Jede Organisation, die KI einsetzt, steht vor demselben Problem: Die regulatorische und normative Landschaft hat sich in vier überlappende Rahmenwerke aufgeteilt, jedes mit einer anderen Reichweite, Rechtswirkung und operativen Logik. Nur eines zu wählen hinterlässt Lücken. Alle vier ohne klare Struktur umzusetzen führt zu doppelter Arbeit.
Dieser Leitfaden kartiert alle vier wesentlichen KI-Governance-Rahmenwerke, erklärt ihre Wechselwirkungen und bietet einen praktischen Sequenzierungsplan für Organisationen, die ein Multi-Rahmenwerk-Compliance-Programm aufbauen.
Was ist ein KI-Governance-Rahmenwerk?
Ein KI-Governance-Rahmenwerk ist eine strukturierte Sammlung von Richtlinien, Prozessen, Rollen und Kontrollen, die regelt, wie eine Organisation KI-Systeme entwickelt, einsetzt und überwacht. Es beantwortet drei Fragen: Wer ist für KI-Entscheidungen verantwortlich, wie werden Risiken identifiziert und gemanagt, und welche Nachweise belegen, dass Kontrollen wirksam sind.
Der Unterschied zwischen einer Richtlinie und einem Rahmenwerk ist entscheidend. Eine Richtlinie legt fest, was geschehen muss. Ein Rahmenwerk definiert, wie alles, was geschehen muss, organisiert wird, wer für welchen Teil verantwortlich ist und wie die Teile zusammenhängen. Ohne Rahmenwerk wird Compliance zu einer Liste isolierter Maßnahmen ohne gesamtverantwortliche Instanz.
Drei Säulen durchziehen alle wesentlichen Rahmenwerke: Verantwortlichkeit (Accountability), Transparenz und Risikomanagement.
Der Regulierungskalender ist nicht mehr theoretisch
Für Deutschland und die gesamte EU hat die KI-Verordnung (EU) 2024/1689 konkrete Fristen gesetzt. Das Verbot inakzeptabler Praktiken gilt seit Februar 2025. Die Verpflichtungen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck gelten seit August 2025. Die vollständigen Anforderungen für Hochrisiko-KI-Systeme treten im August 2026 in Kraft.
Deutschland bringt eine besondere Ausgangslage mit: Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat Orientierungshilfen für den sicheren Einsatz von KI veröffentlicht und positioniert ISO 42001 als komplementären Standard zur bestehenden IT-Sicherheitsarchitektur. Die langjährige TÜV- und DIN-Zertifizierungskultur erleichtert die Adoption von ISO 42001 erheblich.
Eine Sprinto-Umfrage aus dem Jahr 2025 zeigt, dass 76 % der Organisationen planen, die ISO-42001-Zertifizierung noch im selben Jahr zu erlangen. Enterprise-Einkaufsteams fordern zunehmend Nachweise über KI-Governance als Teil von Lieferanten-Qualifizierungsfragebögen.
Die vier Rahmenwerke im Überblick
NIST AI Risk Management Framework (AI RMF)
Das NIST veröffentlichte AI RMF 1.0 im Januar 2023. Das Rahmenwerk gliedert sich in vier Funktionen:
- GOVERN: Organisationskultur, Richtlinien und Verantwortungsstrukturen
- MAP: Risikoidentifikation vor dem Einsatz
- MEASURE: Quantifizierung und Prüfung von KI-Risiken
- MANAGE: Priorisierung und Behandlung identifizierter Risiken
NIST AI RMF ist freiwillig und ermöglicht maximale Flexibilität für Organisationen jeder Größe und Branche.
ISO/IEC 42001:2023: der erste zertifizierbare KI-Management-Standard
ISO 42001 folgt der Annex-SL-Hochstruktur von ISO 27001 und ISO 9001. Organisationen mit bestehenden Zertifizierungen können das KI-Governance-System integrieren, ohne eine parallele Struktur aufzubauen.
Die Norm umfasst zehn Klauseln, wobei die Klauseln 4 bis 10 auditierbar sind. Anhang A enthält 38 Kontrollen in neun Kontrolldomänen. Die Erstzertifizierung gilt drei Jahre, mit jährlichen Überwachungsaudits. ISO/IEC 42006:2025 definiert die Kompetenzanforderungen für Auditoren.
Die EU-KI-Verordnung: die erste verbindliche KI-Regulierung der Welt
Die Verordnung (EU) 2024/1689 klassifiziert KI-Systeme nach vier Risikoklassen:
- Inakzeptables Risiko: Verboten seit Februar 2025
- Hohes Risiko: Strenge Anforderungen ab August 2026 (Konformitätsbewertung, Risikomanagement, technische Dokumentation, Registrierung in der EU-Datenbank)
- Begrenztes Risiko: Nur Transparenzpflichten
- Minimales Risiko: Keine Pflichten
Verstöße gegen Verbote können mit bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden. Der extraterritoriale Anwendungsbereich erfasst alle Unternehmen, die KI-Systeme auf dem EU-Markt bereitstellen.
OECD-Grundsätze für KI: die globale Referenzbasis
Die OECD-KI-Grundsätze (OECD/LEGAL/0449), 2019 verabschiedet und 2024 aktualisiert, benennen fünf Grundprinzipien: inklusives Wachstum, menschenzentrierte Werte und Fairness, Transparenz und Erklärbarkeit, Robustheit und Sicherheit sowie Verantwortlichkeit. 47 Staaten haben sie übernommen.
Die vier Rahmenwerke als komplementäre Schichten
- Schicht 1 (Werte): OECD-Grundsätze
- Schicht 2 (Risikoprozess): NIST AI RMF
- Schicht 3 (Managementsystem): ISO 42001
- Schicht 4 (Rechtspflichten): EU-KI-Verordnung
Kontrollüberschneidungen erkennen und nutzen
ISO 42001 Klausel 5 (Führung) und NIST GOVERN decken dasselbe Grunderfordernis ab: dokumentierte KI-Richtlinie, sichtbares Führungsengagement, klare Verantwortungszuordnung.
ISO 42001 Klausel 6 (Planung) erfüllt etwa 60 % der Anforderungen von Artikel 9 der EU-KI-Verordnung (Risikomanagementsystem für Hochrisiko-KI), laut Analyse von Konformitätsbewertungsstellen.
ISO 42001 Klausel 9 (Bewertung der Leistung) und NIST MEASURE greifen ineinander: Nachweise, die für die eine Funktion erzeugt werden, bedienen direkt die andere.
Zwei europäische Normen in Entwicklung beim CEN-CENELEC, prEN 18228 und prEN 18282, werden technische Spezifikationen liefern, die ISO-42001-Kontrollen präziser mit den Anforderungen der EU-KI-Verordnung verbinden.
Den richtigen Einstiegspunkt wählen
EU-Exposition: Mit der Risikoeinstufung nach EU-KI-Verordnung beginnen. Alle KI-Systeme inventarisieren, nach Risikoklassen einordnen und Hochrisiko-Systeme priorisieren.
Zertifizierungsbedarf: Mit ISO 42001 beginnen. Das resultierende Managementsystem schafft parallelen Mehrwert für NIST AI RMF und EU-KI-Verordnung gleichzeitig.
US-Unternehmen ohne EU-Exposition: Mit NIST AI RMF beginnen und ISO 42001 einführen, wenn Zertifizierung zur Anforderung wird.
Ein Multi-Rahmenwerk-Programm aufbauen
Ein funktionierendes Programm folgt fünf Stufen: KI-System-Inventar, Risikoklassifizierung, Kontrollrahmen-Auswahl (ISO 42001 Anhang A als operative Basis), Nachweiserhebung und kontinuierliche Überwachung.
AI Sigil unterstützt alle fünf Stufen mit einer einheitlichen Plattform, die Kontrollen über NIST AI RMF, ISO 42001 und EU-KI-Verordnung gleichzeitig kartiert und Lücken vor externen Audits aufdeckt.
Fazit
Die vier KI-Governance-Rahmenwerke sind keine Alternativen, sondern komplementäre Schichten. NIST AI RMF, ISO 42001, EU-KI-Verordnung und OECD-Grundsätze adressieren jeweils eine andere Dimension desselben Problems: Wie wird KI verantwortungsvoll, skalierbar und für externe Stakeholder nachweisbar gesteuert? Organisationen, die sie korrekt überlagern, bauen Programme auf, die Regulatoren, Zertifizierungsstellen und Einkaufsteams gleichzeitig überzeugen.
Quellen: NIST AI RMF 1.0 (Januar 2023); ISO/IEC 42001:2023; ISO/IEC 42006:2025; Verordnung (EU) 2024/1689 (EU-KI-Verordnung), Amtsblatt L, 12. Juli 2024; OECD-KI-Grundsätze (OECD/LEGAL/0449), aktualisiert Mai 2024; Gartner, Analyse des KI-Governance-Plattformmarkts, Februar 2026; Sprinto, ISO-42001-Adoptionsumfrage 2025; prEN 18228 und prEN 18282 (CEN-CENELEC, nur namentliche Referenz).