Published on

ISO 42001 Audit: Welche Evidenz Auditoren prüfen

Authors

Wer sich nach ISO/IEC 42001 zertifizieren lassen will, unterschätzt häufig einen Punkt: Das Audit prüft nicht, ob eine Organisation gute Absichten hat, sondern ob sie ihr AI Management System (AIMS) nachweisbar betreibt. Richtlinien ohne gelebte Praxis fallen im Audit auf — und zwar schnell. Dieser Beitrag zeigt, welche Evidenz Auditoren konkret erwarten, wie der Audit-Zyklus abläuft und warum Evidenzaufbau kein Projekt für die letzten vier Wochen vor dem Termin ist.

Was ein ISO 42001 Audit tatsächlich prüft

ISO/IEC 42001:2023 ist der erste zertifizierbare internationale Standard für AI Management Systems. Er folgt der harmonisierten Struktur der ISO-Managementsystemnormen: Kontext der Organisation (Kapitel 4), Führung (Kapitel 5), Planung (Kapitel 6), Unterstützung (Kapitel 7), Betrieb (Kapitel 8), Bewertung der Leistung (Kapitel 9) und Verbesserung (Kapitel 10). Dazu kommen die Controls aus Annex A, deren Anwendbarkeit die Organisation in einem Statement of Applicability begründet.

Auditoren arbeiten entlang dieser Struktur — aber nicht abstrakt. Für jede Anforderung stellen sie dieselbe Frage: Zeigen Sie mir den Nachweis. Eine KI-Richtlinie, die niemand kennt, ist kein Managementsystem. Ein Risikoprozess, der nur auf Papier existiert, ist keiner. Die Differenz zwischen dokumentierter Absicht und belegter Praxis ist der häufigste Grund für Abweichungen (Nonconformities) im Audit.

Stage 1 und Stage 2: Zwei Prüfungen, zwei Evidenz-Ebenen

Der Zertifizierungsprozess läuft in zwei Stufen. Stage 1 ist die Dokumentenprüfung: Der Auditor bewertet, ob das AIMS formal vollständig ist. Erwartet werden unter anderem der definierte Anwendungsbereich (Scope), die AI Policy, das Statement of Applicability, der Risikobewertungsprozess samt Methodik sowie Nachweise, dass interne Audits und ein Management Review stattgefunden haben. Wer Stage 1 ohne durchgeführtes internes Audit antritt, scheitert in der Regel bereits hier.

Stage 2 ist das Implementierungsaudit. Jetzt geht es um gelebte Praxis: Interviews mit Verantwortlichen, Stichproben in realen KI-Projekten, Nachvollziehen einzelner Entscheidungen. Typische Evidenz, die Auditoren in Stage 2 sehen wollen:

  • Risikobewertungen einzelner KI-Systeme — mit Datum, Bewerter, Kriterien und abgeleiteten Maßnahmen, nicht nur eine ausgefüllte Tabelle.
  • AI Impact Assessments — die Bewertung der Auswirkungen auf betroffene Personen und Gruppen, wie sie ISO 42001 fordert.
  • Lifecycle-Dokumentation — Nachweise über Design-Entscheidungen, Datenherkunft, Validierung und Freigaben über den Lebenszyklus eines Systems.
  • Schulungsnachweise — wer wurde wann zu welchen Inhalten geschult, und passt das zur Rollenverteilung im AIMS?
  • Protokolle aus dem Betrieb — Monitoring-Ergebnisse, behandelte Vorfälle, durchgeführte Korrekturmaßnahmen mit Wirksamkeitsprüfung.

Nach der Zertifizierung ist nicht Schluss: Der übliche Zyklus umfasst jährliche Überwachungsaudits und eine Rezertifizierung nach drei Jahren. Evidenz muss also kontinuierlich entstehen, nicht punktuell vor dem Termin.

Der häufigste Fehler: Evidenz rückwirkend erzeugen

Organisationen, die das Audit als Dokumentationsprojekt behandeln, produzieren in den Wochen vor dem Termin Berge an Papier. Erfahrene Auditoren erkennen das Muster: Dokumente ohne Versionshistorie, Risikobewertungen, die alle am selben Tag entstanden sind, Schulungen ohne Bezug zur tatsächlichen Projektarbeit. Rückwirkend erzeugte Evidenz ist nicht nur riskant fürs Audit — sie verfehlt den Zweck des Managementsystems.

Belastbare Evidenz entsteht als Nebenprodukt gelebter Prozesse: Wenn jede Modellfreigabe automatisch protokolliert wird, wenn Risikobewertungen im Projektablauf verankert sind, wenn Monitoring-Ergebnisse systematisch erfasst werden. Genau das ist der Kern von Evidence-based AI Trust — Vertrauen, das sich aus nachvollziehbaren, zeitgestempelten Nachweisen speist statt aus Selbstauskunft. Ein Audit wird dann zur Bestätigung dessen, was ohnehin dokumentiert vorliegt.

Reife lässt sich dabei abstufen: Das AIMS-Maturity-Modell (ISO 42001 × CMMI v3) beschreibt, wie Organisationen vom initialen, reaktiven Umgang mit KI-Nachweisen zu definierten, gemessenen und optimierten Prozessen kommen. Für das Audit relevant ist vor allem der Sprung von "wir haben Dokumente" zu "unsere Prozesse erzeugen Nachweise reproduzierbar".

Bezug zum EU AI Act: Zertifikat ist kein Freifahrtschein

ISO 42001 und EU AI Act verstärken sich, sind aber nicht deckungsgleich. Artikel 17 EU AI Act verlangt von Providern von Hochrisiko-KI-Systemen ein Qualitätsmanagementsystem; ein gelebtes AIMS deckt viele dieser Anforderungen strukturell ab. Aber: ISO 42001 ist derzeit keine harmonisierte Norm unter dem AI Act — ein Zertifikat erzeugt keine Konformitätsvermutung. Wer mit dem Zertifikat wirbt, als sei damit die AI-Act-Konformität erledigt, macht ein Versprechen, das der Standard nicht hält.

Richtig verstanden ist die Reihenfolge umgekehrt: Das AIMS ist die Evidenz-Infrastruktur, auf der sich die Pflichten des EU AI Act — von Risikomanagement nach Art. 9 bis zur technischen Dokumentation nach Art. 11 — effizient bedienen lassen. Mit dem Enforcement-Stichtag 02.12.2027 (Digital Omnibus) vor Augen gilt: Wer heute ein auditfähiges AIMS aufbaut, baut zugleich das Fundament für die AI-Act-Nachweispflichten. Bei Verstößen drohen empfindliche Sanktionen nach Art. 99 EU AI Act — mehr zur Bußgeld-Systematik auf ki-bussgeld.de.

Das gilt für Organisationen in DE und im EU27-Rest unmittelbar, für UK und CH überall dort, wo KI-Systeme auf den EU-Markt gelangen oder deren Output in der EU verwendet wird.

Was Organisationen jetzt konkret tun sollten

Drei Schritte haben sich bewährt. Erstens: Gap-Analyse gegen die Kapitel 4 bis 10 und Annex A von ISO 42001 — ehrlich, nicht schönfärbend. Zweitens: Evidenz-Erzeugung in die Prozesse verlagern, statt Dokumente zu schreiben. Jede Freigabe, jede Risikobewertung, jedes Monitoring-Ergebnis sollte dort entstehen, wo gearbeitet wird, und automatisch nachvollziehbar sein. Drittens: Internes Audit und Management Review früh durchführen — beides ist Pflicht vor Stage 1 und liefert die realistischste Standortbestimmung.

Ein ISO 42001 Audit ist kein Examen, das man mit Auswendiglernen besteht. Es ist eine Stichprobe in die gelebte Realität einer Organisation. Wer Nachweise als kontinuierliches Nebenprodukt seiner KI-Prozesse erzeugt, geht ohne Sprint ins Audit — und hat zugleich die Basis für alles, was der EU AI Act ab Dezember 2027 verlangt.

Mehr zur AEGIRA Trust-Platform: aegira.ai

Discuss on TwitterView on GitHub