Wie die Analyse funktioniert
Kein generischer KI-Chat. Kein Fragebogen mit Auswertungslogik. Eine spezialisierte Diagnose-Engine, die deine Dokumente gegen 81 Prüfpunkte aus der ISO 42001 abgleicht.
Was die Engine tut
Du lädst deine Dokumente hoch. Die Engine liest sie. Und dann passiert etwas, das kein allgemeines KI-Tool leisten kann: Sie prüft nicht nur, ob ein Dokument existiert, sondern ob der Inhalt das tut, was die Norm verlangt.
Ein Beispiel: Du lädst deine AI Policy hoch. Ein normales KI-Tool würde sagen "ja, eine Policy ist vorhanden". Unsere Engine prüft sieben einzelne Anforderungen. Hat die Policy einen Bezug zu deiner Branche, oder ist sie generisch? Enthält sie ein Commitment zur kontinuierlichen Verbesserung? Ist sie extern zugänglich? Wer hat sie freigegeben? Jede Anforderung wird einzeln bewertet.
Am Ende bekommst du keinen vagen Eindruck, sondern ein konkretes Bild: 2 von 7 Anforderungen erfüllt, 3 nicht erkennbar, 2 kritisch.
81 Prüfpunkte, 47 Fallen
Die Engine kennt 81 Prüfpunkte, verteilt auf die sieben Klauseln der ISO 42001:
| Klausel | Bereich | Prüfpunkte | |---|---|---| | 4 | Kontext | 15 | | 5 | Führung | 13 | | 6 | Planung | 16 | | 7 | Unterstützung | 10 | | 8 | Betrieb | 9 | | 9 | Bewertung | 10 | | 10 | Verbesserung | 8 |
Zusätzlich kennt die Engine 47 typische Fallen. Das sind Fehler, die auf den ersten Blick nicht auffallen, aber im Audit sofort gefunden werden. Zum Beispiel:
Die DSGVO-Falle. Die DSGVO steht im Stakeholder-Register als interessierte Partei. Aber die DSGVO ist ein Gesetz, kein Stakeholder. Die Datenschutzbehörde wäre der Stakeholder. Die Engine erkennt diesen Unterschied.
Die Entwurfs-Falle. Der Scope liegt vor, aber als "Version 0.1, Entwurf". Ein Entwurf ist keine Documented Information im Sinne der Norm. Die Engine erkennt, ob ein Dokument finalisiert und freigegeben ist.
Die CTO-Falle. Die Policy sagt, der CTO trägt die Gesamtverantwortung. Aber die Norm fordert, dass die Ultimate Accountability beim Top-Management liegt, also bei der Geschäftsführung. Ein CTO ist nicht Top-Management. Die Engine erkennt diese Zuordnung.
Wie die Engine aufgebaut ist
Die Analyse läuft nicht als einzelne Abfrage. Sie ist aufgebaut wie ein Expertenteam, das deine Dokumente aus verschiedenen Blickwinkeln betrachtet.
Schritt 1: Intake
Deine Dokumente werden gelesen und klassifiziert. Die Engine erkennt, welches Dokument zu welcher Klausel gehört. Eine AI Policy geht an den Führungs-Prüfer. Ein Risk Register geht an den Planungs-Prüfer. Ein Dokument kann auch mehrere Klauseln betreffen.
Schritt 2: Sieben spezialisierte Prüfer
Für jede Klausel gibt es einen eigenen Prüfer mit einem eigenen Wissenssatz. Der Kontext-Prüfer kennt die 15 Prüfpunkte und 8 Fallen der Klausel 4. Der Planungs-Prüfer kennt die 16 Prüfpunkte und 10 Fallen der Klausel 6. Jeder Prüfer ist auf seinen Bereich spezialisiert.
Jeder Prüfer bewertet jeden seiner Prüfpunkte einzeln:
Erfüllt bedeutet: Die Anforderung ist in den Dokumenten nachvollziehbar umgesetzt.
Nicht erkennbar bedeutet: In den übergebenen Dokumenten ist keine Evidenz für diese Anforderung erkennbar. Das heißt nicht, dass die Organisation es nicht hat. Es heißt, dass die Dokumente es nicht zeigen.
Kritisch bedeutet: Die Anforderung fehlt, und das Fehlen hätte im Audit wahrscheinlich eine Major Nonconformity zur Folge.
Die Engine formuliert bewusst vorsichtig. Sie sagt nie "Sie haben das nicht." Sie sagt: "In den übergebenen Dokumenten ist das nicht erkennbar." Weil sie nur bewerten kann, was sie sieht.
Schritt 3: Querverbindungen
Nach den Einzelprüfungen werden die Ergebnisse abgeglichen. Stimmt der Scope aus Klausel 4 mit dem Statement of Applicability aus Klausel 6 überein? Werden die Stakeholder aus Klausel 4 in der Kommunikationsplanung aus Klausel 7 adressiert? Passen die AI Objectives aus Klausel 6 zur Policy aus Klausel 5?
Diese Querverbindungen sind das, was ein einzelnes Dokument-für-Dokument-Review nicht leisten kann.
Schritt 4: Report
Aus allen Prüfungen wird ein strukturierter Gap-Report erstellt:
Executive Summary fasst in drei Sätzen zusammen, wo du stehst.
Klausel-Ampel zeigt auf einen Blick: Welche Bereiche sind grün, welche gelb, welche rot.
Kritische Indikationen listet die Findings, die sofort adressiert werden müssen.
Quick Wins zeigt Verbesserungen, die mit wenig Aufwand erreichbar sind.
Detail-Ergebnisse gehen pro Klausel in die Tiefe: jeder Prüfpunkt, jede Bewertung, jede Empfehlung.
Was die Engine NICHT tut
Damit keine falschen Erwartungen entstehen:
Die Engine führt kein Audit durch. Sie ist kein Ersatz für eine akkreditierte Zertifizierungsstelle. Sie trifft keine Aussage über die Zertifizierungsfähigkeit deiner Organisation.
Was sie tut: Sie gibt dir eine strukturierte Orientierung. Sie zeigt dir, wo deine Dokumentation stark ist und wo Lücken bestehen. Sie übersetzt die Norm-Anforderungen in verständliche Empfehlungen. Und sie spart dir Wochen an Eigenrecherche.
Die finale Bewertung trifft ein Mensch. Nicht die Maschine.
Warum das besser ist als "frag ChatGPT"
Du könntest deine Policy in ChatGPT kopieren und fragen: "Entspricht das ISO 42001?" Du würdest eine halbwegs vernünftige Antwort bekommen. Aber:
ChatGPT kennt die 81 Prüfpunkte nicht. Es gibt eine allgemeine Einschätzung, keine systematische Prüfung. Es übersieht die Fallen, die im Audit entscheidend sind.
ChatGPT prüft keine Querverbindungen. Es sieht ein Dokument, nicht das Zusammenspiel aller Dokumente. Die Frage "Passt dein Scope zu deinem SoA?" kann es nicht beantworten.
ChatGPT formuliert nicht normgerecht. Es sagt "das fehlt", statt "in den übergebenen Dokumenten ist das nicht erkennbar". Der Unterschied ist rechtlich relevant.
ChatGPT hat keine Fallen-Datenbank. Die 47 typischen Fehler, die wir aus der Norm-Analyse und aus der Prüfungsvorbereitung kennen, sind in keinem allgemeinen Sprachmodell vorhanden.
Die Engine ist kein besserer Chatbot. Sie ist ein spezialisiertes Diagnosewerkzeug, gebaut auf der Grundlage von ISO/IEC 42001, strukturiert nach den Anforderungen der Norm und validiert gegen absichtlich fehlerhafte Testdokumente.
Wie du die Engine nutzt
Stufe 1: Schnellcheck (kostenlos, ohne Upload)
25 Fragen. 15 Minuten. Du beantwortest Fragen zu deinem Unternehmen und deinem KI-Einsatz. Am Ende bekommst du eine erste Einordnung: Bist du betroffen? Wo stehst du? Was wäre der nächste Schritt?
Hier läuft keine Engine. Das ist reine Fragebogen-Logik. Aber sie zeigt dir, ob es sich lohnt, tiefer einzusteigen.
Stufe 2: Dokumenten-Check (kostenlos, mit Upload)
Du lädst deine Dokumente hoch, Schritt für Schritt, geführt durch die sieben Klauseln. Für jedes Dokument bekommst du sofort eine Rückmeldung. Die Ampel aktualisiert sich live.
Du musst nicht alle Dokumente haben. "Hab ich nicht" ist eine valide Antwort. Die Engine zeigt dir dann, was du als Erstes erstellen solltest.
Stufe 3: Vollständige Analyse
Alle Dokumente, alle 81 Prüfpunkte, Querverbindungen, vollständiger Gap-Report. Das Ergebnis wird vor der Freigabe manuell geprüft.
Was in dem Report steht
Ein Auszug aus einem echten Test-Report (die Musterfirma wurde mit absichtlich fehlerhaften Dokumenten getestet):
Klausel 4 . Context of the Organization
Erfüllt: 1 von 15 (7%)
Kritisch: 2
Finding 4.2.5 . AI Subjects fehlen [kritisch]
In den übergebenen Dokumenten fehlen AI Subjects
vollständig. Empfehlung: Identifizieren und
dokumentieren Sie Personen, über die Ihre KI
Entscheidungen trifft.
Finding 4.3.1 . Scope als Entwurf [kritisch]
Der Scope liegt als "Version 0.1, Entwurf" vor
und erfüllt nicht die Anforderungen an Documented
Information. Empfehlung: Finalisieren Sie den Scope
mit Versionierung und Freigabe.
Ausgelöste Fallen:
• DSGVO als Stakeholder statt als externer Faktor
• Scope ohne Schnittstellen zu externen Providern
• AI Subjects nicht identifiziert
Das ist kein generischer Text. Das sind spezifische, prüfbare, handlungsrelevante Findings.
→ Selbstcheck starten → Musterfirma ansehen → Zurück zur Übersicht
Diese Analyse basiert ausschließlich auf den übergebenen Dokumenten und stellt eine automatisierte Indikation dar. Sie ersetzt keine Beratung durch einen qualifizierten Implementierer und kein Audit durch eine akkreditierte Zertifizierungsstelle gemäß ISO/IEC 17021.