Was der AI Act für die Protokollierung von KI-Systemen vorschreibt
Die entsprechenden Verpflichtungen ergeben sich aus Art. 12, der vorschreibt, dass alle Hoch-Risiko KI-Systeme mit internen Protokollierungsfunktionen ausgestattet sein müssen, die in der Lage sind, Ereignisse während ihres gesamten Betriebs automatisch zu erfassen. Diese Protokolle dienen drei wichtigen Zwecken:
- Risikoerkennung: Erfassung von Ereignissen, die auf aufkommende Risiken oder wesentliche Änderungen am System gemäß Art. 79 (1) hinweisen könnten.
- Beobachtung nach dem Inverkehrbringen: Ermöglicht es Anbietern, das Verhalten und die Leistung des Systems nach der Bereitstellung zu bewerten, wie in Artikel 72 vorgeschrieben.
- Überwachung des Betriebs: Erleichterung der Überwachung der Systemnutzung durch die Betreiber gemäß Art. 26 (5).
Für KI-Systeme, die für die biometrische Fernidentifizierung verwendet werden (Anhang III, 1(a)), müssen Mindestprotokollierungsfunktionen gewährleistet sein:
- Genaue Zeitstempel für jede Nutzungssitzung (Beginn und Ende).
- Angaben zur Referenzdatenbank, die bei der Validierung der Eingabedaten verwendet wurde.
- Aufzeichnungen der Eingabedaten, die Suchtreffer ausgelöst haben.
- Identifizierung der für die Überprüfung der Ergebnisse verantwortlichen Personen gemäß Artikel 14 (5).
Ein Blick in den Normenentwurf für die Protokollierung von KI-Systemen
Der Entwurf der Norm ISO/IEC DIS 24970:2025 Künstliche Intelligenz – KI-System-Protokollierung bietet Anbietern von Hoch-Risiko KI-Systeme Unterstützung bei der Umsetzung der Bestimmungen von Art. 12 in ihrem Entwicklungs- und Designprozess.
Die folgende Tabelle gibt einen Überblick über die Abschnitte der Norm:
Abschnitt | Kernanforderung(en) | Details |
Abschnitt 5 – Protokollierung und Nutzung von Protokollen | Alle KI-Systeme müssen relevante Ereignisse protokollieren. | Definiert den allgemeinen Zweck, den Umfang und die Verantwortlichkeiten für die Protokollierung. |
Abschnitt 6 – Gestaltung des Protokollierungssystems | Das Protokoll-Design muss die Rückverfolgbarkeit unterstützen. | Protokolleinträge sollten mit den Designentscheidungen, Datenflüssen und Governance-Kontrollen des Systems verknüpft sein, damit das Verhalten überprüft werden kann. |
Abschnitt 7 – Auslöser für die Protokollierung | Die Protokollierung wird in drei Kontexten aktiviert:
| Ermöglicht eine umfassende Erfassung von normalem und außergewöhnlichem Verhalten. |
Abschnitt 8 – Zu protokollierende Informationen | Protokolle müssen Folgendes enthalten:
| Liefert die für Diagnose, Lernen und Compliance erforderlichen Daten. |
Abschnitt 9 – Speicherung und Zugriff auf die Protokolle | Protokolle werden nicht unbedingt auf unbestimmte Zeit aufbewahrt. Nur diejenigen, die für regulatorische oder rechtliche Zwecke erforderlich sind, sollten langfristig gespeichert werden. Solche Protokolle erfordern eine dauerhafte Speicherung und sichere Backups. Governance-Regelungen legen fest, wer Protokolle lesen, schreiben oder löschen darf. Der Zugriff durch Dritte ist nur zulässig, wenn der Empfänger über die erforderlichen Berechtigungen verfügt und eine sichere Speicherung und Löschung nach Ablauf der Aufbewahrungsfrist sowie Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten kann. | Behandelt Datenschutz, Datenübertragbarkeit und rechtliche Beschränkungen für die Aufbewahrung und Weitergabe von Protokollen. |
Allgemeine Hinweise zum Design | Die Protokollierungskomponente ist bewusst agnostisch, d. h. sie kann in Software, Hardware oder einer hybriden Form implementiert werden und schreibt kein festes Schema vor. Sie unterstützt operative, analytische und regulatorische Ziele. | Ermöglicht eine flexible Integration in verschiedene KI-Systemarchitekturen. |
Governance und verantwortungsvolle Nutzung | Die Protokollierung ist Teil verantwortungsvoller Governance-Prozesse, die Datenschutz, Fairness und Rechenschaftspflicht umfassen. | Stellt sicher, dass Protokolle zur ethischen Überwachung und Systemsicherheit beitragen. |
Anhang A – Informationsmodell | Bietet eine Beispieldatenstruktur, die an die oben genannten Anforderungen angepasst werden kann. | Bietet praktische Anleitungen für die Umsetzung. |
Fazit
Der Standard verlangt, dass KI-Systeme ein umfassendes Protokollierungsframework einrichten, um Rückverfolgbarkeit, Compliance und Sicherheit zu gewährleisten. Jedes System muss eine klare Protokollierungsstrategie definieren und Protokolle entwerfen, die regulatorische und ethische Verpflichtungen unterstützen. Die Protokollierung sollte während des normalen Betriebs, der Überwachung und der menschlichen Überwachung ausgelöst werden, um detaillierte Fehlerinformationen und Kontextdaten zu erfassen. Protokolle müssen sicher gespeichert und nur für gesetzlich vorgeschriebene Zeiträume aufbewahrt werden. Sie müssen außerdem durch strenge Zugriffskontrollen geschützt werden. Darüber hinaus sollte die Protokollierungskomponente flexibel genug sein, um entweder in Software oder Hardware implementiert werden zu können. Diese Maßnahmen garantieren zusammen, dass KI-Systeme überprüfbare und vertrauenswürdige Aufzeichnungen führen und gleichzeitig die Privatsphäre schützen und die Compliance-Anforderungen erfüllen.
