ISO 42005 ist der internationale Standard für die Folgenabschätzung von KI-Systemen und bietet Organisationen einen strukturierten Rahmen, um gesellschaftliche, ethische und rechtliche Auswirkungen systematisch zu bewerten.
Definition
ISO/IEC 42005:2025 beschreibt, wie ein AI Impact Assessment aufgebaut wird. Im Kern geht es darum, vorhersehbare positive und negative Auswirkungen eines KI-Systems auf Einzelpersonen, Gruppen und die Gesellschaft zu identifizieren, zu bewerten, zu dokumentieren und regelmäßig zu überprüfen. Der Standard betrachtet nicht nur Fehlerrisiken, sondern auch Fairness, Transparenz, Aufsicht und mögliche Folgewirkungen im realen Einsatz.
Wichtig ist die Abgrenzung: ISO 42005 ist keine Managementnorm wie ISO 42001 und keine reine Risikonorm wie KI-Risikobewertung. Sie fokussiert gezielt auf die strukturierte Folgenabschätzung eines konkreten KI-Systems im Nutzungskontext. Für datenintensive Vorhaben kann das eng mit der DSFA oder einer Grundrechte-Folgenabschätzung zusammenhängen.
Relevanz für ISO 42001 und den EU AI Act
Für ISO 42001 ist ISO 42005 vor allem deshalb wichtig, weil sich Folgenabschätzungen sauber in das KI-Managementsystem einbetten lassen. ISO/IEC 42001:2023 verlangt in Klausel 6.1 den Umgang mit Risiken und Chancen, in Klausel 8 die operative Steuerung von KI-Systemen und in Klausel 9 die Überwachung und Bewertung. ISO 42005 liefert dafür die tiefere Methodik.
Für den EU AI Act ist die Norm ebenfalls relevant, auch wenn sie keine gesetzliche Pflicht ersetzt. Art. 9 EU-VO 2024/1689 verlangt ab dem 2. August 2026 ein dokumentiertes Risikomanagement für Hochrisiko-KI-Systeme über den gesamten Lebenszyklus. Art. 27 EU-VO 2024/1689 verpflichtet bestimmte Betreiber vor dem Einsatz zu einer Grundrechte-Folgenabschätzung. ISO 42005 kann beide Anforderungen methodisch unterstützen.
Dabei ist ein Punkt wichtig: ISO 42005 ist seit Mai 2025 als ISO/IEC 42005:2025 veröffentlicht und nicht mehr nur ein Entwurf. Unternehmen können den Standard deshalb bereits heute als belastbaren Referenzrahmen nutzen, etwa zusammen mit dem ISO-42001-Leitfaden oder einer EU AI Act Schulung, wenn Governance und Regulierung zusammengeführt werden sollen.
ISO 42005 vs. ISO 42001
| Aspekt | ISO 42005 | ISO 42001 |
|---|---|---|
| Fokus | KI-Folgenabschätzung eines Systems | KI-Managementsystem der Organisation |
| Ziel | Auswirkungen erkennen, bewerten, dokumentieren | Governance, Rollen, Prozesse und Verbesserung steuern |
| Betrachtungsebene | Konkreter Use Case und Nutzungskontext | Gesamtes AIMS im Unternehmen |
| Typischer Einsatz | Vor Einführung, bei Änderungen, bei sensiblen KI-Anwendungen | Dauerhafte organisatorische Steuerung von KI |
| Bezug zum AI Act | Unterstützt Art. 9 und Art. 27 methodisch | Unterstützt Governance und Nachweisfähigkeit breiter |
Praxisbeispiel aus dem KMU-Alltag
Ein Handelsunternehmen mit 220 Beschäftigten führt ein KI-System ein, das Bewerbungen vorsortiert und Intervieweinladungen priorisiert. Die ISO-42005-Perspektive stellt dazu Fragen: Welche Gruppen sind besonders betroffen? Können bestimmte Lebensläufe systematisch benachteiligt werden? Verstehen Recruiter, wann sie Empfehlungen übersteuern müssen?
Ein AI Impact Assessment nach ISO 42005 würde hier nicht bei der Modellgenauigkeit stehen bleiben. Es würde den Einsatzkontext beschreiben, betroffene Stakeholder einbeziehen, mögliche Diskriminierungsfolgen bewerten und Eskalationswege definieren.
Verwandte Begriffe
Nahe Begriffe sind KI-Risikobewertung, DSFA und Grundrechte-Folgenabschätzung. Die KI-Risikobewertung fragt breiter nach Gefahren und Kontrollen, die DSFA nach Datenschutzrisiken gemäß Art. 35 DSGVO und die Grundrechte-Folgenabschätzung nach den spezifischen Auswirkungen bestimmter Hochrisiko-KI-Systeme unter Art. 27 AI Act.