Viele Unternehmen in der DACH-Region stehen 2026 vor derselben Herausforderung: KI-Initiativen sollen skaliert werden, während regulatorische Anforderungen, Reputationsrisiken und interne Governance-Lücken zunehmen. Gerade in regulierten Branchen reicht es nicht mehr aus, einzelne Use Cases isoliert zu bewerten. Gefragt ist ein belastbares System, das AI Governance, technische Umsetzung und Compliance operativ zusammenführt. Genau hier entsteht die Schnittmenge zwischen dem EU AI Act und ISO/IEC 42001.
Der EU AI Act definiert Anforderungen entlang von Risikoklassen, Transparenz, menschlicher Aufsicht, technischer Dokumentation und laufender Überwachung. ISO/IEC 42001 liefert dazu den Managementsystem-Rahmen, mit dem Unternehmen Verantwortlichkeiten, Prozesse, Kontrollen und kontinuierliche Verbesserung strukturiert verankern können. Für mittelständische und große Unternehmen bedeutet das: Der EU AI Act beantwortet vor allem, was gefordert ist. ISO/IEC 42001 schafft den organisatorischen Rahmen dafür, wie diese Anforderungen dauerhaft beherrschbar werden.
Für C-Level, CIOs, CDOs, Compliance-Verantwortliche und IT-Leiter ist die entscheidende Erkenntnis: Compliance entsteht nicht durch ein einzelnes Policy-Dokument, sondern durch ein steuerbares Betriebsmodell. Wer jetzt frühzeitig ein AI-Governance-System aufbaut, reduziert nicht nur regulatorisches Risiko, sondern beschleunigt auch Freigaben, verbessert Vendor-Steuerung und schafft Vertrauen bei Kunden, Aufsicht und internen Stakeholdern.
Warum EU AI Act und ISO/IEC 42001 zusammengehören
Der EU AI Act ist kein klassisches IT-Compliance-Thema, sondern berührt Produktverantwortung, Daten-Governance, Modellrisiken, Human Oversight und den operativen Betrieb von KI-Systemen. In vielen Unternehmen sind diese Themen heute auf mehrere Funktionen verteilt: CIO oder IT verantworten Plattformen und Integration, der CDO Datenstrategie und AI Enablement, Legal und Compliance bewerten regulatorische Auswirkungen, Risk Management betrachtet operationelle und modellbezogene Risiken, während Fachbereiche konkrete KI-Anwendungen treiben.
ISO/IEC 42001 ist in diesem Kontext besonders wertvoll, weil die Norm keinen losgelösten KI-Silo fordert, sondern ein AI Management System, das sich an bestehende Managementsysteme anbinden lässt. Unternehmen mit ISO 27001, ISO 9001 oder etablierten GDPR-Strukturen haben damit einen erheblichen Vorteil. Bestehende Prozesse für Risiko-Management, Asset Governance, Change Management, Incident Handling, Dokumentenlenkung und Auditierung können erweitert werden, statt parallel neue Strukturen aufzubauen.
Die operative Logik ist klar: Der EU AI Act gibt die regulatorischen Mindestanforderungen vor. ISO/IEC 42001 macht daraus ein wiederholbares Governance-Modell. Das ist besonders relevant für Unternehmen in Fertigung, Finanz, Healthcare und Retail, in denen KI nicht nur experimentell eingesetzt wird, sondern Entscheidungen, Kundenerlebnisse oder sicherheitsrelevante Prozesse beeinflusst.
Der 90-Tage-Blueprint: Von der Bestandsaufnahme zur Audit-Readiness
Ein realistischer 90-Tage-Plan muss ambitioniert, aber pragmatisch sein. Ziel ist nicht die perfekte Zielarchitektur, sondern ein belastbarer Compliance-Mindeststandard mit klaren Prioritäten, Rollen, Artefakten und Kontrollmechanismen.
Tag 1 bis 30: Gap-Analyse und Risikoklassifizierung
In den ersten 30 Tagen geht es um Transparenz. Ohne vollständigen Überblick über KI-Systeme, Modelle, Datenflüsse, Anbieter und Entscheidungswirkungen bleibt jede Compliance-Initiative Stückwerk. Der erste Schritt ist deshalb ein AI-System-Inventar. Erfasst werden produktive, pilotierte und geplante KI-Anwendungen inklusive Zweck, Nutzerkreis, Datenarten, Modelltyp, Anbieter, Integrationspunkten und betroffenen Geschäftsprozessen.
Darauf aufbauend erfolgt die Risikoklassifizierung nach EU AI Act. Dabei ist nicht nur zu prüfen, ob ein System als Hochrisiko einzustufen ist, sondern auch, ob Transparenzpflichten, GPAI-Bezug, verbotene Praktiken oder zusätzliche Anforderungen aus branchenspezifischer Regulierung greifen. Parallel sollte ein erster Reifegradabgleich gegen ISO/IEC 42001 durchgeführt werden: Welche Policies existieren bereits? Gibt es definierte Verantwortlichkeiten? Wie werden Modelländerungen freigegeben? Welche Kontrollen bestehen für Datenqualität, Monitoring und Vorfallmanagement?
Am Ende dieser Phase stehen drei zentrale Artefakte: ein AI-Risikoregister, ein priorisiertes Gap-Assessment und eine Heatmap nach Risiko, Business-Kritikalität und Umsetzungsaufwand.
Tag 31 bis 60: Governance-Setup und Kern-Policies
In der zweiten Phase wird aus der Analyse ein Betriebsmodell. Jetzt müssen Rollen, Entscheidungsrechte, Freigabeprozesse und Mindestanforderungen definiert werden. Besonders wichtig ist ein Governance-Setup, das nicht nur auf dem Papier existiert, sondern in bestehende Steuerungsmechanismen integriert wird.
Praktisch bedeutet das: Einrichtung eines AI Governance Boards oder eines bestehenden Gremiums mit erweitertem Mandat, Definition von RACI-Strukturen, Einführung standardisierter Freigabepunkte für neue Use Cases, Modelländerungen und Vendor-Onboarding. Gleichzeitig werden Kern-Policies erstellt oder erweitert, etwa zu AI Risk Management, Human Oversight, Datenqualität, Modellvalidierung, Third-Party AI, Incident Management und Dokumentation.
In dieser Phase sollten auch Templates für die Pflichtartefakte bereitgestellt werden: technische Dokumentation, Data Cards, Model Cards, AI Impact Assessment beziehungsweise DPIA, Human-Oversight-Konzept und Post-Market-Monitoring-Plan. Entscheidend ist, dass diese Dokumente nicht als reine Compliance-Formulare gestaltet werden, sondern als steuerungsrelevante Werkzeuge für Fachbereich, IT, Risk und Compliance.
Tag 61 bis 90: Kontrollen, MLOps und Audit-Readiness
Die letzten 30 Tage dienen der Operationalisierung. Nun werden Kontrollen in Delivery- und Betriebsprozesse eingebettet. Dazu gehören Freigaben in der MLOps-Pipeline, Versionierung, Nachvollziehbarkeit von Trainingsdaten und Modellständen, Monitoring von Drift und Performance sowie definierte Incident-Prozesse für KI-bezogene Vorfälle.
Parallel erfolgt die Audit-Vorbereitung. Unternehmen sollten anhand eines kontrollbasierten Assessments prüfen, ob Nachweise für Governance, Risikoentscheidungen, Test- und Validierungsergebnisse, Human Oversight, Vendor-Prüfungen und Monitoring vorhanden sind. Ziel ist nicht nur regulatorische Reaktionsfähigkeit, sondern tatsächliche Audit-Readiness gegenüber interner Revision, Kundenanforderungen oder Aufsicht.
Rollen, RACI und Entscheidungslogik
Ein häufiger Grund für Verzögerungen ist unklare Verantwortung. Gerade bei KI-Projekten verschwimmen Zuständigkeiten zwischen Business, Data, IT und Compliance. Deshalb sollte der 90-Tage-Plan früh eine belastbare RACI-Matrix definieren.
Der CIO verantwortet typischerweise Plattform, Integration, Betriebsmodell und Sicherheitskontrollen. Der CDO trägt die Verantwortung für Daten- und Modellgovernance, Standardisierung und AI Enablement. Legal und Compliance bewerten regulatorische Anforderungen, Dokumentationspflichten und Transparenzvorgaben. Risk Management verantwortet Methodik, Risikobewertung und Eskalationsmechanismen. IT/OT ist insbesondere in industriellen Umgebungen für die sichere Einbindung in produktionsnahe Systeme relevant. Fachbereiche bleiben accountable für Zweck, Use Case-Nutzen und korrekte Nutzung im operativen Prozess.
Ein praxistaugliches Modell unterscheidet dabei vier Entscheidungen: Zulässigkeit des Use Cases, Freigabe des Modells, Freigabe für den operativen Einsatz und Freigabe wesentlicher Änderungen. Jede dieser Entscheidungen benötigt klar dokumentierte Kriterien. Nur so lassen sich spätere Auditfragen belastbar beantworten.
Die Artefakte, die wirklich zählen
Viele Unternehmen unterschätzen, wie stark gute Artefakte den Umsetzungsaufwand reduzieren. Wer AI Governance sauber dokumentiert, schafft nicht nur Compliance-Nachweise, sondern auch schnellere Entscheidungen und weniger Abstimmungsschleifen.
Das AI-Risikoregister bildet das Herzstück. Es sollte je System Risikoart, Einstufung, betroffene Personen oder Prozesse, Kontrollen, Restrisiken, Eigentümer und Review-Zyklen dokumentieren. Die technische Dokumentation beschreibt Zweck, Architektur, Datenquellen, Modelllogik, Validierung, Grenzen und Betriebsannahmen. Data Cards und Model Cards schaffen Transparenz über Herkunft, Qualität, Einsatzgrenzen, Leistungsmerkmale und bekannte Bias-Risiken.
Für risikorelevante Systeme sind AI Impact Assessments essenziell. Wo personenbezogene Daten betroffen sind, muss die Verzahnung mit einer DPIA nach GDPR sichergestellt werden. Das Human-Oversight-Konzept sollte konkret beschreiben, wann Menschen eingreifen, Entscheidungen überprüfen, Eskalationen auslösen oder Ergebnisse überstimmen können. Der Post-Market-Monitoring-Plan definiert, wie Performance, Drift, Incidents, Beschwerden und Fehlentscheidungen im Betrieb überwacht werden.
Vendor- und MLOps-Kontrollen als kritischer Erfolgsfaktor
In der Praxis entstehen viele Risiken nicht im selbst entwickelten Modell, sondern an den Schnittstellen zu Drittanbietern. Foundation Models, API-basierte Services, externe Trainingsdaten oder Embedded AI in Fachanwendungen bringen zusätzliche Abhängigkeiten mit sich. Deshalb müssen Vendor-Kontrollen ein fester Bestandteil des Governance-Modells sein.
Empfehlenswert ist ein risikobasiertes Vendor-Assessment mit Blick auf Datenlokation, Verarbeitungszwecke, Modelltransparenz, Subprozessoren, Sicherheitsmaßnahmen, Änderungsmanagement und Exit-Fähigkeit. Für kritische Anwendungen sollten vertraglich Informationsrechte, Incident-Meldungen, Dokumentationszugang und Änderungen an Modell- oder Serviceverhalten geregelt werden.
Ebenso wichtig ist die Verankerung in der MLOps-Pipeline. Modelle dürfen nicht ohne definierte Prüfungen in Produktion gehen. Mindestkontrollen sind Freigaben für Datensätze, reproduzierbare Trainingsläufe, dokumentierte Validierung, Bias- und Robustheitstests, Versionierung, Rollback-Fähigkeit und produktionsnahes Monitoring. Für Enterprise-Umgebungen mit Datensouveränitätsanforderungen ist zudem zu klären, welche Komponenten on-premise, in hybriden Architekturen oder über externe Services betrieben werden dürfen.
Branchenbeispiele: Was der Blueprint konkret bedeutet
In der Fertigung kann ein KI-System zur optischen Qualitätsprüfung zunächst als Effizienzprojekt erscheinen. Sobald Fehlklassifikationen jedoch sicherheitsrelevante Produkte, Rückrufrisiken oder regulatorische Nachweispflichten betreffen, steigen die Anforderungen erheblich. Der 90-Tage-Blueprint hilft hier, Prüfgrenzen, Human Oversight an der Linie, Datenqualität und Modellmonitoring verbindlich zu definieren.
Im Finanzsektor ist Kreditscoring ein klassisches Beispiel für hohe Governance-Anforderungen. Selbst wenn nicht jedes System automatisch unter dieselben regulatorischen Kategorien fällt, sind Fairness, Erklärbarkeit, Datenherkunft, Modelländerungen und Eskalationswege geschäftskritisch. Ein strukturiertes AI-Management-System reduziert hier nicht nur Compliance-Risiken, sondern verbessert auch die Abstimmung zwischen Modellrisiko, Fachbereich und Revision.
Im Healthcare-Umfeld, etwa bei Diagnostik-Support, ist Human Oversight nicht bloß ein formaler Begriff. Es muss klar geregelt sein, wie Empfehlungen erzeugt, überprüft, dokumentiert und gegebenenfalls verworfen werden. Klinische Verantwortung, Datenqualität und Monitoring im Betrieb sind hier zentral.
Im Retail schließlich zeigt Personalisierung, dass auch vermeintlich niedrigschwellige KI-Anwendungen Governance benötigen. Themen wie Transparenz, Profilbildung, Datenschutz, Datenminimierung und Vendor-Steuerung sind unmittelbar relevant. Wer diese Anwendungen sauber dokumentiert und kontrolliert, reduziert nicht nur Rechtsrisiken, sondern verbessert auch Conversion und Kundenzufriedenheit durch konsistentere Modelle.
KPI-Set, Audit-Readiness und Anbindung an bestehende Managementsysteme
Compliance muss steuerbar sein. Deshalb sollten Unternehmen früh ein KPI-Set definieren, das sowohl regulatorische als auch operative Ziele abbildet. Dazu gehören technische Kennzahlen wie Model Drift, Daten-Drift, Fehlerraten und Re-Training-Zyklen. Hinzu kommen Governance-Kennzahlen wie Anteil dokumentierter Systeme, Durchlaufzeit bis zur Freigabe, Quote vollständig abgeschlossener AI Impact Assessments oder Anteil erfolgreich geprüfter Vendoren. In sensiblen Anwendungsfällen sollten Fairness-Metriken, False-Positive- und False-Negative-Raten sowie Incident-SLAs verbindlich überwacht werden.
Audit-Readiness entsteht, wenn diese Kennzahlen mit Nachweisen hinterlegt sind. Interne Revision, Kunden oder Behörden werden nicht nur nach Policies fragen, sondern nach gelebten Prozessen, Entscheidungen und Evidenzen. Unternehmen sollten deshalb ihre AI Governance an bestehende Managementsysteme andocken: ISO 27001 für Informationssicherheit, ISO 9001 für Prozess- und Qualitätsmanagement, GDPR für Datenschutz und DPIA-Prozesse. Diese Integration reduziert Doppelarbeit und erhöht die Akzeptanz im Unternehmen.
Für DACH-Unternehmen ist genau das der pragmatischste Weg: nicht ein weiteres isoliertes Compliance-Programm aufbauen, sondern AI Governance als Erweiterung vorhandener Steuerungsmechanismen etablieren. So wird aus regulatorischer Pflicht ein operativer Vorteil.
Fazit: 90 Tage reichen für einen belastbaren Start
Der EU AI Act und ISO/IEC 42001 sind kein Widerspruch, sondern eine sinnvolle Kombination: Regulierung auf der einen Seite, Managementsystem auf der anderen. Unternehmen, die beide Perspektiven verbinden, schaffen in 90 Tagen einen belastbaren Startpunkt für AI Compliance, ohne Innovationsfähigkeit zu blockieren.
Der geschäftliche Nutzen ist konkret: schnellere Entscheidungen, weniger Vendor-Risiken, bessere Auditierbarkeit, höhere Skalierbarkeit und mehr Vertrauen in produktive KI-Systeme. Gerade in Fertigung, Finanz, Healthcare und Retail ist das kein theoretischer Vorteil, sondern eine Voraussetzung für nachhaltige AI-Wertschöpfung im Enterprise-Kontext.
Wenn Sie prüfen möchten, wie weit Ihr Unternehmen beim Zusammenspiel von EU AI Act, ISO/IEC 42001 und operativer AI Governance bereits ist, buchen Sie ein EU AI Act Readiness Assessment oder ein unverbindliches Executive Briefing mit AIStraCon. So erhalten Sie einen klaren, priorisierten Fahrplan für Ihre nächsten 90 Tage.
