ISO 42001 AI Impact Assessment
ISO 42001 AI Impact Assessment ist die systematische Bewertung der Auswirkungen eines KI-Systems auf Individuen, Gruppen und die Gesellschaft und wird in Annex C des Standards fachlich konkretisiert. Unternehmen sollten die Bewertung vor Deployment, bei wesentlichen Änderungen und immer dann durchführen, wenn sensible Betroffene, Hochrisiko-Kontexte oder erhebliche Auswirkungen auf Rechte, Chancen oder Umwelt im Raum stehen.
Letzte Aktualisierung: 23. März 2026
Das AI Impact Assessment ergänzt die klassische ISO-42001-Leitfaden-Perspektive um die Außenwirkung eines Systems. Während die Risikoanalyse vor allem auf Governance, Steuerung und Zielerreichung schaut, bewertet die Folgenabschätzung, was ein KI-System bei Bewerbern, Beschäftigten, Kunden, Bürgern, Lieferketten oder der Öffentlichkeit tatsächlich auslösen kann. Genau deshalb ist sie auch eng mit ISO 42001, der Grundrechte-Folgenabschätzung, dem Beitrag Was ist ISO 42001? und unserer ISO 42001 Schulung verknüpft.
Was ist ein AI Impact Assessment nach ISO 42001?
Ein AI Impact Assessment nach ISO 42001 ist die dokumentierte Bewertung der vorhersehbaren Auswirkungen eines KI-Systems auf externe Betroffene und gesellschaftliche Zusammenhänge. Clause 6.1.4 von ISO/IEC 42001:2023 verankert das Thema in der Planung des AIMS: Organisationen müssen prüfen, ob für ein KI-System eine Auswirkungsbewertung erforderlich ist, und diese Bewertung bei Bedarf systematisch durchführen.
Der Kernunterschied zur Risikoanalyse ist einfach. Die Risikoanalyse fragt zuerst, welche Risiken ein System für die Organisation, ihre Ziele, ihre Prozesse oder ihre Compliance erzeugt. Das AI Impact Assessment fragt zusätzlich, welche Folgen ein System für Menschen außerhalb der Organisation haben kann. Dazu gehören Diskriminierung, Verlust von Transparenz, Einschränkungen menschlicher Autonomie, Nachteile für vulnerable Gruppen, Umweltauswirkungen oder Vertrauensverluste in sensible Prozesse.
Annex C von ISO 42001 liefert dafür die fachliche Linse: Er beschreibt Zielsetzungen, Risikoquellen und typische Wirkungsbereiche von KI-Systemen über den gesamten Lebenszyklus. Für die Praxis bedeutet das, dass ein Unternehmen nicht nur Trainingsdaten, Modelle und Kontrollen dokumentiert, sondern auch den realen Einsatzkontext, die betroffenen Personengruppen, die gesellschaftliche Relevanz und mögliche Sekundäreffekte bewertet.
Von der DSFA nach Art. 35 DSGVO ist das AI Impact Assessment klar abzugrenzen. Die DSFA fokussiert auf die Verarbeitung personenbezogener Daten und die daraus resultierenden Risiken für Rechte und Freiheiten betroffener Personen. Das AI Impact Assessment ist breiter angelegt: Es umfasst auch Folgen ohne unmittelbaren Datenschutzbezug, etwa unfaire Zugangschancen, mangelnde Nachvollziehbarkeit, ökologische Lasten oder Folgen für Beschäftigung und gesellschaftliche Teilhabe. Noch enger ist die Abgrenzung zur Grundrechte-Folgenabschätzung nach Art. 27 EU-VO 2024/1689. Diese FRIA ist ein gesetzlich definierter Prüfbaustein für bestimmte Hochrisiko-KI-Systeme und konzentriert sich speziell auf Grundrechte. Das AI Impact Assessment kann die FRIA vorbereiten oder integrieren, ersetzt ihre rechtliche Prüfung aber nicht.
Praktisch ist das AI Impact Assessment damit kein optionales Papier für Audits, sondern ein Governance-Instrument. Es zwingt Unternehmen dazu, Nutzen und Schaden nebeneinander zu dokumentieren, Stakeholder bewusst einzubeziehen und vor der Einführung eines Systems belastbare Annahmen über Auswirkungen zu treffen. Wer ISO 42001 wirklich operativ umsetzt, sollte das Thema deshalb nicht isoliert behandeln, sondern mit dem allgemeinen Governance-Modell, dem Überblick Was ist ISO 42001? und praxisnahen Vertiefungen wie ISO 42001 für Geschäftsführer verbinden.
Wann ist ein AI Impact Assessment nötig?
Ein AI Impact Assessment ist nötig, sobald die Wahrscheinlichkeit erheblicher Auswirkungen auf Menschen, Gruppen oder Gesellschaft nicht mehr nur theoretisch ist. ISO 42001 nennt keine starre numerische Schwelle, verlangt aber eine nachvollziehbare Entscheidung, wann die Bewertung erforderlich ist. In der Praxis sollten Unternehmen feste Trigger definieren, damit die Pflicht nicht vom Bauchgefühl einzelner Projektteams abhängt.
Typische Trigger sind erstens KI-Systeme in sensiblen Entscheidungskontexten, etwa Recruiting, Kreditvergabe, Versicherungsprüfung, Bildung, Gesundheitsversorgung, Mitarbeiterbewertung oder Zugang zu öffentlichen Leistungen. Zweitens sind Systeme mit vielen Betroffenen oder mit besonders verletzlichen Zielgruppen kritisch, etwa Kinder, Beschäftigte, Bewerber oder Personen mit eingeschränkten Ausweichmöglichkeiten. Drittens steigt der Bedarf, wenn ein System stark automatisiert ist, geringe Transparenz bietet oder erhebliche Folgen für Chancen, Rechte oder Behandlung einzelner Personen auslösen kann.
Besonders relevant wird das Thema bei Hochrisiko-KI im Sinne von Art. 6 EU AI Act und den Anwendungsfällen in Anhang III. Dort ist die Frage nicht mehr, ob Auswirkungen denkbar sind, sondern wie sie dokumentiert, bewertet und gesteuert werden. Das AI Impact Assessment ist zwar nicht identisch mit den rechtlichen Pflichten des EU AI Act, aber es schafft genau die Bewertungslogik, die Unternehmen für Hochrisiko-Systeme ohnehin brauchen: Wer ist betroffen, welche Schäden sind plausibel, welche Schutzmaßnahmen sind nötig, welche Restrisiken bleiben vertretbar?
Auch unterhalb der Hochrisiko-Schwelle kann ein AI Impact Assessment erforderlich sein. Ein internes Copilot-System für Wissensarbeit ist oft weniger kritisch als ein Screening-System für Bewerber. Trotzdem kann auch bei generativer KI eine Folgenabschätzung sinnvoll sein, wenn vertrauliche Daten verarbeitet werden, systematische Fehlinformationen erhebliche Entscheidungen beeinflussen oder Mitarbeitende KI-Outputs ungeprüft übernehmen. Die richtige Frage lautet daher nicht nur: „Ist das System Hochrisiko?“ Sondern: „Kann dieses System für reale Betroffene spürbare Nachteile oder strukturelle Verschiebungen auslösen?“
Wesentlich ist außerdem die laufende Aktualisierung. Ein einmal erstelltes Dokument reicht nicht aus, wenn sich Modell, Daten, Anbieter, Use Case oder Zielgruppe ändern. Typische Re-Assessment-Trigger sind Retraining, neue Datenquellen, geänderte Schwellenwerte, neue Länder, neue Fachbereiche, neue betroffene Personengruppen, Vendor-Wechsel, Vorfälle oder neue behördliche Leitlinien. Als Mindeststandard sollten Unternehmen einen jährlichen Review festlegen und zusätzlich jede wesentliche Änderung als Anlass für eine neue Bewertung behandeln.
Für die Governance ist es sinnvoll, diese Trigger in einer Richtlinie festzuschreiben. So lässt sich sauber dokumentieren, warum ein Projekt ein volles AI Impact Assessment benötigt, warum ein anderes nur eine Kurzbewertung bekommt und wann eine frühere Einschätzung nicht mehr ausreicht. Genau diese Trennschärfe unterstützt auch die allgemeine ISO-42001-Governance, weil Risiko- und Folgenperspektive dann konsistent aus einem Freigabeprozess heraus gesteuert werden.
Schritt-für-Schritt-Anleitung
Ein belastbares AI Impact Assessment folgt einer klaren Methodik statt einer losen Checkliste. In der Praxis hat sich ein Sieben-Schritte-Modell bewährt, das Clause 6.1.4, Annex C und die spätere Anschlussfähigkeit an DSFA oder FRIA zusammenführt.
1. Scope festlegen
Der erste Schritt ist eine präzise Scope-Definition. Dokumentieren Sie, welches KI-System bewertet wird, zu welchem Zweck es eingesetzt wird, in welchem Prozess es wirkt, welche Daten es nutzt, wer das System betreibt und welche Entscheidungen oder Empfehlungen daraus entstehen. Ohne diesen Rahmen wird jede spätere Bewertung unscharf. Besonders wichtig sind Einsatzgrenzen, geplante Nutzergruppen und der Unterschied zwischen intendierter Nutzung und vorhersehbarem Fehlgebrauch.
2. Stakeholder bestimmen
Der zweite Schritt ist die Stakeholder-Analyse. Identifizieren Sie alle direkt und indirekt betroffenen Gruppen: Nutzer, Betroffene, interne Operatoren, Fachbereiche, Datenschutz, Betriebsrat, Kunden, Lieferanten, Aufsichtsstellen oder Interessenvertretungen. Ein häufiger Fehler ist, nur interne Projektrollen zu betrachten. Ein Impact Assessment ist aber gerade dafür da, die Perspektive externer Betroffener sichtbar zu machen.
3. Auswirkungen identifizieren
Der dritte Schritt ist die strukturierte Identifikation möglicher Auswirkungen. Arbeiten Sie dabei mit Kategorien statt mit Einzelideen. Prüfen Sie positive und negative Effekte auf Individuen, Gruppen, Grundrechte, Organisation, Umwelt und Gesellschaft. Denken Sie an Fairness, Transparenz, menschliche Aufsicht, Zugang, Beschäftigung, Sicherheit, Energieverbrauch, Reputationsfolgen und mögliche Verschiebungen in Macht- oder Abhängigkeitsstrukturen.
4. Auswirkungen bewerten
Der vierte Schritt ist die eigentliche Bewertung. Jede identifizierte Auswirkung sollte mindestens nach Schwere, Eintrittswahrscheinlichkeit, Reichweite, Dauer und Reversibilität eingeordnet werden. Für sensible Systeme empfiehlt sich zusätzlich eine Bewertung nach betroffener Gruppe und nach Lebenszyklusphase. Ein Fehler im Training wirkt anders als ein Schaden im laufenden Betrieb. Ebenso ist eine Benachteiligung einzelner Bewerber anders zu bewerten als ein systematischer Ausschluss ganzer Gruppen.
5. Maßnahmen definieren
Der fünfte Schritt ist die Maßnahmenplanung. Leiten Sie aus den wesentlichen Auswirkungen konkrete technische, organisatorische und kommunikative Kontrollen ab. Dazu zählen Datenqualitätsprüfungen, Fairness-Tests, menschliche Freigaben, Transparenzhinweise, Einspruchswege, Logging, Monitoring, Grenzwerte für Automatisierung, Lieferantenauflagen und Eskalationsprozesse. Wichtig ist, dass jede Maßnahme einem identifizierten Impact zugeordnet bleibt.
6. Dokumentieren
Der sechste Schritt ist die Dokumentation in einem prüffähigen Format. Ein gutes AI Impact Assessment dokumentiert nicht nur das Ergebnis, sondern auch Annahmen, Quellen, offene Punkte, Verantwortliche, Review-Daten und Freigaben. Genau an dieser Stelle lohnt sich die enge Verzahnung mit einer bestehenden Datenschutz-Dokumentation, damit gleiche Sachverhalte nicht widersprüchlich in mehreren Formularen beschrieben werden.
7. Review und Aktualisierung
Der siebte Schritt ist der Review-Prozess. Legen Sie fest, wer das Assessment freigibt, wer Folgemaßnahmen überwacht und bei welchen Ereignissen eine neue Bewertung ausgelöst wird. Bei kritischen oder hochriskanten Einsatzfällen sollte die Bewertung vor Go-live abgeschlossen und durch eine zuständige Governance-Funktion genehmigt sein. Danach gehören regelmäßiges Monitoring, Incident-Feedback und jährliche Re-Validierung in den Standardprozess.
Die Sieben-Schritte-Logik ist deshalb praxistauglich, weil sie nicht nur einmalige Dokumentation produziert, sondern ein dauerhaftes Steuerungsinstrument schafft. Unternehmen, die ISO 42001 systematisch einführen, sollten diese Schritte direkt in ihr Freigabeverfahren für neue KI-Systeme und in ihre generelle Implementierungslogik integrieren.
Auswirkungskategorien
Ein AI Impact Assessment wird besser, wenn Auswirkungen nicht frei improvisiert, sondern in konsistenten Kategorien bewertet werden. Für deutsche Unternehmen ist eine Acht-Kategorien-Struktur sinnvoll, weil sie Annex-C-Denke, ISO-42005-Logik und EU-AI-Act-Anschlussfähigkeit miteinander verbindet.
| Auswirkungskategorie | Leitfrage | Typische Beispiele | Typische Bewertungskriterien |
|---|---|---|---|
| Individuen | Welche Folgen hat das System für einzelne betroffene Personen? | Fehlklassifikation, Intransparenz, falsche Ablehnung, eingeschränkte Autonomie | Schwere, Reversibilität, Möglichkeit zum Widerspruch |
| Gruppen und Diskriminierung | Werden bestimmte Gruppen systematisch benachteiligt? | Bias gegen Frauen, ältere Bewerber, Menschen mit Behinderung, ethnische Minderheiten | Disparitäten, Proxy-Risiken, Reproduzierbarkeit |
| Grundrechte | Berührt das System Rechte und Freiheiten natürlicher Personen? | Gleichbehandlung, Privatsphäre, Meinungsfreiheit, effektiver Rechtsschutz | Intensität des Eingriffs, Schutzwürdigkeit, Abhilfe |
| Gesellschaft | Entstehen breitere gesellschaftliche Effekte? | Vertrauensverlust, Marktverzerrung, Ausschlussmechanismen, Desinformation | Reichweite, Skalierung, Dauer, Sekundäreffekte |
| Umwelt | Welche ökologischen Wirkungen sind relevant? | Energieverbrauch, CO2-Fußabdruck, Hardware-Ressourcen | Ressourcenbedarf, Häufigkeit, Alternativen |
| Organisation | Welche indirekten Wirkungen treffen die einsetzende Organisation? | Reputationsschaden, Beschwerden, Eskalationen, Fehlanreize | Eintrittswahrscheinlichkeit, Kontrollierbarkeit |
| Beschäftigung und Teilhabe | Verändert das System Zugangschancen oder Arbeitsbedingungen? | Jobverdrängung, algorithmische Vorselektion, Einschränkung von Karrieremöglichkeiten | Betroffenenzahl, Dauer, Ausweichmöglichkeiten |
| Transparenz und menschliche Aufsicht | Ist nachvollziehbar, wie das System wirkt und wer eingreifen kann? | Black-Box-Effekte, Automation Bias, fehlende Review-Möglichkeit | Erklärbarkeit, Oversight, Eskalationsfähigkeit |
Diese Kategorien helfen, systematisch breit zu denken, ohne beliebig zu werden. Gesellschaftliche Auswirkungen sind etwa etwas anderes als individuelle Schäden. Umweltaspekte werden oft vergessen, obwohl große Modelle oder häufige Inferenz in Summe relevante Lasten erzeugen können. Grundrechte sollten ausdrücklich separat betrachtet werden, weil sie nicht vollständig in Datenschutz oder Fairness aufgehen.
Besonders wichtig ist die Kategorie Gruppen und Diskriminierung. Viele KI-Schäden entstehen nicht durch offensichtliche Einzelentscheidungen, sondern durch systematische Unterschiede bei Fehlerquoten, Zugangsbarrieren oder Schwellenwerten. Wer nur Durchschnittsmetriken betrachtet, übersieht oft, dass einzelne Gruppen erheblich schlechter behandelt werden. Deshalb gehört zu jedem ernsthaften AI Impact Assessment mindestens die Frage, welche Gruppen besonders schutzbedürftig sind, wie Proxy-Merkmale wirken und ob die Fehlerlast ungleich verteilt ist.
Die Organisationsperspektive ist ebenfalls relevant, aber sie darf das Assessment nicht dominieren. Ein häufiger Praxisfehler ist, nur Reputations- oder Haftungsrisiken des Unternehmens zu bewerten. Das ist wichtig, aber nicht ausreichend. Der eigentliche Zweck des AI Impact Assessment ist die strukturierte Außenwirkung des Systems. Interne Governance-Fragen ergänzen diese Sicht, ersetzen sie aber nicht.
AI Impact Assessment vs. DSFA vs. FRIA
AI Impact Assessment, DSFA und FRIA überschneiden sich, haben aber unterschiedliche normative Ausgangspunkte. Wer diese Unterschiede sauber trennt, spart Doppelarbeit und vermeidet unklare Zuständigkeiten.
| Bewertung | Wann typischerweise nötig? | Fokus | Rechts- oder Normbezug | Praktische Überschneidung |
|---|---|---|---|---|
| AI Impact Assessment | Bei KI-Systemen mit relevanten Auswirkungen auf Betroffene, Gruppen oder Gesellschaft | Breite Folgenabschätzung von Menschen, Gruppen, Umwelt, Organisation und Gesellschaft | ISO/IEC 42001:2023 Clause 6.1.4, Annex C; fachlich vertieft durch ISO/IEC 42005:2025 | Kann DSFA und FRIA vorbereiten oder integrieren |
| DSFA | Bei voraussichtlich hohem Risiko für Rechte und Freiheiten durch personenbezogene Datenverarbeitung | Datenschutz, Datenflüsse, Rechtsgrundlagen, Betroffenenrechte | Art. 35 DSGVO | Deckt Datenschutz- und Transparenzaspekte eines KI-Systems mit ab |
| FRIA | Vor Einsatz bestimmter Hochrisiko-KI durch Betreiber nach EU AI Act | Auswirkungen auf Grundrechte betroffener Personen | Art. 27 EU-VO 2024/1689 | Nutzt ähnliche Informationen wie AI Impact Assessment, aber mit engerem Rechtsfokus |
Die gemeinsame Durchführung ist oft sinnvoll, wenn ein KI-System personenbezogene Daten verarbeitet und zugleich in sensible Entscheidungen eingreift. Ein Recruiting-System ist das klassische Beispiel: Es kann eine DSFA auslösen, weil Bewerberdaten in erheblichem Umfang verarbeitet werden, und zugleich eine FRIA erforderlich machen, wenn die Voraussetzungen des Art. 27 EU AI Act erfüllt sind. Ein AI Impact Assessment schafft in diesem Fall den gemeinsamen Bewertungsrahmen, in den Datenschutz- und Grundrechtsperspektive integriert werden.
Trotz der Überschneidungen sollten Unternehmen die Dokumente nicht gedankenlos verschmelzen. Eine DSFA braucht die datenschutzrechtlichen Kernelemente der DSGVO. Eine FRIA braucht die spezifische Grundrechtslogik des EU AI Act. Das AI Impact Assessment wiederum muss breiter bleiben und darf nicht auf Datenschutz reduziert werden. Die beste Lösung ist deshalb meist ein gemeinsames Kernformular mit modularem Annex für DSFA- und FRIA-spezifische Pflichtfelder.
Für die Praxis heißt das: keine drei voneinander isolierten Dokumente, aber auch kein einziges Formular ohne klaren Rechtsbezug. Wer das Thema robust aufsetzt, definiert einen gemeinsamen Datensatz für Systembeschreibung, Stakeholder, Auswirkungen und Maßnahmen und ergänzt darauf aufbauend die rechtlich nötigen Spezialprüfungen.
Vorlage und Template
Eine brauchbare AI-Impact-Assessment-Vorlage ist knapp genug für den operativen Einsatz und vollständig genug für Audit, Review und Freigabe. Der Mindestinhalt sollte in Tabellenform dokumentiert werden, damit Bewertungen vergleichbar und später aktualisierbar bleiben.
| Pflichtfeld | Inhalt |
|---|---|
| System-ID und Name | Eindeutige Bezeichnung, Version, verantwortlicher Owner |
| Zweck und Einsatzkontext | Wofür das System genutzt wird, in welchem Prozess und mit welcher Reichweite |
| Betroffene Stakeholder | Direkt und indirekt betroffene Gruppen, vulnerable Personen, interne Rollen |
| Daten und Modelle | Eingabedaten, Modelltyp, Drittanbieter, Schnittstellen, menschliche Aufsicht |
| Auswirkungskategorien | Strukturierte Bewertung je Kategorie mit positiven und negativen Effekten |
| Bewertung | Schwere, Eintrittswahrscheinlichkeit, Reichweite, Dauer, Reversibilität |
| Maßnahmen | Prävention, Monitoring, Transparenz, Einspruch, Eskalation, Verantwortliche |
| Restrisiko und Freigabe | Offene Punkte, Genehmiger, Termin für Review und Re-Assessment |
Für ein Praxisbeispiel eignet sich Recruiting-KI besonders gut. Angenommen, ein Unternehmen setzt ein System ein, das Lebensläufe vorsortiert und Bewerber in Prioritätsklassen einteilt. Dann könnte die Vorlage so aussehen:
| Feld | Beispiel Recruiting-KI |
|---|---|
| System | „Resume Screening AI“, Version 3.2, Owner HR-Tech Lead |
| Zweck | Vorsortierung von Bewerbungen für Fachstellen in Deutschland |
| Betroffene | Bewerber, HR-Team, Hiring Manager, Betriebsrat, Geschäftsführung |
| Hauptrisiken | Benachteiligung bestimmter Gruppen, Intransparenz, falsche Ausschlüsse |
| Positive Effekte | Schnellere Bearbeitung, konsistentere Vorprüfung, Entlastung des HR-Teams |
| Negative Effekte | Bias durch historische Daten, fehlende Nachvollziehbarkeit, Übervertrauen in Scores |
| Maßnahmen | Fairness-Tests, menschliche Review-Stufe, Transparenzhinweis, Einspruchsweg |
| Review | Vor Go-live, nach Retraining, jährlich und nach Beschwerden oder Vorfällen |
Entscheidend ist nicht die Schönheit des Dokuments, sondern seine Steuerungsfähigkeit. Ein gutes Template zwingt Teams dazu, konkrete Aussagen zu treffen: Welche Gruppen sind betroffen? Welche Schwellenwerte gelten? Wer genehmigt die Einführung? Was passiert bei Beschwerden? Wie wird ein Bias-Fund in Monitoring und Retraining überführt?
Für viele Unternehmen lohnt sich ein kombiniertes Template, das AI Impact Assessment, Datenschutzperspektive und Grundrechtsfragen in einem Kernprozess zusammenführt. Das reduziert Redundanz, solange klar markiert bleibt, welche Felder aus ISO 42001 stammen und welche für DSFA oder FRIA zusätzlich erforderlich sind. Wer ein AIMS aufbaut, sollte diese Vorlage daher direkt als Teil des Governance-Toolkits definieren und mit Schulung, Review und Freigaben verknüpfen.
Verknüpfung mit dem EU AI Act
Das AI Impact Assessment nach ISO 42001 lässt sich sehr gut mit dem EU AI Act verzahnen, weil beide auf strukturierte Bewertung, Dokumentation und laufende Aktualisierung setzen. Besonders eng ist die Verbindung zu Art. 27 EU-VO 2024/1689, der für bestimmte Hochrisiko-KI eine Grundrechte-Folgenabschätzung verlangt. Inhaltlich überschneiden sich beide Ansätze stark bei Stakeholdern, Schadensbildern, Maßnahmen, menschlicher Aufsicht und Dokumentationspflichten.
Die Synergie liegt darin, dass ISO 42001 einen Managementrahmen liefert, während der EU AI Act die rechtlich verbindlichen Pflichten definiert. Wer ein AI Impact Assessment im AIMS sauber verankert, schafft damit Vorarbeit für Hochrisiko-Anforderungen wie Risikomanagement, menschliche Aufsicht, Daten- und Dokumentationspflichten. Besonders die Verbindung zu Art. 9 EU AI Act ist wichtig, weil Risikomanagement und Folgenabschätzung nicht parallel gegeneinander laufen sollten, sondern unterschiedliche Perspektiven auf dieselbe Systemrealität bilden.
Für Betreiber hochriskanter Systeme ist Art. 27 der praktisch wichtigste Anschluss. Die FRIA verlangt keine völlig neue Gedankenwelt, sondern eine vertiefte Grundrechtsperspektive auf ein System, das ohnehin bereits im Impact Assessment betrachtet wird. Deshalb ist es sinnvoll, das AI Impact Assessment als Basismodul zu nutzen und FRIA-spezifische Fragen gezielt zu ergänzen: Welche Grundrechte sind berührt? Welche Personen sind besonders vulnerabel? Welche Abhilfemechanismen existieren? Welche Informationen erhalten Betroffene?
Auch für nicht-hochriskante Systeme lohnt sich diese Verzahnung. Unternehmen erhalten eine einheitliche Methodik, mit der sie neue Tools vorsortieren, Eskalationsstufen definieren und frühzeitig erkennen können, wann aus einer scheinbar harmlosen Anwendung ein sensibler Use Case wird. Wer heute Chatbots, Assistenzsysteme oder interne Vorhersagemodelle einsetzt, profitiert davon, dieselbe Bewertungslogik bereits unterhalb der Schwelle eines formalen Hochrisiko-Falls zu etablieren.
Im Ergebnis ist das AI Impact Assessment kein Ersatz für den EU AI Act, aber ein sehr wirksamer Übersetzer zwischen Norm und operativer Praxis. Es macht aus abstrakten Rechtsanforderungen konkrete Fragen, Verantwortlichkeiten und Review-Zyklen. Genau deshalb ist es ein sinnvoller Baustein für Unternehmen, die nicht erst kurz vor dem 2. August 2026 anfangen wollen, ihre KI-Governance belastbar aufzubauen.
Häufige Fehler
Der häufigste Fehler ist ein zu enger Scope. Viele Assessments beschreiben nur das Modell, aber nicht den realen Prozess, in dem es eingesetzt wird. Auswirkungen entstehen jedoch oft erst durch Schwellenwerte, Bedienlogik, Zeitdruck, unklare Verantwortlichkeiten oder fehlende Einspruchswege. Wer nur den Algorithmus dokumentiert, bewertet nicht den tatsächlichen Schadenpfad.
Der zweite Fehler ist ein zu seltener Review. Ein AI Impact Assessment ist kein Einmal-Dokument für das Projektarchiv. Modelle werden retrainiert, Datenquellen verschieben sich, Anbieter ändern Funktionen, Fachbereiche erweitern die Nutzung. Ohne laufende Aktualisierung veralten die Annahmen schnell und die Bewertung verliert ihren Steuerungswert.
Der dritte Fehler ist fehlende Stakeholder-Beteiligung. Teams schreiben die Bewertung intern aus Technik- oder Compliance-Perspektive und übersehen, wie Betroffene den Prozess tatsächlich erleben. Gerade bei Recruiting, Beschäftigung, Bildung oder Kundeninteraktion ist diese Blindstelle riskant, weil die formale Governance dann sauber aussieht, die reale Betroffenenperspektive aber gar nicht einfließt.
Der vierte Fehler ist die reine Technik-Perspektive. Ein leistungsstarkes Modell kann trotzdem unzulässige oder unfaire Wirkungen entfalten, wenn Transparenz, Einspruch, menschliche Aufsicht oder organisatorische Grenzen fehlen. Gute Accuracy ersetzt keine gute Governance.
Der fünfte Fehler ist die Vermischung von Nutzenargument und Risikobewertung. Teams neigen dazu, Effizienzgewinne ausführlich zu dokumentieren und negative Auswirkungen nur allgemein zu benennen. Ein brauchbares Assessment bewertet positive und negative Effekte gleich ernsthaft. Sonst entsteht kein Entscheidungsinstrument, sondern ein Rechtfertigungspapier.
Wenn Sie diese Fehler vermeiden und das Thema in Rollen, Prozesse und Nachweise integrieren wollen, ist eine spezialisierte ISO 42001 Schulung der pragmatische nächste Schritt. Sie hilft dabei, Scope, Risikoanalyse, Folgenabschätzung und EU-AI-Act-Anforderungen in ein einheitliches Governance-Modell zu übersetzen.
FAQ
Was ist ein AI Impact Assessment nach ISO 42001?
Ein AI Impact Assessment ist die strukturierte Bewertung, wie ein KI-System auf Individuen, Gruppen, Gesellschaft, Umwelt und organisatorische Verantwortung wirkt. In ISO/IEC 42001:2023 ist das Thema in Clause 6.1.4 in der Planungslogik verankert und wird fachlich durch Annex C sowie ISO/IEC 42005 konkretisiert.
Wann muss ein AI Impact Assessment durchgeführt werden?
Es sollte vor allem dann durchgeführt werden, wenn ein KI-System sensible Entscheidungen vorbereitet oder trifft, viele Betroffene beeinflusst, vulnerable Gruppen berührt oder als Hochrisiko-KI eingeordnet werden könnte. Spätestens bei wesentlichen Änderungen ist eine Aktualisierung erforderlich.
Welche Auswirkungskategorien werden bewertet?
Typisch sind Auswirkungen auf Individuen, Gruppen und Diskriminierung, Grundrechte, Gesellschaft, Umwelt, Organisation, Beschäftigung und Teilhabe sowie Transparenz und menschliche Aufsicht. Entscheidend ist, dass positive und negative Effekte systematisch dokumentiert werden.
Gibt es eine Vorlage für das ISO 42001 Impact Assessment?
Ja. Eine brauchbare Vorlage enthält mindestens Systembeschreibung, Stakeholder, Daten- und Modellkontext, Auswirkungskategorien, Bewertungsmaßstäbe, Maßnahmen, Restrisiken, Freigaben und Review-Termine. Tabellenform ist dafür besonders praxistauglich.
Wie unterscheidet sich das AI Impact Assessment von der Risikoanalyse?
Die Risikoanalyse bewertet primär Risiken für die Organisation und ihr KI-System. Das AI Impact Assessment erweitert diese Sicht um Folgen für externe Betroffene, gesellschaftliche Strukturen, Grundrechte und Umwelt.
Wer sollte das AI Impact Assessment durchführen?
In der Praxis führt es ein interdisziplinäres Team durch: System-Owner, Fachbereich, Compliance, Datenschutz, Technik und bei sensiblen Fällen auch Rechtsfunktion oder Vertretungen betroffener Stakeholder. Die Freigabe sollte nicht allein beim Projektteam liegen.