Gilt ISO 42001 auch für die Nutzung von ChatGPT?

Ja. ISO/IEC 42001:2023 ist tool-neutral und erfasst deshalb auch eingekaufte oder genutzte Systeme wie ChatGPT, Copilot oder Claude. Entscheidend ist, dass diese Dienste im AI-Managementsystem inventarisiert, risikobewertet, mit Regeln versehen und überwacht werden.

Wie verhindert man Shadow-KI im Unternehmen?

Shadow-KI verhindern Unternehmen am wirksamsten mit einer Kombination aus Inventarisierung, amnestiebasierter Meldung, klarer Freigabeliste, technischer Sichtbarkeit und verbindlicher Schulung. Reine Verbote ohne brauchbare Alternativen verschieben das Problem meist nur in private Accounts und nicht dokumentierte Workflows.

Brauche ich für jeden GenAI-Dienst ein eigenes Risk Assessment?

Sie brauchen mindestens eine nachvollziehbare Bewertung pro Dienst, weil Datenarten, Einsatzzweck, Anbieterbedingungen und technische Kontrollen unterschiedlich sein können. Ähnliche Dienste lassen sich mit einer gemeinsamen Methodik bewerten, sollten aber nicht pauschal in einen einzigen Topf geworfen werden.

Was muss in einer Prompt-Policy stehen?

Eine belastbare Prompt-Policy regelt erlaubte und verbotene Daten, freigegebene Tools, Review-Pflichten, Dokumentation, Vorfallmeldung, Verantwortlichkeiten und Ausnahmen. Sie muss für Mitarbeitende verständlich sein und konkrete Beispiele für zulässige und unzulässige Prompts enthalten.

Wie dokumentiert man GenAI-Nutzung im AIMS?

Dokumentiert werden sollten mindestens Tool-Name, Anbieter, Zweck, Fachbereich, Datenklassen, Freigabestatus, Risiken, umgesetzte Controls, zuständige Person und letzter Review. Diese Angaben gehören in ein KI-Inventar und müssen mit Risikoregister, Richtlinien und Monitoring-Nachweisen verbunden sein.

Gilt ISO 42001 auch für eingekaufte KI-Dienste wie Copilot?

Ja. Gerade Drittanbieter-KI ist ein typischer Anwendungsfall für ISO 42001, weil Beschaffung, Vertragsprüfung, Datengovernance, menschliche Aufsicht und laufende Überwachung sauber geregelt werden müssen. Der Standard ist nicht auf Eigenentwicklung beschränkt.

ISO 42001 Generative AI: ChatGPT sicher managen

Letzte Aktualisierung: 23. März 2026

ISO 42001 und Generative AI adressiert die Governance von ChatGPT, Copilot und ähnlichen LLM-Systemen — von der Risikobewertung bis zur Nutzungsrichtlinie. Für Unternehmen ist das der entscheidende Unterschied zwischen punktueller Tool-Nutzung und einem belastbaren AI-Managementsystem, das Shadow-KI, Datenschutz, Halluzinationen, Prompt Injection und Lieferantenrisiken in nachvollziehbare Prozesse übersetzt.

Die Norm nennt ChatGPT oder Copilot nicht ausdrücklich, ist aber gerade deshalb für Generative AI relevant. ISO/IEC 42001:2023 verlangt, dass Organisationen KI-Systeme inventarisieren, Risiken bewerten, Nutzungsgrenzen festlegen, Verantwortlichkeiten benennen und die Wirksamkeit ihrer Kontrollen laufend überwachen. Wer den Normrahmen insgesamt einordnen will, sollte den ISO-42001-Leitfaden, die Einführung zu ISO 42001 und den Beitrag zu Shadow-KI im Unternehmen parallel lesen.

Für Mittelstand und Fachbereiche ist die zentrale Botschaft nüchtern: Generative AI wird nicht durch ein einzelnes Verbot oder einen Datenschutz-Hinweis beherrschbar. Beherrschbar wird sie erst, wenn Inventar, Nutzungsrichtlinie, Risikobewertung, Freigaben, Monitoring und Vorfallmanagement zusammenpassen. Genau dort schließt ISO 42001 die Governance-Lücke zwischen Experiment und kontrolliertem Betrieb.

Warum Generative AI besondere Governance braucht

Generative AI braucht besondere Governance, weil LLMs auf unstrukturierte Eingaben reagieren, probabilistische Ausgaben erzeugen und in wenigen Minuten in produktive Geschäftsprozesse rutschen können. Anders als klassische Fachsoftware liefern ChatGPT, Copilot und ähnliche Systeme keine stabilen, deterministischen Ergebnisse, sondern plausible Vorschläge mit wechselnder Qualität, teils ohne belastbare Quellen und oft ohne klare Trennung zwischen Assistenz und Entscheidungsvorbereitung.

Die Top-Risiken sind in der Praxis erstaunlich konsistent. Erstens entstehen Halluzinationen, wenn das Modell überzeugend klingende, aber falsche Aussagen erzeugt. Zweitens droht Prompt Injection, wenn Eingaben oder eingebettete Inhalte die Steuerlogik des Systems manipulieren. Drittens stehen Datenschutzrisiken im Raum, wenn Mitarbeitende personenbezogene Daten, Verträge oder Supportverläufe in externe Dienste kopieren. Viertens bestehen IP-Risiken, wenn Quellcode, Entwürfe oder vertrauliche Produktinformationen nach außen gelangen oder die Herkunft von Trainingsdaten unklar bleibt. Fünftens führt die unkontrollierte Nutzung dazu, dass niemand mehr sicher sagen kann, welche KI mit welchen Daten, von wem und zu welchem Zweck eingesetzt wurde.

ISO 42001 beantwortet diese Lage nicht mit einer Liste einzelner Tool-Verbote, sondern mit Governance-Pflichten. Die Organisation muss den Nutzungskontext definieren, Risiken vor dem Einsatz bewerten, Controls auswählen, Wirksamkeit prüfen und Verbesserungen nachhalten. Das ist bei Generative AI besonders wichtig, weil dieselbe Anwendung je nach Fachbereich völlig unterschiedliche Auswirkungen haben kann: Ein Marketing-Entwurf ist meist beherrschbar, ein KI-gestütztes Recruiting-Ranking kann dagegen sehr schnell in sensible Rechts- und Grundrechtsthemen kippen.

Auch der EU AI Act macht diese Einordnung dringlicher. Seit dem 2. Februar 2025 verlangt Art. 4 der EU-VO 2024/1689 ein ausreichendes Maß an KI-Kompetenz. Ab dem 2. August 2026 greifen für Hochrisiko-Konstellationen weitergehende Betreiberpflichten aus Art. 26. ISO 42001 ersetzt diese Pflichten nicht, schafft aber den organisatorischen Rahmen, um Kompetenz, Verantwortlichkeit und Nachweise für Generative AI belastbar aufzubauen.

Shadow-KI — Das unsichtbare Risiko

Shadow-KI ist bei Generative AI oft das größte reale Risiko, weil Mitarbeitende freiverfügbare Tools einsetzen, bevor IT, Datenschutz oder Compliance überhaupt wissen, dass ein neuer Dienst genutzt wird. Die Governance-Frage lautet deshalb nicht zuerst, welches Modell am leistungsfähigsten ist, sondern ob Ihr Unternehmen überhaupt ein vollständiges Bild der Nutzung hat.

Die Research-Grundlage für ROB-714 beschreibt die Lage deutlich: 69 Prozent der Organisationen vermuten laut Gartner 2025 die Nutzung verbotener oder nicht freigegebener GenAI-Tools durch Mitarbeitende, und mehr als 40 Prozent werden bis 2030 voraussichtlich einen Compliance- oder Sicherheitsvorfall aus Shadow AI erleben. Diese Zahlen passen zur Alltagserfahrung vieler Unternehmen: Beschäftigte nutzen ChatGPT aus Produktivitätsdruck, Entwickler arbeiten mit Copilot oder ähnlichen Assistenten, Marketing testet Bild- und Textgeneratoren, und niemand führt diese Nutzung in einem zentralen Register zusammen.

Das Risiko ist nicht nur theoretisch. Sobald Kundendaten, Bewerbungen, Quellcode, M&A-Unterlagen oder interne Strategiepapiere in private oder unfreigegebene KI-Zugänge geraten, verliert das Unternehmen die Kontrolle über Datenfluss, Löschung, Vertragslage und Nachweisbarkeit. Der bekannte Samsung-Fall, in dem vertraulicher Code in ChatGPT eingegeben wurde, zeigt genau dieses Muster: Nicht eine spektakuläre Attacke war das Problem, sondern fehlende Regeln für gut gemeinte, schnelle Produktivität.

ISO 42001 ist hier besonders nützlich, weil der Standard auf Inventarisierung und Kontextklärung drängt. Für Generative AI reicht es nicht, nur offizielle Lizenzen zu erfassen. Sie brauchen auch Hinweise aus Netzwerklogs, API-Monitoring, Einkaufsdaten, SSO-Signalen und Fachbereichsinterviews. Ein praktikabler Weg ist ein amnestiebasierter Start: Mitarbeitende melden eingesetzte KI-Tools zunächst ohne Sanktionsdrohung, damit die Organisation überhaupt ein vollständiges Bild der Landschaft aufbauen kann.

Praktisch funktioniert Shadow-KI-Steuerung meist in drei Stufen. In Stufe eins schaffen Sie Sichtbarkeit über Umfragen, Logs und Gespräche. In Stufe zwei definieren Sie eine Whitelist freigegebener Dienste und klare Verbotszonen für sensible Daten. In Stufe drei setzen Sie technische und organisatorische Durchsetzung um, etwa über Browser-Richtlinien, DLP, SSO, Review-Pflichten und dokumentierte Eskalationswege. Wer die operative Risikoperspektive vertiefen will, findet sie im Beitrag zu Shadow-KI im Unternehmen und in der Einordnung zu ChatGPT im Unternehmen und dem AI Act.

ISO 42001 Controls für Generative AI

Für Generative AI sind nicht alle Annex-A-Bausteine gleich wichtig. Besonders relevant sind die Controls rund um Lebenszyklus, Daten und Nutzung, weil dort die typischen LLM-Risiken in konkrete Steuerungsmaßnahmen übersetzt werden. Die Norm arbeitet risikobasiert, und aus den insgesamt 38 Controls sind für ChatGPT, Copilot und vergleichbare Dienste vor allem die Domänen A.6, A.7 und A.9 praxisprägend.

GenAI-Risiko	Typische Ausprägung	Besonders relevante ISO-42001-Controls	Praktische Maßnahme
Datenabfluss	Kundendaten oder Quellcode im Prompt	A.6 Daten-Governance, A.7 Beschaffung	Datenklassen, Verbotslisten, Provider-Prüfung
Halluzination	Falsche Zusammenfassung, frei erfundene Quelle	A.9 Betrieb und Nutzung	Pflicht zur fachlichen Prüfung vor Verwendung
Prompt Injection	Manipulation durch Eingaben oder verarbeitete Inhalte	A.6 Lebenszyklus und Risikobehandlung, A.9 Betrieb	Input-Filter, Red-Teaming, Logging
Shadow-KI	Nutzung nicht freigegebener Tools	A.6 Lebenszyklus, A.7 Beschaffung, A.9 Überwachung	Inventar, Freigabeprozess, Monitoring
IP- und Lizenzrisiko	Unklare Trainingsdaten oder Output-Rechte	A.7 Beschaffung, A.9 Nutzung	Vertragsprüfung, Freigabegrenzen, Kennzeichnung

A.6 Lifecycle und Data Governance ist für Generative AI deshalb zentral, weil hier festgelegt wird, welche Daten überhaupt in ein Modell gelangen dürfen, wie Inputs vorbereitet werden und welche Schutzmaßnahmen vor, während und nach der Nutzung greifen. Bei ChatGPT oder Copilot bedeutet das konkret: sensible Daten klassifizieren, riskante Prompts verbieten, Anwendungsfälle vorab freigeben, Modelländerungen bewerten und technische Guardrails definieren.

A.7 Beschaffung und Drittanbietersteuerung ist für Generative AI mindestens genauso wichtig. Viele Unternehmen entwickeln keine eigenen LLMs, sondern konsumieren Drittanbieter-KI als SaaS, API oder integrierte Produktfunktion. Dann wird Governance zur Lieferantenfrage: Welcher Anbieter verarbeitet welche Daten? Gibt es einen Auftragsverarbeitungsvertrag? Welche Speicherorte und Löschfristen gelten? Werden Inhalte für Training oder Produktverbesserung genutzt? Welche Zusicherungen bestehen zu Sicherheit, Protokollierung und Incident Response?

A.9 Nutzung, Betrieb und Monitoring schließt die Lücke zwischen Richtlinie und Alltag. Hier wird festgelegt, wie GenAI im laufenden Betrieb überwacht wird, wer Outputs prüft, wie Vorfälle erkannt werden und welche Kennzahlen in das Managementsystem zurückfließen. Gerade Halluzinationen oder unzulässige Prompts lassen sich nicht allein durch Beschaffung lösen. Sie brauchen Review-Gates, Stichproben, Prompt- und Output-Logs sowie einen klaren Prozess für Meldungen und Korrekturmaßnahmen.

Die praktische Übersetzung lautet deshalb: ISO 42001 ist für Generative AI kein Papierstandard, sondern eine Control-Matrix. Sie ordnet, welche Daten in welches Tool dürfen, welche Teams welche Systeme nutzen, welche Risiken dokumentiert sind und wie das Unternehmen beweist, dass GenAI nicht zufällig, sondern gesteuert eingesetzt wird. Eine breitere Normeinordnung bietet auch der Beitrag Was ist ISO 42001?.

Prompt-Policies und Nutzungsrichtlinien

Prompt-Policies sind der schnellste Hebel, um Generative AI in geordnete Bahnen zu lenken, weil Mitarbeitende an genau dem Punkt Orientierung brauchen, an dem Risiko tatsächlich entsteht: beim Prompt. Eine gute Richtlinie erklärt nicht abstrakt, dass Datenschutz wichtig ist, sondern sagt konkret, was in ChatGPT, Copilot oder Copilot-ähnliche Assistenten hinein darf, was tabu ist, wer Ausnahmen genehmigt und welche Kontrolle vor Veröffentlichung nötig ist.

In eine belastbare Nutzungsrichtlinie gehören mindestens sieben Bausteine. Erstens der Geltungsbereich: für welche Teams, Geräte, Konten und Dienste die Regel gilt. Zweitens die freigegebenen Tools einschließlich zulässiger Einsatzfälle. Drittens die Datenklassifikation mit klarer Trennung zwischen öffentlich, intern, vertraulich und personenbezogen. Viertens verbotene Nutzungen, etwa Eingaben von Kundendaten, Geheimnissen, Zugangsdaten oder Bewerbungsunterlagen in unzulässige Dienste. Fünftens Review- und Kennzeichnungspflichten für Ergebnisse. Sechstens Vorfallmeldung und Eskalation. Siebtens ein Ausnahmeprozess für begründete Spezialfälle.

Die eigentliche Qualität einer Prompt-Policy zeigt sich aber an Beispielen. Mitarbeitende brauchen keine 40 Seiten Juristendeutsch, sondern realistische Dos und Don'ts.

Sinnvolle Dos:

Formulieren Sie Entwürfe für allgemeine Blogstrukturen ohne vertrauliche Inhalte.
Nutzen Sie interne, freigegebene Assistenten für Zusammenfassungen nicht sensibler Dokumente.
Fordern Sie Quellenhinweise, Gegenargumente und Unsicherheiten ausdrücklich an.
Prüfen Sie jedes externe oder kundennahe Ergebnis fachlich vor Weitergabe.

Klare Don'ts:

Keine Kundenlisten, Bewerbungen, Verträge, Quellcodes mit Geheimnissen oder Gesundheitsdaten in öffentliche GenAI-Dienste kopieren.
Keine Prompts formulieren, die interne Regeln gezielt umgehen oder Schutzmechanismen aushebeln sollen.
Keine KI-Ausgaben ungeprüft in Angebote, Rechtsbewertungen, HR-Entscheidungen oder Managementvorlagen übernehmen.
Keine Freigabe neuer KI-Dienste über private Accounts oder Browser-Erweiterungen organisieren.

Für ISO 42001 ist wichtig, dass diese Policy nicht losgelöst existiert. Sie muss an Inventar, Risikobewertung, Schulung und Monitoring anschließen. Eine Richtlinie ohne Schulung bleibt folgenlos, und Schulung ohne Richtlinie bleibt auslegungsabhängig. Genau deshalb sollten Unternehmen Prompt-Policies als operativen Teil ihres AIMS behandeln und nicht als isolierte Kommunikationsmaßnahme.

Risikobewertung für LLMs

Eine Risikobewertung für LLMs muss spezifischer sein als eine allgemeine KI-Notiz, weil Generative AI sehr unterschiedliche Gefährdungen bündelt. Die methodische Grundfrage lautet: Welche Schäden können aus Input, Modellverhalten, Output und Einbettung in Geschäftsprozesse entstehen, wie wahrscheinlich sind sie und welche Controls reduzieren sie nachweisbar?

Für die Praxis haben sich fünf Risikokategorien bewährt. Erstens Daten- und Geheimnisschutz: Was passiert, wenn Mitarbeitende personenbezogene Daten, Quellcode oder vertrauliche Informationen in ein Modell eingeben? Zweitens Output-Qualität und Halluzination: Wie groß ist das Risiko, dass falsche oder unbelegte Inhalte übernommen werden? Drittens Manipulation und Prompt Injection: Wie wahrscheinlich ist es, dass Eingaben oder verarbeitete Dokumente die Modelllogik kompromittieren? Viertens Rechts- und IP-Risiko: Welche Unsicherheit besteht bei Trainingsdaten, Lizenzfragen, Anbieterverträgen und Output-Nutzung? Fünftens Prozess- und Aufsichtsrisiko: Wird menschliche Prüfung nur behauptet oder tatsächlich ausgeübt?

Ein brauchbares Bewertungsmodell verbindet Eintrittswahrscheinlichkeit, Schadenshöhe, Datenkategorie und Einsatzkontext. Ein Textassistent für öffentliches Marketingmaterial ist anders zu bewerten als ein LLM, das Bewerbungen vorsortiert, Kreditbegründungen entwirft oder Supportfälle mit personenbezogenen Daten verarbeitet. Für ein AIMS ist weniger entscheidend, ob Sie eine 3x3- oder 5x5-Matrix nutzen, sondern ob die Bewertung wiederholbar, begründet und mit konkreten Controls verknüpft ist.

So können Einträge in einem GenAI-Risiko-Register aussehen:

Risiko	Beispiel	Bewertung vor Controls	Mögliche Controls	Restrisiko
Datenabfluss über Prompt	Support kopiert komplette Kundennachricht in ChatGPT	Hoch	Verbotsliste, Pseudonymisierung, freigegebener Business-Zugang, Schulung	Mittel
Halluzination in Kundenkommunikation	LLM erfindet Produktmerkmal im Angebot	Mittel bis hoch	Vier-Augen-Prinzip, Quellenprüfung, Freigabe vor Versand	Niedrig bis mittel
Prompt Injection	Externer Text manipuliert den Assistenten	Mittel	Input-Sanitizing, Red-Teaming, Logging, Kontexttrennung	Mittel
Art.-22-nahe Automatisierung	Recruiter übernimmt KI-Ranking faktisch ungeprüft	Hoch	Menschliche Aufsicht, Prozessdokumentation, DSFA/AIIA, Verbot reiner Auto-Entscheidung	Mittel
Drittanbieterrisiko	Cloud-Anbieter hat unklare Lösch- und Trainingsbedingungen	Mittel bis hoch	Vertragsprüfung, AVV, Speicherortprüfung, Exit-Plan	Mittel

Die Bewertung sollte nicht im stillen Kämmerlein der Compliance entstehen. Fachbereich, Datenschutz, IT-Sicherheit, Einkauf und gegebenenfalls HR oder Rechtsabteilung müssen gemeinsam auf denselben Anwendungsfall schauen. Sonst unterschätzt das Unternehmen entweder die operative Realität oder die regulatorische Tragweite. Für datenschutznahe Anwendungsfälle lohnt sich zudem die Verzahnung mit einer Datenschutz-Folgenabschätzung, statt zwei getrennte Dokumentationswelten aufzubauen.

Datenschutz und DSGVO bei GenAI

Datenschutz und DSGVO sind bei Generative AI kein Nebenthema, sondern Teil der Kernsteuerung, weil bereits der einzelne Prompt eine Verarbeitung personenbezogener Daten sein kann. Für Unternehmen ist die erste Leitfrage daher nicht, ob ein Modell „intelligent“ ist, sondern ob personenbezogene Daten, sensible Inhalte oder erhebliche Auswirkungen auf Betroffene im Spiel sind.

Bei GenAI sind vier DSGVO-Themen besonders wichtig. Erstens Art. 28 DSGVO zur Auftragsverarbeitung: Wenn ein externer Anbieter personenbezogene Daten im Unternehmensauftrag verarbeitet, braucht es eine belastbare Vertrags- und Rollenprüfung. Zweitens Art. 35 DSGVO zur Datenschutz-Folgenabschätzung, wenn ein hohes Risiko für Rechte und Freiheiten naheliegt. Drittens Drittland- und Cloud-Fragen, wenn Daten außerhalb der EU verarbeitet oder administrativ zugänglich werden. Viertens Art. 22 DSGVO, sobald GenAI in Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung hineinwirkt.

Gerade Art. 22 DSGVO wird bei Generative AI oft missverstanden. Die Vorschrift verbietet nicht jede Assistenzfunktion, sondern zielt auf Entscheidungen, die ausschließlich automatisiert getroffen werden und Menschen rechtlich oder ähnlich erheblich betreffen. Bei LLMs wird das relevant, wenn Unternehmen Bewerbungen vorsortieren, Kredit- oder Versicherungsentscheidungen vorbereiten oder Leistungsbewertungen so stark von KI-Outputs prägen lassen, dass menschliche Kontrolle nur noch formal ist. Wenn Fachkräfte Ergebnisse bloß abnicken, reicht das nicht als echte Aufsicht.

Für GenAI gehört deshalb in jede DSGVO-Prüfung die Frage, ob das System nur unterstützt oder faktisch steuert. Parallel sollten Unternehmen prüfen, welche Daten ein Anbieter für Training, Produktverbesserung oder Missbrauchserkennung nutzt, wie lange Inhalte gespeichert werden und welche Lösch- oder Opt-out-Möglichkeiten existieren. Bei Cloud-Anbietern sind Vertragslage, Datenresidenz, Subunternehmer und Exportpfade keine Beschaffungsdetails, sondern Governance-Pflichten.

Eine pragmatische Reihenfolge lautet: erstens Datenarten und Einsatzzweck bestimmen, zweitens Rechtsgrundlage und Anbieterrolle prüfen, drittens DSFA-Bedarf bewerten, viertens Eingabegrenzen technisch und organisatorisch absichern, fünftens menschliche Aufsicht dokumentieren. Wer diese Verzahnung vertiefen will, sollte zusätzlich ChatGPT und DSGVO im Unternehmen, den Beitrag zu automatisierten Entscheidungen nach Art. 22 DSGVO und die Seite zur DSFA für KI-Systeme heranziehen.

ChatGPT, Copilot und Co. im AIMS

ChatGPT, Copilot und vergleichbare Dienste gehören im AIMS nicht in eine Sammelkategorie „KI-Tools“, sondern als einzeln bewertete Systeme mit Zweck, Verantwortlichkeit und Freigabestatus. Ein belastbares AI-Managementsystem fragt pro Tool: Wer nutzt es? Wofür? Mit welchen Daten? Unter welchen Vertragsbedingungen? Welche Risiken sind dokumentiert? Welche Controls sind aktiv? Und wer überprüft die Nutzung regelmäßig?

Für populäre Tools sieht das meist so aus:

ChatGPT wird häufig für Textentwürfe, Recherche, Zusammenfassungen und Supportbausteine eingesetzt. Relevante Controls sind Datenklassifikation, Business- oder Enterprise-Betriebsmodell, Output-Review und Prompt-Logging.
Microsoft Copilot ist oft enger in M365, Entwicklungs- oder Office-Prozesse eingebettet. Relevante Fragen betreffen Berechtigungen, Dateizugriffe, Datenvererbung aus dem Tenant, Logging und die Abgrenzung zwischen Assistent und automatisierter Handlung.
Branchenspezifische Assistenten oder API-Dienste brauchen zusätzlich eine genaue Anbieterprüfung, weil Datenwege, Speicherorte, Schulungsnutzung und Supportzugriffe stark variieren können.

Entscheidend ist, dass jedes dieser Systeme im Inventar des AIMS auftaucht. Sinnvolle Mindestfelder sind Tool-Name, Anbieter, technisches Betriebsmodell, verantwortlicher Fachbereich, Einsatzzweck, Datenkategorie, Freigabestatus, letztes Review, dokumentierte Hauptrisiken und zugeordnete Controls. Erst dann wird aus „Wir nutzen hier und da KI“ ein überprüfbarer Betriebszustand.

Die organisatorische Einbindung gelingt am besten, wenn AIMS und Einkauf zusammenspielen. Neue GenAI-Dienste dürfen nicht über Schattenbeschaffung oder private Testaccounts in die Organisation gelangen. Stattdessen sollte ein schneller, aber verbindlicher Freigabeprozess existieren: Use Case beschreiben, Datenkategorien bewerten, Anbieterunterlagen prüfen, Risikostufe festlegen, Controls definieren, Freigabe dokumentieren. Wer mit populären Tools arbeitet, sollte ergänzend auch die Einordnung zu ChatGPT im Unternehmen und dem AI Act lesen.

Monitoring und kontinuierliche Überwachung

Monitoring und kontinuierliche Überwachung entscheiden darüber, ob GenAI-Governance im Alltag trägt oder nur auf Papier existiert. LLM-Risiken verändern sich mit neuen Modellen, geänderten Anbieterbedingungen, wachsender Nutzung und kreativen Umgehungen durch Mitarbeitende. Ein einmaliges Risk Assessment reicht deshalb nicht aus.

Für Generative AI sollte Monitoring mindestens vier Ebenen abdecken. Erstens Output-Kontrolle: Stichproben, Review-Quoten, Qualitätsfehler und dokumentierte Halluzinationsfälle. Zweitens Nutzungsstatistiken: Welche Teams verwenden welche Tools wie häufig und mit welchem Datentyp? Drittens Compliance-Signale: verbotene Eingaben, neue Schattennutzung, Spend-Anomalien, ungewöhnliche API-Aufrufe oder fehlgeschlagene Filter. Viertens Incident Management: Was passiert, wenn Daten versehentlich offengelegt, Schutzmechanismen umgangen oder problematische Inhalte verbreitet werden?

Ein wirksames GenAI-Incident-Management braucht klare Schwellen. Ein versehentlich eingegebener personenbezogener Datensatz ist kein bloßer Bedienfehler, sondern ein Vorfall mit Prüfbedarf für Datenschutz, Sicherheit und Fachbereich. Ein manipuliertes Prompt-Pattern oder eine halluzinierte Kundenantwort muss nicht nur korrigiert, sondern als Lernsignal ins AIMS zurückgeführt werden. Gute Governance erkennt Vorfälle nicht als Ausnahmen, sondern als Quelle für bessere Controls.

Sinnvolle Kennzahlen sind zum Beispiel Anzahl freigegebener GenAI-Tools, Zahl erkannter Shadow-KI-Fälle, Quote problematischer Prompts, dokumentierte Halluzinationsvorfälle, Zeit bis zur Incident-Bearbeitung und Anteil geschulter Nutzergruppen. Diese Metriken müssen nicht hochkomplex sein. Entscheidend ist, dass Management, Fachbereiche und Kontrollfunktionen eine gemeinsame Sicht auf die reale Nutzung erhalten.

ISO 42001 entfaltet damit seinen eigentlichen Nutzen: nicht als einmalige Normlektüre, sondern als Regelkreis aus Inventar, Bewertung, Betrieb, Überwachung und Verbesserung. Wenn Sie Generative AI in Ihrem Unternehmen nicht nur erlauben, sondern kontrolliert und nachweisbar steuern wollen, ist der nächste sinnvolle Schritt eine strukturierte ISO-42001-Schulung und der Aufbau eines klaren AIMS für freigegebene Tools, Prompt-Regeln und laufende Aufsicht.

ISO 42001 und Generative AI: ChatGPT, Copilot und Co. sicher managen