ISO/IEC 42001:2023 ist der erste internationale Managementsystem-Standard für künstliche Intelligenz. Er definiert Anforderungen an ein AI Management System (AIMS). ISO 42001 ist strukturell vergleichbar mit ISO 27001 oder ISO 9001.
Der Provider nach Artikel 3 (3) entwickelt ein KI-System und bringt es unter eigenem Namen in Verkehr. Der Deployer nach Artikel 3 (4) setzt ein KI-System unter eigener Verantwortung beruflich ein.
ISO 42001 und EU AI Act sind nicht deckungsgleich, aber komplementär. Der Standard ist freiwillig, die Verordnung ist verbindlich.
SAP hat die ISO-42001-Zertifizierung für AI Governance und zentrale SAP-Business-AI-Produkte erreicht (Quelle: SAP Responsible AI Page, Q1 2026). Damit nimmt SAP öffentlich die Provider-Rolle an. Die Deployer-Pflichten nach Artikel 26 bleiben beim Kunden.
Das ist keine Shared Responsibility, sondern eine Rollen-Trennung. SAP liefert ein konformes KI-System. Der Kunde nutzt es konform. Beide Pflichten sind sanktionsbewehrt und getrennt durchsetzbar.
Rollen-Inventar je KI-System. Für jedes eingesetzte KI-System wird geklärt, wer Provider und wer Deployer ist.
Pflichten-Matrix nach Artikel 13, 16, 26. Artikel 26 definiert die Deployer-Pflichten: Nutzung nach Anleitung, menschliche Aufsicht, Log-Aufbewahrung mindestens sechs Monate, Incident-Reporting.
ISO 42001 als Struktur-Rahmen. Auch ohne eigene Zertifizierung eignet sich ISO 42001 als strukturierter Rahmen für das eigene AI-Management-System.
Rollenwechsel durch substanzielle Änderung. Nach Artikel 25 kann ein Deployer selbst zum Provider werden – z. B. durch substanzielle Änderungen via Customizing oder ABAP-Eigenentwicklungen.
Grauzone Customizing. Die Grenze zwischen zulässiger Konfiguration und substanzieller Änderung ist nicht scharf gezogen. Konservative Auslegung empfohlen.
Eigenentwicklungen auf BTP. Anwendungen auf der SAP BTP sind nicht automatisch von SAPs ISO-42001-Zertifizierung gedeckt.
Missverständnis Shared Responsibility. Die EU-AI-Act-Rollen-Trennung ist kein Shared-Responsibility-Modell.
Provider-Dokumentation systematisch einholen und archivieren. Die nach Artikel 13 gelieferten Informationen werden revisionssicher abgelegt.
Rollen-Klassifikation je Change. Jeder Change wird geprüft: zulässige Konfiguration (SAP bleibt Provider) oder substanzielle Änderung nach Artikel 25 (Kunde wird Provider).
Deployer-Governance in den Change-Prozess. Monitoring-Vorgaben, Log-Policy und Incident-Pfade werden im regulären Change-Workflow verankert.
ISO 42001 prüfen, nicht reflexhaft zertifizieren. Zertifizierung wird erst nötig, wenn die Organisation substanziell in Provider-Rollen agiert.
Die ISO-42001-Zertifizierung von SAP ist ein klares Signal: SAP ist Provider, der Kunde ist Deployer. Die Deployer-Pflichten nach Artikel 26 bleiben in voller Höhe beim Kunden. Eine konforme Umsetzung stützt sich auf drei Bausteine: Rollen-Inventar je KI-System, systematische Archivierung der Provider-Dokumentation und Integration der Deployer-Governance in den bestehenden Change-Prozess.