Annex A & Statement of Applicability: Welche Kontrollen Sie brauchen
Was der Kontroll-Anhang (Annex A) der ISO 42001 leistet, was ein Statement of Applicability ist und warum dieses Dokument zum wichtigsten Wegweiser im Audit wird.
Wer ISO 42001 (oder 27001) zum ersten Mal aufschlägt, stolpert über zwei Begriffe: den Anhang A und das Statement of Applicability. Beide hängen zusammen – und gehören zu den wichtigsten Werkzeugen im Audit.
Was ist Annex A?
Annex A ist ein Katalog von Kontrollen (Controls) – also konkreten Maßnahmen, mit denen eine Organisation ihre Risiken in den Griff bekommt. Bei ISO 42001 sind das organisatorische und Governance-Kontrollen rund um KI, geordnet nach Bereichen: KI-Leitlinie, Rollen und Ressourcen, die Folgenabschätzung von KI-Systemen (Auswirkungen auf einzelne Menschen und die Gesellschaft), der KI-Lebenszyklus, Daten für KI-Systeme (Qualität und Herkunft), Transparenz und Information für interessierte Parteien, die verantwortungsvolle Nutzung sowie der Umgang mit Dritten und Lieferanten.
Wichtig: Annex A ist bewusst generisch und organisatorisch. Modellspezifische technische Tests – etwa auf Bias, Robustheit oder Angriffe – sind ergänzend zu planen; der Anhang ersetzt sie nicht.
Was ist das Statement of Applicability (SoA)?
Das Statement of Applicability – die Anwendbarkeitserklärung – ist das Dokument, das für jede Kontrolle festhält: Gilt sie für uns? Warum (oder warum nicht)? Und wie ist ihr Umsetzungsstand? Es ist die Brücke zwischen Ihrer Risikobeurteilung und den konkreten Maßnahmen.
- Welche Kontrollen sind anwendbar – abgeleitet aus der Risikobeurteilung?
- Begründung für Einschluss oder Ausschluss jeder Kontrolle.
- Umsetzungsstand: geplant, umgesetzt, wirksam?
Warum das SoA das Herzstück im Audit ist
Für den Auditor ist das Statement of Applicability der Wegweiser durch das gesamte System: Es zeigt, was Sie als relevant erklärt haben – und genau das wird stichprobenartig auf Wirksamkeit geprüft. Ein durchdachtes, ehrliches SoA ist deshalb halbe Miete; ein leeres oder beschönigtes fällt sofort auf.
Das SoA ist kein Bürokratie-Formular, sondern die Landkarte Ihres Managementsystems – für Sie selbst genauso wie für den Auditor.
Risikobasiert statt Häkchen-Liste
Der entscheidende Punkt: Kontrollen werden nicht pauschal „alle umgesetzt“, sondern risikobasiert ausgewählt. Ein Ausschluss ist völlig legitim – wenn er begründet ist. Genau diese nachvollziehbare Logik vom Risiko zur Maßnahme will ein Audit sehen.
Häufige Fragen
Muss ich alle Kontrollen aus Annex A umsetzen?+
Nein. Die Kontrollen werden risikobasiert ausgewählt. Ein begründeter Ausschluss ist zulässig – im Statement of Applicability dokumentiert.
Was ist der Unterschied zwischen Annex A und SoA?+
Annex A ist der Katalog möglicher Kontrollen. Das Statement of Applicability hält fest, welche davon bei Ihnen gelten, warum und in welchem Umsetzungsstand.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor (PECB)
Stand: 26. Mai 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein – ehrlich und ohne Verkaufsdruck.