Ich unterstütze Organisationen dabei, KI-Systeme zu entwerfen, zu steuern und zu bauen.

Das hängt davon ab, was das System tut und in welchem Kontext es eingesetzt wird. Der EU AI Act klassifiziert Systeme nach Risikostufen: verboten, hochriskant, begrenzt riskant und minimal riskant. General-purpose AI Modelle bilden eine eigene Kategorie. Dasselbe zugrunde liegende Modell kann in einem Einsatz hochriskant sein und in einem anderen minimal riskant. Ein System, das in einer klinischen Umgebung Medikamentendosierungen empfiehlt, fällt unter die Hochrisiko-Kategorie. Ein System, das Krankenhauspersonal beim Buchen von Besprechungsräumen unterstützt, nicht, auch wenn beide im Gesundheitswesen eingesetzt werden. Wenn Sie unsicher sind, wo Ihr System einzuordnen ist, ist eine strukturierte Risikoklassifizierung der richtige Startpunkt.

Der Standard folgt der gleichen übergeordneten Struktur wie andere ISO-Managementsystemnormen, mit KI-spezifischen Anforderungen rund um Risiko, Impact Assessment und den Systemlebenszyklus. In der Praxis bedeutet das: eine KI-Policy etablieren, Rollen und Verantwortlichkeiten definieren, einen Risiko- und Impact-Assessment-Prozess aufbauen und Kontrollen über Entwicklung und Deployment hinweg verankern. Die meisten Organisationen verstehen die Anforderungen gut genug. Ins Stocken gerät es beim Übersetzen in konkrete Entscheidungen für spezifische Systeme, Teams und bestehende Governance. Eine Gap-Analyse dauert typischerweise ein paar Wochen. Bis zur vollständigen Readiness dauert es länger, je nach Ausgangslage.

Hochrisiko-Systeme betreffen Bereiche wie Recruiting, Kreditvergabe, Medizinprodukte und kritische Infrastruktur. Sie müssen eine Konformitätsbewertung durchlaufen, technische Dokumentation vorhalten, ein Risikomanagementsystem umsetzen, Daten-Governance-Praktiken anwenden, menschliche Aufsicht sicherstellen und Post-Market-Monitoring etablieren. Anbieter müssen zudem in der EU-Datenbank registrieren. Auf dem Papier sind die Anforderungen klar. Die schwierige Arbeit ist, sie in Architekturentscheidungen, Evaluationskriterien und Engineering-Praktiken zu übersetzen; Fehler hier erzeugen später Audit-Risiko.

Meistens ist es ein Dokumentations- und Evidenzproblem. Auditoren wollen sehen, dass Ihre Organisation ihre KI-Systeme identifiziert hat, Risiken bewertet, Kontrollen umgesetzt hat und das strukturiert nachweisen kann. Die häufigsten Lücken sind unvollständige KI-Inventare, Risikoassessments, die von tatsächlichen Entwicklungsentscheidungen abgekoppelt sind, und fehlende Monitoring-Nachweise. Der beste Startpunkt ist eine ehrliche Gap-Analyse und dann die Priorisierung der Evidenz, die sich später am schwersten rekonstruieren lässt.

Ein AIMS ist das Bündel aus Policies, Prozessen, Rollen und Kontrollen, mit dem eine Organisation steuert, wie sie KI verantwortungsvoll entwickelt, einsetzt und überwacht. ISO/IEC 42001 definiert die Anforderungen an ein AIMS, ähnlich wie ISO 27001 für Informationssicherheit. Denken Sie daran als organisatorische Fähigkeit, nicht als Software-Tool. Für Organisationen, die den EU AI Act oder andere Regulierung umsetzen müssen, macht ein funktionierendes AIMS Compliance handhabbar statt zu einem wiederkehrenden Feuerwehr-Einsatz.