glossaryDefinedTermmaschinenlesbar

Aufzeichnungspflicht (Logging): Definition und rechtliche Bedeutung (AI Act / Data Act)

MenschMarkdown öffnen

Art. 12 AI Act verpflichtet Anbieter hochriskanter KI, das System so zu gestalten, dass es während des Betriebs automatisch Ereignisse protokolliert (Logging). Die Logs müssen die Einhaltung des Pflichtenbündels, die menschliche Aufsicht und die Marktüberwachung unterstützen — insbesondere die Ermittlung schwerer Vorfälle (Art. 73) und die Nachvollziehbarkeit von Entscheidungen. Die Protokollierung muss den anerkannten Standards entsprechen und Schutzmaßnahmen gegen Manipulation vorsehen. Die Pflicht gilt ab dem 2. August 2026; Aufbewahrungsfristen richten sich nach den member-state-Vorgaben und Art. 18 (zehn Jahre für technische Dokumentation). Logs sind zentraler Prüf- und Haftungsgegenstand.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
pflicht

Pflicht und Zweck (Art. 12)

Art. 12 verpflichtet Anbieter, hochrisiko-KI so zu gestalten, dass es während des Betriebs automatisch Ereignisse protokolliert (Logs). Zweck (Abs. 1): die Einhaltung der Anforderungen aus Art. 8–15 zu gewährleisten, die menschliche Aufsicht (Art. 14) zu unterstützen, die Nachverfolgbarkeit der Systemleistung und die Marktüberwachung (Art. 72) zu ermöglichen, und — vor allem — die Ermittlung schwerer Vorfälle nach Art. 73 zu erleichtern. Die Protokollierung muss den Stand der Technik entsprechen; konkrete Anforderungen ergeben sich aus Art. 12 Abs. 2–4 und dem anwendbaren Format. Die Pflicht gilt ab dem 2. August 2026.

inhalte

Inhalte und Aufbewahrung

Die Logs umfassen in der Regel: Zeitstempel der Systemnutzung, Eingaben und Outputs (in anonymisierter/aggregierter Form, soweit DSGVO-relevant), menschliche Eingriffe und Überschreibungen, Systemzustände/Fehler, Aktualisierungen, Aufzeichnungen der Aufsichtspersonen. Die Aufbewahrungsfristen orientieren sich an Art. 18 (technische Dokumentation 10 Jahre) und member-state-Vorgaben; für Logs gibt es oft kürzere, datenschutzfreundliche Fristen. Schutz vor Manipulation (Integrität, Zugriffsprotokolle) ist Pflicht. Datenschutz: Logs mit personenbezogenen Daten unterliegen der DSGVO (Zweckbindung, Löschpflicht).

praxis

Praxis: Nachvollziehbarkeit und Haftung

Logging ist doppelt relevant: Es schützt Anbieter im Haftungs-/Beschwerdefall (Nachweis korrekter Funktion, menschlicher Eingriffe) und es ist zentrale Prüfgrundlage der Aufsicht. Eine lückenhafte oder manipulierbare Protokollierung kann als Hinweis auf unzureichendes Risikomanagement gewertet werden und Vorfallsermittlungen behindern — mit Sanktionsrisiko (Art. 99 Abs. 4). Praktisch erforderlich: versionierte, manipulationssichere Logs, klare Aufbewahrungs- und Löschkonzepte, DSGVO-konforme Anonymisierung, und Zugriffs-/Audit-Logs für die Logs selbst. Logs sind Nachweis und Risiko zugleich — eine saubere Log-Architektur ist Teil des Risikomanagementsystems (Art. 9).

Sources

Quellen

FAQ

Häufige Fragen

Was muss protokolliert werden?

Ereignisse während des Betriebs: Nutzung, Eingaben/Outputs (anonymisiert), menschliche Eingriffe, Fehler, Aktualisierungen — um Aufsicht, Marktüberwachung und Vorfallsermittlung zu unterstützen (Art. 12).

Wie lange müssen Logs aufbewahrt werden?

Orientierung an Art. 18 (technische Dokumentation 10 Jahre) und member-state-Vorgaben. Für personenbezogene Logs: DSGVO-Löschpflicht mit angemessenen, oft kürzeren Fristen.

Was passiert bei lückenhaften Logs?

Sanktionsrisiko nach Art. 99 Abs. 4, Hinweis auf unzureichendes Risikomanagement. Logs sind Nachweis (schützt Anbieter) und Prüfgrundlage der Aufsicht zugleich.

KI-Compliance umsetzen

Du willst EU AI Act und Data Act praktisch umsetzen?

Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.

Jetzt beraten lassen
Related