ISO 42001-Zertifizierung in Deutschland: DAkkS, Zertifizierer, Pfad 2026

ISO/IEC 42001:2023 ist die erste internationale Norm fuer Managementsysteme kuenstlicher Intelligenz (AIMS — Artificial Intelligence Management System). Veroeffentlicht im Dezember 2023, beschreibt sie ein PDCA-orientiertes Rahmenwerk, das Governance, Risiko, Transparenz und Verantwortlichkeit fuer KI-Systeme systematisiert. Fuer deutsche Unternehmen ist die Norm 2026 nicht mehr nur ein "Nice-to-have": sie ist die de-facto Substanzgrundlage, mit der ein KI-Anbieter, ein KI-Deployer und ein Auftraggeber bei einer EU-AI-Act-Konformitaetspruefung argumentiert.

Dieser Leitfaden erklaert, wie die Zertifizierung in Deutschland konkret laeuft: welche Rolle die Deutsche Akkreditierungsstelle (DAkkS) spielt, welche Zertifizierer in der DACH-Region akkreditiert anbieten, was ein realistischer 12-18-Monats-Pfad fuer ein Mittelstandsunternehmen kostet und wie das Zusammenspiel mit dem BDSG und der DSGVO aussieht.

AI Act + ISO 42001 + BDSG-by-design Knowlee ist als Plattform so gebaut, dass Audit-Trail, menschliche Aufsicht (Human-in-the-Loop) auf Hochrisiko-Prozessen und risikoklassifizierte Job-Metadaten standardmaessig vorhanden sind — nicht nachtraeglich angeflanscht. ISO 42001 ist die anerkannte Substanz fuer EU-AI-Act-Konformitaet, und die Plattform liefert die operativen Kontrollen, die ein deutscher Auditor erwartet. Vergleiche AI Act Compliance Software Guide.

1. Was ISO 42001 in Deutschland bedeutet

Die deutsche Uebersetzung der Norm wird ueber die DIN Media (vormals Beuth Verlag) als DIN EN ISO/IEC 42001 vertrieben. Das DIN — Deutsches Institut fuer Normung — ist die nationale Normungsorganisation und fuehrt die Norm in den deutschen Normenkatalog ein. Wichtig: das DIN zertifiziert nicht. Es liefert den Text, aber die Konformitaetsbestaetigung sprechen akkreditierte Zertifizierer aus.

ISO 42001 folgt der Annex-SL-High-Level-Structure, derselben Struktur wie ISO 27001 (Informationssicherheit) und ISO 9001 (Qualitaet). Praktisch heisst das: ein Mittelstandsunternehmen, das bereits ISO 27001 zertifiziert ist, kann seinen Geltungsbereich, seine Governance-Strukturen und seinen Auditzyklus integriert auf 42001 ausweiten. Die Risikobewertung wird angepasst (von Informationssicherheits-Risiko auf KI-spezifisches Risiko), die Dokumentenpyramide bleibt grundsaetzlich kompatibel.

Der entscheidende Punkt fuer den deutschen Markt: ISO 42001 ist eine Managementsystem-Norm, kein Produkt-Pruefsiegel. Sie zertifiziert, dass das Unternehmen einen Prozess hat, mit dem es KI-Risiken steuert — sie zertifiziert nicht, dass ein konkretes KI-Modell "sicher" oder "AI-Act-konform" ist. Dieser Unterschied ist regulatorisch zentral und wird in deutschen Vergabeverfahren oft missverstanden.

2. Die Rolle der DAkkS

Die Deutsche Akkreditierungsstelle GmbH (DAkkS) ist die einzige nationale Akkreditierungsstelle der Bundesrepublik. Sie sitzt in Berlin und Frankfurt und ist Beliehene des Bundes — sprich: sie nimmt eine hoheitliche Aufgabe wahr, ohne selbst eine Behoerde zu sein. Ihre Akkreditierungen werden europaweit ueber die European Accreditation Multilateral Agreement (EA MLA) und international ueber das International Accreditation Forum (IAF) anerkannt.

Fuer ISO 42001 hat die DAkkS bis Ende 2025 die ersten Akkreditierungsverfahren fuer Zertifizierer aufgesetzt. Stand April 2026 sind mehrere deutsche Zertifizierungsstellen entweder bereits akkreditiert oder im Akkreditierungsverfahren. Die DAkkS prueft dabei, ob die Zertifizierer die Anforderungen aus ISO/IEC 17021-1 (allgemein fuer Managementsystem-Audits) und der spezifischen Sektor-Akkreditierung fuer 42001 erfuellen.

Praktische Konsequenz fuer Auftraggeber: bei der Auswahl eines Zertifizierers immer pruefen, ob die ausstellende Stelle DAkkS-akkreditiert fuer ISO/IEC 42001 ist. Eine Zertifizierung ohne anerkannte Akkreditierung hat im Vergabeverfahren oder gegenueber einem AI-Act-Auditor keinen oder einen reduzierten Beweiswert.

3. Zertifizierer in Deutschland (Stand April 2026)

Die deutsche Zertifizierungslandschaft ist konzentriert auf eine Handvoll grosser Akteure, die historisch aus dem TUEV-Verbund, der Materialpruefung und dem Qualitaetsmanagement kommen. Fuer ISO 42001 sind im DACH-Raum aktiv:

• TUEV Sued (Muenchen) — frueher Einstieg in die KI-Zertifizierung; eigene Praxisleitfaeden zur AI-Trustworthiness; bietet ISO 42001 Audits und Vorbereitungs-Workshops an.
• TUEV Rheinland (Koeln) — Schwerpunkt auf KI-Risikobewertung; Akademie-Schulungen zur Norm.
• TUEV Nord (Hannover) — KI-Auditteams seit 2024; Fokus auf Industrie und Mobilitaet.
• DEKRA (Stuttgart) — internationaler Pruefkonzern mit DACH-weiter Ausbringung; Zertifizierungen fuer Mittelstand und Konzern.
• DQS (Frankfurt) — eine der groessten unabhaengigen Zertifizierungsstellen Europas; deutscher Mittelstand ist Kernkundschaft.

Daneben treten internationale Akteure wie BSI Group (deutsches Office in Frankfurt) und Bureau Veritas im DACH-Markt auf. Die Wahl haengt weniger an Preis als an Sektor-Erfahrung: ein Maschinenbauer mit ISO 9001 + ISO 27001 bei TUEV Sued wird die Erweiterung tendenziell beim selben Auditor anstossen, weil der Auditor die Organisation und ihre Abteilungslandschaft bereits kennt.

4. Zertifizierungspfad: realistisch 12-18 Monate

Ein typischer Pfad fuer ein deutsches Mittelstandsunternehmen mit 100-500 Mitarbeitenden, das ISO 27001 bereits hat, sieht in der Praxis so aus:

Monate 1-2 — Gap-Analyse. Eine externe Beratung oder das interne Compliance-Team prueft, welche der zehn Klauseln und Annex-A-Kontrollen der Norm bereits durch bestehende Strukturen abgedeckt sind. Das Ergebnis ist eine Liste der Luecken: typisch fehlen ein dediziertes KI-Risiko-Register, eine KI-Use-Case-Inventur, eine Daten-Lineage-Dokumentation fuer Trainingsdaten und ein dokumentiertes Verfahren fuer KI-spezifische Vorfallreaktion.

Monate 3-6 — Aufbau. Aufbau des AIMS: KI-Politik, Rollen und Verantwortlichkeiten (oft eine Erweiterung des bestehenden ISO-27001-Steuerkreises um eine KI-Verantwortliche bzw. einen KI-Verantwortlichen), Risikomanagement-Verfahren, Use-Case-Register, technische und organisatorische Massnahmen.

Monate 7-9 — Internes Audit + Review. Interne Auditorinnen und Auditoren pruefen die Umsetzung; das Management-Review bewertet Wirksamkeit und Verbesserungsbedarf.

Monate 10-12 — Externes Audit Stufe 1 + Stufe 2. Stufe 1 ist ein Dokumenten-Audit beim Zertifizierer, Stufe 2 ist das Vor-Ort-Audit mit Mitarbeiterinterviews und Stichproben.

Monate 13-18 — Korrekturmassnahmen + Zertifikat. Etwaige Abweichungen aus dem Stufe-2-Audit werden behoben; nach Bestaetigung wird das Zertifikat fuer drei Jahre ausgestellt, mit jaehrlichen Ueberwachungsaudits.

Unternehmen ohne ISO-27001-Vorlauf brauchen realistisch 18-24 Monate, weil die Grundstrukturen (Dokumentenlenkung, Auditzyklus, Management-Review) erst aufgebaut werden muessen.

5. AI Act in der Praxis: Substanz statt Logo

Der EU-AI-Act unterscheidet zwischen verbotenen Praktiken (Artikel 5), Hochrisiko-Systemen (Artikel 6 und Annex III), Systemen mit Transparenzpflichten (Artikel 50) und General-Purpose-AI-Modellen (Kapitel V). Fuer Hochrisiko-Systeme verlangt Artikel 17 ein Qualitaetsmanagement-System des Anbieters. Artikel 40 erlaubt die Vermutung der Konformitaet ueber harmonisierte Normen.

Stand April 2026 ist ISO/IEC 42001 noch nicht formal als harmonisierte Norm im Sinne von Artikel 40 unter dem AI Act gelistet — die EU-Kommission hat den Mandat-Auftrag an CEN-CENELEC erteilt, die Veroeffentlichung der finalen harmonisierten Versionen wird ueber 2026 und 2027 hinweg erwartet. Praktisch heisst das: eine ISO-42001-Zertifizierung ist heute der starkste verfuegbare Substanznachweis dafuer, dass ein Unternehmen die organisatorischen Anforderungen erfuellt — sie ersetzt aber nicht automatisch die Konformitaetsbewertung nach Anhang VI oder VII.

Fuer die Praxis bedeutet das: ein deutscher KI-Anbieter, der Hochrisiko-Systeme in Verkehr bringt, braucht beides — eine 42001-Zertifizierung als Managementsystem-Substanz und ggf. eine produktbezogene Konformitaetsbewertung pro Hochrisiko-System. Der TUEV-Sued-Kommentar dazu lautet sinngemaess: "Ein Logo macht keine Konformitaet, das Verfahren macht die Konformitaet." Dieser Satz fasst die deutsche Pruefpraxis treffend zusammen.

6. ISO 42001 in der Praxis: was ein deutscher Auditor wirklich sehen will

In den ersten Audit-Erfahrungen 2025 haben die deutschen Zertifizierer eine konsistente Erwartungshaltung etabliert. Was geprueft wird, geht weit ueber die schriftliche Politik hinaus:

KI-Use-Case-Register. Eine vollstaendige Liste aller KI-Anwendungen im Unternehmen, klassifiziert nach Risiko (gering, mittel, hoch im Sinne der Norm-Kontrollen, plus separat Klassifikation gemaess AI Act). Jeder Eintrag mit Verantwortlichkeit, Trainingsdaten-Quelle, betroffenen Personengruppen, eingesetzten Modellen, geplantem Lebenszyklus.

Audit-Trail. Wer hat wann welche Entscheidung mit Unterstuetzung welches KI-Systems getroffen? Ein deutscher Auditor erwartet, das im laufenden Betrieb stichprobenartig nachvollziehen zu koennen — nicht in Form eines nachtraeglich generierten Reports, sondern als persistierendes operatives Log.

Human-in-the-Loop-Belege. Fuer Hochrisiko-Use-Cases muss dokumentiert sein, an welcher Stelle eine menschliche Pruefung stattfindet, mit welcher Qualifikation diese Person ausgestattet ist und wie die Pruefentscheidung erfasst wird.

Daten-Lineage. Woher kommen die Trainingsdaten? Wurden personenbezogene Daten verwendet? Wenn ja, auf welcher Rechtsgrundlage gemaess DSGVO und BDSG? Wie ist das Recht auf Loeschung im Kontext eines bereits trainierten Modells abgebildet? Letzteres ist 2026 noch ein offenes Pruefthema und ein hartes Gespraech in fast jedem Audit.

Vorfallreaktion. Welches Verfahren greift, wenn ein KI-System diskriminierende Ergebnisse liefert, halluziniert oder einen Datenschutz-Vorfall ausloest? Hier verlangt der deutsche Auditor regelmaessig einen Tabletop-Test.

Knowlee-Plattformen liefern diese Substanz operativ: jeder Job ist mit risk_level, data_categories, human_oversight_required, approved_by und approved_at annotiert; jede Ausfuehrung produziert ein Log mit Exit-Code, Dauer und Reasoning. Das ist nicht Compliance-Theater, sondern Audit-Trail-by-default.

7. Kostenrahmen fuer den deutschen Mittelstand

Realistische Kostenstruktur fuer ein 100-500-Mitarbeiter-Unternehmen mit ISO 27001 als Vorlauf:

• Externe Gap-Analyse + Beratung: 25.000 - 60.000 Euro
• Internes Aufbau-Aufwand (FTE-Anteile): 80.000 - 150.000 Euro
• Externes Stufe-1- + Stufe-2-Audit: 12.000 - 30.000 Euro
• Erstes Ueberwachungsaudit (Jahr 2): 6.000 - 12.000 Euro
• Lizenz fuer Tooling (AIMS-Plattform, sofern eingesetzt): variabel

Gesamtkosten Jahr 1 typischerweise 130.000 - 250.000 Euro, vorsichtig kalkuliert. Unternehmen ohne 27001-Vorlauf addieren 40.000 - 80.000 Euro.

Im Detail dazu: ISO 42001 fuer den Mittelstand: realistische Kosten und 18-Monats-Pfad.

8. Zusammenspiel mit BDSG und DSGVO

Die Norm enthaelt keinen Datenschutz-Lehrgang — sie verweist an den passenden Stellen auf die DSGVO. In Deutschland wird die DSGVO vom Bundesdatenschutzgesetz (BDSG) ergaenzt, insbesondere fuer Beschaeftigtendatenschutz (Paragraf 26 BDSG) und fuer Sonderregelungen im oeffentlichen Sektor.

Fuer KI-Systeme im Mitarbeiterkontext (etwa KI-gestuetzte Bewerberbewertung, Performance-Analyse, Krankheitsprognose) greifen Paragraf 26 BDSG und das Mitbestimmungsrecht des Betriebsrats nach Paragrafen 87 und 95 Betriebsverfassungsgesetz. Eine 42001-Zertifizierung beruehrt diese Regime nicht — sie verlangt aber, dass die Schnittstelle dokumentiert ist und dass die Compliance-Verantwortliche bzw. der Compliance-Verantwortliche das Zusammenspiel im Risiko-Register abgebildet hat.

Vertiefung: KI-Verordnung und BDSG: wie die zwei Regime ineinandergreifen.

9. Zustaendigkeit zwischen Bund und Laendern

Die Aufsichtsstruktur fuer den AI Act in Deutschland war Stand April 2026 noch nicht abschliessend gesetzlich geregelt. Das Bundesministerium fuer Wirtschaft und Klimaschutz (BMWK), das Bundesministerium der Justiz (BMJ) und das Bundesministerium des Innern (BMI) verhandeln den nationalen Rahmen; die Bundesnetzagentur ist als zentrale Marktaufsicht im Gespraech, ohne dass das Gesetz finalisiert ist. Daneben existieren 16 Landesdatenschutzbeauftragte, der Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit (BfDI), und die Datenschutzkonferenz (DSK) als Koordinationsgremium.

Praktisch heisst das fuer 2026: eine ISO-42001-Zertifizierung ist weniger sensitiv gegenueber dem foederalen Implementierungsstatus als die produktbezogene AI-Act-Konformitaetspruefung, weil sie auf Organisationsebene zertifiziert. Deutsche Unternehmen entscheiden sich 2026 oft bewusst, mit der Managementsystem-Zertifizierung vorzulegen und die produktspezifische Konformitaetsbewertung nachzuziehen, sobald die Aufsichtsstruktur final ist.

Vertiefung: KI-Governance in Deutschland: Bund vs Laender Zustaendigkeit 2026.

10. Empfehlung fuer 2026

Fuer ein deutsches Mittelstandsunternehmen, das 2026 entscheidet, ob es den 42001-Pfad einschlaegt:

1. Klaere zuerst, ob Hochrisiko-Use-Cases im Sinne von Annex III des AI Acts bei dir laufen oder sich anbahnen. Wenn ja: 42001 ist faktisch Pflicht, nicht optional.
2. Pruefe, ob 27001 bereits steht. Wenn nicht: parallel oder vorgelagert aufsetzen — 27001 + 42001 in einem integrierten Managementsystem ist effizienter als zwei separate Audits.
3. Waehle den Zertifizierer nach Sektor-Erfahrung, nicht nach Listenpreis.
4. Setze auf eine Plattform, die Audit-Trail, Risiko-Klassifikation und Human-in-the-Loop nicht nachtraeglich nachruestet, sondern operativ liefert. Genau dort positioniert sich Knowlee: AI Act + ISO 42001 + BDSG-by-design + Mittelstand-realistische Kostenstruktur.

Verwandte Artikel

• ISO 42001 fuer den Mittelstand: realistische Kosten und 18-Monats-Pfad
• KI-Verordnung und BDSG: wie die zwei Regime ineinandergreifen
• KI-Governance in Deutschland: Bund vs Laender Zustaendigkeit 2026
• AI Act Compliance Software Guide
• ISO 42001 Implementation Guide
• ISO 42001 vs SOC 2 vs ISO 27001

Conflict of Interest

Knowlee ist eine KI-Workforce-Plattform mit Compliance-by-Design fuer EU-AI-Act- und ISO-42001-Anforderungen. Dieser Artikel beschreibt einen regulatorischen Kontext, in dem Knowlee selbst Anbieter ist. Faktische Aussagen zu Norminhalten und behoerdlichen Strukturen folgen oeffentlich zugaenglichen Quellen (DIN, DAkkS, BfDI, Bitkom, EU-Kommission, BMWK).

Disclaimer

Dieser Beitrag ersetzt keine Rechts- oder Compliance-Beratung. Die ISO/IEC 42001:2023, der EU-AI-Act, die DSGVO und das BDSG entwickeln sich, und die nationale Aufsichtsstruktur in Deutschland ist Stand April 2026 nicht abschliessend gesetzlich geregelt. Vor verbindlichen Entscheidungen einen qualifizierten Fachanwalt fuer IT-Recht oder eine zugelassene Zertifizierungsstelle konsultieren. Autor: Matteo Mirabelli, Gruender Knowlee.