Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Glossar-Übersicht

Glossar

Statement of Applicability — Definition und Bedeutung für KI-Management

Statement of Applicability: Definition, ISO 42001 Relevanz, Praxisbeispiel.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 20264 Min. Lesezeit

Kurzdefinition

Dokument, das festlegt, welche Annex A Controls anwendbar sind und warum.

Primaerquelle

ISO/IEC 42001:2023 Klausel 6.1.3

Rechtsgrundlage ansehen

Statement of Applicability Definition

Statement of Applicability (SoA) ist das Pflichtdokument nach ISO 42001 Clause 6.1.3, in dem alle 38 Annex A Controls mit Begründung der Anwendbarkeit aufgeführt werden. Die Statement of Applicability Definition beschreibt damit die verbindliche Übersicht, welche Controls für Ihr KI-Managementsystem gelten, wie sie umgesetzt werden und warum einzelne Controls ausgeschlossen werden.

Was bedeutet Statement of Applicability konkret?

Das Statement of Applicability ist die Anwendbarkeitserklärung Ihres AI Management Systems. Es verbindet die Ergebnisse der Risikobewertung mit den ausgewählten Maßnahmen aus Annex A. Praktisch beantwortet das SoA drei Fragen: Welche Controls sind relevant, warum sind sie relevant und wo ist ihre Umsetzung dokumentiert?

Für ein Audit ist das SoA deshalb kein Beiwerk, sondern ein zentrales Steuerungsdokument. Es zeigt, dass Ihr Unternehmen Controls nicht pauschal übernimmt, sondern risikobasiert auswählt. Inhaltlich steht das SoA in engem Zusammenhang mit Annex A Controls, einer belastbaren KI-Policy und dem übergeordneten Qualitätsmanagementsystem.

Relevanz für ISO 42001 und den EU AI Act

Für ISO 42001 ist das SoA direkt aus Klausel 6.1.3 relevant. Die Norm verlangt, dass Organisationen Maßnahmen zur Risikobehandlung planen und nachvollziehbar dokumentieren, welche Controls aus Annex A angewendet werden. Ein fehlendes oder unvollständiges SoA schwächt deshalb die Nachweisfähigkeit Ihres gesamten KI-Managementsystems.

Für den EU AI Act ist das SoA nicht ausdrücklich vorgeschrieben, aber praktisch sehr nützlich. Die Verordnung (EU) 2024/1689 verlangt bei Hochrisiko-KI unter anderem ein Risikomanagement nach Art. 9, Daten- und Governance-Anforderungen nach Art. 10 sowie menschliche Aufsicht nach Art. 14. Ein sauber geführtes SoA hilft, diese Pflichten intern auf Kontrollen, Verantwortliche und Nachweise abzubilden. Es ist damit kein Ersatz für den EU AI Act, aber ein starkes Governance-Instrument, um regulatorische Anforderungen systematisch zu operationalisieren.

Typischer Aufbau eines SoA

Ein praxistaugliches SoA ist meist eine kompakte Tabelle statt eines langen Fließtexts. Wichtig ist, dass jede Entscheidung nachvollziehbar und aktuell bleibt.

SpalteInhalt
Control-IDReferenz auf das jeweilige Annex-A-Control
Control-NameKurzbezeichnung des Controls
Anwendbar?Ja, nein oder nur für bestimmte Systeme
BegründungWarum das Control gilt oder nicht gilt
UmsetzungsstatusGeplant, teilweise umgesetzt, umgesetzt
NachweisVerweis auf Richtlinie, Prozess, Ticket oder Protokoll

Diese Struktur macht auch im Mittelstand Sinn, weil sie Fachbereich, Compliance und Technik auf eine gemeinsame Sicht zwingt. Ohne Begründungslinie wird aus einer Kontrollliste schnell eine formale Übung ohne Steuerungswert.

Praxisbeispiel aus einem KMU

Ein Softwareunternehmen mit 120 Mitarbeitenden nutzt generative KI für Support, internes Wissensmanagement und die Vorqualifizierung von Anfragen. Im Scope des AI Management Systems liegen nur die produktiven internen und kundenbezogenen KI-Anwendungen, nicht aber klassische Office-Software ohne KI-Funktion.

Im SoA markiert das Unternehmen die meisten Governance-, Daten-, Monitoring- und Human-Oversight-Controls als anwendbar. Ein Control für besonders sensible biometrische Szenarien wird dagegen mit Bezug auf den Scope ausgeschlossen, weil das Unternehmen keine biometrischen KI-Systeme entwickelt, beschafft oder betreibt. Für jedes anwendbare Control verweist das SoA auf konkrete Nachweise, etwa die interne Richtlinie, das Freigabeprotokoll oder die Schulungsunterlage. Dadurch kann die Geschäftsführung im Review schnell sehen, welche Controls bereits wirksam sind und wo noch Lücken bestehen.

Häufige Fehler bei der Erstellung

Der häufigste Fehler ist, Controls ohne Begründung einfach als nicht anwendbar zu markieren. Ein zweiter Fehler ist, das SoA nur einmal zu erstellen und später nicht mehr zu pflegen. Sobald sich Scope, Lieferanten, Datenquellen oder KI-Anwendungsfälle ändern, muss auch die Anwendbarkeit einzelner Controls neu bewertet werden.

Ebenso problematisch ist ein SoA ohne Verknüpfung zu echten Nachweisen. Wenn dort nur „umgesetzt“ steht, aber keine Richtlinie, kein Prozess und kein Protokoll referenziert wird, fehlt die operative Substanz. Genau hier unterstützt ein strukturierter Einstieg über den ISO-42001-Leitfaden oder eine fundierte EU AI Act Schulung, damit Anforderungen nicht isoliert, sondern im Gesamtbild verstanden werden.

Fazit

Die Statement of Applicability Definition lautet in der Praxis: Das SoA ist die begründete Kontrollübersicht Ihres KI-Managementsystems nach ISO 42001 Klausel 6.1.3. Wenn Sie Annex A Controls sauber auswählen, Ausschlüsse risikobasiert begründen und Nachweise verlinken, schaffen Sie eine belastbare Grundlage für Governance, interne Audits und regulatorische Anschlussfähigkeit.

Nächster Schritt

Begriffe einordnen ist der Anfang. Umsetzung und Nachweis entscheiden im Unternehmen.

Wenn Sie KI-Kompetenz, Rollen, rote Linien und Schulungsnachweis nicht nur nachschlagen, sondern sauber ausrollen wollen, ist der Kurs der direkte nächste Schritt. Für typische Rückfragen zu Umfang, Nachweis und Team-Rollout steht zusätzlich die FAQ-Seite bereit.

Zur KursübersichtFAQ ansehen