ISO/IEC 42001 – KI

Die ISO/IEC 42001 ist der weltweit erste internationale Standard für ein KI-Managementsystem (AIMS). In einer Zeit, in der Künstliche Intelligenz (KI) rasant in alle Geschäftsbereiche vordringt, bietet diese Norm den notwendigen Rahmen, um KI-Technologien sicher, ethisch und effizient einzusetzen.
Künstliche Intelligenz bietet enorme Chancen, bringt aber auch neue Herausforderungen in Bezug auf Ethik, Transparenz und Sicherheit mit sich. Die ISO/IEC 42001 wurde entwickelt, um Organisationen dabei zu unterstützen, KI-Systeme verantwortungsbewusst zu entwickeln, bereitzustellen und zu nutzen. Sie ist der globale Massstab für Unternehmen, die Innovation vorantreiben wollen, ohne die Kontrolle über Risiken und gesellschaftliche Verantwortung zu verlieren.

Risiko & Sicherheit

Identifizieren und minimieren von spezifische KI-Risiken wie Voreingenommenheit (Bias), mangelnde Erklärbarkeit oder Sicherheitslücken in Algorithmen.

Vertrauen & Ethik

Positionieren Sie sich als vertrauenswürdiger Partner durch nachweisbare KI-Ethik.

Compliance & Markt

Die Norm ist eng mit kommenden regulatorischen Anforderungen verknüpft (wie dem EU AI Act) und hilft dabei, rechtliche Anforderungen proaktiv zu erfüllen.

Effizienz und Skalierbarkeit

Durch klare Prozesse und Verantwortlichkeiten sicherstellen, dass KI-Projekte nicht nur experimentell bleiben, sondern wertschöpfend in die Geschäftsabläufe integriert werden.

Kerninhalte

Die ISO/IEC 42001 ist wie die ISO/IEC 27001 aufgebaut (Harmonized Structure), ergänzt diese jedoch um spezifische Anforderungen für Künstliche Intelligenz. Der Fokus liegt nicht nur auf der Sicherheit, sondern massgeblich auf Ethik, Transparenz und der Vertrauenswürdigkeit von KI-Systemen.

Das Managementsystem (Kapitel 4 bis 10)

Diese Kapitel bilden den organisatorischen Rahmen. Wie bei der ISO/IEC 27001 geht es hier um den PDCA-Zyklus (Plan-Do-Check-Act).

Kontext (Kapitel 4):
Bestimmung interner und externer Themen sowie der Anforderungen interessierter Parteien (z. ss. Nutzer, Regulierungsbehörden).

Führung (Kapitel 5):
Die oberste Leitung muss eine KI-Politik festlegen und Verantwortlichkeiten zuweisen. KI ist hier explizit Führungssache.

Planung (Kapitel 6):
Hier findet die KI-Risikobeurteilung statt. Es müssen Ziele für das KI-System definiert werden.

Betrieb (Kapitel 8):
Durchführung von Risikobewertungen und – ganz wichtig – die KI-Folgenabschätzung (AI Impact Assessment), um Auswirkungen auf Individuen und die Gesellschaft zu prüfen.

Bewertung & Verbesserung (Kapitel 9 & 10):
Überwachung der KI-Leistung und kontinuierliche Optimierung des Systems.

Die Besonderheit: Anhang A (AI Controls)

Ähnlich wie der Anhang A der ISO/IEC 27001 enthält die ISO/IEC 42001 eine Liste von Massnahmenzielen und Kontrollen, die Unternehmen umsetzen müssen oder begründen müssen, warum sie es nicht tun (vgl. „Statement of Applicability“).

A.2 KI-bezogene Richtlinien: Strategien für den Einsatz und die Entwicklung von KI.

A.3 Interne Organisation: Rollen und Verantwortlichkeiten (z. ss. KI-Ethikbeauftragte).

A.4 Ressourcen für KI: Bereitstellung von Daten, Rechenleistung und kompetentem Personal.

A.5 Bewertung von KI-Auswirkungen: Dokumentation der gesellschaftlichen und ethischen Folgen.

A.6 Lebenszyklus von KI-Systemen: Vorgaben für Design, Entwicklung und Bereitstellung.st item

A.7 Daten für KI-Systeme: Fokus auf Datenqualität, Datenschutz und das Training von Modellen.

A.8 Informationen für interessierte Parteien: Transparenzberichte und Erklärbarkeit der KI-Entscheidungen (Explainability).

A.9 Nutzung von KI-Systemen: Überwachung der Systeme im Live-Betrieb.

A.10 Beziehungen zu Dritten: Management von KI-Zulieferern und Cloud-Anbietern.

Die weiteren Anhänge (B und C)

Während Anhang A die „Was“-Frage beantwortet, helfen die weiteren Anhänge bei der Umsetzung:

Anhang B (Implementation Guidance):
Liefert detaillierte Anleitungen, wie die Kontrollen aus Anhang A in der Praxis umgesetzt werden können.

Anhang C (KI-Ziele und Risikoquellen):
Listet typische Risiken auf (z. ss. Halluzinationen von Sprachmodellen, Bias/Voreingenommenheit, mangelnde Robustheit) und hilft bei der Erstellung der Risikoanalyse.

Nutzen

Anhang C (KI-Ziele und Risikoquellen): Listet typische Risiken auf (z. ss. Halluzinationen von Sprachmodellen, Bias/Voreingenommenheit, mangelnde Robustheit) und hilft bei der Erstellung der Risikoanalyse.

Vertrauen und Marktvorteil (Reputation)

In einer Zeit, in der viele Menschen KI gegenüber skeptisch eingestellt sind, ist ein zertifiziertes Managementsystem (AIMS) ein starkes Signal.
Wettbewerbsvorteil:
Sie positionieren sich als Vorreiter für verantwortungsvolle KI. Das ist ein entscheidendes Verkaufsargument bei Ausschreibungen und B2B-Partnerschaften.
Kundenvertrauen:
Kunden geben ihre Daten eher Plattformen an, die nachweislich ethische Standards und Transparenzregeln einhalten.

Rechtssicherheit und Compliance (EU AI Act)

Obwohl die Schweiz kein EU-Mitglied ist, betrifft der EU AI Act fast alle Schweizer Unternehmen, die im EU-Raum tätig sind oder deren KI-Modelle dort genutzt werden.
Vorsprung durch Standardisierung:
Die ISO/IEC 42001 ist so konzipiert, dass sie viele Anforderungen des EU AI Acts bereits abdeckt. Mit der Zertifizierung erfüllen Sie proaktiv künftige regulatorische Pflichten.
Haftungsminimierung:
Ein strukturiertes Risikomanagement hilft dabei, rechtliche Fallstricke (z. ss. Urheberrechtsverletzungen oder Diskriminierung durch Algorithmen) frühzeitig zu erkennen.

Beherrschung KI-spezifischer Risiken

Klassische IT-Sicherheit (ISO/IEC 27001) reicht für KI oft nicht aus. Die ISO/IEC 42001 adressiert die „neuen“ Gefahren:
Vermeidung von Bias (Voreingenommenheit):
Sicherstellung, dass Ihre KI keine Nutzergruppen diskriminiert.
Erklärbarkeit (Explainability):
Sie können nachvollziehen und begründen, wie die KI zu einem bestimmten Ergebnis gekommen ist.
Robustheit:
Schutz vor Manipulationen (z. ss. Adversarial Attacks), die darauf abzielen, das KI-Modell gezielt zu täuschen.

Effizienz und Skalierbarkeit

Viele Unternehmen stecken in der „Experimentierphase“ fest. Die Norm hilft dabei, KI produktiv zu machen:
Strukturierte Prozesse:
Von der Datenbeschaffung bis zum Monitoring im Live-Betrieb werden klare Verantwortlichkeiten definiert.
Ressourcenoptimierung:
Sie investieren nur in KI-Projekte, die eine fundierte Folgenabschätzung durchlaufen haben, und vermeiden so teure Fehlinvestitionen.

Zusammengefasst:
Die ISO/IEC 42001 ist keine bürokratische Hürde, sondern die „Betriebsanleitung für verantwortungsvolle Innovation“. Sie ermöglicht es Unternehmen, die Chancen der KI voll auszuschöpfen, während die Risiken systematisch unter Kontrolle bleiben.

Entwicklung, Geschichte

Die Geschichte der ISO/IEC 42001 ist kurz, aber intensiv. Sie ist das Ergebnis einer globalen Anstrengung, die technologische Entwicklung von Künstlicher Intelligenz mit einem organisatorischen und ethischen Rahmen zu bändigen. Da die Norm erst Ende 2023 veröffentlicht wurde, ist sie aktuell der modernste Standard in der ISO-Welt.

Norm	Fokus
2011-2019	Die Grundsteinlegung Bevor es eine spezifische Management-Norm gab, mussten erst die Grundlagen definiert werden.
2017	Gründung des gemeinsamen technischen Komitees ISO/IEC JTC 1/SC 42. Dies war das weltweit erste Komitee, das sich ausschliesslich mit der Standardisierung von Künstlicher Intelligenz befasste. In den ersten Jahren lag der Schwerpunkt auf der Terminologie (Was ist KI?) und grundlegenden Konzepten (ISO/IEC 22989 und ISO/IEC 23053).
2021-2022	Der Ruf nach einem Managementsystem Mit dem Durchbruch von Large Language Models (LLMs) und der breiten Anwendung von KI in Unternehmen wurde klar: Punktuelle technische Standards reichen nicht aus. Projektstart: Die Arbeit an der ISO/IEC 42001 begann offiziell. Das Ziel war es, ein „Managementsystem“ (ähnlich der ISO 9001 oder 27001) zu schaffen, das den gesamten Lebenszyklus einer KI abdeckt.
EU AI Act	Parallelentwicklung Während die ISO-Experten an der Norm arbeiteten, konkretisierte die EU den EU AI Act. Die ISO/IEC 42001 wurde von Beginn an so konzipiert, dass sie als Brücke zu diesen kommenden Gesetzen dient. Die EU AI Act wurde am 1. August 2024 in Kraft gesetzt.
ISO/IEC 42001:2023	Die Geburtsstunde Kurz vor dem Jahreswechsel war es so weit: Publikation: Die ISO/IEC 42001:2023 wird im Dezember offiziell veröffentlicht. Sie ist der erste internationale Standard für ein KI-Managementsystem (AIMS). Meilenstein: Damit existiert erstmals ein zertifizierbarer Rahmen, der nicht nur IT-Sicherheit adressiert, sondern auch Ethik, Transparenz und die gesellschaftlichen Auswirkungen von KI.
ISO/IEC 42001:(?)	Gegenwart und Ausblick Markteinführung: Seit Anfang 2024 beginnen die ersten grossen Zertifizierungsgesellschaften weltweit damit, Audits nach diesem Standard anzubieten. EU AI Act Harmonisierung: Es wird erwartet, dass die ISO/IEC 42001 als „harmonisierter Standard“ anerkannt wird. Das bedeutet: Unternehmen, die nach ISO 42001 zertifiziert sind, erfüllen automatisch einen Grossteil der strengen EU-Anforderungen. Schweizer Relevanz: Auch für Schweizer Unternehmen ist die Norm der Goldstandard, um im europäischen Markt wettbewerbsfähig zu bleiben und die hiesige Datenschutzgesetzgebung (DSG) im KI-Kontext sicher umzusetzen.

Aufbau/Implementierung

Der Aufbau eines KI-Managementsystems (AIMS) nach ISO/IEC 42001 unterscheidet sich grundlegend von klassischen IT-Systemen. Während die ISO 27001 den Schutz von Informationen fokussiert, geht es hier um die Beherrschung der Unberechenbarkeit von Algorithmen.

Hier sind die wesentlichen Erfolgsfaktoren:

Das neue Herzstück: Die KI-Folgenabschätzung (AIFA)	Sie müssen für jedes KI-System eine AI Impact Assessment durchführen. Beachten Sie: Es geht nicht nur um technische Risiken, sondern um Auswirkungen auf Einzelpersonen, die Gesellschaft und ethische Grundsätze. Umsetzung: Dokumentieren Sie genau, was passiert, wenn die KI eine Fehlentscheidung trifft. Wer ist betroffen? Wie hoch ist der Schaden für die Grundrechte oder die Privatsphäre?
Risikomanagement jenseits der Cybersecurity	KI-Risiken sind oft „unsichtbar“. Bei der Implementierung müssen Sie spezifische Szenarien bewerten: Halluzinationen: Wie gehen wir damit um, wenn die KI Fakten erfindet? Bias (Voreingenommenheit): Enthält der Trainingsdatensatz Vorurteile, die zu Diskriminierung führen könnten? Model Drift: Die Leistung von KI-Modellen kann sich über die Zeit verschlechtern, wenn sich die Eingabedaten ändern. Hierfür brauchen Sie Monitoring-Prozesse.
Daten-Governance & Qualität	Ein KI-System ist nur so gut wie seine Daten. Die ISO/IEC 42001 stellt hohe Anforderungen an die Daten-Governance: Herkunft (Data Lineage): Sie müssen wissen (und belegen), woher die Trainingsdaten stammen und ob diese rechtmässig (z. ss. DSG-konform) erworben wurden. Repräsentativität: Stellen Sie sicher, dass die Daten die Realität korrekt abbilden, um Fehlentscheidungen zu vermeiden.
Transparenz und Erklärbarkeit (Explainability)	Die „Black Box“ ist im Rahmen der Norm nicht akzeptabel. Besonderheit: Sie müssen Mechanismen implementieren, die erklären, warum eine KI zu einem bestimmten Ergebnis gekommen ist. Dies ist besonders in regulierten Bereichen (z. ss. Kreditvergabe oder Personalwesen) entscheidend. Nutzer-Information: Nutzer müssen wissen, dass sie mit einer KI interagieren.
Der gesamte Lebenszyklus (Lifecycle)	Die Norm betrachtet den gesamten Weg: von der ersten Idee über das Training und den Betrieb bis hin zur Stilllegung. Monitoring im Betrieb: Ein einmal validiertes Modell ist kein Freipass. Sie müssen kontinuierlich prüfen, ob die KI noch innerhalb der definierten Leitplanken arbeitet.
Synergien durch die High Level Structure (HLS) nutzen	Da Sie wahrscheinlich bereits die ISO/IEC 27001 nutzen, ist die Integration einfacher: Zusammenführung: Viele Prozesse (wie das interne Audit oder das Management-Review) können kombiniert werden. Erweiterung: Nutzen Sie Ihr bestehendes ISMS als Fundament und ergänzen Sie es um die spezifischen KI-Controls des Anhangs A.

Tipp:
Ein Managementsystem ist kein Projekt mit einem Enddatum, sondern eine Einstellung. Wer die Norm als „notwendiges Übel“ sieht, verliert Geld. Wer sie als „Betriebssystem für Qualität und Wachstum“ sieht, gewinnt Marktanteile.

Aufbau von Managementsystemen

Zertifizierung

Bei der Zertifizierung nach ISO/IEC 42001 betreten sowohl Unternehmen als auch Auditoren Neuland. Da es sich um ein Managementsystem für eine Technologie handelt, die sich rasant weiterentwickelt, liegt der Fokus im Audit weniger auf statischen Prozessen und mehr auf der Fähigkeit zur dynamischen Risikokontrolle.
Hier sind die spezifischen Punkte, die den Ausschlag für ein erfolgreiches Audit geben:

Der Nachweis der KI-Folgenabschätzung (AIFA)
Dies ist das „Dokument der Wahrheit“. Der Auditor wird prüfen, ob Sie für Ihre KI-Systeme eine systematische Folgenabschätzung durchgeführt haben.
Tiefe der Analyse: Es reicht nicht zu sagen: „Das System funktioniert.“ Sie müssen belegen, dass Sie die Auswirkungen auf Ethik, Grundrechte und Privatsphäre bewertet haben.
Aktualität: Da KI-Modelle „driften“ können (sich in ihrer Leistung verändern), muss nachgewiesen werden, dass diese Abschätzungen regelmässig überprüft werden.

Erklärbarkeit und Transparenz (Explainability)
Im Gegensatz zur klassischen IT-Sicherheit ist die „Black Box“ hier ein grosses Risiko.
Audit-Fokus: Wie erklären Sie einem Nutzer oder einer Behörde, warum die KI Entscheidung X und nicht Y getroffen hat?
Dokumentation: Sie müssen die Logik hinter den Modellen (soweit technisch möglich) und die Massnahmen zur Transparenz gegenüber den Endnutzern offenlegen.

Daten-Governance und Herkunft
Der Auditor wird tief in Ihre Datenprozesse eintauchen.
Qualität vor Quantität: Wie stellen Sie sicher, dass die Trainingsdaten nicht verzerrt sind (Bias-Vermeidung)?
Rechtmässigkeit: Können Sie die Herkunft der Daten lückenlos nachweisen? In der Schweiz ist hierbei besonders die Konformität zum revidierten Datenschutzgesetz (DSG) ein zentraler Prüfpunkt.

Menschliche Aufsicht (Human Oversight)
Die Norm verlangt, dass die Kontrolle beim Menschen bleibt.
Interventionsmöglichkeiten: Der Auditor möchte sehen, wie und wann ein Mensch in den KI-Prozess eingreifen kann.
Kompetenz: Sind die Personen, die die KI überwachen, ausreichend geschult, um Fehlentscheidungen des Systems überhaupt zu erkennen?

Das „Statement of Applicability“ (SoA) für KI
Wie bei der ISO 27001 müssen Sie im SoA definieren, welche der 38 Controls aus Anhang A für Sie relevant sind.
Besonderheit: Da KI-Anwendungen sehr unterschiedlich sind (vom einfachen Chatbot bis zur medizinischen Diagnose), ist die Begründung für den Ausschluss von Massnahmen ein kritischer Punkt im Audit.

Checkpunkte:
„Können wir belegen, dass unsere KI nicht nur effizient ist, sondern auch fair und nachvollziehbar arbeitet – selbst wenn der Algorithmus komplex ist?“
Ein Auditor der ISO 42001 fungiert oft halb als Techniker und halb als Ethik-Prüfer. Wer hier nur technische Firewalls vorweist, wird Schwierigkeiten haben.

Zertifizierung

Tool Box

Effizienz ist kein Zufall, sondern das Ergebnis der richtigen Werkzeuge. In diesem Bereich finden Sie eine gezielte Auswahl an Ressourcen, die darauf ausgelegt sind, die Komplexität von ISO-Normen zu reduzieren und Theorie in gelebte Praxis zu verwandeln.
Ob Sie Ihre Prozesse mit präzisen Checklisten prüfen, Ihr Team durch spezifische Ausbildungsangebote stärken oder auf direkt einsetzbare Vorlagen zurückgreifen möchten: Unsere Tools unterstützen Sie dabei, den administrativen Aufwand zu minimieren und den Fokus wieder auf das Wesentliche zu lenken – Ihren unternehmerischen Erfolg.

Gap-Analyse

Ein Tool, um den Reifegrad der aktuellen KI-Nutzung im Vergleich zur Norm zu ermitteln.

Gap-Analyse

KI-Kontext-Matrix

Vorlage zur Definition der internen und externen Einflussfaktoren sowie der Anforderungen interessierter Parteien.

KI-Kontext

AI Policy Generator

Ein Leitfaden zur Erstellung einer unternehmensweiten KI-Richtlinie, die ethische Grundsätze und Nutzungsregeln festlegt.

AI-Policy

AI Impact Assessment (AIFA) Template

Das wichtigste Dokument. Eine strukturierte Vorlage zur Bewertung der Auswirkungen von KI-Systemen auf Individuen und Gesellschaft.

AIFA

KI-Risikomatrix

Eine spezialisierte Matrix, die über klassische IT-Risiken hinausgeht und Themen wie Bias (Voreingenommenheit), Halluzinationen und Modell-Drift abdeckt.

KI-Risikomatrix

Ethik-Self-Assessment

Ein Fragenkatalog zur Prüfung der Konformität mit KI-Ethik-Leitlinien (z. ss. Transparenz, Fairness, Rechenschaftspflicht).

Ethik-Assessment

Daten-Governance-Checkliste

Ein Tool zur Überprüfung der Datenqualität, der Herkunft (Data Lineage) und der DSG-konformen Verarbeitung der Trainingsdaten.

Daten-Governance

KI-Lebenszyklus-Planer

Click here to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

KI-Lebenszyklus

Monitoring-Logbuch

Click here to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Monitoring-Logbuch

Statement of Applicability (SoA)

Click here to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

KI-SoA

Kompetenz-Matrix für KI-Teams

Ein Tool zur Erfassung und Planung der notwendigen Fachkenntnisse der beteiligten Mitarbeitenden.

KI-Teams

Management-Review-Template

Eine Struktur für den jährlichen Bericht an die Geschäftsleitung über den Status des KI-Managementsystems.

Management-Review

Glossar

Kurze Definitionen von Fachbegriffen wie „Umweltaspekt“, „Umweltauswirkung“ oder „Bindende Verpflichtungen“.

Glossar

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

FAQ

Sie finden hier oft angetroffene Fragen und die dazugehörenden Antworten.
Wenn für Sie eine Frage nicht ausreichend beantwortet wird oder fehlt, bitte benutzen Sie das Kontaktformular, um uns Ihre Wünsche mitzuteilen.

Was ist die ISO/IEC 42001 genau?

Die ISO/IEC 42001 ist der weltweit erste zertifizierbare Standard für ein KI-Managementsystem (AIMS). Sie bietet Unternehmen einen strukturierten Rahmen, um KI-Systeme verantwortungsbewusst zu entwickeln, zu implementieren und zu betreiben. Dabei stehen nicht nur technische Aspekte, sondern vor allem Ethik, Transparenz und Vertrauenswürdigkeit im Fokus.

Brauche ich die ISO/IEC 42001, wenn ich schon die ISO/IEC 27001 habe?

Die ISO/IEC 27001 konzentriert sich auf die allgemeine Informationssicherheit. Die ISO/IEC 42001 geht jedoch spezifisch auf die einzigartigen Risiken von KI ein, wie zum Beispiel algorithmische Voreingenommenheit (Bias), mangelnde Erklärbarkeit (Black-Box-Problematik) und die Qualität der Trainingsdaten. Sie ergänzt die ISO/IEC 27001 perfekt und nutzt die gleiche Grundstruktur (HLS).

Hilft die ISO 42001 bei der Einhaltung des EU AI Acts?

Ja, massgeblich. Die Norm wurde eng mit Blick auf kommende Regulierungen wie den EU AI Act entwickelt. Unternehmen, die nach ISO/IEC 42001 zertifiziert sind, verfügen bereits über die notwendigen Prozesse (wie die KI-Folgenabschätzung), die vom Gesetzgeber gefordert werden. Das spart Zeit und Kosten bei der Rechtskonformität.

Was ist eine KI-Folgenabschätzung (AI Impact Assessment)?

Dies ist eine Kernanforderung der Norm. Dabei untersuchen Sie systematisch, welche Auswirkungen Ihr KI-System auf Einzelpersonen, die Gesellschaft und die Umwelt haben könnte. Es geht darum, potenzielle Schäden oder Diskriminierungen frühzeitig zu erkennen und entsprechende Schutzmassnahmen zu treffen.

Gilt die Norm auch für Unternehmen, die KI nur nutzen (statt selbst zu entwickeln)?

Absolut. Die Norm unterscheidet zwischen KI-Anbietern und KI-Anwendern. Auch wenn Sie „nur“ fertige KI-Lösungen von Drittanbietern einsetzen, müssen Sie sicherstellen, dass diese sicher und ethisch korrekt in Ihre Geschäftsprozesse integriert sind. Die ISO 42001 hilft Ihnen dabei, die richtigen Anforderungen an Ihre Zulieferer zu stellen.

Wie geht die Norm mit Risiken wie „Halluzinationen“ von KI um?

Die ISO/IEC 42001 fordert spezifische Kontrollmassnahmen für die Robustheit und Zuverlässigkeit von KI-Systemen. Dazu gehören regelmässiges Monitoring der Ausgaben, Validierungsprozesse und die Sicherstellung menschlicher Aufsicht (Human Oversight), um Fehlentscheidungen durch KI-Halluzinationen abzufangen.

Ist die ISO/IEC 42001 für Schweizer KMU bereits relevant?

Da viele Schweizer Unternehmen eng mit dem EU-Markt verflochten sind, wird die ISO/IEC 42001 schnell zum De-facto-Standard für die Zusammenarbeit werden. Zudem hilft sie, die Anforderungen des Schweizer Datenschutzgesetzes (DSG) im Kontext von automatisierter Datenverarbeitung strukturiert umzusetzen.

Wie läuft die Zertifizierung ab?

Der Prozess ähnelt anderen ISO-Normen: Nach der Implementierung des Managementsystems erfolgt ein internes Audit. Anschliessend prüft eine akkreditierte Zertifizierungsstelle (wie die SQS oder andere) in zwei Stufen (Dokumentenprüfung und Vor-Ort-Audit), ob alle Anforderungen der Norm und des Anhangs A erfüllt sind.