Annex A Controls sind die 38 Maßnahmen in 9 Kategorien, die ISO 42001 für den Aufbau eines KI-Managementsystems (AIMS) definiert. Diese Annex A Controls Definition übersetzt abstrakte Governance-Anforderungen in konkrete Kontrollmaßnahmen für Rollen, Risiken, Daten, Dokumentation und Überwachung.
Warum Annex A Controls für ISO 42001 und den EU AI Act wichtig sind
Annex A ist für ISO/IEC 42001:2023 relevant, weil der Anhang die operative Referenz für die Umsetzung eines AIMS liefert. Während die Hauptklauseln die Managementsystem-Pflichten definieren, zeigt Annex A die typischen Kontrollbereiche wie Richtlinien, Zuständigkeiten, Folgenabschätzungen, Datenqualität, Monitoring und Änderungssteuerung. Für die Auswahl anwendbarer Controls ist das Statement of Applicability zentral.
Für den EU AI Act ersetzt Annex A keine gesetzlichen Pflichten, unterstützt aber deren organisatorische Umsetzung. Besonders nahe liegt die Verbindung zu Art. 4 EU-VO 2024/1689 für KI-Kompetenz, Art. 9 für Risikomanagement, Art. 10 für Daten-Governance, Art. 14 für menschliche Aufsicht und Art. 15 für Genauigkeit, Robustheit und Cybersicherheit. Unternehmen erhalten damit kein Rechtsprivileg, aber ein belastbares Raster für Rollen, Prozesse und Nachweise.
Wichtig ist die Abgrenzung zum reinen Dokumentenaufbau. Eine KI-Policy beschreibt den Rahmen, ersetzt aber keine operativen Kontrollen. Erst die Verknüpfung mit Risikomanagement-System, technischer Dokumentation und Prüfintervallen macht Governance im Alltag wirksam.
Die 9 Kategorien der Annex A Controls
Die 38 Controls verteilen sich auf 9 Kategorien von A.2 bis A.10. Für Unternehmen ist diese Struktur hilfreich, weil sie nach Governance-Funktionen statt nach Abteilungen ordnet.
| Kategorie | Anzahl Controls | Kurzbeschreibung |
|---|---|---|
| A.2 Policies related to AI | 3 | Grundsätze, Leitlinien und Steuerung für den KI-Einsatz |
| A.3 Internal organization | 2 | Rollen, Verantwortlichkeiten und organisatorische Verankerung |
| A.4 Resources for AI systems | 5 | Personal, Daten, Infrastruktur und sonstige Ressourcen |
| A.5 Assessing impacts of AI systems | 4 | Bewertung von Auswirkungen, Risiken und möglichem Schaden |
| A.6 AI system life cycle | 9 | Planung, Entwicklung, Einsatz, Betrieb und Ausphasung |
| A.7 Data for AI systems | 5 | Herkunft, Qualität, Eignung und Kontrolle von Daten |
| A.8 Information for interested parties | 4 | Transparenz, Kommunikation und dokumentierte Informationen |
| A.9 Use of AI systems | 3 | Nutzungsregeln, Aufsicht und Betriebssteuerung |
| A.10 Third-party and customer relationships | 3 | Lieferanten, externe Services und vertragliche Schnittstellen |
Annex B ergänzt diese Struktur mit Umsetzungshinweisen für die konkrete Ausgestaltung.
Praxisbeispiel aus einem KMU
Ein Industrieunternehmen mit 220 Mitarbeitenden nutzt einen internen Copilot für Dokumentation, ein Prognosemodell für Wartung und ein Bewerbertool mit Matching-Funktion. Zuerst erstellt das Unternehmen ein KI-Inventar und prüft je System Zweck und Fehlerfolgen. Danach ordnet das Team passende Annex A Controls zu: Für das Bewerbertool stehen Auswirkungen auf Personen, Datenqualität und menschliche Aufsicht im Vordergrund. Für das Wartungsmodell sind Monitoring und Änderungssteuerung wichtiger.
Der praktische Nutzen liegt darin, dass Fachbereich, Compliance und IT über dieselben Kontrollpunkte sprechen. Das Unternehmen dokumentiert anschließend nur noch Anwendbarkeit, Auslagerungen und Ausschlüsse.
Verwandte Begriffe
Wenn Sie Annex A Controls sauber einführen wollen, sollten Sie sie immer zusammen mit Risikomanagement-System, technischer Dokumentation und Ihrer internen KI-Policy betrachten. Für den Einstieg in Rollen, Pflichten und Nachweise hilft die EU AI Act Schulung.