Annex SL ist die harmonisierte Grundstruktur der ISO für Managementsystem-Normen. Sie definiert seit 2012 zehn identische Hauptkapitel, die auch ISO/IEC 42001 für KI-Managementsysteme verwendet, und ist deshalb die zentrale Grundlage, wenn Unternehmen AI Governance, Qualität und Informationssicherheit in einem einheitlichen Managementrahmen verbinden wollen.
Definition und Einordnung
Annex SL ist kein eigenständiger Fachstandard, sondern ein Strukturmodell für Managementsystem-Normen. Deshalb folgen Normen wie ISO 9001, ISO 27001, ISO 37301 und ISO/IEC 42001 demselben Aufbau.
Für Unternehmen bedeutet das: Wer bereits mit einem Qualitätsmanagementsystem oder einem informationssicherheitsnahen Managementsystem arbeitet, muss für ISO/IEC 42001 nicht bei null beginnen. Kontextanalyse, Rollen, Ziele und interne Audits sind strukturell vergleichbar.
Relevanz für ISO 42001 und den EU AI Act
Für ISO/IEC 42001 ist Annex SL wesentlich, weil der Standard seine Managementsystem-Klauseln 4 bis 10 auf dieser harmonisierten Struktur aufbaut: Kontext der Organisation, Führung, Planung, Unterstützung, Betrieb, Bewertung der Leistung und Verbesserung. Genau diese Architektur macht aus ISO/IEC 42001 kein isoliertes KI-Regelwerk, sondern ein anschlussfähiges Managementsystem für Governance, Nachweise und Verbesserungsprozesse.
Für den EU AI Act ist Annex SL nicht selbst rechtsverbindlich. Die Relevanz entsteht indirekt: Unternehmen können mit einer Annex-SL-basierten Systematik Pflichten aus Art. 4 EU-VO 2024/1689 zur KI-Kompetenz, aus Art. 9 zum Risikomanagementsystem und aus Art. 17 zum Qualitätsmanagement für Hochrisiko-KI organisatorisch sauber abbilden. Annex SL ersetzt die Verordnung nicht und schafft keine Konformitätsvermutung wie harmonisierte Standards, liefert aber eine belastbare Struktur für Zuständigkeiten und Dokumentation.
Besonders relevant ist das für Organisationen, die mehrere Normen parallel nutzen. Wenn ISO/IEC 42001, ISO 9001 oder ISO 27001 auf derselben Grundlogik aufsetzen, sinkt der Abstimmungsaufwand. Auch das Risikomanagement-System kann methodisch anschließen, obwohl KI-Risiken anders zu bewerten sind als klassische Qualitäts- oder Sicherheitsrisiken.
Annex-SL-Kapitelstruktur im Überblick
| Kapitel | Titel | Inhalt | ISO-42001-Besonderheit |
|---|---|---|---|
| 1 | Anwendungsbereich | Zweck und Geltungsbereich der Norm | KI-Managementsystem für Organisationen |
| 2 | Normative Verweisungen | Verbindliche Verweise | Bei ISO/IEC 42001 begrenzt |
| 3 | Begriffe | Definitionen zentraler Begriffe | KI- und Governance-Begriffe sind maßgeblich |
| 4 | Kontext der Organisation | Scope, Stakeholder, Anforderungen | KI-Anwendungsfälle und Regulierungsumfeld einbeziehen |
| 5 | Führung | Leitung, Policy, Rollen | AI Policy und Verantwortlichkeiten festlegen |
| 6 | Planung | Risiken, Chancen, Ziele | KI-spezifische Risiken wie Bias oder Fehlanreize ergänzen |
| 7 | Unterstützung | Ressourcen, Kompetenz, Dokumentation | KI-Kompetenz und Awareness besonders wichtig |
| 8 | Betrieb | Operative Steuerung | KI-Lebenszyklus, Entwicklung und Einsatz konkret steuern |
| 9 | Bewertung der Leistung | Monitoring, Audit, Review | KI-Kennzahlen und Governance-Wirksamkeit prüfen |
| 10 | Verbesserung | Abweichungen, Korrekturen, Verbesserung | Modell- und Prozessverbesserungen nachvollziehbar machen |
Praxisbeispiel aus dem KMU-Alltag
Ein Industrieunternehmen mit 220 Mitarbeitenden betreibt bereits ISO-9001-Prozesse und führt zusätzlich ein KI-System zur Qualitätsprognose in der Produktion ein. Ohne Annex-SL-Logik würde das Team für ISO/IEC 42001 oft parallele Prozesse aufbauen: separate Rollenbeschreibungen, eigene Auditpläne und neue Management-Reviews nur für KI.
Mit Annex SL kann das Unternehmen vorhandene Managementelemente gezielt erweitern. Die Geschäftsführung ergänzt den bestehenden Kontext um KI-Risiken, definiert Verantwortlichkeiten für Modellfreigaben, nimmt KI-Kompetenz in den Schulungsplan auf und erweitert interne Audits um Datenqualität und menschliche Aufsicht.
Was Unternehmen praktisch daraus ableiten sollten
Annex SL ist vor allem dann nützlich, wenn Sie KI-Governance als Teil Ihres gesamten Managementsystems aufbauen wollen. Prüfen Sie deshalb, welche Klauseln 4 bis 10 Sie wiederverwenden können und wo für ISO/IEC 42001 zusätzliche KI-spezifische Kontrollen nötig werden. Die EU AI Act Schulung und der ISO-42001-Leitfaden vertiefen den praktischen Einstieg.