Aufzeichnungspflicht (Logging): Definition und rechtliche Bedeutung (AI Act / Data Act)
Art. 12 AI Act verpflichtet Anbieter hochriskanter KI, das System so zu gestalten, dass es während des Betriebs automatisch Ereignisse protokolliert (Logging). Die Logs müssen die Einhaltung des Pflichtenbündels, die menschliche Aufsicht und die Marktüberwachung unterstützen — insbesondere die Ermittlung schwerer Vorfälle (Art. 73) und die Nachvollziehbarkeit von Entscheidungen. Die Protokollierung muss den anerkannten Standards entsprechen und Schutzmaßnahmen gegen Manipulation vorsehen. Die Pflicht gilt ab dem 2. August 2026; Aufbewahrungsfristen richten sich nach den member-state-Vorgaben und Art. 18 (zehn Jahre für technische Dokumentation). Logs sind zentraler Prüf- und Haftungsgegenstand.
Steve Baka
Pflicht und Zweck (Art. 12)
Art. 12 verpflichtet Anbieter, hochrisiko-KI so zu gestalten, dass es während des Betriebs automatisch Ereignisse protokolliert (Logs). Zweck (Abs. 1): die Einhaltung der Anforderungen aus Art. 8–15 zu gewährleisten, die menschliche Aufsicht (Art. 14) zu unterstützen, die Nachverfolgbarkeit der Systemleistung und die Marktüberwachung (Art. 72) zu ermöglichen, und — vor allem — die Ermittlung schwerer Vorfälle nach Art. 73 zu erleichtern. Die Protokollierung muss den Stand der Technik entsprechen; konkrete Anforderungen ergeben sich aus Art. 12 Abs. 2–4 und dem anwendbaren Format. Die Pflicht gilt ab dem 2. August 2026.
Inhalte und Aufbewahrung
Die Logs umfassen in der Regel: Zeitstempel der Systemnutzung, Eingaben und Outputs (in anonymisierter/aggregierter Form, soweit DSGVO-relevant), menschliche Eingriffe und Überschreibungen, Systemzustände/Fehler, Aktualisierungen, Aufzeichnungen der Aufsichtspersonen. Die Aufbewahrungsfristen orientieren sich an Art. 18 (technische Dokumentation 10 Jahre) und member-state-Vorgaben; für Logs gibt es oft kürzere, datenschutzfreundliche Fristen. Schutz vor Manipulation (Integrität, Zugriffsprotokolle) ist Pflicht. Datenschutz: Logs mit personenbezogenen Daten unterliegen der DSGVO (Zweckbindung, Löschpflicht).
Praxis: Nachvollziehbarkeit und Haftung
Logging ist doppelt relevant: Es schützt Anbieter im Haftungs-/Beschwerdefall (Nachweis korrekter Funktion, menschlicher Eingriffe) und es ist zentrale Prüfgrundlage der Aufsicht. Eine lückenhafte oder manipulierbare Protokollierung kann als Hinweis auf unzureichendes Risikomanagement gewertet werden und Vorfallsermittlungen behindern — mit Sanktionsrisiko (Art. 99 Abs. 4). Praktisch erforderlich: versionierte, manipulationssichere Logs, klare Aufbewahrungs- und Löschkonzepte, DSGVO-konforme Anonymisierung, und Zugriffs-/Audit-Logs für die Logs selbst. Logs sind Nachweis und Risiko zugleich — eine saubere Log-Architektur ist Teil des Risikomanagementsystems (Art. 9).
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Was muss protokolliert werden?
Ereignisse während des Betriebs: Nutzung, Eingaben/Outputs (anonymisiert), menschliche Eingriffe, Fehler, Aktualisierungen — um Aufsicht, Marktüberwachung und Vorfallsermittlung zu unterstützen (Art. 12).
Wie lange müssen Logs aufbewahrt werden?
Orientierung an Art. 18 (technische Dokumentation 10 Jahre) und member-state-Vorgaben. Für personenbezogene Logs: DSGVO-Löschpflicht mit angemessenen, oft kürzeren Fristen.
Was passiert bei lückenhaften Logs?
Sanktionsrisiko nach Art. 99 Abs. 4, Hinweis auf unzureichendes Risikomanagement. Logs sind Nachweis (schützt Anbieter) und Prüfgrundlage der Aufsicht zugleich.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.