sollten, dass Mitarbeitende mit KI-Systemen ausreichend vertraut sind. Quelle: EU-Kommission FAQ

Warum der 2. August 2026 für Unternehmen näher ist, als es scheint

Viele Teams behandeln den EU AI Act noch wie ein spätes Rechtsprojekt. Praktisch ist er längst ein Umsetzungsprojekt. Sobald KI-Use-Cases produktiv laufen, entstehen Fragen zu Rollen, Freigaben, Kompetenz, Daten, Lieferanten, Dokumentation, Überwachung und Korrekturmaßnahmen. Genau diese operative Ebene entscheidet später darüber, ob ein Unternehmen belastbar nachweisen kann, dass KI kontrolliert eingesetzt wird.

Die EU-Kommission macht den Zeitplan klar: Erste Vorschriften gelten seit Februar 2025, GPAI-bezogene Pflichten seit August 2025, und die breite Anwendbarkeit folgt im August 2026. Für Unternehmen bedeutet das: Wer Governance, Dokumentation und Verantwortlichkeiten erst kurz vor dem Stichtag aufsetzt, produziert Hektik statt belastbarer Compliance. Quelle: EU-Kommission

Illustration eines Teams, das einen mehrstufigen Fahrplan für KI-Governance und Compliance bespricht. — Die Vorbereitung auf ISO 42001 und den EU AI Act funktioniert am besten als klar getaktetes Umsetzungsprojekt statt als spätes Rechts-Sonderthema.

Was ISO 42001 konkret leistet

ISO/IEC 42001 beschreibt ISO als die weltweit erste Managementsystemnorm für künstliche Intelligenz. Die Norm richtet sich an Organisationen, die KI-Systeme bereitstellen, entwickeln oder nutzen. Für die Praxis ist das entscheidend: ISO 42001 ist keine lose Sammlung von KI-Ethik-Ideen, sondern ein steuerbarer Rahmen für Verantwortlichkeiten, Ziele, Risiken, dokumentierte Informationen, interne Kontrollen, Leistungsbewertung und Verbesserung. Quelle: ISO

Für KMU und wachsende Unternehmen ist der größte Vorteil nicht das Zertifikat allein, sondern die Systematik dahinter. ISO 42001 zwingt dazu, KI nicht nur technisch oder juristisch zu betrachten, sondern als Managementaufgabe. Wer schon mit ISO-Strukturen arbeitet, kennt den Nutzen: klare Verantwortungen, definierte Prozesse, Nachweise, Reviews und ein belastbarer Verbesserungszyklus. Wer noch kein Managementsystem hat, bekommt mit ISO 42001 einen sauberen Einstieg in geordnete KI-Governance.

EU AI Act und ISO 42001: Wo sich beides ergänzt

Der EU AI Act ist ein Gesetz. ISO 42001 ist eine Managementsystemnorm. Das ist ein wichtiger Unterschied, aber in der Umsetzung greifen beide ineinander. Das Gesetz definiert Pflichten, Risikologik und Nachweisanforderungen. ISO 42001 liefert die Organisationsdisziplin, um diese Anforderungen im Alltag verlässlich umzusetzen. Unternehmen, die nur auf juristische Einzelpflichten schauen, übersehen oft den operativen Unterbau. Unternehmen, die nur auf Zertifizierung schauen, riskieren Lücken gegenüber konkreten Rechtsanforderungen.

Thema	EU AI Act	ISO 42001	Praxisnutzen
Verantwortung	Legt Pflichten für Akteure und Anwendungsfälle fest	Verankert Rollen, Zuständigkeiten und Führungsverantwortung	Weniger Grauzonen bei Entscheidungen
Kompetenz und AI Literacy	Pflicht zur ausreichenden KI-Kompetenz	Regelt Kompetenz, Schulung und Nachweise	Trainings werden planbar und auditierbar
Risiko und Kontrolle	Risikobasierte Anforderungen je nach Einsatz	Verankert Risikoidentifikation, Maßnahmen und Reviews	Kontrollen werden nicht nur ad hoc eingeführt
Dokumentation	Erfordert nachvollziehbare Informationen und Nachweise	Schafft dokumentierte Prozesse und Lenkung von Informationen	Nachweise sind im Audit schneller verfügbar
Lieferanten und externe Tools	Relevanz bei eingekauften KI-Komponenten und Modellen	Hilft bei Steuerung externer Anbieter und Schnittstellen	Weniger Blindflug bei Standard-KI-Tools
Interne Überwachung	Pflichten müssen laufend eingehalten werden	Interne Audits, Managementbewertung und Verbesserung	Compliance wird dauerhaft statt punktuell

Genau an dieser Schnittstelle wird ISO 42001 für Beratungs- und Zertifizierungsprojekte attraktiv. Viele Unternehmen brauchen nicht noch eine abstrakte KI-Debatte, sondern eine belastbare Umsetzungsarchitektur. Wer bereits kennt, wie sich Managementsysteme für ISO 9001 oder andere Standards in Prozesse übersetzen lassen, kann diesen Denkrahmen sehr gut auf KI-Governance übertragen.

Fünf Zahlen, die den Handlungsdruck greifbar machen

Die Diskussion über KI-Governance ist nicht theoretisch. Mehr Nutzung bedeutet mehr Steuerungsbedarf. Besonders relevant sind derzeit diese Zahlen:

20,0 % der Unternehmen in der EU mit mindestens zehn Beschäftigten nutzten im Jahr 2025 KI-Technologien. 2024 waren es noch 13,5 %. Das ist ein deutlicher Sprung in nur einem Jahr. Quelle: Eurostat 2025 Quelle: Eurostat 2024
26 % der Unternehmen in Deutschland nutzten 2025 KI. Bei Unternehmen mit 10 bis 49 Beschäftigten waren es 23 %, bei 50 bis 249 Beschäftigten 36 %. Quelle: Destatis
Unter deutschen Unternehmen, die noch keine KI einsetzen, nannten 72 % fehlendes Wissen, 62 % unklare rechtliche Folgen und 60 % Datenschutzbedenken als zentrale Hürden. Genau hier helfen Governance, Schulung und dokumentierte Verantwortlichkeiten. Quelle: Destatis
Laut AI Index Report 2025 berichteten 78 % der weltweit befragten Organisationen, dass sie 2024 KI in mindestens einer Geschäftsfunktion einsetzten. 71 % nutzten generative KI in mindestens einer Funktion. Das ist ein globaler Survey-Wert und sollte als Marktsignal verstanden werden, nicht als Rechtsnachweis. Quelle: Stanford HAI
Die AI-Literacy-Pflicht ist nicht erst ein Thema für 2026. Die EU-Kommission ordnet sie bereits unter die seit Februar 2025 geltenden ersten Vorschriften des AI Act ein. Quelle: EU-Kommission Quelle: EU-Kommission FAQ

Diese Zahlen zeigen zwei Dinge gleichzeitig: KI ist längst in den Unternehmen angekommen, und viele Organisationen haben operativ noch keine robuste Antwort auf Kompetenz, Verantwortlichkeit und Nachweise. Genau daraus entsteht der Bedarf für ein strukturiertes ISO-42001-Projekt.

Wer sich wegen des EU AI Act mit ISO 42001 befassen muss und wer es vor allem sollte

Wichtig ist die Unterscheidung zwischen gesetzlicher Pflicht und sinnvoller Managemententscheidung. Der EU AI Act verlangt kein ISO-42001-Zertifikat. Unternehmen richten sich also nicht nach ISO 42001, weil das Gesetz diese Norm ausdrücklich vorschreibt. Sie befassen sich damit, weil der AI Act je nach Rolle konkrete Pflichten auslöst und ISO 42001 ein brauchbarer Managementrahmen ist, um diese Pflichten geordnet umzusetzen.

Die EU-Kommission unterscheidet im AI Act vor allem zwischen Providern und Deployern von KI-Systemen. Schon seit 2. Februar 2025 gilt die Pflicht zur AI Literacy für Provider und Deployer. Für Provider von General-Purpose-AI-Modellen gelten seit 2. August 2025 weitere Pflichten. Ab 2. August 2026 wird der AI Act weitgehend allgemein anwendbar; darunter fallen dann auch weitere Transparenzpflichten und die Hauptpflichten für viele High-Risk-Fälle. Quelle: EU-Kommission Quelle: EU-Kommission FAQ Quelle: EU-Kommission FAQ

Für die Praxis heißt das: Nicht jedes Unternehmen hat dieselben Pflichten, aber viele Unternehmen haben bereits heute eine Rolle im Gesetz.

Unternehmen / Rolle	Was rechtlich relevant ist	Einordnung zu ISO 42001
Unternehmen, die KI beruflich im eigenen Betrieb nutzen	Diese Unternehmen sind häufig Deployer. Für Deployer gilt bereits die Pflicht zur AI Literacy. Bei High-Risk-Anwendungen kommen weitere Anforderungen hinzu, etwa Überwachung, Human Oversight und je nach Fall Informationspflichten. Quelle Quelle	Nicht zwingend vorgeschrieben, aber sehr sinnvoll, wenn KI dauerhaft, abteilungsübergreifend oder mit sensiblen Daten genutzt wird.
Unternehmen, die eigene KI-Systeme entwickeln oder unter eigenem Namen bereitstellen	Diese Unternehmen sind typischerweise Provider. Für Provider sind die Pflichten deutlich umfangreicher, insbesondere bei High-Risk-Systemen. Dazu gehören unter anderem Konformitätsbewertung, Dokumentation, Risikomanagement und Qualitätssicherung. Quelle	Hier ist ISO 42001 besonders hilfreich, weil Rollen, Prozesse, Nachweise und Verbesserungszyklen systematisch aufgebaut werden müssen. Rechtlich maßgeblich bleibt aber der AI Act selbst.
Anbieter von General-Purpose-AI-Modellen	Für GPAI-Provider gelten seit 2. August 2025 eigene Pflichten. Die Kommission hat dafür gesonderte Leitlinien veröffentlicht. Quelle: EU-Kommission	Für diese Gruppe ist ISO 42001 kein Ersatz für die Spezialpflichten, kann aber Governance, Verantwortlichkeit und Dokumentation strukturieren.
Unternehmen ohne produktiven KI-Einsatz	Wer KI noch nicht bereitstellt oder einsetzt, hat typischerweise noch nicht denselben unmittelbaren Umsetzungsdruck wie ein Provider oder Deployer.	Kein Muss. Trotzdem sinnvoll, wenn 2026 ein breiter KI-Rollout geplant ist oder Kunden, Investoren oder Auditoren schon jetzt belastbare Governance erwarten.

Besonders relevant ist ISO 42001 daher für Unternehmen, die rechtlich zwar nicht zwingend zertifiziert sein müssen, aber ihre AI-Act-Pflichten sauber, auditfähig und mit wenig internem Chaos umsetzen wollen. Das betrifft vor allem Mittelständler mit produktivem KI-Einsatz, mehreren Fachbereichen, sensiblen Daten oder wachsendem Kunden- und Nachweisdruck. Dass das kein Nischenthema mehr ist, zeigt auch die Verbreitung: Laut Destatis nutzten 2025 bereits 26 % der Unternehmen in Deutschland KI, bei Unternehmen mit 50 bis 249 Beschäftigten sogar 36 %. Quelle: Destatis

Wichtig ist dabei auch die Grenze der Norm: ISO 42001 ist aktuell nicht automatisch der gesetzliche „Safe Harbor“ für den AI Act. Die Europäische Kommission schreibt ausdrücklich, dass die Ziele und Definitionen von ISO/IEC 42001:2023 nicht mit dem Qualitätsmanagementsystem des AI Act deckungsgleich sind und deshalb ein neuer Standard für das AI-Act-QMS entwickelt wird. ISO 42001 kann also stark helfen, ersetzt aber nicht die rechtliche Prüfung gegen die Anforderungen des AI Act. Quelle: EU-Kommission FAQ zur Standardisierung

Ein praxisnaher 90-Tage-Startplan für Unternehmen

Unternehmen müssen nicht sofort ein perfektes AI Management System besitzen. Sie sollten aber kurzfristig von ungeordnetem KI-Einsatz zu einem steuerbaren Mindestniveau kommen. Ein realistischer Startplan sieht so aus:

Alle bestehenden und geplanten KI-Anwendungsfälle erfassen, inklusive externer Tools und eingebetteter Funktionen.

Rollen und Verantwortlichkeiten definieren: Management, Fachbereiche, IT, Datenschutz, Compliance und operative Owner.

Mindestanforderungen für Freigabe, Überwachung, Änderungssteuerung und Eskalation dokumentieren.

AI Literacy strukturiert aufsetzen: wer braucht welche Schulung, in welcher Tiefe und mit welchem Nachweis.

Kritische Lieferanten und KI-Anbieter bewerten, insbesondere dort, wo Modelle, Daten oder externe Plattformen genutzt werden.

Internen Audit- und Review-Zyklus für KI-Governance festlegen, damit das System nicht nur auf dem Papier existiert.

Wer Managementsysteme bereits kennt, erkennt die Muster sofort. Für viele Unternehmen ist es sinnvoll, Methoden aus der Prozesslandschaft, aus Risiko- und Chancenbetrachtungen oder aus internen Auditprogrammen wiederzuverwenden, statt das Thema KI isoliert neu zu erfinden. Genau deshalb sind Beiträge wie Prozesslandschaft sauber dokumentieren, Risiken und Chancen praxisnah bewerten oder interne Audits wirksam aufsetzen auch für ISO 42001 nützlich.

Illustration eines Workshops, in dem ein Team Prozesse, Risiken und Maßnahmen für ein KI-Managementsystem bespricht. — ISO 42001 wird in der Praxis dann wirksam, wenn Rollen, Dokumentation, Trainings und interne Reviews gemeinsam in einen umsetzbaren Arbeitsablauf übersetzt werden.

Typische Fehler, die Projekte unnötig ausbremsen

Der häufigste Fehler ist, den AI Act rein juristisch zu lesen und die operative Umsetzung erst später zu betrachten. Dann fehlen Inventar, Freigabekriterien, Verantwortlichkeiten und Schulungsnachweise. Ein zweiter Fehler ist, ISO 42001 nur als Zertifikat zu behandeln. Ohne funktionierende Prozesse, klare Dokumentation und gelebte Reviews entsteht keine belastbare Governance.

Auch das Thema Auditfähigkeit wird oft zu spät eingeplant. Unternehmen merken dann kurz vor internen oder externen Prüfungen, dass sie Entscheidungen zwar getroffen, aber nicht sauber dokumentiert haben. Wer bereits erlebt hat, warum Audit-Vorbereitung ohne Struktur schwierig wird oder warum ISO-Audits scheitern, kennt dieses Muster. KI-Governance verschärft es, weil technische, organisatorische und regulatorische Anforderungen gleichzeitig zusammenlaufen.

Wie wir Unternehmen bei ISO 42001 end-to-end begleiten

Wir unterstützen Unternehmen end-to-end bei der Einführung von ISO 42001: von der Gap-Analyse über KI-Inventar, Kontext, Rollen, Risiko- und Maßnahmenlogik, dokumentierte Prozesse, Schulungen, interne Audits und Managementbewertung bis zur Zertifizierungsreife. Unser Ziel ist nicht, Ihnen nur Vorlagen zu schicken, sondern ein funktionierendes System aufzubauen, das im Alltag trägt. Dabei achten wir auf minimalen internen Abstimmungsaufwand, schnelle Rückmeldungen, ein hohes Serviceniveau und eine Umsetzung, die Ihrem Team unnötiges Kopfzerbrechen erspart. Wenn Sie eine strukturierte Einführung oder eine schnelle Standortbestimmung wünschen, unterstützen wir Sie mit unserer ISO 42001 Zertifizierungsberatung, unseren internen Audits und externen QMR-Dienstleistungen sowie einer klaren Planung von Aufwand und Budget über unsere Seite zu den ISO 42001 Kosten. Für ein persönliches Gespräch können Sie uns direkt kontaktieren.

FAQ zu ISO 42001 und EU AI Act

Ersetzt ISO 42001 die rechtliche Prüfung zum EU AI Act?

Nein. ISO 42001 ersetzt keine juristische Bewertung einzelner Pflichten. Die Norm schafft aber die Managementsystem-Struktur, mit der Unternehmen rechtliche Anforderungen wesentlich sauberer umsetzen, dokumentieren und intern steuern können.

Ist ISO 42001 nur für große Technologieunternehmen relevant?

Nein. Gerade KMU profitieren von einer klaren Struktur, wenn sie Standard-KI-Tools, eingekaufte Modelle oder eigene KI-Use-Cases produktiv einsetzen. Der Bedarf entsteht nicht erst bei eigener Modellentwicklung.

Wann sollte ein Unternehmen mit ISO 42001 starten?

Je früher ein Unternehmen produktive KI-Anwendungen einsetzt, desto eher lohnt sich der Start. Wer bis kurz vor August 2026 wartet, muss AI Literacy, Dokumentation, Rollen und Nachweise häufig unter Zeitdruck nachziehen.

Welche Unternehmen sollten zuerst einen Gap-Check durchführen?

Besonders sinnvoll ist ein Gap-Check für Unternehmen mit mehreren KI-Anwendungsfällen, externen KI-Plattformen, sensiblen Daten, regulatorischem Druck oder fehlender interner Zuständigkeit für KI-Governance.

Über den Autor

Jonathan

Jonathan Sternberg ist zertifizierter interner Auditor und externer Qualitätsmanagementbeauftragter mit Erfahrung in der Automobilindustrie, Halbleiterindustrie, Laseroptik und Medizintechnik. Mit Sternberg Consulting unterstützt er Unternehmen bei der praxisnahen Umsetzung von ISO 9001, ISO 14001, ISO 45001, ISO 42001 und ISO 13485.