AI Impact Assessment ist die systematische Bewertung der Auswirkungen eines KI-Systems auf Individuen, Gruppen und die Gesellschaft und wird in ISO 42001 Annex C als relevante Perspektive für verantwortungsvolles KI-Management beschrieben. Für Unternehmen bedeutet das: Nicht nur technische Risiken zählen, sondern auch Folgen für Fairness, Transparenz, Aufsicht, Umwelt und betroffene Personen.
Definition und Abgrenzung
Ein AI Impact Assessment bewertet die voraussichtlichen Folgen eines KI-Systems breiter als eine klassische Risikoanalyse. Während eine KI-Risikobewertung vor allem Eintrittswahrscheinlichkeit, Schadenshöhe und Kontrollen betrachtet, fragt die Folgenabschätzung zusätzlich nach gesellschaftlichen, organisatorischen und menschenbezogenen Wirkungen. Ein technisch stabiles System kann also trotzdem problematisch sein, wenn es Beschäftigte benachteiligt oder intransparente Entscheidungen erzeugt.
Relevanz für ISO 42001 und den EU AI Act
Für ISO 42001 ist das Thema relevant, weil ein AI Management System nicht nur Risiken verwalten, sondern den gesamten Lebenszyklus eines KI-Systems steuern soll. In der begleitenden ISO-42001-Forschung wird das Impact Assessment als Kernkontrolle vor Einführung und Änderung eines Systems beschrieben; ergänzend existiert mit ISO/IEC 42005:2025 ein spezialisierter Standard für AI System Impact Assessment.
Für den EU AI Act ist die Folgenperspektive vor allem dort wichtig, wo Grundrechte betroffen sein können. Art. 27 EU-VO 2024/1689 verlangt für bestimmte Betreiber eines Hochrisiko-KI-Systems eine Grundrechte-Folgenabschätzung vor dem Einsatz. Diese spezielle Prüfung ist nicht identisch mit jedem AI Impact Assessment, aber sie ist dessen rechtlich schärfste Ausprägung. Die Verbindung ist einfach: Das allgemeine AI Impact Assessment ist ein Governance-Instrument, die Grundrechte-Folgenabschätzung nach Art. 27 ist ein konkreter Rechtsfall.
Zusätzlich passt das Thema zu Art. 9 EU-VO 2024/1689, weil Hochrisiko-KI ein Risikomanagementsystem benötigt. Wer Auswirkungen früh bewertet, erkennt eher, welche Kontrollen zu Datenqualität, menschlicher Aufsicht, Transparenz und Monitoring später wirklich notwendig sind.
AI Impact Assessment vs. Risk Assessment
| Kriterium | AI Impact Assessment | Risk Assessment |
|---|---|---|
| Leitfrage | Welche Auswirkungen hat das System auf Menschen, Prozesse und Gesellschaft? | Welche Risiken entstehen und wie werden sie kontrolliert? |
| Fokus | Folgen, Stakeholder, Fairness, Transparenz, Umwelt, Rechte | Wahrscheinlichkeit, Schaden, Kontrollen, Restrisiko |
| Zeitpunkt | Vor Deployment und bei wesentlichen Änderungen | Laufend über den gesamten Lebenszyklus |
| Typischer Nutzen | Frühwarnung für unerwünschte Nebenwirkungen | Priorisierung und Steuerung von Risiken |
| Rechtsnähe | Anknüpfungspunkt für Art. 27 bei bestimmten Hochrisiko-Fällen | Enge Verbindung zu Art. 9 Risikomanagement |
Praxisbeispiel aus einem KMU
Ein Maschinenbauunternehmen mit 180 Mitarbeitenden führt ein KI-System ein, das Bewerbungen vorsortiert und Eignungsprofile für technische Rollen erstellt. Die reine Risikoanalyse würde vor allem Stabilität, Zugriffe und Fehlfunktionen prüfen. Ein AI Impact Assessment fragt zusätzlich, ob bestimmte Altersgruppen oder Ausbildungswege benachteiligt werden, ob Recruiter die Ergebnisse kritisch prüfen können und welche Folgen Fehlklassifikationen für Bewerber haben.
So erkennt das Unternehmen schon vor dem Rollout, dass menschliche Aufsicht, dokumentierte Ablehnungsgründe und Stichproben auf Verzerrungen wichtiger sind als eine rein technische Erfolgsquote. Falls das System in einen Hochrisiko-Kontext fällt, wird die Abgrenzung zu Art. 27 zusätzlich relevant.
Welche Kategorien typischerweise geprüft werden
Ein brauchbares AI Impact Assessment deckt betroffene Personen, Gruppen, interne Prozesse und mittelbare gesellschaftliche Folgen ab. In der Praxis werden häufig Fairness, Transparenz, Datenschutz, menschliche Aufsicht, Sicherheit, Robustheit, Umweltwirkung und Rechenschaft dokumentiert. Zentral ist die Stakeholder-Frage: Wer ist betroffen, wer kann geschädigt werden und wer muss Ergebnisse nachvollziehen können?
Was Unternehmen praktisch tun sollten
Unternehmen sollten ein AI Impact Assessment als festen Freigabeschritt vor produktivem Einsatz definieren. Dafür genügt im Mittelstand oft ein schlankes Template mit Systemzweck, Betroffenengruppen, Wirkungskategorien, geplanten Kontrollen, Freigabe und Review-Termin. Wer tiefer einsteigen will, findet im ISO-42001-Leitfaden den passenden Rahmen; für die operative Umsetzung ist die EU-AI-Act-Schulung der naheliegende nächste Schritt.
FAQ
Was ist ein AI Impact Assessment?
Ein AI Impact Assessment bewertet systematisch, welche Auswirkungen ein KI-System auf Menschen, Gruppen, Prozesse und die Gesellschaft haben kann.
Wann ist ein AI Impact Assessment erforderlich?
Erforderlich ist es immer dann, wenn ein KI-System spürbare Auswirkungen auf Betroffene oder kritische Prozesse haben kann. Rechtlich zwingend wird die Prüfung bei bestimmten Betreibern von Hochrisiko-KI über Art. 27.
Was ist der Unterschied zum Risk Assessment?
Das Risk Assessment priorisiert Risiken und Kontrollen. Das AI Impact Assessment bewertet breiter die Folgen für Menschen, Gruppen und Organisation.
Welche Kategorien werden bewertet?
Typisch sind Fairness, Transparenz, Datenschutz, menschliche Aufsicht, Sicherheit, Robustheit, Umweltwirkung und Rechenschaft.
Wer führt das AI Impact Assessment durch?
In der Praxis sollte ein interdisziplinäres Team aus Fachbereich, Compliance, Datenschutz und IT die Bewertung gemeinsam durchführen.