ISO/IEC 17021 – Zertifizierung

Während Normen wie die ISO 9001 oder ISO 27001 festlegen, wie ein Unternehmen geführt werden sollte, definiert die ISO/IEC 17021 die Spielregeln für jene, die diese Systeme bewerten. Sie ist der internationale Massstab für die Akkreditierung von Zertifizierungsstellen und stellt sicher, dass Audits weltweit kompetent, objektiv und unparteilich durchgeführt werden.
Die ISO/IEC 17021 ist der unsichtbare Anker der Qualitätsinfrastruktur. Sie sorgt dafür, dass ‚zertifiziert‘ auch wirklich ‚geprüft und bestätigt‘ bedeutet – ein unverzichtbarer Schutz für Unternehmen und deren Kunden.

Unparteilichkeit

Die Norm stellt sicher, dass Zertifizierungsstellen frei von Interessenkonflikten agieren. Nur ein neutrales Urteil schafft echtes Vertrauen am Markt.

Kompetenznachweis

Sie legt strenge Anforderungen an die Qualifikation der Auditoren fest. Nur wer das Fachwissen und die methodische Kompetenz besitzt, darf Managementsysteme bewerten.

Globale Vergleichbarkeit

Dank der ISO/IEC 17021 hat ein Zertifikat aus der Schweiz die gleiche Aussagekraft und Anerkennung wie eines aus jedem anderen Teil der Welt.

Strukturierte Auditprozesse

Die Norm gibt vor, wie Audits geplant, durchgeführt und dokumentiert werden müssen, um eine gleichbleibend hohe Qualität der Zertifizierung sicherzustellen.

Kerninhalte

Die ISO/IEC 17021-1 ist das Regelwerk, das sicherstellt, dass Zertifizierungsstellen (wie die SQS, SGS oder der TÜV) weltweit nach den gleichen strengen Massstäben arbeiten. Während die „normalen“ ISO-Normen (9001, 14001 etc.) Anforderungen an Unternehmen stellen, stellt diese Norm Anforderungen an die Auditoren und deren Organisation.
Hier sind die Kerninhalte, unterteilt in die strategischen Säulen der Norm:

Die Leitprinzipien (Das Fundament)

Bevor es um technische Details geht, definiert die Norm sechs ethische Grundpfeiler, die jede Zertifizierungsstelle erfüllen muss:

Unparteilichkeit: Die wichtigste Eigenschaft. Interessenkonflikte müssen ausgeschlossen sein (z. ss. keine Beratung und Zertifizierung aus einer Hand).

Kompetenz: Das Personal muss nachweislich über das Wissen verfügen, das für die jeweilige Branche nötig ist.

Verantwortung: Die Stelle trägt die Verantwortung für die Entscheidung über die Zertifizierung.

Offenheit: Zugang zu Informationen über den Zertifizierungsprozess für die Öffentlichkeit.

Vertraulichkeit: Schutz von geschützten Informationen des Kunden.

Beschwerdemanagement: Ein transparenter Prozess für den Umgang mit Einsprüchen gegen Zertifizierungsentscheide.

Ressourcenanforderungen (Die Fachkraft)

Dies ist der Teil, den Unternehmen am stärksten spüren. Die Norm schreibt den exakten Ablauf einer Zertifizierung vor:

Antrag & Vertrag:
Prüfung, ob die Stelle die Kompetenz für den Kunden hat.

Audit-Programm:
Planung über den gesamten 3-Jahres-Zyklus.

Stufe 1 Audit:
Dokumentenprüfung und Prüfung der „Auditbereitschaft“.

Stufe 2 Audit:
Das eigentliche Systemaudit (Zertifizierungsaudit) vor Ort (Umsetzung der Prozesse). Die Dauer richtet sich nach der Regelung IAF MD 5 und weiteren Vorgaben.

Zertifizierungsentscheid:
Ein Gremium, das nicht am Audit beteiligt war, fällt das Urteil.

Überwachung:
Jährliche Kurz-Audits zur Aufrechterhaltung. Die Dauer beträgt ca. 1/3 der Zeit für das Zertifizierungsaudit.

Re-Zertifizierung:
Alle 3 Jahre erfolgt eine komplette Neu-Bewertung. Die Dauer beträgt ca. 2/3 der Zeit für das Zertifizierungsaudit.

Die Normenreihe (Die „Teile“)

Die ISO/IEC 17021 ist modular aufgebaut. Während Teil 1 die allgemeinen Anforderungen enthält, definieren weitere Teile die spezifische Kompetenz für andere Normen:

17021-2: Anforderungen für Umweltmanagementsysteme (ISO 14001).

17021-3: Anforderungen für Qualitätsmanagementsysteme (ISO 9001).

17021-10: Anforderungen für Arbeitssicherheit (ISO 45001).

Nutzen

Der grösste Nutzen der ISO/IEC 17021 lässt sich in einem Wort zusammenfassen: Glaubwürdigkeit. Ohne diese Norm wäre ein ISO-Zertifikat kaum mehr als eine selbsterklärte Urkunde. Sie ist die „Versicherung“ im Hintergrund, die sicherstellt, dass Zertifizierungen weltweit einen echten Wert haben.
Hier ist der Nutzen der ISO/IEC 17021, aufgeteilt nach den verschiedenen Akteuren:

Nutzen für den globalen Markt: Die Kette des Vertrauens

Die ISO/IEC 17021 erschafft eine weltweit einheitliche „Sprache“ der Prüfung.
Internationale Anerkennung:
Dank dieser Norm wird ein Zertifikat, das in der Schweiz von einer akkreditierten Stelle ausgestellt wurde, auch in den USA, China oder Deutschland anerkannt. Das spart Unternehmen Mehrfachzertifizierungen für den Export.
Vergleichbarkeit:
Sie stellt sicher, dass ein Audit bei Firma A nach den gleichen strengen Regeln abläuft wie bei Firma B – unabhängig davon, welcher Auditor vor der Tür steht.

Nutzen für Ihr Unternehmen (als Kunde der Zertifizierer)

Wenn Sie sich zertifizieren lassen, profitieren Sie direkt von der Qualität, die diese Norm dem Auditor vorschreibt:
Objektiver Blick von aussen: Die Norm zwingt Auditoren zur Unparteilichkeit. Sie erhalten kein „Gefälligkeitsattest“, sondern eine ehrliche Analyse Ihrer Schwachstellen, die Ihr Unternehmen wirklich weiterbringt.
Professionelle Expertise: Die ISO/IEC 17021 schreibt vor, dass Auditoren kontinuierlich geschult werden müssen. Sie arbeiten also mit Experten zusammen, die Ihre Branche und deren spezifische Risiken verstehen.
Schutz vor Fehlern: Durch das „Vier-Augen-Prinzip“ (die Person, die auditiert, darf nicht diejenige sein, die das Zertifikat am Ende freigibt) werden Fehlentscheide minimiert.

Nutzen für Zertifizierungsstellen (Certification Bodies)

Für Organisationen, die Audits durchführen (z. ss. SQS, SGS), ist die ISO/IEC 17021 weit mehr als nur eine Pflichtübung:
„License to Operate“:
Ohne die Einhaltung dieser Norm erhält eine Stelle keine Akkreditierung. Sie ist somit die zwingende Voraussetzung, um überhaupt am Markt für ISO-Zertifizierungen teilnehmen zu dürfen.
Risikomanagement & Haftungsschutz:
Die Norm gibt klare Prozesse vor (z. ss. das Vier-Augen-Prinzip). Dies schützt die Stelle vor Fehlurteilen einzelner Auditoren und minimiert das Risiko von Haftungsansprüchen oder Reputationsschäden.
Prozesseffizienz:
Durch die Standardisierung der Audit-Abläufe (Stufe 1, Stufe 2, Überwachung) können Zertifizierungsstellen ihre Ressourcen weltweit effizient planen und einsetzen.
Internationaler Marktzugang:
Dank der ISO/IEC 17021 und der damit verbundenen Abkommen (IAF MLA) kann eine Schweizer Zertifizierungsstelle Zertifikate ausstellen, die weltweit akzeptiert werden. Das macht sie für global agierende Kunden attraktiv.

Nutzen für Akkreditierungsstellen (Accreditation Bodies)

In der Schweiz übernimmt die SAS (Schweizerische Akkreditierungsstelle) diese Rolle.
In Deutschland die DAkkS (Deutsche Akkreditierungsstelle)
In Österreich die AA (Akkreditierung Austria)

Durch die Norm entstehen entscheidende Vorteile:
Einheitliche Prüfbasis:
Die SAS muss das Rad nicht neu erfinden. Die ISO/IEC 17021 liefert den exakten Kriterienkatalog, anhand dessen sie die Kompetenz und Unparteilichkeit der Zertifizierungsstellen objektiv bewerten kann.
Skalierbarkeit der Aufsicht:
Da alle Stellen nach dem gleichen Standard arbeiten, ist die Überwachung (Assessments) durch die Akkreditierungsstelle strukturiert und vergleichbar durchführbar.
Rechtssicherheit bei Entzug:
Wenn eine Zertifizierungsstelle die Anforderungen nicht mehr erfüllt, liefert die Norm die juristische Basis, um Akkreditierungen zu suspendieren oder zu entziehen.
Internationale Harmonisierung:
Die SAS kann durch die Norm sicherstellen, dass sie das gleiche „Qualitäts-Niveau“ hält wie ihre Partnerorganisationen im Ausland.

Zusammengefasst:
Man kann sich die ISO/IEC 17021 wie die staatliche Aufsicht über das Bankwesen vorstellen: Sie sorgt dafür, dass die Banken (Zertifizierer) das Geld (Zertifikate) nicht einfach drucken, sondern dass jedes Zertifikat einen echten Gegenwert an Qualität repräsentiert.

Entwicklung, Geschichte

Die Geschichte der ISO/IEC 17021 ist die Geschichte der Professionalisierung des weltweiten Zertifizierungsmarktes. Bevor es diesen Standard gab, war die Art und Weise, wie Auditoren arbeiteten, so vielfältig wie die Unternehmen selbst – was oft zu Zweifeln an der Vergleichbarkeit von Zertifikaten führte.

Norm	Fokus
vor 2006	Die Ära der Leitfäden (vor 2006) In den Anfangsjahren der ISO-Zertifizierungen (ISO 9001:1987, ISO 14001:1996) gab es keinen einheitlichen Standard für die Zertifizierungsstellen selbst. Fragmentierung: Man arbeitete mit verschiedenen „Guides“ (z. ss. ISO/IEC Guide 62 für Qualitätsmanagementsysteme und Guide 66 für Umweltmanagementsysteme). Das Problem: Da jeder Guide leicht unterschiedliche Anforderungen stellte, war es für Zertifizierungsstellen schwierig, integrierte Audits (z. ss. 9001 und 14001 gleichzeitig) effizient und nach einheitlichen Massstäben durchzuführen.
ISO/IEC 17021:2006	Die Geburtsstunde der Einheit Im Jahr 2006 erfolgte der grosse Durchbruch mit der Veröffentlichung der ersten ISO/IEC 17021:2006. Zusammenführung: Sie ersetzte die alten Guides und schuf erstmals eine einheitliche Plattform für die Zertifizierung von Managementsystemen jeglicher Art. Fokus: Der Schwerpunkt lag damals stark auf der Organisation der Zertifizierungsstelle und der Unparteilichkeit des Prozesses.
ISO/IEC 17021:2011	Der Fokus auf Kompetenz Mit der Revision ISO/IEC 17021:2011 verschob sich der Fokus massgeblich. Vom Prozess zur Person: Es wurde erkannt, dass ein Audit nur so gut ist wie der Auditor. Neue, strikte Anforderungen an die Kompetenz des Personals wurden eingeführt. Wegbereiter: Diese Version legte den Grundstein dafür, dass Auditoren nicht nur „Checklisten-Abhaker“ sind, sondern die Branche und die spezifischen Risiken ihrer Kunden verstehen müssen.
ISO/IEC 17021:2015	Die modulare Moderne Die aktuell gültige Version ISO/IEC 17021-1:2015 markiert den Übergang zu einer modularen Normenreihe. Teil 1 als Anker: Die Norm wurde in „Teile“ aufgeteilt. Teil 1 enthält die allgemeinen Anforderungen. Spezialisierung: In den Folgejahren entstanden spezifische Teile (z. ss. -2 für Umwelt, -3 für Qualität, -10 für Arbeitssicherheit), die zusätzliche Kompetenzanforderungen für das jeweilige Fachgebiet definieren. Harmonisierung: Sie wurde perfekt auf die High Level Structure (HLS) der modernen Managementsysteme abgestimmt, was integrierte Audits heute zum Standard macht.
ISO/IEC 17021:?	Die Weiterentwicklung

Aufbau/Implementierung – Akkreditierungsstellen

Der Aufbau eines Managementsystems für eine Zertifizierungsstelle (ZS) ist ein hochkomplexes Unterfangen, da die ISO/IEC 17021 nicht nur die Qualität der Dienstleistung, sondern die absolute Integrität der Organisation fordert. Man baut hier quasi die „Instanz der Wahrheit“.
Hier ist der schrittweise Leitfaden für den Aufbau, die Implementierung und die langfristige Aufrechterhaltung:

Strategischer Aufbau: Das Fundament (Phase 1)	Bevor der erste Auditor das Feld betritt, muss der rechtliche und ethische Rahmen stehen. Rechtspersönlichkeit: Die ZS muss eine rechtlich identifizierbare Einheit sein (in der Schweiz z. ss. GmbH oder AG), die für ihre Zertifizierungstätigkeiten haftbar gemacht werden kann. Struktur der Unparteilichkeit: Dies ist der kritischste Punkt. Sie müssen einen Ausschuss zur Sicherung der Unparteilichkeit einrichten. Dieser fungiert als externe Kontrollinstanz und stellt sicher, dass kommerzielle oder finanzielle Interessen die Audit-Entscheidungen nicht beeinflussen. Haftpflichtversicherung: Der Nachweis einer angemessenen Deckung für die Risiken aus der Zertifizierungstätigkeit ist obligatorisch.
Ressourcen-Management: Die Kompetenz-Sicherung (Phase 2)	In der ISO 17021 dreht sich alles um die Frage: „Warum ist dieser Auditor qualifiziert, dieses Unternehmen zu prüfen?“ Kompetenz-Matrix: Erstellen Sie für jedes Fachgebiet (z. ss. Bauwesen, IT, Gesundheitswesen) exakte Anforderungsprofile. Berufungsprozess: Dokumentieren Sie lückenlos die Auswahl, Schulung und Autorisierung Ihres Personals (Auditoren, Fachexperten, Zertifizierungsentscheider). Monitoring: Implementieren Sie ein System zur regelmässigen Überwachung der Auditorenleistung (z. ss. Begleitaudits/Witness-Audits).
Operative Implementierung: Der Audit-Prozess (Phase 3)	Nun werden die theoretischen Vorgaben in gelebte Prozesse überführt. Jede Zertifizierung muss denselben Zyklus durchlaufen: Antragsprüfung: Verstehen wir das Geschäft des Kunden? Haben wir die Kompetenz dafür? Auditplanung: Festlegung der Auditzeit (nach strengen Tabellen, z. ss. IAF MD-Vorgaben). Durchführung (Stufe 1 & 2): Von der Dokumentenprüfung bis zur Vor-Ort-Verifizierung. Zertifizierungsentscheidung: Trennung der Rollen! Die Person, die das Audit durchgeführt hat, darf niemals die Entscheidung über das Zertifikat treffen (Vier-Augen-Prinzip).
Aufrechterhaltung: Das eigene Managementsystem (Phase 4)	Die Zertifizierungsstelle muss sich selbst wie ein Uhrwerk überwachen, um die Akkreditierung (durch die SAS) nicht zu gefährden. Internes Audit der ZS: Einmal jährlich müssen Sie Ihre eigenen Prozesse gegen die ISO 17021 prüfen. Management-Review: Die Geschäftsleitung muss die Wirksamkeit des Systems bewerten – insbesondere im Hinblick auf Beschwerden und Einsprüche von Kunden. Korrekturmassnahmen: Stellen Sie sicher, dass Abweichungen (z. ss. Fehler in Auditberichten) systematisch analysiert und dauerhaft abgestellt werden.

Tipp:
Achten Sie bei der Implementierung darauf, dass Sie nicht nur die ISO/IEC 17021-1 erfüllen, sondern auch die verbindlichen Dokumente des IAF (International Accreditation Forum). Diese geben oft die exakten Details vor, wie z. ss. Auditzeiten berechnet werden müssen.

Aufbau von Managementsystemen

Aufbau/Implementierung – Zertifizierungsstellen

Strategischer Aufbau: Das Fundament (Phase 1)	Bevor der erste Auditor das Feld betritt, muss der rechtliche und ethische Rahmen stehen. Rechtspersönlichkeit: Die ZS muss eine rechtlich identifizierbare Einheit sein (in der Schweiz z. ss. GmbH oder AG), die für ihre Zertifizierungstätigkeiten haftbar gemacht werden kann. Struktur der Unparteilichkeit: Dies ist der kritischste Punkt. Sie müssen einen Ausschuss zur Sicherung der Unparteilichkeit einrichten. Dieser fungiert als externe Kontrollinstanz und stellt sicher, dass kommerzielle oder finanzielle Interessen die Audit-Entscheidungen nicht beeinflussen. Haftpflichtversicherung: Der Nachweis einer angemessenen Deckung für die Risiken aus der Zertifizierungstätigkeit ist obligatorisch.
Ressourcen-Management: Die Kompetenz-Sicherung (Phase 2)	In der ISO 17021 dreht sich alles um die Frage: „Warum ist dieser Auditor qualifiziert, dieses Unternehmen zu prüfen?“ Kompetenz-Matrix: Erstellen Sie für jedes Fachgebiet (z. ss. Bauwesen, IT, Gesundheitswesen) exakte Anforderungsprofile. Berufungsprozess: Dokumentieren Sie lückenlos die Auswahl, Schulung und Autorisierung Ihres Personals (Auditoren, Fachexperten, Zertifizierungsentscheider). Monitoring: Implementieren Sie ein System zur regelmässigen Überwachung der Auditorenleistung (z. ss. Begleitaudits/Witness-Audits).
Operative Implementierung: Der Audit-Prozess (Phase 3)	Nun werden die theoretischen Vorgaben in gelebte Prozesse überführt. Jede Zertifizierung muss denselben Zyklus durchlaufen: Antragsprüfung: Verstehen wir das Geschäft des Kunden? Haben wir die Kompetenz dafür? Auditplanung: Festlegung der Auditzeit (nach strengen Tabellen, z. ss. IAF MD-Vorgaben). Durchführung (Stufe 1 & 2): Von der Dokumentenprüfung bis zur Vor-Ort-Verifizierung. Zertifizierungsentscheidung: Trennung der Rollen! Die Person, die das Audit durchgeführt hat, darf niemals die Entscheidung über das Zertifikat treffen (Vier-Augen-Prinzip).
Aufrechterhaltung: Das eigene Managementsystem (Phase 4)	Die Zertifizierungsstelle muss sich selbst wie ein Uhrwerk überwachen, um die Akkreditierung (durch die SAS) nicht zu gefährden. Internes Audit der ZS: Einmal jährlich müssen Sie Ihre eigenen Prozesse gegen die ISO 17021 prüfen. Management-Review: Die Geschäftsleitung muss die Wirksamkeit des Systems bewerten – insbesondere im Hinblick auf Beschwerden und Einsprüche von Kunden. Korrekturmassnahmen: Stellen Sie sicher, dass Abweichungen (z. ss. Fehler in Auditberichten) systematisch analysiert und dauerhaft abgestellt werden.

Aufbau von Managementsystemen

Akkreditierung

Zertifizierung

Tool Box

Effizienz ist kein Zufall, sondern das Ergebnis der richtigen Werkzeuge. In diesem Bereich finden Sie eine gezielte Auswahl an Ressourcen, die darauf ausgelegt sind, die Komplexität von ISO-Normen zu reduzieren und Theorie in gelebte Praxis zu verwandeln.
Ob Sie Ihre Prozesse mit präzisen Checklisten prüfen, Ihr Team durch spezifische Ausbildungsangebote stärken oder auf direkt einsetzbare Vorlagen zurückgreifen möchten: Unsere Tools unterstützen Sie dabei, den administrativen Aufwand zu minimieren und den Fokus wieder auf das Wesentliche zu lenken – Ihren unternehmerischen Erfolg.

Gap-Analyse

Ein Tool, um den Reifegrad der aktuellen KI-Nutzung im Vergleich zur Norm zu ermitteln.

Gap-Analyse

KI-Kontext-Matrix

Vorlage zur Definition der internen und externen Einflussfaktoren sowie der Anforderungen interessierter Parteien.

KI-Kontext

AI Policy Generator

Ein Leitfaden zur Erstellung einer unternehmensweiten KI-Richtlinie, die ethische Grundsätze und Nutzungsregeln festlegt.

AI-Policy

AI Impact Assessment (AIFA) Template

Das wichtigste Dokument. Eine strukturierte Vorlage zur Bewertung der Auswirkungen von KI-Systemen auf Individuen und Gesellschaft.

AIFA

KI-Risikomatrix

Eine spezialisierte Matrix, die über klassische IT-Risiken hinausgeht und Themen wie Bias (Voreingenommenheit), Halluzinationen und Modell-Drift abdeckt.

KI-Risikomatrix

Ethik-Self-Assessment

Ein Fragenkatalog zur Prüfung der Konformität mit KI-Ethik-Leitlinien (z. ss. Transparenz, Fairness, Rechenschaftspflicht).

Ethik-Assessment

Daten-Governance-Checkliste

Ein Tool zur Überprüfung der Datenqualität, der Herkunft (Data Lineage) und der DSG-konformen Verarbeitung der Trainingsdaten.

Daten-Governance

KI-Lebenszyklus-Planer

Click here to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

KI-Lebenszyklus

Monitoring-Logbuch

Click here to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Monitoring-Logbuch

Statement of Applicability (SoA)

Click here to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

KI-SoA

Kompetenz-Matrix für KI-Teams

Ein Tool zur Erfassung und Planung der notwendigen Fachkenntnisse der beteiligten Mitarbeitenden.

KI-Teams

Management-Review-Template

Eine Struktur für den jährlichen Bericht an die Geschäftsleitung über den Status des KI-Managementsystems.

Management-Review

Glossar

Kurze Definitionen von Fachbegriffen wie „Umweltaspekt“, „Umweltauswirkung“ oder „Bindende Verpflichtungen“.

Glossar

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

FAQ

Sie finden hier oft angetroffene Fragen und die dazugehörenden Antworten.
Wenn für Sie eine Frage nicht ausreichend beantwortet wird oder fehlt, bitte benutzen Sie das Kontaktformular, um uns Ihre Wünsche mitzuteilen.

Was ist die ISO/IEC 42001 genau?

Die ISO/IEC 42001 ist der weltweit erste zertifizierbare Standard für ein KI-Managementsystem (AIMS). Sie bietet Unternehmen einen strukturierten Rahmen, um KI-Systeme verantwortungsbewusst zu entwickeln, zu implementieren und zu betreiben. Dabei stehen nicht nur technische Aspekte, sondern vor allem Ethik, Transparenz und Vertrauenswürdigkeit im Fokus.

Brauche ich die ISO/IEC 42001, wenn ich schon die ISO/IEC 27001 habe?

Die ISO/IEC 27001 konzentriert sich auf die allgemeine Informationssicherheit. Die ISO/IEC 42001 geht jedoch spezifisch auf die einzigartigen Risiken von KI ein, wie zum Beispiel algorithmische Voreingenommenheit (Bias), mangelnde Erklärbarkeit (Black-Box-Problematik) und die Qualität der Trainingsdaten. Sie ergänzt die ISO/IEC 27001 perfekt und nutzt die gleiche Grundstruktur (HLS).

Hilft die ISO 42001 bei der Einhaltung des EU AI Acts?

Ja, massgeblich. Die Norm wurde eng mit Blick auf kommende Regulierungen wie den EU AI Act entwickelt. Unternehmen, die nach ISO/IEC 42001 zertifiziert sind, verfügen bereits über die notwendigen Prozesse (wie die KI-Folgenabschätzung), die vom Gesetzgeber gefordert werden. Das spart Zeit und Kosten bei der Rechtskonformität.

Was ist eine KI-Folgenabschätzung (AI Impact Assessment)?

Dies ist eine Kernanforderung der Norm. Dabei untersuchen Sie systematisch, welche Auswirkungen Ihr KI-System auf Einzelpersonen, die Gesellschaft und die Umwelt haben könnte. Es geht darum, potenzielle Schäden oder Diskriminierungen frühzeitig zu erkennen und entsprechende Schutzmassnahmen zu treffen.

Gilt die Norm auch für Unternehmen, die KI nur nutzen (statt selbst zu entwickeln)?

Absolut. Die Norm unterscheidet zwischen KI-Anbietern und KI-Anwendern. Auch wenn Sie „nur“ fertige KI-Lösungen von Drittanbietern einsetzen, müssen Sie sicherstellen, dass diese sicher und ethisch korrekt in Ihre Geschäftsprozesse integriert sind. Die ISO 42001 hilft Ihnen dabei, die richtigen Anforderungen an Ihre Zulieferer zu stellen.

Wie geht die Norm mit Risiken wie „Halluzinationen“ von KI um?

Die ISO/IEC 42001 fordert spezifische Kontrollmassnahmen für die Robustheit und Zuverlässigkeit von KI-Systemen. Dazu gehören regelmässiges Monitoring der Ausgaben, Validierungsprozesse und die Sicherstellung menschlicher Aufsicht (Human Oversight), um Fehlentscheidungen durch KI-Halluzinationen abzufangen.

Ist die ISO/IEC 42001 für Schweizer KMU bereits relevant?

Da viele Schweizer Unternehmen eng mit dem EU-Markt verflochten sind, wird die ISO/IEC 42001 schnell zum De-facto-Standard für die Zusammenarbeit werden. Zudem hilft sie, die Anforderungen des Schweizer Datenschutzgesetzes (DSG) im Kontext von automatisierter Datenverarbeitung strukturiert umzusetzen.

Wie läuft die Zertifizierung ab?

Der Prozess ähnelt anderen ISO-Normen: Nach der Implementierung des Managementsystems erfolgt ein internes Audit. Anschliessend prüft eine akkreditierte Zertifizierungsstelle (wie die SQS oder andere) in zwei Stufen (Dokumentenprüfung und Vor-Ort-Audit), ob alle Anforderungen der Norm und des Anhangs A erfüllt sind.