Compliance

ISO/IEC 42001 für Krankenhäuser.

ISO/IEC 42001 beschreibt ein Managementsystem für Künstliche Intelligenz. Es hilft Organisationen, KI-Systeme verantwortungsvoll, nachvollziehbar und steuerbar einzuführen und zu betreiben, und ergänzt die EU-KI-Verordnung um die organisatorische Umsetzungsebene.

KI-Managementsystem

Ein Managementsystem für KI, analog zu ISO 27001 und 9001.

ISO/IEC 42001:2023 ist die erste internationale Norm für ein KI-Managementsystem (AI Management System, kurz AIMS). Sie folgt der bekannten Plan-Do-Check-Act-Logik und der Harmonized Structure, mit der auch ISO 27001 (Informationssicherheit) und ISO 9001 (Qualitätsmanagement) aufgebaut sind. Damit lässt sie sich in bestehende Managementsystem-Strukturen einer Klinik integrieren.

Im Mittelpunkt steht der Annex A mit Controls, die KI-spezifische Themen wie Risiko, Daten-Governance, Lieferanten, Lifecycle und menschliche Aufsicht systematisch abdecken. Ergänzend liefern ISO/IEC 23894 (KI-Risikomanagement) und ISO/IEC 42005 (KI-Impact-Assessment) Leitlinien für die konkrete Umsetzung.

Mehrwert

Warum ISO/IEC 42001 für regulierte Organisationen sinnvoll ist.

Krankenhäuser und andere regulierte Organisationen müssen KI-Einsatz dokumentiert, geprüft und steuerbar betreiben. Ein AIMS schafft dafür den verbindlichen Rahmen, statt einzelne Pflichten verstreut zu erfüllen.

Auditierbare KI-Governance
Ein dokumentiertes Managementsystem bündelt Policies, Rollen, Risiken und Nachweise an einer Stelle und wird damit für interne Revision und externe Prüfungen belastbar nachvollziehbar.
EU-AI-Act-Pflichten konsolidiert
Risikomanagement, Daten-Governance, Dokumentation und menschliche Aufsicht aus der Verordnung (EU) 2024/1689 werden in einen einheitlichen Prozessrahmen überführt, statt sie verstreut zu betreiben.
Lieferanten- und Anbietersteuerung
Verträge, Prüfungen und Pflichten gegenüber KI-Anbietern lassen sich systematisch ableiten. Das schafft Klarheit über Verantwortung und Haftung zwischen Klinik und Hersteller.
Anschluss an bestehende Managementsysteme
ISO/IEC 42001 folgt der Harmonized Structure und integriert sich in vorhandene Strukturen nach ISO 27001 (Informationssicherheit) oder ISO 9001 (Qualitätsmanagement), ohne Parallelwelten aufzubauen.

Mapping

AIMS operationalisiert die AI-Act-Pflichten.

Die EU-KI-Verordnung beschreibt das Was, ISO/IEC 42001 ordnet das Wie. Die folgende Übersicht ordnet zentrale Pflichten der Verordnung den Strukturelementen eines KI-Managementsystems zu. Sie ersetzt keine Eins-zu-eins-Konformitätsbewertung, zeigt aber die organisatorische Anschlussfähigkeit.

Risikomanagementsystem über den gesamten Lebenszyklus
Art. 9
AIMS-Risikoprozess mit kontinuierlicher Identifikation, Bewertung und Behandlung von KI-spezifischen Risiken.
ISO/IEC 42001, Klausel 6.1 und Annex A.5
Daten-Governance und Qualitätsanforderungen an Trainings- und Testdaten
Art. 10
Datenmanagement-Controls mit Anforderungen an Herkunft, Repräsentativität, Qualität und Schutz personenbezogener Daten.
ISO/IEC 42001, Annex A.7
Wirksame menschliche Aufsicht über Hochrisiko-Systeme
Art. 14
Rollen, Verantwortlichkeiten und Kompetenznachweise für Personen, die KI-Systeme überwachen und Entscheidungen tragen.
ISO/IEC 42001, Klausel 5.3 und Annex A.3
Betreiberpflichten der Klinik (Deployer)
Art. 26
Betriebsprozesse für Einsatz, Überwachung, Vorfallmeldungen und Protokollierung im Regelbetrieb.
ISO/IEC 42001, Annex A.8 und A.9

Bausteine

Was ein KI-Managementsystem ausmacht.

Sechs Bausteine, die in jedem AIMS aufeinander aufbauen, von der strategischen Leitlinie bis zur kontinuierlichen Verbesserung.

KI-Policy und Kontext
Strategische KI-Leitlinie, Festlegung des Anwendungsbereichs sowie der internen und externen Anforderungen an die Organisation.
Rollen und Verantwortlichkeiten
Klare Zuweisung von Verantwortung, Kompetenz und Befugnis für KI-Entscheidungen, von der Geschäftsführung bis in den Klinikbetrieb.
KI-Risiko und Impact-Assessment
Systematische Bewertung von Risiken und Auswirkungen auf Patientinnen, Patienten, Beschäftigte und Dritte, ergänzt durch die Empfehlungen aus ISO/IEC 42005.
Lifecycle-Steuerung
Governance über den gesamten Lebenszyklus eines KI-Systems: von Auswahl und Inbetriebnahme über Änderungen bis zur geordneten Außerbetriebnahme.
Lieferanten und Drittsysteme
Anforderungen, Verträge und Prüfungen gegenüber KI-Anbietern, einschließlich Sub-Anbietern und externer Datenquellen.
Internes Audit und Management-Review
Regelmäßige interne Audits, Wirksamkeitskontrolle und Management-Review als Grundlage für die kontinuierliche Verbesserung des Systems.

Beratungsleistung

AIMS-Aufbau und -Implementierung, individuell für Ihre Organisation.

Kein Standard-Template, sondern ein Managementsystem, das zur Größe, zum Versorgungsauftrag und zu den bereits vorhandenen Strukturen Ihrer Organisation passt. Ich begleite Sie professionell beim Aufbau und der Implementierung eines AIMS nach ISO/IEC 42001, mit klarem Fokus auf praktische Anwendbarkeit im Klinik- oder Organisationsalltag.

Standort- und Reifegradanalyse
Aufnahme bestehender Managementsysteme, KI-Use-Cases und Verantwortlichkeiten als Grundlage für ein passgenaues AIMS-Konzept.
Individuelles AIMS-Konzept
Scope, Aufbauplan und Integration in vorhandene ISMS-, QMS- oder Compliance-Strukturen, abgestimmt auf Größe und Versorgungsauftrag der Organisation.
Policies, Rollen und Befugnisse
Erarbeitung von KI-Leitlinie, Verantwortlichkeitsmatrix und Befugnisregelungen gemeinsam mit Leitung, Datenschutz, IT und Fachbereichen.
KI-Risiko- und Impact-Assessments
Strukturierte Bewertung von Risiken und Auswirkungen je Use Case, einschließlich Ableitung und Verfolgung wirksamer Maßnahmen.
Lifecycle- und Lieferantenprozesse
Aufbau dokumentierter Prozesse für Auswahl, Betrieb, Änderung und Außerbetriebnahme von KI-Systemen sowie für die Steuerung von Anbietern und Drittsystemen.
Schulung und Auditvorbereitung
Befähigung der KI-Verantwortlichen, Vorbereitung interner Audits und Management-Review als Grundlage für die Auditreife des AIMS.

Mein Vorgehen

In sechs Phasen zum auditfähigen AIMS.

Der Aufbau eines KI-Managementsystems lässt sich strukturieren. Sechs Phasen, jeweils mit klar abgrenzbaren Ergebnissen, an die sich anknüpfen lässt, ohne den Klinikbetrieb zu überfordern.

01
Standortbestimmung
Reifegrad, vorhandene Managementsysteme und KI-Einsatzbild aufnehmen, inklusive Anknüpfung an den KI-Reifegrad-Check.
02
Scope und Kontext
Anwendungsbereich des AIMS festlegen, interessierte Parteien und regulatorischen Rahmen sauber dokumentieren.
03
Policy und Rollen
KI-Leitlinie, Verantwortlichkeiten und Kompetenzanforderungen ausarbeiten und mit der Leitung verabschieden.
04
Risiko- und Impact-Assessment
KI-spezifische Risiken und Auswirkungen je Use Case bewerten, Maßnahmen ableiten und Verantwortliche benennen.
05
Lifecycle- und Lieferantenprozesse
Prozesse für Auswahl, Betrieb, Änderung und Außerbetriebnahme von KI-Systemen sowie für Anbieter- und Vertragssteuerung etablieren.
06
Internes Audit und Management-Review
Internes Auditprogramm vorbereiten, erste Auditrunde begleiten und das Management-Review als Grundlage für die externe Zertifizierungsreife strukturieren.

01
Standortbestimmung
Reifegrad, vorhandene Managementsysteme und KI-Einsatzbild aufnehmen, inklusive Anknüpfung an den KI-Reifegrad-Check.
02
Scope und Kontext
Anwendungsbereich des AIMS festlegen, interessierte Parteien und regulatorischen Rahmen sauber dokumentieren.
03
Policy und Rollen
KI-Leitlinie, Verantwortlichkeiten und Kompetenzanforderungen ausarbeiten und mit der Leitung verabschieden.
04
Risiko- und Impact-Assessment
KI-spezifische Risiken und Auswirkungen je Use Case bewerten, Maßnahmen ableiten und Verantwortliche benennen.
05
Lifecycle- und Lieferantenprozesse
Prozesse für Auswahl, Betrieb, Änderung und Außerbetriebnahme von KI-Systemen sowie für Anbieter- und Vertragssteuerung etablieren.
06
Internes Audit und Management-Review
Internes Auditprogramm vorbereiten, erste Auditrunde begleiten und das Management-Review als Grundlage für die externe Zertifizierungsreife strukturieren.

Mit Standortbestimmung starten Pflichten aus dem EU AI Act ansehen

Wichtige Hinweise

Zertifizierung erfolgt durch akkreditierte Stellen.

ISO/IEC 42001 begleite ich auf der organisatorischen Ebene: AIMS-Aufbau, Policies, Risiko- und Impact-Assessments, Lieferantenprozesse, Vorbereitung interner Audits. Die formelle Zertifizierung erfolgt ausschließlich durch akkreditierte Zertifizierungsstellen und ist nicht Gegenstand dieser Beratung.

Die Akkreditierungslandschaft für ISO/IEC 42001 befindet sich in Deutschland und Europa noch im Aufbau. Sinnvoll ist deshalb der Aufbau eines auditfähigen Managementsystems, das je nach Marktlage in eine externe Zertifizierung überführt werden kann.

Quellen

Primärquellen zur ISO/IEC 42001.

ISO/IEC 42001:2023, Information technology, Artificial intelligence, Management systemhttps://www.iso.org/standard/42001
ISO/IEC 42005:2025, Artificial intelligence, AI system impact assessmenthttps://www.iso.org/standard/42005
ISO/IEC 23894:2023, Artificial intelligence, Guidance on risk managementhttps://www.iso.org/standard/77304.html
Verordnung (EU) 2024/1689, konsolidierte deutsche Fassunghttps://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202401689
BSI, Generative KI-Modelle: Chancen und Risiken für Industrie und Behördenhttps://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KI/Generative_KI-Modelle.html
BfArM, Bundesgesundheitsblatt 8/2025: Künstliche Intelligenz im Gesundheitswesenhttps://www.bfarm.de/DE/Aktuelles/Publikationen/Bundesgesundheitsblatt/2025-08/_node.html

Kontakt

Lassen Sie uns über Ihr Projekt sprechen.

Kostenloses Erstgespräch, unverbindlich, vertraulich und fokussiert auf Ihre konkrete Fragestellung.

Erstgespräch per E-Mail anfragen +49 160 913 86 151