AI Regulatory Intelligence — by YRproject

sachliche Einordnung · nachvollziehbar bis zur Primärquelle

Compliance-Plattform Zusammenarbeiten LinkedIn NL·EN·DE
Wegweiser

Protokollierung und Aufzeichnung: was verlangt Artikel 12 der KI-Verordnung?

Verabschiedet 2026-06-22 · ≈ 2 Min. Lesezeit · Dirk Baaijen

Artikel 12 verpflichtet Hochrisiko-KI-Systeme, Ereignisse während ihrer Lebensdauer automatisch aufzuzeichnen (Logs). Protokollierung ermöglicht Risikoüberwachung, Rückverfolgbarkeit und nachträgliche Untersuchung. Dieser Artikel erklärt den Mindestinhalt und die Aufbewahrungsdauer.

Kurze Antwort: Artikel 12 der KI-Verordnung verpflichtet Anbieter, Hochrisiko-KI-Systeme technisch so zu bauen, dass sie während ihrer Lebensdauer automatisch Ereignisse aufzeichnen (Logs). Diese Logs müssen es ermöglichen, riskante Situationen zu erkennen, das System nach dem Inverkehrbringen zu überwachen und den Betrieb im Nachhinein zu rekonstruieren. Protokollierung ist kein optionales Audit-Feature, sondern eine Designpflicht.

Warum Protokollierung verpflichtend ist

Ein Hochrisiko-System kann in der Praxis anders abschneiden als im Test. Logs liefern die objektive Spur, um das zu erkennen: sie ermöglichen es, Situationen aufzudecken, die zu einem Risiko oder einer wesentlichen Änderung führen können, das System zu überwachen (Beobachtung nach dem Inverkehrbringen) und bei einem Vorfall zu untersuchen, was genau geschah. Ohne Logs ist menschliche Aufsicht im Nachhinein blind.

Was die Logs mindestens enthalten müssen

Die Protokollierungsfunktionen müssen zum Zweck des Systems passen. Für bestimmte Systeme — etwa biometrische Fernidentifizierung — nennt Artikel 12 ausdrücklich:

  • den Zeitraum jeder Nutzung (Beginn- und Endzeit, Datum);
  • die Referenzdatenbank, gegen die Eingabedaten abgeglichen wurden;
  • die Eingabedaten, für die die Abfrage einen Treffer ergab;
  • die Identifizierung der Personen, die an der Überprüfung der Ergebnisse beteiligt waren (siehe das Vier-Augen-Prinzip in Artikel 14).

Für andere Hochrisiko-Systeme gilt die allgemeine Norm: zeichnen Sie auf, was nötig ist, um Risiken, Überwachung und Rückverfolgbarkeit zu unterstützen.

Aufbewahren, schützen und nutzen

Der Anbieter baut die Logfunktion ein; der Betreiber bewahrt die erzeugten Logs anschließend auf, soweit sie seiner Kontrolle unterliegen. Die KI-Verordnung nennt eine Richtfrist von mindestens sechs Monaten, sofern andere Regeln (etwa Datenschutz) nichts anderes vorschreiben. Beachten Sie: Logs können personenbezogene Daten enthalten, daher gilt die DSGVO uneingeschränkt — begrenzen Sie, was Sie aufzeichnen, sichern Sie die Speicherung und regeln Sie den Zugang.

Was zu tun ist

  • Bestimmen Sie, welche Ereignisse Sie protokollieren auf Basis des Zwecks und der Risiken des Systems.
  • Zeichnen Sie Zeitstempel, Eingaben und relevante Entscheidungsmomente auf, sodass eine Nutzung rekonstruierbar ist.
  • Legen Sie eine Aufbewahrungsfrist fest (mindestens sechs Monate oder länger, wo das Gesetz es verlangt) und automatisieren Sie die anschließende Bereinigung.
  • Sichern Sie die Logs gegen Änderung und unbefugten Zugriff; behandeln Sie sie als sensible Daten.
  • Beschreiben Sie die Logfunktion in der Betriebsanleitung, sodass der Betreiber weiß, was er aufbewahren muss.
  • Verarbeiten Sie Protokollierung in Ihrem KI-Governance-Rahmenwerk und halten Sie die Zeitleiste der Pflichten ein.

Protokollierung ist eine feste Anforderung aus der Übersicht der Hochrisiko-Pflichten und wird bei der Konformitätsbewertung und CE-Kennzeichnung geprüft. Was Sie nicht aufzeichnen, können Sie später nicht nachweisen.

Quellen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordnung (EU) 2024/1689 (KI-Verordnung), Artikel 12: Aufzeichnung (automatische Protokollierung) durch Hochrisiko-KI-Systeme.
  2. https://artificialintelligenceact.eu/article/12/
    Konsolidierter Text und Erläuterung zu Artikel 12 (Aufzeichnung).

Share on LinkedIn

Lesen Sie auch

A

DSFA für HR-KI: wann verpflichtend und wie kombiniert man sie mit der FRIA?

Eine DSFA (Art. 35 DSGVO) ist bei umfangreicher Überwachung und Hochrisiko-KI im HR verpflichtend. Dieser Artikel erklärt, was hineingehört und wie man die DSFA mit der FRIA (Art. 27 KI-Verordnung) zu einem Verfahren bündelt. Mit Schritt-für-Schritt-Plan.

A

KI für die strategische Personalplanung: meist kein Hochrisiko, sofern es nicht individuell wird

KI für strategische Personalplanung und Skills-Forecasting auf Organisationsebene ist nach der KI-Verordnung meist kein Hochrisiko. Sobald sie jedoch individuelle Entscheidungen steuert, kann sie kippen. Datenqualität, Governance und Transparenz bleiben entscheidend.

U

Erklärbarkeit und Transparenz behördlicher Algorithmen: FRIA und Algorithmenregister

Transparenz behördlicher Algorithmen verläuft zweispurig: kollektive Offenheit über Algorithmenregister und FRIA, individuelle Erklärung gegenüber dem Bürger über Verwaltungsrecht und DSGVO. Die KI-Verordnung verlangt Verständlichkeit und Protokollierung. Erklärung ist Rechtspflicht, keine Gunst.

Dirk Baaijen

Über diese Wissensdatenbank

Zusammengestellt und gepflegt von YRproject — Programm- und Projektsteuerung an der Schnittstelle von digitaler Transformation, KI und Regulierung. Jede sachliche Aussage ist bis zur Primärquelle nachvollziehbar. Hinter YRproject steht Dirk Baaijen Über & Methode →

Ein Projekt oder Programm? Mit YRproject arbeiten →

Das monatliche Briefing

KI-Regulierung in fünf Minuten: was sich geändert hat, was kommt und was es bedeutet. Kein Spam, jederzeit abbestellbar.

Ihre Adresse wird nur hierfür verwendet und auf eigenen Servern gespeichert.