76 Tage bis zum Inkrafttreten des EU-KI-Gesetzes
Mehr erfahren →
Artikel 12 im Detail

Artikel 12 des EU-KI-Gesetzes: Anforderungen an Protokollierung und Audit-Trails

Artikel 12 des EU-KI-Gesetzes schreibt vor, dass Hochrisiko-KI-Systeme Ereignisse automatisch über die gesamte Lebensdauer des Systems aufzeichnen müssen. Diese Seite behandelt genau, was Ihr Audit-Trail erfassen muss, die Aufbewahrungsregeln und wie Artikel 11 und Anhang IV im Zusammenhang mit der technischen Dokumentation zu verstehen sind.

Zuletzt aktualisiert: April 29, 2026 · 10 min read

Was Artikel 12 erfordert

Hochrisiko-KI-Systeme müssen so konzipiert sein, dass sie die automatische Aufzeichnung von Ereignissen ('Protokolle') über die gesamte Lebensdauer des Systems ermöglichen. Die Protokolle müssen eine ausreichende Rückverfolgbarkeit für die Nachmarktüberwachung, die behördliche Prüfung und die menschliche Aufsicht gemäß Artikel 14 ermöglichen.

Artikel 12 ist eine der wenigen Verpflichtungen des EU-KI-Gesetzes, die eine technische Fähigkeit und nicht nur eine Prozessdokumentation fordert – Ihr KI-System muss diese Aufzeichnungen tatsächlich während des Betriebs erstellen.

Was Ihr Audit-Trail erfassen muss

Die Protokolle gemäß Artikel 12 müssen ausreichend detaillierte Informationen enthalten, um zu rekonstruieren, wie und warum Entscheidungen getroffen wurden:

  • Ereignisgesteuerte Protokollierung mit zuverlässigen Zeitstempeln
  • Eingaben, die vom KI-System empfangen werden, und ausgegebene Ergebnisse
  • Interne Prozessschritte (Überlegungen, Zwischenentscheidungen, Richtlinienbewertungen)
  • Aktionen mit menschlicher Beteiligung: Genehmigungen, Überschreibungen, Eskalationen
  • Systemstatusdaten, die ausreichen, um den Entscheidungsfindungsprozess zu reproduzieren
  • Anomalieereignisse und deren Behandlung

Technische Anforderungen

Die Verordnung legt mehrere technische Eigenschaften fest, die Ihre Protokollierungsinfrastruktur erfüllen muss:

  • Automatische Protokollierung – manuelle Protokolleinträge erfüllen nicht die Anforderungen von Artikel 12
  • Zuverlässige, vollständige Ereignisprotokollierung
  • Manipulationssichere, sichere Speicherung
  • Aufbewahrungsfrist, die im Verhältnis zum beabsichtigten Zweck und dem Risikoprofil steht
  • Exportierbar in Formaten, die für die behördliche Prüfung geeignet sind

Häufige Compliance-Lücken

Basierend auf unserer Arbeit mit KI-Teams in Unternehmen sind dies die häufigsten Compliance-Lücken in Bezug auf Artikel 12:

  • Es werden nur Ausgaben protokolliert, nicht die Begründung, die zu ihnen geführt hat
  • Fehlende oder unvollständige Aufzeichnungen über menschliche Überschreibungen
  • Veränderbare Protokollspeicherung, die nicht die Anforderungen an die Manipulationssicherheit erfüllt
  • Aufbewahrungsfristen, die für die behördliche Prüfung zu kurz sind
  • Kein strukturierter Export – nur Ad-hoc-Datenbankabfragen

Artikel 11 + Anhang IV Technische Dokumentation

Artikel 11 schreibt eine technische Dokumentation vor, die zusammen mit den Protokollen gemäß Artikel 12 die Konformität nachweist.

Anhang IV legt die Struktur fest: Systembeschreibung, beabsichtigter Zweck, Designentscheidungen, Trainings- und Testdaten, Validierungsverfahren, Überwachung und die Protokolle selbst. Betrachten Sie die beiden Punkte als einen zusammenhängenden Prozess.

Wie AIAgentree Artikel 12 implementiert

AIAgentree wurde von Grund auf für die Einhaltung von Artikel 12 entwickelt:

  • Erfassung der Entscheidungskette – jede Eingabe, jeder Zwischenschritt, jede Ausgabe wird protokolliert
  • Die Begründungsschritte werden zusammen mit den Ausgaben gespeichert
  • Verfolgung von menschlichen Überschreibungen mit Metadaten zu wer/wann/warum
  • Kryptografische Hash-Ketten-Integrität für die Manipulationssicherheit
  • Export mit einem Klick in Formaten, die für die behördliche Prüfung geeignet sind (PDF, JSON, CSV)
Kostenlose Testversion starten

Häufig gestellte Fragen

Wie lange müssen die Protokolle gemäß Artikel 12 aufbewahrt werden?

Das EU-KI-Gesetz legt keine feste Frist fest; die Protokolle müssen für einen Zeitraum aufbewahrt werden, der im Verhältnis zum beabsichtigten Zweck und dem Risikoprofil des KI-Systems steht. Die meisten Anbieter richten sich nach branchenspezifischen Aufbewahrungsregeln (Finanzdienstleistungen, Gesundheitswesen) und legen die längste anwendbare Frist als Mindestwert fest.

Muss ich jede Modellinferenz protokollieren?

Artikel 12 schreibt vor, Ereignisse zu protokollieren, die die Rückverfolgbarkeit von Entscheidungen ermöglichen. Bei Entscheidungen, die sich auf die Rechte oder die Sicherheit von Menschen auswirken, bedeutet dies effektiv jede Inferenz. Bei rein internen Hilfsaufgaben kann eine weniger umfangreiche, aggregierte Protokollierung ausreichen – dokumentieren Sie die Begründung in jedem Fall.

Sind die Protokolle selbst personenbezogene Daten im Sinne der DSGVO?

Oft ja, insbesondere wenn sie Eingabedaten enthalten, die sich auf identifizierbare Personen beziehen. Betrachten Sie die Aufbewahrung und die Zugriffskontrollen für die Protokolle gemäß Artikel 12 als ein gemeinsames Problem des EU-KI-Gesetzes und der DSGVO gemäß Artikel 32.

Quellen

  1. Regulation (EU) 2024/1689, Article 12 — artificialintelligenceact.eu/article/12
  2. Article 11 + Annex IV — artificialintelligenceact.eu/article/11