Ratgeber

ISO/IEC 42001: Der Standard für verantwortungsvolle KI

Ein neuer internationaler Standard verspricht verantwortungsvolle KI. Doch was bedeutet das für die redaktionelle Praxis mit KI-Texten?

Christian Gasche Aktualisiert: 10.07.2026

Im Frühjahr 2024 zeigte mir ein Kommunikationsleiter stolz seinen frisch verabschiedeten KI-Leitfaden. Zwölf Seiten Governance, Rollen, Freigabestufen, alles sauber. Auf meine Frage, wer denn nun entscheide, wann ein KI-Text gut genug für die Veröffentlichung sei, wurde es still. Genau diese Lücke schließt eine Norm nicht automatisch, aber sie zwingt einen wenigstens, hinzusehen.

Seit Dezember 2023 gibt es mit ISO/IEC 42001 den ersten international anerkannten Standard für ein Managementsystem rund um Künstliche Intelligenz. Für Content-Teams, Pressestellen und Unternehmen, die mit KI-Texten arbeiten, lohnt der genaue Blick. Nicht als bürokratische Pflichtübung. Als Instrument, das Vertrauen auditierbar macht.

Warum eine Norm die Textqualität nicht rettet, aber die Verantwortung sortiert

ISO/IEC 42001:2023 ist der weltweit erste Standard für ein AI Management System (AIMS), gemeinsam entwickelt von ISO und IEC. Er liefert Organisationen, die KI-Systeme entwickeln, bereitstellen oder nutzen, einen strukturierten Rahmen, um Risiken zu steuern und Verantwortlichkeit zu verankern.

Ein verbreitetes Missverständnis vorweg: Die Norm richtet sich nicht nur an KI-Hersteller. Sie betrifft jede Organisation, die KI in Kernprozessen einsetzt, vom internen Analyse-Workflow bis zum KI-gestützten Content-Produkt. Wer also glaubt, das gehe nur die großen Modellanbieter etwas an, irrt.

Die meisten KI-Projekte scheitern nicht an fehlenden Daten. Sie scheitern daran, dass niemand definiert hat, wann ein Ergebnis gut genug ist und wer das beurteilen darf.

Sechs Prinzipien, die sich nicht selbst prüfen

Der Standard steht auf sechs Prinzipien, die den Umgang mit KI in einer Organisation ordnen:

Klingt vernünftig. Nur: Jedes dieser Prinzipien braucht am Ende einen Menschen, der prüft, ob es eingehalten wurde. Transparenz protokolliert sich nicht von selbst, und Fairness fällt keiner Maschine spontan auf.

Der Aufbau: PDCA und zehn Klauseln

ISO 42001 folgt, wie ISO 27001, der PDCA-Logik (Plan-Do-Check-Act) und umfasst zehn Klauseln. Die ersten drei liefern organisatorischen Kontext. Die Klauseln 4 bis 10 definieren die eigentlichen Anforderungen: Kontext der Organisation, Führung, Planung, Unterstützung, Betrieb, Leistungsbewertung und Verbesserung.

Element Inhalt
Klausel 4 Kontext der Organisation, größte Hürde für KI-Anwender (unvollständige KI-Inventare, Schatten-KI)
Klausel 8 Betrieb und Risikomanagement, größte Hürde für KI-Entwickler (fehlende Checkpoints im Entwicklungszyklus)
Anhang A Normative Kontrollen zu Richtlinien, Governance, Ressourcen, Lifecycle, Impact-Bewertung, Drittparteien
Anhang B Detaillierte Umsetzungshilfen zu Anhang A
Anhang C Ziele und Risikoquellen der KI-Implementierung
Anhang D Sektorspezifische Zusatznormen

Für die Zertifizierung gelten laut Praxisberichten 38 einzelne Controls in neun Kontrollzielen, die Risikobewertungen, Richtlinien, Lifecycle-Management und Datenmanagement abdecken. Das Wort Schatten-KI verdient dabei besondere Aufmerksamkeit: gemeint sind die ChatGPT-Fenster, die Mitarbeiter längst nutzen, ohne dass es in irgendeinem Inventar auftaucht.

Wie die Zertifizierung abläuft

Der Ablauf folgt derselben Logik wie ISO 17021, bekannt aus ISO 27001:

  1. Stage 1 (ein bis zwei Tage): Der Auditor prüft Reife und Dokumentation des Managementsystems.
  2. Stage 2 (ein bis drei Wochen): Tiefenprüfung der operativen Wirksamkeit, inklusive Mitarbeiterinterviews und Prüfung der Anhang-A-Kontrollen.
  3. Zertifikat: gültig für drei Jahre, mit jährlichen Überwachungsaudits in Jahr zwei und drei, vollständige Rezertifizierung in Jahr vier.

Ein Hinweis zur Seriosität, den man ernst nehmen sollte. Nur akkreditierte Zertifizierungsstellen, die selbst ein jährliches Akkreditierungsverfahren durchlaufen, dürfen gültige Zertifikate ausstellen. Der Markt hat bereits Fälle gesehen, in denen Anbieter behaupteten, als Erste zertifiziert worden zu sein, noch bevor der finale Normentwurf überhaupt veröffentlicht war. Ein Zertifikat auf dem Briefkopf ersetzt kein Audit.

Wer die Wirksamkeit prüft, misst nicht, wie schnell die Maschine produziert, sondern ob am Ende jemand das Urteil trägt.

Abgrenzung: Was 42001 nicht ist

Standard Fokus Zertifizierbar?
ISO 42001 KI-Managementsystem, Risiko, Ethik, Governance Ja, akkreditiert
ISO 27001 Informationssicherheit (ISMS) Ja, akkreditiert
SOC 2 Sicherheit, Verfügbarkeit, Datenschutz (v.a. USA) Attestierung durch CPA, keine Zertifizierung
NIST AI RMF KI-Risikomanagement (USA) Nicht zertifizierbar international
EU AI Act Gesetzliche Pflicht, risikobasiert Rechtsverbindlich, keine ISO-Zertifizierung

ISO 42001 ersetzt keine gesetzlichen Pflichten. Sie bietet ein auditierbares Gerüst, das sich auf regulatorische Vorgaben mappen lässt. Der EU AI Act trat am 1. August 2024 in Kraft, mit gestaffelten Pflichten seit Februar 2025 und breiterer Anwendung ab August 2026. Als strukturelle Vorbereitung darauf taugt die Norm gut. Als Ersatz für das Gesetz nicht.

Was die Norm für die Qualitätssicherung von Texten leistet, und was nicht

Hier wird es für Content-Teams interessant. ISO 42001 enthält keine eigenständigen, textspezifischen Qualitätsvorgaben im redaktionellen Sinn. Die Norm regelt das Managementsystem rund um KI allgemein, nicht die inhaltliche Textqualität. Ob ein Absatz klingt wie ein Absatz oder wie ein Presetext aus der Maschine, interessiert die Auditoren nicht.

Und genau da liegt die Grenze. Ich habe früher selbst geglaubt, ein sauberes Governance-Dokument würde die Textqualität mitziehen. Tut es nicht. Die Norm sagt, dass jemand freigeben muss. Sie sagt nicht, gegen welchen Maßstab.

Datenreife erklärt nicht, warum die Texte immer noch klingen wie Texte. Das dritte Glied im Prozess fehlt: der Mensch, der gegen einen definierten Maßstab redigiert.

Was die Norm konkret verlangt

ISO 42001 fordert regelmäßige Bewertungen der KI-Leistung, inklusive Tests auf Verzerrungen (Bias), Fehlerquoten und unerwünschte Nebenwirkungen. Direkt übertragbar auf Textoutputs. Änderungen an Modellen oder Daten müssen nachvollziehbar dokumentiert werden: jede Anpassung einer Prompt-Vorlage, jeder Wechsel der Modellversion. Und die Norm verlangt klare Zuständigkeiten. Es muss definiert sein, wer für welchen Output verantwortlich ist und wer Texte final freigibt.

Das ist mehr, als die meisten Redaktionen heute haben. Die Frage, wer freigibt, wird in vielen Häusern durch Zuruf beantwortet.

Vier Qualitätsdimensionen für Texte

Aus den sechs Grundprinzipien lassen sich vier anwendbare Kriterien für die Textproduktion ableiten:

Man sieht das Muster. Jede dieser Dimensionen ist eine Prüfaufgabe für Menschen, keine Einstellung im Modell.

Fünf Prozessschritte für Content-Teams

  1. Risikobewertung: Wo können KI-Texte Falschinformationen, Urheberrechtsverletzungen oder Bias enthalten?
  2. Richtlinien und Verfahren: Freigabeprozesse, Redaktionsrichtlinien für KI-Content, Eskalationswege bei Fehlern.
  3. Schulungen: Mitarbeiter müssen verstehen, wie die KI eingesetzt wird und wo ihre Grenzen liegen.
  4. Kontinuierliche Bewertung: wiederkehrende Prüfung auf Fehlerquoten und unerwünschte Effekte.
  5. Dokumentation: jede Änderung an Modell, Trainingsdaten oder Prompt-Logik nachvollziehbar festhalten.

Wie sich der KI-Reifegrad einer Organisation systematisch bestimmen lässt, zeigt, dass Prozesse und Menschen eigene Achsen sind. Die schwächste Achse bestimmt die Gesamtstufe, nicht die Technik.

Wer sich zertifizieren sollte

Besonders motiviert sind Modellanbieter, Cloud- und SaaS-Anbieter, Kanzleien, Ad-Tech-Unternehmen sowie Firmen, die vom EU AI Act betroffen sind oder Lieferkettenanforderungen erfüllen müssen. Laut Marktbeobachtungen planen rund 79 Prozent der Organisationen den Einsatz agentischer KI im Tagesbetrieb, während nahezu 80 Prozent der Beteiligten verifizierten Nachweis für sicheren, ethischen KI-Einsatz fordern. Diese Zahlen sollte man mit Vorsicht lesen, sie stammen aus Anbieterumfragen, nicht aus unabhängiger Forschung. Die Richtung stimmt trotzdem: Nachweis wird verlangt, nicht nur Absicht.

Für Unternehmen, bei denen KI das Kernprodukt ist, empfiehlt sich der direkte Einstieg in ISO 42001, teils vor ISO 27001. Wo KI nur Nebenaspekt ist, baut man zuerst eine Sicherheits- und Datenschutzbasis auf und ergänzt AIMS-Praktiken später. Zum Zusammenspiel von KI-Redaktion und Qualitätssicherung im redaktionellen Alltag gibt es an anderer Stelle mehr.

Ein Vier-Augen-Prinzip, das nur im Leitfaden steht, hat noch nie einen falschen Satz aufgehalten. Erst wenn die zweiten Augen einen Maßstab haben, wird aus der Formel eine Praxis.

ISO 42001 liefert kein Lektorat. Sie liefert das Gerüst, das eine Organisation zwingt, menschliche Kontrolle, Nachvollziehbarkeit und Fehlerkultur bei KI-Content zu verankern, statt die Prüfung dem Zufall zu überlassen. Für Redaktionen und Pressestellen heißt das: dokumentierte Freigaben und regelmäßige Bias-Prüfungen werden vom guten Vorsatz zur auditierbaren Praxis. Die Norm baut den Raum. Wer darin urteilt, muss die Organisation immer noch selbst benennen. Und die eigentliche Frage bleibt: Woher weiß der, der freigibt, wann ein Text gut genug ist?


Quellen: ISO.org, EU-Kommission zum AI Act, BSI zu KI-Sicherheit, Vanta, Cloud Security Alliance, ISMS.online, WEKA, Johner Institut, DQS

Häufige Fragen

Was ist ISO/IEC 42001?

ISO/IEC 42001:2023 ist der weltweit erste international anerkannte Standard für ein Managementsystem für Künstliche Intelligenz. Er strukturiert, wie Organisationen KI-Risiken managen und Verantwortlichkeit sicherstellen.

Für wen gilt die Norm?

Die Norm richtet sich nicht nur an KI-Hersteller, sondern an jede Organisation, die KI in Kernprozessen einsetzt, einschließlich Redaktionen und Content-Teams, die KI-gestützte Texte produzieren.

Ersetzt eine ISO-42001-Zertifizierung die redaktionelle Prüfung von KI-Texten?

Nein. Die Norm regelt Governance und Prozesse auf Systemebene. Die inhaltliche Qualität eines einzelnen KI-Textes muss weiterhin ein Mensch gegen einen redaktionellen Maßstab prüfen.

Was sind die sechs Kernprinzipien von ISO/IEC 42001?

Transparenz, Rechenschaftspflicht, Fairness, Erklärbarkeit, Datenschutz und Zuverlässigkeit. Diese Prinzipien strukturieren den gesamten Umgang einer Organisation mit KI-Systemen.