Welche Dokumente braucht ISO 42001? Die rund 20 Dokumente im Überblick
ISO/IEC 42001 verlangt keinen Papierberg, sondern rund 20 echte Dokumente, gegliedert in Richtlinien, Verfahren und Nachweise und der jeweiligen Norm-Klausel zugeordnet. Der komplette, prüffähige Überblick.
Kurz gesagt
Ein ISO/IEC 42001 verlangt rund 20 echte Dokumente, gegliedert in drei Kategorien: Richtlinien (wie Sie KI steuern), Verfahren (wie Sie das System betreiben) und Nachweise (Beleg, dass es gelaufen ist). Sie stammen aus zwei Quellen, den Kapiteln 4 bis 10 der Norm und Anhang A (38 Maßnahmen in 9 Zielen). Richtlinien und Verfahren werden gepflegt, Nachweise aufbewahrt.
Read in English: English version
„Müssen wir jetzt hunderte Seiten schreiben?" ist die häufigste Sorge vor einer ISO-42001-Einführung. Die Antwort: nein. Die Norm verlangt keinen Papierberg, sondern rund 20 echte Dokumente und die ergeben sich logisch aus zwei Quellen und sortieren sich in drei Kategorien. Wer das einmal sieht, verliert die Angst vor der Dokumentation.
Zwei Quellen, drei Kategorien
Die Dokumente kommen aus den Kapiteln 4 bis 10 der Norm (die Anforderungen an das Managementsystem) und aus Anhang A (38 Maßnahmen in 9 Zielen). Gebündelt sind es rund 20 echte Dokumente und jedes ist entweder eine Richtlinie, ein Verfahren oder ein Nachweis:
- Richtlinien, wie Sie KI steuern (werden gepflegt, also aktuell gehalten).
- Verfahren, wie Sie das System Schritt für Schritt betreiben (werden gepflegt).
- Nachweise, Beleg, dass das System tatsächlich gelaufen ist (werden aufbewahrt).
Kategorie 1, Richtlinien
| Klausel | Dokument |
|---|---|
| 5.2 / A.2 | KI-Politik (AI Policy), die oberste Leitlinie |
| 6.2 | KI-Ziele |
| A.6 | KI-Entwicklungsrichtlinie |
| A.9 | Richtlinie zur akzeptablen Nutzung |
| A.7 | Datenmanagement-Richtlinie |
| A.8 / A.10 | Lieferanten- & Kundenrichtlinie |
Kategorie 2, Verfahren
| Klausel | Dokument |
|---|---|
| 4.3 | Festlegung des AIMS-Anwendungsbereichs |
| 6.1 | Methodik zur KI-Risikobewertung |
| 6.1 | KI-Risikobehandlungsplan |
| A.5 | Verfahren zur KI-Folgenabschätzung (Impact Assessment) |
| A.6 | KI-Lebenszyklus-Verfahren |
| A.4 | Management von KI-Ressourcen |
| 7.5 | Lenkung von Dokumenten & Nachweisen |
Kategorie 3, Nachweise
| Klausel | Dokument |
|---|---|
| 6.1.3 | Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) |
| 7.2 | Kompetenznachweise |
| 8.2 | Ergebnisse der KI-Risikobewertung |
| 8.3 | Ergebnisse der Risikobehandlung |
| 8.4 | Ergebnisse der Folgenabschätzung |
| 9.1 | Überwachungs- & Messergebnisse |
| 9.2 | Internes Audit, Programm & Ergebnisse |
| 9.3 | Protokolle der Managementbewertung |
| 10.2 | Nichtkonformität & Korrekturmaßnahmen |
Die einfache Logik: pflegen oder aufbewahren?
Wer unsicher ist, in welche Kategorie ein Dokument gehört, stellt eine Frage: Hält es fest, WIE wir etwas tun oder belegt es, DASS wir es getan haben? Das Erste ist Richtlinie oder Verfahren und wird gepflegt (aktuell gehalten, versioniert). Das Zweite ist ein Nachweis und wird aufbewahrt (Logs, Protokolle, Auditberichte, Bewertungs- und Folgenabschätzungsergebnisse).
Gute Dokumentation ist nicht die dickste, sondern die, die im Betrieb tatsächlich genutzt wird und im Audit in Minuten auffindbar ist.
So gehen wir das an
Sie müssen diese rund 20 Dokumente nicht von null erfinden. Ich bringe erprobte, auf die Norm-Klauseln gemappte Vorlagen mit und passe sie an Ihren realen Betrieb an, schlank, prüffähig und ohne Doppelarbeit, wenn schon ein ISO 27001 oder 9001 steht. So entsteht ein Dokumentensatz, der das Audit besteht und im Alltag trägt.
Häufige Fragen
Wie viele Dokumente verlangt ISO 42001?+
Rund 20 echte Dokumente, gebündelt aus den Norm-Kapiteln 4 bis 10 und Anhang A (38 Maßnahmen in 9 Zielen). Sie gliedern sich in Richtlinien (wie Sie KI steuern), Verfahren (wie Sie das System betreiben) und Nachweise (Beleg, dass es lief).
Was ist der Unterschied zwischen Richtlinie, Verfahren und Nachweis?+
Richtlinien und Verfahren halten fest, WIE Sie etwas tun, sie werden gepflegt und aktuell gehalten. Nachweise belegen, DASS etwas geschah (Logs, Protokolle, Auditberichte), sie werden aufbewahrt. Wer das trennt, hält die Dokumentation schlank.
Brauche ich für jede Annex-A-Maßnahme ein eigenes Dokument?+
Nein. Anhang A hat 38 Maßnahmen, aber viele lassen sich zu wenigen Richtlinien und Verfahren bündeln. Die Erklärung zur Anwendbarkeit (SoA) dokumentiert, welche Maßnahmen für Sie gelten und wie sie umgesetzt sind, das hält die Zahl der Dokumente bei rund 20.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor & ISO/IEC 27001 Lead Auditor (PECB)
Auditor mit Stallgeruch, Geschäftsführer eines produzierenden Mittelständlers, der KI-Managementsysteme und Informationssicherheit prüft und aufbaut. Mehr über mich.
Stand: 14. Juni 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein, ehrlich und ohne Verkaufsdruck.