In diesem Beitrag zeigen wir, was EU AI Act und ISO 42001 konkret voneinander unterscheidet, wo sie sich überschneiden – und wie KMU mit einem einzigen strategischen Ansatz beide Anforderungen effizient erfüllen können.
Der EU AI Act regelt, WAS erlaubt ist. ISO 42001 strukturiert, WIE Sie KI verantwortungsvoll einsetzen. Beides zusammen ergibt echte KI-Governance. – Christian Paredes, EUCERTA
Was der EU AI Act konkret von KMU verlangt
Der EU AI Act unterscheidet KI-Systeme nach Risikoklassen. Für die meisten KMU sind zwei Kategorien relevant: Systeme mit minimalem Risiko – dazu gehören etwa Chatbots, Spam-Filter und die meisten Business-Tools – und Systeme mit hohem Risiko, etwa KI in der Personalentscheidung, Kreditbewertung oder im Gesundheitswesen. Letztere unterliegen deutlich strengeren Anforderungen: technische Dokumentation, menschliche Überwachung, Registrierung in der EU-Datenbank und regelmässige Konformitätsbewertungen.
Hinzu kommen die Pflichten für Anbieter sogenannter Allgemeiner KI-Modelle, also GPT-Varianten und ähnliche Foundation Models. Wer solche Modelle über eine API in eigene Produkte integriert, trägt zusätzliche Transparenz- und Dokumentationspflichten. Was viele übersehen: Schon die reine Nutzung eines High-Risk-Systems im eigenen Betrieb kann eigene Pflichten auslösen – auch wenn man das System nicht selbst entwickelt hat.
Was ISO 42001 leistet – und warum es mehr ist als reine Compliance
Während der EU AI Act primär ein rechtliches Regelwerk mit Verboten, Pflichten und Sanktionen darstellt, ist ISO 42001 ein Managementsystem-Standard. Das bedeutet: Er schreibt nicht vor, welche KI erlaubt ist, sondern wie eine Organisation KI systematisch, transparent und risikobewusst einsetzen soll. Das Artificial Intelligence Management System (AIMS) nach ISO 42001 umfasst Richtlinien, Prozesse, Rollen, Risikoanalysen und Dokumentationsstrukturen – kurz: alles, was eine Organisation braucht, um KI nicht nur legal, sondern auch verantwortungsvoll zu betreiben.
Genau deshalb ist ISO 42001 keine Alternative zum EU AI Act, sondern seine operative Grundlage. Wer ein zertifiziertes AIMS nach ISO 42001 betreibt, hat für die meisten AI-Act-Anforderungen bereits die notwendige Struktur und Dokumentation. Der Standard wirkt als Beweis für die sorgfältige Governance – und das ist gegenüber Behörden, Kunden und Partnern bares Geld wert.
Die Doppelstrategie: Ein Investment, zwei Anforderungen erfüllt
Der Kern der Doppelstrategie liegt in der Erkenntnis, dass beide Anforderungen dieselben Grundlagen teilen: eine vollständige Inventarisierung aller KI-Systeme, eine systematische Risikoanalyse, klare Verantwortlichkeiten und Dokumentation. Wer diese Grundlagen einmal sauber aufbaut – als ISO-42001-konformes AIMS –, hat die Hälfte der AI-Act-Compliance bereits erledigt. Die andere Hälfte besteht aus rechtskonformer Einordnung der eingesetzten Systeme in die Risikoklassen des AI Act, was aus dem AIMS heraus wesentlich einfacher ist als von Null.
Für die Implementierung empfehlen wir KMU eine klare Sequenz: Zunächst das AIMS nach ISO 42001 aufbauen und zertifizieren, dann die eigene KI-Landschaft anhand der AI-Act-Risikoklassen bewerten und die spezifischen Pflichten ableiten. Dieser Ansatz spart gegenüber zwei separaten Projekten nicht nur Zeit, sondern vermeidet auch redundante Dokumentation und widersprüchliche Governance-Strukturen. Mit EUCERTA kann das AIMS innerhalb von 48 Stunden zertifiziert werden – der Startpunkt für beide Compliance-Wege ist damit deutlich kürzer, als viele erwarten.
Fazit: Wer heute beginnt, ist morgen doppelt abgesichert
Die Regulierungswelle rund um KI wird in den nächsten Jahren nicht kleiner werden – sie wird grösser. Wer heute mit einer integrierten Strategie aus ISO 42001 und EU-AI-Act-Compliance beginnt, baut eine Grundlage, die ihn nicht nur vor aktuellen Sanktionen schützt, sondern auch für künftige Anforderungen resilient macht. Die Frage ist nicht mehr ob, sondern wann – und die Antwort für strategisch denkende KMU-Inhaber lautet: jetzt.
Starten Sie jetzt mit Ihrer ISO-42001-Zertifizierung – die Grundlage für nachhaltige KI-Governance. app.eucerta.com
