Die meisten Berater haben eines davon. Ich habe beides.
Beides zu haben zeigt mir, was andere übersehen:
ISO 42001-Zertifizierung ≠ EU-KI-VO-Konformität.
Hier überschneiden sie sich:
→ Risikomanagement-Rahmenwerke
→ Dokumentationsanforderungen
→ Grundsätze menschlicher Aufsicht
→ Transparenzpflichten
Hier tappen Unternehmen in die Falle:
1. Hochrisiko-Klassifizierung
ISO 42001 klassifiziert Ihre KI-Systeme nicht.
Die EU-KI-VO schon.
Wer das übersieht, baut Governance für die falsche Risikostufe.
2. Konformitätsbewertung
ISO 42001 ist freiwillige Selbstzertifizierung.
Die EU-KI-VO verlangt bei Hochrisiko-Systemen eine Drittprüfung.
Andere Prüfer. Andere Standards. Andere Konsequenzen.
3. Verbotene Praktiken
ISO 42001 kennt keine Verbotsliste.
Die EU-KI-VO schon.
Social Scoring. Emotionserkennung am Arbeitsplatz. Biometrische Echtzeit-Identifizierung.
Ihr Managementsystem erkennt nicht, was illegal ist.
4. Sanktionen
ISO 42001-Abweichung? Sie verlieren ein Zertifikat.
EU-KI-VO-Verstoß? Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
Die unbequeme Wahrheit:
ISO 42001 ist ein Fundament, kein Ziel.
25+ Jahre in Prüfung und prüfungsnahen Dienstleistungen haben mich gelehrt:
Compliance-Rahmenwerke ergänzen sich nicht automatisch.
Jede Lücke muss separat geprüft werden.
Das gilt auch hier.
Ihr ISO-Zertifikat beweist, dass Sie ein Managementsystem haben.
Es beweist nicht, dass Sie rechtskonform sind.
Zertifiziert ≠ konform. Beachten Sie den Unterschied.
Autor: Achim Korten, Februar 2026