KI-Risikobewertung bedeutet, Risiken eines KI-Systems systematisch zu identifizieren, zu bewerten und in geeignete Maßnahmen zu übersetzen. Sie ist damit die praktische Grundlage dafür, dass Unternehmen Gefahren für Sicherheit, Grundrechte, Datenqualität und Geschäftsprozesse früh erkennen, statt erst auf Vorfälle zu reagieren.
Definition
Eine KI-Risikobewertung prüft, welche Schäden oder Fehlwirkungen ein KI-System verursachen kann, wie wahrscheinlich diese Risiken sind und welche Kontrollen erforderlich werden. Anders als eine rein technische Prüfung umfasst sie auch organisatorische, rechtliche und betriebliche Folgen, etwa Diskriminierung, Fehlentscheidungen, Intransparenz, Sicherheitsmängel oder unklare Verantwortlichkeiten.
Für Unternehmen ist wichtig: Die Risikobewertung ist kein einmaliges Formular zum Projektstart. Sie muss mit dem Lebenszyklus des Systems mitwachsen, also bei Beschaffung, Entwicklung, Einführung, Änderung und laufendem Betrieb aktualisiert werden. Deshalb ist sie eng mit dem Risikomanagement-System verbunden.
Relevanz für ISO 42001 und den EU AI Act
KI-Risikobewertung ist im EU AI Act vor allem deshalb zentral, weil Art. 9 EU-VO 2024/1689 für Hochrisiko-KI-Systeme ein fortlaufendes Risikomanagement verlangt. Anbieter müssen Risiken nicht nur vor dem Inverkehrbringen erfassen, sondern über den gesamten Lebenszyklus analysieren, bewerten und mindern. Für Unternehmen, die solche Systeme entwickeln oder wesentlich verändern, ist die Risikobewertung daher kein Zusatzthema, sondern Kern der Compliance.
Auch für Betreiber ist das Thema relevant, selbst wenn sie nicht selbst Anbieter sind. Wer KI in Personalprozessen, Kreditprüfung, Qualitätskontrolle oder ähnlichen sensiblen Abläufen einsetzt, muss die tatsächlichen Auswirkungen im eigenen Nutzungskontext verstehen. Der AI Act trennt zwar zwischen Anbieter- und Betreiberpflichten, aber ohne belastbare Risikobewertung lassen sich interne Freigabe, menschliche Aufsicht und Dokumentation praktisch nicht sauber steuern.
ISO/IEC 42001 ergänzt diese Rechtslogik auf Managementebene. Klausel 6.1 verlangt Maßnahmen zum Umgang mit Risiken und Chancen im KI-Managementsystem. Zusätzlich beschreibt Annex A.5.4 die Bewertung und Behandlung von KI-Risiken als operativen Kontrollbereich. Für viele mittelständische Unternehmen ist genau das der Mehrwert von ISO 42001: Die Norm übersetzt abstrakte Pflichten in wiederholbare Prozesse, Verantwortlichkeiten und Nachweise.
Gleichzeitig sollte man die Grenzen kennen. ISO 42001 ersetzt den EU AI Act nicht. Die Norm schafft einen Governance-Rahmen, deckt aber nicht automatisch alle spezifischen Rechtsanforderungen ab. Besonders bei hochriskanten Anwendungen bleiben die gesetzlichen Detailpflichten aus Art. 9, Art. 10, Art. 11, Art. 14 und Art. 15 eigenständig zu prüfen. Wer tiefer in die organisatorische Umsetzung einsteigen will, findet dazu einen Einstieg im ISO-42001-Leitfaden.
Praxisbeispiel aus dem KMU-Alltag
Ein Maschinenbauunternehmen mit 180 Beschäftigten führt ein KI-System ein, das Serviceanfragen priorisiert und automatisch Wartungsfälle mit hoher Ausfallwahrscheinlichkeit markiert. Auf den ersten Blick wirkt das wie ein reines Effizienzprojekt. Die KI-Risikobewertung zeigt jedoch schnell mehrere Ebenen: Das Modell könnte Störungen falsch priorisieren, wodurch kritische Kundenfälle zu spät bearbeitet werden. Es könnte ältere Maschinendaten systematisch schlechter bewerten, weil Trainingsdaten lückenhaft sind. Und es könnte für das Serviceteam so intransparent sein, dass fehlerhafte Empfehlungen ungeprüft übernommen werden.
Eine belastbare Risikobewertung würde hier mindestens fünf Fragen beantworten: Welche Entscheidungen beeinflusst das System tatsächlich? Welche Schäden entstehen bei Fehlklassifikationen? Welche Datenqualität liegt vor? Wo ist menschliche Prüfung zwingend? Und wie werden Vorfälle oder Leistungsabfälle später erkannt? Das Ergebnis ist nicht nur eine Risikoliste, sondern ein Maßnahmenpaket: Schwellenwerte für manuelle Eskalation, Testfälle für kritische Szenarien, klare Rollen im Betrieb und regelmäßige Überprüfung der Modellleistung.
Genau an dieser Stelle zeigt sich die Nähe zu einer Grundrechte-Folgenabschätzung, auch wenn beide Begriffe nicht deckungsgleich sind. Die KI-Risikobewertung ist breiter und umfasst auch betriebliche sowie technische Schäden. Die Grundrechte-Perspektive wird besonders wichtig, wenn ein System erhebliche Auswirkungen auf Personen haben kann.
Verwandte Begriffe und Abgrenzung
KI-Risikobewertung wird oft mit allgemeinem Projekt-Risikomanagement verwechselt. Der Unterschied liegt im Prüfgegenstand: Bewertet werden nicht nur Budget-, Termin- oder IT-Risiken, sondern spezifische Wirkungen von KI, etwa Bias, fehlende Erklärbarkeit, Modell-Drift oder ungeeignete Trainingsdaten. Deshalb gehören auch Daten-Governance und Menschliche Aufsicht regelmäßig in denselben Prozess.
Nahe verwandt ist außerdem das Konzept eines AI Impact Assessment. In der Praxis wird der Begriff oft für strukturierte Vorabprüfungen genutzt, bevor ein System eingeführt oder wesentlich geändert wird. Nicht jedes Unternehmen braucht dafür ein umfangreiches Gutachten. Für KMU reicht häufig ein klarer, wiederholbarer Prüfprozess mit festen Fragen, Verantwortlichen und Freigabekriterien.
Was Unternehmen jetzt tun sollten
Unternehmen sollten KI-Risikobewertung als festen Governance-Prozess definieren, nicht als Einzelmaßnahme im Fachbereich. Sinnvoll ist ein einfacher Standardablauf: System erfassen, Einsatzkontext beschreiben, Risiken bewerten, Maßnahmen festlegen, Verantwortliche benennen und Ergebnisse regelmäßig überprüfen. Wenn Teams dafür noch keine gemeinsame Basis haben, ist eine praxisnahe EU AI Act Schulung meist der schnellste Startpunkt.