Die wesentlichen Rollen im Vergleich:
Zentrale Rollen in ISO 42001:
→ Oberste Leitung
→ Zugewiesene verantwortliche Person(en) für das KI-Management System
→ Unter der Kontrolle der Organisation arbeitende Person(en)
→ KI-Systemeigentümer
→ Interne Auditfunktion
→ Externe Anbieter
Akteure nach der KI-VO:
→ Anbieter
→ Betreiber
→ Bevollmächtigter
→ Einführer
→ Händler
→ Akteur
→ Nachgeschalteter Anbieter
Keine Überschneidung.
Warum? Weil beide Rahmenwerke völlig unterschiedliche Zwecke erfüllen.
ISO 42001 fragt: Wer steuert KI intern?
Die KI-VO fragt: Wer haftet rechtlich in der Lieferkette?
Der KI-Systemeigentümer hat kein Äquivalent in der KI-VO.
Die Anbieterpflichten haben kein Äquivalent in ISO 42001.
Die unbequeme Wahrheit:
Ein Framework auf das andere zu mappen ist Zeitverschwendung.
ISO 42001 sagt nicht, ob ein Unternehmen Anbieter oder Betreiber ist.
Die KI-VO sagt nicht, wer das KI-Managementsystem verantworten soll.
Unterschiedliche Fragen, unterschiedliche Antworten, unterschiedliche Konsequenzen.
Ich habe erlebt, wie Unternehmen annahmen, ihre ISO-Rollen decken die rechtlichen Anforderungen ab.
Tun sie nicht. Ich habe das inzwischen mehr als ein Dutzend Mal diskutiert.
Ein Kunde dachte, sein KI-Systemeigentümer erfülle die Anbieterpflichten.
Tat er nicht.
Die Lücken sind real.
Sie lassen nicht mappen.
Die ISO 42001-Rollen steuern das Managementsystem.
Die KI-VO-Rollen bestimmen die rechtliche Haftung.
Unternehmen brauchen beides.
Getrennt.
Zertifiziert ≠ konform.
Die Rollen beweisen es.
Autor: Achim Korten, Februar 2026