KI-Projekt gestartet? ISO 42001 als Orientierung im Projektmanagement

KI-Projekte starten oft mit Schwung – und geraten dennoch ins Stocken. Nicht wegen der Technologie, sondern weil zentrale Strukturentscheidungen fehlen. In hochregulierten Umfeldern wie Banken, Versicherungen oder KRITIS führt das schnell zu einem Dilemma: Die Technik will rennen, aber die Governance zieht die Bremse.

Hier kommt die ISO/IEC 42001 ins Spiel. Als weltweit erster Standard für KI-Managementsysteme (AIMS) liefert sie genau das, was im Projektmanagement oft fehlt: Einen klaren Rahmen für Verantwortlichkeit, Transparenz und Sicherheit. Sie ist das Bindeglied zwischen innovativer Entwicklung und regulatorischer Prüffestigkeit (z. B. im Hinblick auf den EU AI Act).

Dieser Beitrag zeigt fünf konkrete Strukturentscheidungen, die wir heute nach dem Geist der ISO 42001 treffen müssen, damit KI-Projekte handlungsfähig bleiben.

1. Einordnung vor Umsetzung: Den Kontext präzise bestimmen

Am Anfang eines KI-Projekts steht oft der Versuchung, direkt Architektur und Daten zu sichten. Die ISO 42001 verlangt jedoch zuerst die Klärung des Organisationskontextes.

Die entscheidende Frage lautet nicht: Was kann das System? Sondern: Welche Wirkung entfaltet es – und in welchem regulatorischen Umfeld operiert es?

Es macht einen massiven Unterschied, ob eine KI nur intern unterstützt oder spürbar in Entscheidungen eingreift, die Dritte betreffen. Diese Einordnung ist die Basis für alles Weitere. Ohne sie bleibt unklar, welche Sicherheitsstufen gelten und wer später die Fragen der Auditoren beantworten muss.

Handlungsimpuls: 

Halten Sie zu Projektbeginn fest, welche Art von KI-System entsteht und in welchem Wirkungskontext es eingesetzt wird. Das schafft Orientierung, bevor Komplexität entsteht.

2. Systemverantwortung klären – Governance statt nur Product Ownership

In vielen Projekten ist die Rollenfrage schnell beantwortet: Es gibt einen Product Owner. Für KI-Systeme greift das zu kurz. Die ISO 42001 fordert explizit die Zuweisung klarer Rollen und Verantwortlichkeiten über den gesamten Lebenszyklus.

Systemverantwortung bedeutet hier mehr als fachliche Priorisierung. Sie umfasst:

• Die Verantwortung für die ethische Ausrichtung und den Zweck des Systems.
• Die Rechenschaftspflicht für Auswirkungen und potenzielle Diskriminierung (Bias).
• Die klare Rolle in Eskalationsszenarien und Prüfungssituationen.

Handlungsimpuls: 

Ergänzen Sie die klassische Product Ownership um eine klar definierte systemverantwortliche Rolle – fachlich verankert, entscheidungsfähig und eindeutig zugeordnet.

3. Projektziele „governancefähig“ formulieren

KI-Projektziele wie „Effizienz steigern“ sind zu vage, wenn es um Steuerung geht. Ein Ziel nach ISO-Standard geht einen entscheidenden Schritt weiter und definiert die AI Policy auf Projektebene. Es beantwortet zusätzlich:

• Wie stellen wir die Erklärbarkeit (Explainability) der Ergebnisse sicher?
• Woran messen wir die Qualität und Verlässlichkeit der KI-Outputs?
• Wie gehen wir mit systemimmanenten Unsicherheiten um?

Handlungsimpuls: 

Formulieren Sie Ziele so, dass Nachvollziehbarkeit und Prüfbarkeit Teil des Projekterfolgs sind – und nicht erst am Ende „drangebastelt“ werden.

4. Risiken aktiv steuern – Das AI Risk Assessment im PM-Alltag

KI-Risiken passen selten in klassische Raster wie Zeit oder Budget. Die ISO 42001 rückt das Risikomanagement für KI ins Zentrum. Es geht um konkrete Wirkungen: Fehlentscheidungen, Datenschutzverletzungen oder Reputationsfragen.

Diese Risiken lassen sich nicht am Projektende „abhaken“. Sie müssen im Verlauf sichtbar bleiben. In der Praxis bewährt sich dafür ein separates Risikoregister als echtes Steuerungsinstrument, das Risiken nicht nur dokumentiert, sondern konkrete Maßnahmen zur Risikominimierung (Mitigation) vorgibt.

Handlungsimpuls: 

Machen Sie regulatorische Risiken früh sichtbar und beziehen Sie sie regelmäßig in die operativen Projektentscheidungen ein.

5. Entscheidungslogik festlegen, bevor Fragen entstehen

Regulatorische Anforderungen verlangen keine perfekten Systeme, sondern nachvollziehbare Entscheidungen. Die ISO 42001 legt großen Wert auf Transparenz und Dokumentation.

Viele Projekte verlieren Fahrt, weil unklar ist, wer was entscheiden darf. Definieren Sie deshalb frühzeitig:

• Was entscheidet das Projektteam autonom?
• Ab welcher Schwelle müssen Compliance- oder Risk-Abteilungen involviert werden?
• Wie wird die Entscheidungslogik archiviert, um sie revisionssicher zu machen?

Handlungsimpuls:

Legen Sie Eskalationswege und Dokumentationsstandards fest, bevor der erste kritische Moment eintritt. Das schafft Vertrauen bei den Stakeholdern.

Mein Fazit: Steuerbarkeit ist kein Nebenprodukt

KI-Projekte scheitern selten an der Technologie. Sie scheitern an fehlender Struktur. Die ISO 42001 ist kein bürokratischer Ballast, sondern das Fundament, auf dem Innovation in regulierten Märkten erst möglich wird. Sie schafft die nötige Klarheit, um KI nicht nur zu nutzen, sondern sie professionell zu steuern.

Mein persönlicher Abschluss

In gut strukturierten KI-Projekten ist es oft erstaunlich ruhig. Nicht, weil weniger passiert, sondern weil klar ist, wer entscheidet, woran gemessen wird und wie wir mit Risiken umgehen. Das macht Projekte nicht langsamer. Es macht sie kalkulierbar und am Ende erfolgreich.