ISO 42001 im modernen Facility Management

Die praktische Umsetzung von ISO 42001 in Betreiberimmobilien – d. h. hochkomplexen Liegenschaften mit Betreiberverantwortung – ist sowohl strategisch als auch operativ anspruchsvoll. Als Betreiberimmobilien gelten beispielsweise Krankenhäuser, Rechenzentren, Flughäfen und große Logistikzentren. Diese zeichnen sich durch hohe technische Ausstattung, 24/7-Betrieb, strikte regulatorische Auflagen (z. B. Arbeitssicherheit, Datenschutz, branchenspezifische Normen) und viele Stakeholder aus. Die Implementierung eines KI-Managementsystems in solchen Umgebungen muss daher ganzheitlich erfolgen und sowohl Führungsebene als auch operative Einheiten einbinden. Im Folgenden werden zunächst strategische Aspekte und dann operative Aspekte der Implementierung beleuchtet, bevor konkrete Herausforderungen und Erfolgsfaktoren zusammengefasst werden.

Auf strategischer Ebene ist zunächst die Verankerung von KI-Governance in der Unternehmensführung wesentlich. Die oberste Leitung der Betreiberimmobilie (z. B. Krankenhausdirektion, CIO eines Rechenzentrums, Airport-Management) muss sich klar zur Einführung von ISO 42001 bekennen und die notwendigen Ressourcen bereitstellen. Dies umfasst u. a. die Ernennung von Verantwortlichen (etwa eines KI-Compliance-Beauftragten oder die Erweiterung der Aufgaben des FM-Qualitätsmanagers um KI-Themen) sowie die Definition einer KI-Politik, die mit der Unternehmensstrategie im Einklang steht. Ein Erfolgsfaktor ist hierbei, KI nicht als Selbstzweck zu betrachten, sondern als Werkzeug zur Erreichung der strategischen Ziele der Organisation. So könnte ein Krankenhaus die KI-Politik an seinen Leitsatz der Patientensicherheit koppeln („KI-Systeme dürfen nur eingesetzt werden, wenn sie nachweislich die Patientensicherheit erhöhen oder Risiken reduzieren“). Eine solche Leitlinie übersetzt die abstrakten Normforderungen in greifbare Prinzipien. Weiterhin ist eine Integration in das bestehende Management-Framework auf strategischer Ebene ratsam. Betreiberimmobilien sind oft schon zertifiziert oder reguliert (Qualitätsmanagement im Krankenhaus nach z. B. KTQ oder DIN EN 15224, Informationssicherheits-Standards im Rechenzentrum nach ISO 27001, Compliance-Programme in Flughäfen usw.). Der strategische Ansatz sollte daher auf Integration statt Insellösungen setzen. Das bedeutet, ISO 42001 wird als Teil des Integrierten Managementsystems (IMS) eingeführt, nicht als isoliertes Projekt. Ein integrativer Ansatz erleichtert es, KI-Risiken im Kontext anderer Risiken zu betrachten – etwa könnten KI-Ausfälle als operative Risiken in das bestehende Risikoregister aufgenommen und mit klassischen Facility-Risiken (wie Stromausfall oder Brandschutz) zusammen bewertet werden. KPMG betont in diesem Zusammenhang, dass ISO 42001 hilft, KI-Risikomanagement strukturiert in die Unternehmensführung zu integrieren, was angesichts zunehmender Regulierung (Stichwort EU AI Act) entscheidend ist. Auf strategischer Ebene muss also eine Governance-Struktur etabliert werden, die sicherstellt, dass KI-Themen regelmäßig auf Top-Management-Level diskutiert und überwacht werden (z. B. durch einen KI-Lenkungsausschuss als Teil der Unternehmensführung). Ein weiterer strategischer Aspekt ist das Stakeholder-Management. Betreiberimmobilien haben vielfältige Stakeholder: Eigentümer, Gesetzgeber, Nutzer/Mieter, Kunden, Öffentlichkeit. Die Einführung von ISO 42001 kann z. B. für Eigentümer ein Mittel sein, den Wert und die Zukunftssicherheit der Immobilie zu steigern (etwa durch effizienteren Betrieb mittels KI und Reduktion von Betriebsrisiken). Für Regulatoren und Aufsichtsbehörden (etwa Gesundheitsämter, Luftfahrtbundesamt) signalisiert ein nach ISO 42001 gesteuertes KI-System, dass das Unternehmen proaktiv Compliance sicherstellt und Risiken minimiert. Hier kann strategisch kommuniziert werden, dass man durch die Norm die Anforderungen des kommenden EU AI Act antizipiert und damit Vorbildfunktion übernimmt. Dieses „Compliance-as-a-Service“-Narrativ kann auch marketingwirksam eingesetzt werden (z. B. gegenüber Auftraggebern oder Patienten, die zunehmend Wert auf den ethischen Umgang mit KI legen). Unternehmen, die früh ISO 42001 einführen, verschaffen sich einen Wettbewerbsvorteil durch Vertrauensbildung und können sich als Vorreiter für verantwortungsvolle KI positionieren. Dies ist insbesondere für FM-Dienstleister relevant, die für Kunden Betreiberaufgaben übernehmen – eine Zertifizierung könnte hier zum Differenzierungsmerkmal am Markt werden („Wir betreiben Ihre Immobilie KI-gestützt nach höchsten internationalen Standards“). Strategischer Erfolgsfaktor ist in diesem Kontext auch, frühzeitig alle relevanten Stakeholder einzubeziehen – etwa Industriedialoge mit Aufsichtsbehörden zu führen oder Nutzervertretungen (z. B. Ärzte im Krankenhaus, Fluglinien am Airport) in die Konzeption von KI-Lösungen einzubinden, um Ängste abzubauen und Akzeptanz zu schaffen. Es liegen die strategischen Herausforderungen vor allem darin, Management Commitment, klare Governance-Strukturen und Stakeholder-Akzeptanz zu sichern. Erfolgskritisch ist, ISO 42001 nicht als reine IT- oder FM-Initiative zu behandeln, sondern als übergreifendes Unternehmensprogramm, das Kultur, Prozesse und externe Wahrnehmung gleichermaßen betrifft. Organisationen, die dies meistern, schaffen die Grundlage für eine erfolgreiche operative Umsetzung.

Auf operativer Ebene rückt die praktische Einführung der Normanforderungen in die Prozesse und den Alltag der Facility-Organisation in den Vordergrund. Eine der größten Herausforderungen ist hier die Komplexität der bestehenden technischen Infrastruktur in Betreiberimmobilien. Krankenhäuser etwa besitzen hunderte vernetzte medizinische Geräte und Gebäudeautomationseinrichtungen; Flughäfen betreiben Anlagen von der Gepäckförderanlage bis zur Zugangskontrolle. Diese heterogene Systemlandschaft muss für KI-Anwendungen überhaupt erst zugänglich gemacht werden. Ein Erfolgsfaktor ist daher die Schaffung einer soliden Datenbasis und IT-Infrastruktur: IoT-Sensoren und eine geeignete Datenplattform sind nötig, um relevante Betriebsdaten (Temperaturen, Verbräuche, Belegungsraten etc.) in Echtzeit zu erfassen. Nur mit qualitätsgesicherten Daten kann KI aussagekräftige Muster erkennen. Praktisch bedeutet dies z.B., in einem Rechenzentrum flächendeckend Sensoren für Temperatur, Luftfeuchtigkeit und Gerätezustand zu installieren, deren Daten in ein zentrales Gebäudemanagementsystem fließen. Ein Logistikzentrum könnte kamerabasierte KI-Systeme einsetzen, die in Echtzeit den Materialfluss überwachen – dafür müssen entsprechende Kameras und Netzwerkinfrastrukturen vorhanden sein. Die Norm ISO 42001 verlangt zwar keine spezifischen Technologien, aber sie fordert implizit, dass Ressourcen bereitgestellt werden, um KI-Systeme betreiben und überwachen zu können. Operativ muss also investiert werden in Hardware, Software und ggf. Cloud-Dienste, die für KI nötig sind. Ein häufiger Stolperstein ist die Integration alter Bestandsanlagen („Legacy Systems“) mit neuen KI-Plattformen. Hier bewährt sich ein schrittweises Vorgehen: zunächst einzelne Pilotbereiche identifizieren, wo KI einen schnellen Mehrwert bringt (z. B. KI-basierte Auswertung von HLK-Daten zur Energieeinsparung in einem Teilgebäude) und dort Schnittstellen schaffen. Diese Pilotprojekte sollten isoliert vom Tagesgeschäft getestet werden, um Risiken zu minimieren, und dann sukzessive skaliert werden. Operative Erfolgsgeschichten können so intern überzeugen und den Weg für größere Rollouts ebnen. Ein zweiter wichtiger operativer Aspekt ist das Personal und die organisatorische Verankerung. Mitarbeiter im Facility Management, die bisher vor allem technische Anlagen bedient haben, müssen nun lernen, mit KI-Systemen umzugehen und deren Output richtig zu interpretieren. Zum Beispiel könnte ein KI-System in der Leitwarte eines Flughafens vorschlagen, bestimmte Klimaanlagen früher als geplant zu warten, weil es eine Anomalie detektiert hat – die Techniker müssen dieses prädiktive Wartungssignal verstehen und entsprechend reagieren (d.h. die Wartung einplanen oder das Signal validieren). Dies erfordert Schulungen und Kompetenzaufbau. Erfolgsfaktor ist eine frühzeitige Einbindung der Mitarbeiter in die Entwicklung der KI-Anwendungen, um Akzeptanz zu schaffen und Know-how aufzubauen. Instandhaltungsteams sollten z.B. bei der Festlegung von Schwellwerten für Warnmeldungen involviert sein – so stellen sie sicher, dass das KI-System praktikable Empfehlungen gibt und kein „Alarmmüdigkeit“ entsteht. Zudem müssen Verantwortlichkeiten neu definiert werden: ISO 42001 verlangt klare Rollen im KI-Management, etwa für Datenmanagement, Modellvalidierung und Monitoring. In der FM-Organisation könnte dies heißen, dass es einen KI-Koordinator gibt, der zwischen IT, FM und ggf. externen KI-Dienstleistern vermittelt. Gerade in Betreiberimmobilien mit kritischen Prozessen ist zudem die Notfallplanung operativ wesentlich: Was passiert, wenn ein KI-System ausfällt oder falsche Entscheidungen trifft? Hier müssen Fallback-Prozesse etabliert sein (z. B. manuelle Übersteuerung der Gebäudeleittechnik oder Alarmierungsketten). Die Norm fordert zwar nicht explizit einen Notfallplan, aber im Rahmen des Risikomanagements und der betrieblichen Steuerung sind solche Vorkehrungen elementar und könnten z.B. als Kontrollmechanismen im Sinne der Norm implementiert werden. Ein dritter operativer Aspekt ist die Tool-Unterstützung bei der Umsetzung von ISO 42001. Aufgrund der Neuheit der Norm gibt es noch nicht wie bei ISO 9001 unzählige Softwarelösungen, aber einige Tools (teils KI-gestützt) können helfen. Im TUV SÜD-Fall der Unique AG wurde z.B. ein Software-Tool (Trail‌-ml) eingesetzt, um die vorhandenen KI-Governance-Strukturen gegen die Normanforderungen abzugleichen und Lücken systematisch zu identifizieren. Solche Gap-Analysen sind auch im FM-Bereich sinnvoll: Ein FM-Unternehmen könnte seine bestehenden Prozesse (z.B. Wartungsplanung, Datensicherheitsrichtlinien) nehmen und prüfen, inwieweit diese bereits KI-Themen abdecken und wo Ergänzungen nötig sind (z.B. Datenethik-Leitlinien, Verfahren zur Bias-Prüfung von KI-Ausgaben, etc.). Hierbei können Checklisten oder spezialisierte Audit-Software genutzt werden, die auf ISO 42001 abgestimmt sind. Für operative Exzellenz bietet es sich an, digitale Werkzeuge einzusetzen, um das KI-Management zu dokumentieren – beispielsweise könnte man in vorhandenen CAFM-Systemen (Computer Aided Facility Management) Module ergänzen, in denen KI-Modelle, deren Trainingsdaten, Validierungsergebnisse und Freigaben verwaltet werden. In großen Organisationen ist zudem an die Lieferanten und Dienstleister zu denken: Häufig wird KI-Software oder Beratung extern bezogen. ISO 42001 fordert auch hier entsprechende Steuerung (z. B. Bewertung von KI-Zulieferern und vertragliche Regelungen zur Einhaltung von KI-Prinzipien). Operativ müssen FM-Verantwortliche also enge Zusammenarbeit mit der IT-Abteilung und Beschaffung suchen, um sicherzustellen, dass z.B. ein Dienstleister, der KI für die Aufzugwartung liefert, die notwendigen Transparenz- und Sicherheitsstandards einhält.

Basierend auf den obigen strategischen und operativen Überlegungen lassen sich typische Herausforderungen bei der Implementierung von ISO 42001 in Betreiberimmobilien und korrespondierende Erfolgsfaktoren identifizieren. Tabelle 2 fasst diese zusammen:

Die Tabelle verdeutlicht, dass technische, organisatorische und menschliche Faktoren gleichermaßen über den Erfolg einer ISO 42001-Implementierung in Betreiberimmobilien entscheiden. So wichtig Algorithmen und Daten sind – ohne menschenzentrierte Change-Management-Maßnahmen (Schulung, Akzeptanzförderung) wird KI im FM nicht ihr volles Potenzial entfalten können. Genauso ist die beste Unternehmenskultur allein nicht hinreichend, wenn technische Grundlagen (Sensorik, Vernetzung, Datenqualität) fehlen. Ein ganzheitlicher Ansatz muss daher Strategie und Operation verzahnen: Die Strategie gibt den Handlungsrahmen (Governance, Ziele, Compliance), während die operative Umsetzung durch geeignete Technologie und Prozesse diese Vorgaben lebendig werden lässt. Im nächsten Kapitel werden die digitalen Technologien näher betrachtet, die als Enabler für ISO 42001 im FM dienen, insbesondere KI-Technologien selbst, IoT-Sensorik und BIM.

Der erfolgreiche Einsatz von ISO 42001 im Facility Management hängt in hohem Maße davon ab, wie gut digitale Technologien eingebunden werden. KI-Systeme, das Internet of Things (IoT) und Building Information Modeling (BIM) bilden dabei ein digitales Ökosystem, das die normkonforme Umsetzung unterstützt und gleichzeitig neue Anforderungen stellt. Dieses Kapitel beleuchtet die Rollen dieser Technologien und ihr Zusammenspiel im Rahmen eines ISO 42001-basierten FM. Künstliche Intelligenz (KI) steht naturgemäß im Zentrum von ISO 42001. In modernen Gebäuden und Anlagen kann KI vielfältige Aufgaben übernehmen: vorausschauende Wartung, Energiemanagement, Flächennutzungs-Optimierung, Sicherheitsanalysen u.v.m. (siehe oben). Wichtig ist jedoch, dass KI nicht isoliert betrachtet wird – sie muss vielmehr in die Gesamtarchitektur des Facility Managements integriert sein. ISO 42001 fordert beispielsweise, dass für alle KI-Systeme Ziele und Leistungskennzahlen definiert werden, sie einem Überwachungsprozess unterliegen und Verbesserungen abgeleitet werden. Hier kann man KI-Software-Werkzeuge nutzen, die speziell das Management von KI-Modellen unterstützen (Model Governance Tools). Ein Beispiel: Für ein KI-Modell, das den Energieverbrauch eines Flughafens prognostiziert und optimiert, könnten monatliche KPIs definiert werden (Prognosegenauigkeit, tatsächlich eingesparte kWh) und in einem Dashboard dem Energiemanager berichtet werden. Diese Zahlen fließen dann in das Performance Evaluation-Kapitel der ISO 42001-Umsetzung ein. Ein gut implementiertes KI-Managementsystem stellt also sicher, dass jede KI-Anwendung einen klaren Zweck, definierte Verantwortliche und kontrollierte Abläufe hat – etwa vom Trainingsdaten-Management bis zur Änderungskontrolle bei Modell-Updates. Technologisch bedeutet das oft, Tools für Automatisierung und Monitoring einzusetzen: z.B. AIOps-Plattformen, die KI-Anwendungen überwachen, Drift erkennen und Alarm schlagen, wenn ein Modell an Genauigkeit verliert. Somit wird die KI selbst Gegenstand von IT-Management – was wiederum die Zusammenarbeit zwischen FM- und IT-Abteilung intensiviert. Ein praktischer Nebeneffekt: KI unterstützt KI-Management – wie im Unique-Fall beschrieben, wo KI-gestützte Methoden (wie retrieval-augmented generation) eingesetzt wurden, um die Norm besser zu verstehen und die Konformität zu prüfen. Solche Meta-Anwendungen zeigen, wie KI und ISO 42001 sich wechselseitig fördern können: KI-Tools machen die Implementierung effizienter, während ISO 42001 die Rahmenbedingungen für den KI-Einsatz definiert. Internet of Things (IoT) ist im Facility Management längst ein Schlüsseltrend (Stichwort Smart Building). Sensoren und vernetzte Geräte liefern die Datenbasis, auf der KI-Algorithmen lernen und Entscheidungen treffen. Die Kopplung von IoT mit KI ermöglicht z.B. Predictive Maintenance: Sensoren überwachen rund um die Uhr den Zustand von Anlagen (Temperatur, Vibration, Leistung) und KI prognostiziert Wartungsbedarf, bevor ein Ausfall auftritt. Für Betreiberimmobilien ist dies enorm wertvoll, da ungeplante Ausfälle (z. B. Klimaanlage in einem Rechenzentrum oder Aufzug in einem Krankenhaus) minimiert werden. ISO 42001 und IoT haben mehrere Schnittstellen: Erstens verlangt die Norm, dass die Datenqualität und Verfügbarkeit sichergestellt wird (im Rahmen von Ressourcen und Support). IoT-Geräte müssen also zuverlässig funktionieren, kalibriert sein und sicher (cybersecurity!) in die Infrastruktur eingebunden werden – andernfalls würde die KI mit falschen Daten arbeiten. Zweitens bieten IoT-Daten die Möglichkeit, Kennzahlen kontinuierlich zu erheben, die für ISO 42001 relevant sind. Zum Beispiel kann man mit IoT kontinuierlich die Performance überwachen – wie viel Prozent Energie hat die KI-Steuerung eingespart oder wie viele Ausfälle wurden durch Predictive Maintenance vermieden. Diese Informationen belegen den Nutzen der KI und unterstützen die in der Norm geforderte Fortlaufende Verbesserung, indem sie Ansatzpunkte liefern (wenn Einsparungen stagnieren, muss das KI-Modell evtl. verbessert werden). Drittens schafft IoT neue Risiken, die ins KI-Risikomanagement eingehen müssen: Cyberangriffe auf Sensoren, Datenlücken bei Netzausfall, etc. ISO 42001 fordert ein umfassendes Risikomanagement – im FM-Kontext muss dieses auch IoT-Risiken einschließen (ggf. in Zusammenarbeit mit ISO 27001-Teams). Insgesamt gilt: IoT und KI zusammen revolutionieren das Facility Management und ISO 42001 bietet den Management-Rahmen, um diese Revolution geordnet und sicher umzusetzen. Ein Bericht fasst zusammen: Durch Integration von KI mit IoT können Organisationen Betriebseffizienz steigern, Asset-Lebenszyklen verlängern und Kosten senken – und KI unterstützt dabei auch die Einhaltung von Standards wie ISO 55001 und ISO 41001, indem es Wartung und Compliance automatisiert. Genau diese Synergien gilt es in Betreiberimmobilien zu heben. Building Information Modeling (BIM) bildet eine weitere wichtige Schnittstelle. BIM steht für digitale Gebäudeinformationsmodelle, die alle relevanten Gebäudedaten und -geometrien in einem konsistenten Modell vereinen. Für Betreiberimmobilien, die nach BIM-Methodik geplant und gebaut wurden, liegen umfassende Informationen zu Räumen, Bauteilen, technischen Anlagen etc. vor. Diese Informationen sind Gold wert für KI-Systeme: Ein KI-Algorithmus kann z.B. ein BIM-Modell nutzen, um zu verstehen, welche Räume stark belegt sind (Raumart, Kapazität) und diese Info mit IoT-Belegungssensoren kombinieren, um Nutzungsmuster präzise zu analysieren. Dadurch lassen sich etwa Belegungs-KI-Systeme trainieren, die vorhersagen, wann Besprechungsräume frei sein werden, oder Reinigungsroutinen dynamisch anpassen. BIM liefert auch die Semantik und Kontext, die KI hilft, Erkenntnisse korrekt einzuordnen – z.B. weiß eine KI durch BIM, dass Raum X ein OP-Saal ist und daher strengere Klima-Anforderungen gelten als in einem Büro. ISO 42001 selbst referenziert branchen- und domänenspezifische Standards (Annex D); für Bau und FM ist hier BIM (ISO 19650-Reihe) zu nennen. Eine normkonforme Umsetzung könnte also bedeuten, dass im KI-Managementsystem Schnittstellen zu BIM-Prozessen definiert werden: etwa dass bei Änderungen am Gebäude (Renovierungen, Umbauten, neue Anlagen) das BIM-Modell aktualisiert wird und diese Änderungen auch im KI-Modell berücksichtigt werden (z.B. neu hinzugefügte Sensoren). Außerdem sind BIM-Daten wichtig für Compliance-Nachweise: Bei Audits kann man anhand des BIM-Modells zeigen, wo überall KI-gesteuerte Komponenten installiert sind und welche Eigenschaften sie haben – was Transparenz schafft. Aus GRC-Sicht (siehe nächstes Kapitel) ist BIM hilfreich, weil es Dokumentation und Nachvollziehbarkeit erhöht: Ein integratives Modell (man spricht auch von Digitalen Zwillingen) ermöglicht, KI-Entscheidungen im räumlichen und anlagentechnischen Kontext darzustellen. Etwa ließe sich ein Sicherheitsvorfall (durch KI-Videoanalyse erkannt) im BIM-Modell lokalisieren und mit Logs verknüpfen. Zusammengefasst unterstützt BIM die Implementierung von ISO 42001, indem es eine verlässliche Datenbasis und Struktur bereitstellt, in die KI eingebettet wird. Indirekt fördert BIM damit auch die Erfüllung von ISO 42001-Anforderungen im Bereich Dokumentation und Kontextanalyse. Umgekehrt kann ISO 42001 als Treiber dienen, BIM stärker im Betrieb zu nutzen, da die Norm ein hohes Maß an Informationstransparenz fordert – was BIM per Definition liefern kann. Es ist noch der Blick auf CAFM-Systeme und digitale Plattformen sinnvoll: Viele Betreiberimmobilien nutzen Computer-Aided Facility Management (CAFM) Software zur Verwaltung von Flächen, Verträgen, Instandhaltung usw. Moderne CAFM-Lösungen sind zunehmend mit IoT und KI-Funktionen ausgestattet (etwa automatische Ticket-Erzeugung bei Sensoralarm). Eine enge Anbindung von ISO 42001 an solche Plattformen ist ratsam. Beispielsweise könnten alle KI-bezogenen Vorfälle (wie ein KI-Fehler oder Override durch einen Techniker) in der CAFM-Historie dokumentiert werden, um daraus zu lernen – solche Informationen würden bei Audits nach ISO 42001 die Wirksamkeit der Steuerung belegen. Außerdem bieten Plattformen die Möglichkeit, Workflows zu erzwingen: etwa dass eine KI-Empfehlung zur Wartung immer erst von einem Ingenieur im CAFM bestätigt werden muss (Vier-Augen-Prinzip), bevor sie geplant wird – ein Mechanismus, der Governance-Regeln aus ISO 42001 (z.B. menschliche Überwachung von KI) technisch umsetzt. Es lässt sich festhalten, dass digitale Technologien die Hebel sind, um ISO 42001 im FM-Kontext mit Leben zu füllen. KI, IoT und BIM sind keine konkurrierenden Konzepte, sondern komplementäre Bausteine: IoT liefert die Daten, BIM gibt den Kontext, KI erzeugt die Intelligenz – und ISO 42001 spannt den Management-Rahmen auf, innerhalb dessen diese Bausteine verantwortungsvoll eingesetzt werden. Ein Experte beschrieb es treffend: Die Kombination aus KI + BIM + IoT revolutioniert das Facility Management und ermöglicht erhebliche Effizienzsteigerungen, während gleichzeitig durch KI-Unterstützung die Einhaltung von Normen wie ISO 55001 (Asset) und ISO 41001 (FM) verbessert wird. Für Betreiberimmobilien ist es essentiell, diese Revolution nicht unkontrolliert ablaufen zu lassen, sondern mit Hilfe von ISO 42001 gezielt zu steuern. Das nächste Kapitel widmet sich daher gezielt den Governance-, Risiko- und Compliance-Aspekten, die dabei zu beachten sind.

In regulierten und sicherheitskritischen Umgebungen, wie es Betreiberimmobilien meist sind, spielen Governance-, Risiko- und Compliance-Aspekte (GRC) eine herausragende Rolle. ISO 42001 adressiert GRC-Themen explizit, indem es einen AI Governance Rahmen etabliert, Risiko-Management fordert und Konformität mit gesetzlichen Vorgaben als Ziel verankert. Dieses Kapitel betrachtet, was das im Einzelnen für das Facility Management bedeutet.

Governance im Kontext von KI-Management bedeutet, dass klare Strukturen und Regeln für die Entscheidungsfindung und Aufsicht rund um KI-Systeme bestehen. Für eine FM-Organisation heißt das: Es muss festgelegt sein, wer welche Entscheidungen in Bezug auf KI trifft, wer verantwortlich ist, wenn etwas schiefgeht, und wie KI-Strategien mit der Unternehmensstrategie verzahnt sind. ISO 42001 fordert beispielsweise, dass die oberste Leitung Leadership und Commitment zeigt und eine KI-Policy sowie Rollen festlegt. In der Praxis könnte dies bedeuten, einen KI-Governance-Ausschuss einzurichten, in dem Vertreter aus Geschäftsführung, FM-Leitung, IT, Recht/Compliance und ggf. Nutzern sitzen. Dieses Gremium überwacht die KI-Einsatzrichtlinien, genehmigt neue KI-Anwendungen (ähnlich einem Change Advisory Board) und überprüft regelmäßig die KI-Performanceberichte. Wichtig ist eine enge Anbindung an das bestehende Corporate Governance System: In vielen Konzernen gibt es bereits Risikokomitees oder IT-Steering Committees. KI-Governance sollte hier integriert oder zumindest abgestimmt sein, um Doppelstrukturen zu vermeiden. Für Betreiberimmobilien mit externer FM-Vergabe (Outsourcing) stellt sich auch die Frage der Governance zwischen Auftraggeber und Auftragnehmer: Wer ist verantwortlich, wenn der FM-Dienstleister KI einsetzt? ISO 42001 ist in diesem Zusammenhang einsetzbar, um klare Vertragspflichten festzulegen – z.B. dass der Dienstleister ein KI-Managementsystem nach ISO 42001 betreiben oder sich zertifizieren lassen muss (ein Ansatz, den erste Unternehmen erwägen, um ihre Lieferkette in Sachen KI-Standards abzusichern). Insgesamt fördert ISO 42001 eine Kultur der Verantwortlichkeit: KI darf nicht als Black Box im Keller laufen, sondern wird zum Thema auf Führungsebene. Das erhöht die Transparenz intern und extern. Aussagen wie „durch die Einführung von ISO 42001 können wir nachweisen, dass unsere KI-Systeme transparent und accountable geführt werden“ untermauern gegenüber Stakeholdern die gute Governance.

Risikomanagement ist das Herzstück jedes GRC-Frameworks und auch bei ISO 42001 zentral. Die Norm verlangt einen systematischen Prozess, um KI-bezogene Risiken zu identifizieren, bewerten, behandeln und kontinuierlich zu überwachen. Für Facility Manager bedeutet das, KI-Risiken in ihre bisherigen Risiko-Matrix aufzunehmen. Solche Risiken können vielfältig sein: Funktionsrisiken (KI prognostiziert falsch und verursacht dadurch Schäden, z.B. falsche Brandalarm-Einstufung), technische Risiken (Systemausfälle, Cyberangriffe), Kompatibilitätsrisiken (KI kollidiert mit anderen Systemen), aber auch Wirtschaftsrisiken (Investition in KI rechnet sich nicht) oder Reputationsrisiken (negative Presse bei KI-Fehlern). Ein plakatives Beispiel: Ein KI-gestütztes Sicherheitssystem auf Basis von Gesichtserkennung in einem Flughafen könnte riskieren, bestimmte Personengruppen schlechter zu erkennen (Bias) – das ist ein erhebliches Reputations- und Compliance-Risiko (Thema Diskriminierung, DSGVO). ISO 42001 schreibt nun vor, solche Risiken proaktiv zu managen. Das umfasst Bias-Analysen, Impact Assessments (Abschätzung der möglichen Auswirkungen auf Betroffene) und entsprechende Kontrollen, um Risiken zu mindern. So sollte im genannten Beispiel regelmäßige Tests der Erkennungsraten bei verschiedenen demographischen Gruppen erfolgen und ggf. der Algorithmus nachjustiert werden. Auch sollten Notfallpläne existieren, falls das KI-System ausfällt – das Risiko „System nicht verfügbar“ muss adressiert sein (z.B. Rückfallebene manuelle Kontrolle verstärken). Die Norm liefert hier Leitplanken: Sie verlangt z.B. auch Lieferantenrisiko-Management – also die Prüfung von Dritten, die KI zuliefern. In FM heißt das, wenn man KI-Services einkauft (wie eine KI-Plattform für Gebäudeanalytik), muss man sicherstellen, dass der Anbieter vertrauenswürdig ist und seinerseits robust arbeitet. Risikomanagement erstreckt sich aber nicht nur auf Gefahren, sondern auch auf Chancen (in ISO-Terminologie „Risiken und Chancen“). Das heißt, die Organisation soll auch die Möglichkeiten identifizieren, die KI bietet, und diese nutzen. Beispiel: Risikoanalyse könnte ergeben, dass durch KI der Energieverbrauch um x % gesenkt werden kann – das ist eine Chance, die man dann mit Maßnahmen (Implementierung eines KI-Energiemanagers) ergreift. Letztlich macht ISO 42001 KI-Risiken handhabbar, indem es sie in das bekannte Raster des Unternehmensrisikomanagements überführt. Für streng regulierte Bereiche (z.B. Medizin, Transport) ist dies unerlässlich, um Audits und Prüfungen standzuhalten. Hier schließt sich der Kreis zur Compliance.

Compliance bedeutet in diesem Kontext die Einhaltung externer und interner Vorgaben. Extern steht vor allem der EU AI Act derzeit im Fokus, der voraussichtlich ab 2025/26 KI-Systeme je nach Risikoklasse regulieren wird. Betreiberimmobilien-KI (z.B. Sicherheitssysteme, medizinische KI in Krankenhäusern) dürften teilweise als hochriskante KI eingestuft werden und somit strenge Auflagen (Risk-Management, Konformitätsbewertung) unterliegen. ISO 42001 kann hier als Werkzeug zur Compliance-Erfüllung dienen: Die Norm ist zwar freiwillig, deckt sich aber in vielen Punkten mit dem, was der AI Act verlangt – nämlich ein laufendes, systematisches Governance- und Risikomanagement für KI. Unternehmen, die ISO 42001 implementiert haben, managen KI proaktiv und können so mit großer Wahrscheinlichkeit den Nachweis erbringen, dass sie den EU-Vorgaben entsprechen. Tatsächlich wird ISO 42001 bereits als ein De-facto-Standard gesehen, um sich auf den AI Act vorzubereiten. Für DIN-zertifizierte Betriebe in Deutschland könnte es künftig auch nationale Ergänzungen geben; aber schon jetzt kann man mit ISO 42001 Audit-Readiness schaffen. Neben dem AI Act sind weitere externe Vorgaben relevant: Im Gesundheitswesen z.B. die MDR (Medical Device Regulation), falls KI als Medizinprodukt gilt, oder im Finanzsektor die Anforderungen der BaFin an algorithmische Systeme. ISO 42001 bietet zwar keine automatische Zertifizierung gegen diese Gesetze, aber es schafft intern die Prozesse, um Compliance systematisch zu überwachen und nachzuweisen. Intern bedeutet Compliance zudem die Einhaltung eigener Richtlinien, z.B. einer Konzern-KI-Richtlinie oder Ethikgrundsätzen. Auch hier hilft ISO 42001, da es die Nachweispflicht stärkt: Die Norm fordert z.B. Dokumentation von Kriterien und Entscheidungen im KI-Kontext. Somit kann eine FM-Organisation, sollte ein Vorfall auftreten, detailliert zeigen, welche Maßnahmen im Vorfeld getroffen wurden (z.B. Risikoanalyse, Tests, Freigabeverfahren). Das reduziert Haftungsrisiken erheblich. Zudem schafft eine Zertifizierung Vertrauen bei Dritten: Bei Ausschreibungen kann die Forderung nach ISO 42001 auftauchen als Bestandteil der Compliance (ähnlich wie ISO 9001 oft gefordert wird).

Ein oft übersehener Compliance-Aspekt im FM ist auch Arbeitsschutz und Betriebsratsmitbestimmung: Setzt man KI ein, die z.B. Mitarbeiterverhalten analysiert (zur Produktivitätssteigerung oder Sicherheitsüberwachung), müssen Mitbestimmungsrechte berücksichtigt werden. Ein ISO 42001-konformes Unternehmen würde solche Fragen im Rahmen der Kontextanalyse und Interessenspartner-Identifikation mit einbeziehen und entsprechende Regelungen (Betriebsvereinbarungen) implementieren – also auch hier systematisch vorgehen.

Insgesamt lässt sich sagen, dass ISO 42001 ein GRC-Rahmen liefert, der speziell auf KI zugeschnitten ist, und dass dessen Umsetzung im Facility Management dazu beiträgt, Governance-Strukturen zu schärfen, Risiken beherrschbar zu machen und Compliance nachweisbar sicherzustellen. Die Norm schafft Vertrauen, weil sie Transparenz schafft: „Verantwortungsvolle KI-Praktiken, die überprüfbar Rechenschaft ablegen, schaffen Transparenz und Vertrauen, während gleichzeitig ethische und regulatorische Anforderungen erfüllt werden“. Dieses Zitat aus der Praxis (Unique AG) verdeutlicht die Ziele des GRC-Ansatzes: Es geht nicht nur darum, Strafen oder Pannen zu vermeiden, sondern Vertrauen bei Kunden, Nutzern und Aufsichtsstellen aufzubauen, dass die KI im Gebäude verlässlich und im Sinne aller Beteiligten agiert. Für ein Krankenhaus könnte dies bedeuten, dass Patienten darauf vertrauen dürfen, dass ein KI-System zur Patientenflusssteuerung fair und sicher arbeitet; für einen Flughafen, dass eine KI-gestützte Personenkontrolle Datenschutz und Grundrechte achtet.

Es sei erwähnt, dass ISO 42001 kein statischer Haken ist, den man einmal setzt, sondern ein lebendiger Prozess: Organisationen müssen, analog zu Qualität oder Sicherheit, kontinuierlich dranbleiben. Das bedeutet beispielsweise, regelmäßige Audits (intern/extern) durchzuführen, neue Regulierungstrends (z.B. Änderungen im AI Act oder neue Datenschutzbestimmungen) zu verfolgen und die eigenen KI-Systeme daraufhin anzupassen. Die Norm selbst ist flexibel genug angelegt, um mit diesen Entwicklungen Schritt zu halten – sie fordert ja kontinuierliche Verbesserung und Anpassung an den Kontext. Somit ist ISO 42001 als GRC-Werkzeug ideal, um in einer dynamischen Zukunft (mit immer neuen KI-Möglichkeiten und -Regeln) einen stabilen Ordnungsrahmen zu behalten.

Auf Grundlage der vorangegangenen Analysen soll nun ein Modell bzw. Framework skizziert werden, mit dem Facility-Management-Organisationen die Implementierung von ISO 42001 systematisch planen und umsetzen können. Ziel ist es, einen ganzheitlichen Implementierungsfahrplan aufzuzeigen, der sowohl strategische als auch operative Dimensionen berücksichtigt und eine Integration in bestehende Strukturen ermöglicht.

• Initialisierungs- und Analysephase: Zunächst muss ein klares Projektsetup erfolgen. Dazu gehört, einen Projektverantwortlichen (z. B. KI-Programmmanager) zu benennen und ein multiprofessionelles Team zusammenzustellen (Vertreter aus FM, IT, Compliance, Fachabteilungen). Als erstes Ergebnis dieser Phase steht eine Bestandsaufnahme: Wo steht die Organisation hinsichtlich KI? Es wird der Status quo analysiert: Welche KI-Anwendungen gibt es bereits im Gebäudebetrieb? Welche Datenquellen und IoT-Infrastruktur sind vorhanden? Welche Managementsysteme und Prozesse existieren (Qualität, FM, Risiko etc.) und wie könnten diese ISO 42001-relevante Elemente bereits enthalten? Zudem wird der Normkontext erhoben: Welche Anforderungen stellt ISO 42001 genau an uns? Hilfreich ist in dieser Phase ein Gap-Assessment – beispielsweise kann man mittels eines Fragenkatalogs oder Tools prüfen, welche Normanforderungen (z.B. "Risiken und Chancen bestimmen", "Schulung der Mitarbeiter") bereits erfüllt sind und wo Lücken klaffen. Aus der Analysephase sollte ein Maßnahmenplan hervorgehen, der Lücken priorisiert nach Aufwand und Risiko listet. Außerdem ist hier bereits die Stakeholder-Identifikation notwendig: Wen betrifft das KI-Management intern und extern? (z.B. Betriebsrat, Datenschutzbeauftragter, Wartungsfirmen, Behörde XY…). Diese Akteure sind zumindest zu informieren, wenn nicht einzubinden. Schließlich wird eine High-Level-Roadmap erstellt, die die nächsten Phasen zeitlich skizziert.

• 2. Konzipierungs- und Planungsphase: In dieser Phase wird der Implementierungsplan im Detail ausgearbeitet. Strategisch wird eine KI-Leitlinie bzw. Politik entworfen, die vom Top-Management verabschiedet wird (sofern nicht schon vorhanden). Darin enthalten: Ziele der KI-Nutzung, Grundsätze (ethische Leitplanken), Geltungsbereich (für welche Bereiche der Immobilie gilt es) etc. Parallel wird eine Governance-Struktur entworfen: Welche Gremien und Rollen braucht es? Beispielsweise könnte festgelegt werden, dass es quartalsweise ein KI-Management-Review geben wird (analog Managementbewertung), dass der FM-Leiter der AIMS-Verantwortliche ist und direkt an die Geschäftsführung berichtet, und dass jeder KI-Service einen Process Owner hat, der für dessen Performance verantwortlich ist. Weiterhin wird ein Schulungs- und Kommunikationskonzept geplant: Welche Mitarbeiter müssen geschult werden (z.B. alle Instandhaltungsleiter in KI-Risikomanagement), wie informiert man die gesamte Belegschaft (um Akzeptanz und Wissen zu fördern), und falls erforderlich: welche Zertifizierungen oder Weiterbildungen sind nötig (z.B. ein ISO 42001 Lead Implementer-Training für den Projektleiter). Auf operativer Ebene werden in dieser Phase die konkreten Prozesse und Verfahren definiert, die später gelebt werden sollen: Etwa wird ein Risiko-Management-Prozess für KI niedergeschrieben (inkl. Bewertungsschema für KI-Risiken, Frequenz der Überprüfung), oder es wird ein Datenmanagementkonzept erstellt (Wo werden Trainingsdaten gespeichert? Wer prüft die Qualität? Wie lange werden Logdaten aufbewahrt?). Auch Schnittstellen zu bestehenden Prozessen werden festgelegt: zum Beispiel, dass der Change-Management-Prozess des Unternehmens erweitert wird – jede Änderung an einer KI-Anwendung muss fortan durch den Change Advisory Board mit KI-Expertise genehmigt werden. Des Weiteren wird in dieser Phase über Tools und technische Architektur entschieden. Eventuell wird eine KI-Governance-Software beschafft, oder man beschließt, das bestehende CAFM-System zu erweitern. Außerdem werden hier Ressourcen geplant: Budget (für Tech und Beratung), Personalressourcen (brauchen wir einen Data Engineer?), zeitliche Ressourcen (wer kann wie viel neben dem Tagesgeschäft leisten). Abschließend steht ein detaillierter Implementierungsfahrplan, quasi das Drehbuch für Phase 3.

• Implementierungs- und Ausführungsphase: Nun geht es an die Umsetzung der geplanten Maßnahmen. Zunächst sollten Quick Wins und dringendste Lücken adressiert werden. Zum Beispiel könnte man beginnen, für bereits laufende KI-Anwendungen sofort Minimal-Dokumentationen und Monitoring einzuführen, damit diese „unter Kontrolle“ sind. Wichtig ist, die Belegschaft mitzunehmen: Schulungen werden jetzt konkret durchgeführt, Leitfäden werden verteilt, vielleicht wird ein Intranet-Portal zum Thema KI-Governance eingerichtet (für FAQs oder Melden von Incidents). Technisch werden die notwendigen Systeme aufgesetzt: IoT-Sensoren werden evtl. nachgerüstet, Datenplattform eingerichtet, KI-Modelle ggf. retrainiert nach Normvorgaben (z.B. mit zusätzlicher Validierung). Diese Phase erfordert viel Change Management: Neue Prozesse müssen tatsächlich angewendet werden. Hier ist es ratsam, Pilotimplementierungen zu machen – z.B. einen bestimmten Gebäudeteil oder eine bestimmte Anwendung vollständig nach ISO 42001-Prinzipien managen, bevor man es auf alle ausrollt. Diese Piloten dienen als Lernfelder, um Prozesse feinzujustieren. Gleichzeitig sollten früh die Monitoring- und Review-Mechanismen etabliert werden: d.h. z.B. wöchentliche Treffen des KI-Kernteams, um Fortschritte zu prüfen, erste interne Audits um den Reifegrad zu testen, etc. Es empfiehlt sich auch, früh den Dialog mit einer Zertifizierungsstelle (wie TÜV, BSI oder anderen) zu suchen, um Feedback aus externer Sicht zu bekommen – selbst wenn man die Zertifizierung erst später anstrebt. In dieser Phase wird auch die Integration mit bestehenden Managementsystemen vollzogen: z.B. werden die KI-Risiken offiziell in das zentrale Risk Register überführt, und bei der nächsten ISO 9001/41001-Managementbewertung werden KI-Themen mit auf die Agenda gesetzt. Somit wächst nach und nach ein integriertes System. Eine besondere Aufgabe in der Umsetzungsphase ist zudem, alle Dokumentationsanforderungen der Norm zu erfüllen: Es müssen Richtliniendokumente, Verfahrensanweisungen, Berichte über Risiko-Assessments, ggf. Konformitätserklärungen (falls AI Act relevant) erstellt und geordnet abgelegt werden. Ein guter Dokumentationsstandard ist nicht nur für die Zertifizierung wichtig, sondern – wie GRC betont – auch für interne Transparenz und Lernfähigkeit.

• 4. Evaluierungs- und Zertifizierungsphase: Nach der Umsetzung der Hauptmaßnahmen sollte die Organisation eine Selbstbewertung durchführen: Entspricht unser KI-Management nun den ISO 42001-Anforderungen vollständig? Hier empfiehlt sich ein internes Audit oder eine Mock-Zertifizierung mit externen Beratern, um eventuelle Lücken aufzudecken. Themen könnten sein: Ist der kontinuierliche Verbesserungsprozess etabliert? Werden alle KI-Systeme erfasst und gibt es Life-Cycle-Dokumentation? Sind die Mitarbeiter ausreichend kompetent? – Solche Fragen gilt es ehrlich zu prüfen. Identifizierte Schwachstellen werden noch behoben (Nachschulung, Prozessänderung etc.). Wenn das System intern stabil läuft (typischerweise 1–2 PDCA-Zyklen durchlaufen, z.B. 1 Jahr Betrieb), kann eine Zertifizierungsaudit durch eine akkreditierte Stelle angegangen werden, sofern gewünscht. Das Zertifikat ist zwar freiwillig, bringt aber, wie diskutiert, Vertrauen und einen objektiven Reifegradnachweis. Unabhängig von der Zertifizierung sollte die Organisation nun in den Regelbetrieb mit kontinuierlicher Verbesserung übergehen.

• 5. Kontinuierlicher Betrieb und Verbesserung: Dieser Schritt ist kein Endpunkt, sondern der dauerhafte Zustand. Die KI-Managementprozesse laufen nun parallel zum normalen FM-Betrieb. Es werden regelmäßig KI-Management-Reviews abgehalten (z.B. jährlich) und interne Audits (z.B. halbjährlich), um die Wirksamkeit des Systems zu überprüfen. Neue KI-Anwendungen, die hinzukommen (durch Innovation oder veränderte Geschäftsziele), werden nach den definierten Prozessen integriert. Ebenso werden Lessons Learned aus Incidents oder Performanceauswertungen gezogen: beispielsweise könnte man feststellen, dass ein KI-System zur Raumluftsteuerung systematisch an Feiertagen falsche Prognosen liefert (weil die Datenlage ungewohnt ist) – ein Verbesserungsteam würde dann Maßnahmen entwickeln (z.B. Modell anpassen oder Regel hinterlegen). Die Organisation sollte auch die externe Entwicklung beobachten: neue Normen (ISO 42001 könnte in einigen Jahren aktualisiert werden; es kommen evtl. branchenspezifische Normen hinzu), neue gesetzliche Anforderungen (AI Act Feinheiten, lokale Gesetzgebung) und Stand der Technik (Methoden der erklärbaren KI, neue Security-Bedrohungen). All das muss ins System einspeisen werden – z.B. durch jährliche Strategie-Updates.

• Dabei ist es wichtig zu betonen, dass dieses KI-Management-PDCA nicht losgelöst vom übrigen FM-PDCA laufen sollte, sondern synchronisiert. Im Idealfall verschmelzen sie: Das jährliche Management-Review des FM-Systems beinhaltet ein Kapitel KI-Management; die Risiko-Workshops umfassen KI-Risiken etc. So wird ISO 42001 zum integralen Bestandteil des gesamtheitlichen Facility Managements. Dieser Professionalitätsgewinn ist letztlich das Ziel des Frameworks.