Protokollierungsanforderungen des EU AI Act — Vollständiger Leitfaden
Der EU AI Act stellt präzise Protokollierungsanforderungen an Hochrisiko-KI-Systeme, die in der Europäischen Union betrieben werden. Dieser Leitfaden erläutert diese Anforderungen und erklärt, wie CertifiedData die notwendige kryptografische Zertifizierungsinfrastruktur bereitstellt.
Regulatorische Grundlagen: Artikel 12 und 19
Die Protokollierungsanforderungen des EU AI Act stützen sich hauptsächlich auf zwei Artikel. Artikel 12 verpflichtet zur Einrichtung automatischer Protokollierungsfähigkeiten, die es ermöglichen, relevante Ereignisse während des gesamten Betriebs des Hochrisiko-KI-Systems aufzuzeichnen. Artikel 19 verlangt, dass die technische Dokumentation — einschließlich Protokolle und Aufzeichnungen zu Trainingsdaten — mindestens zehn Jahre nach der Markteinführung des Systems aufbewahrt wird. Beide Pflichten gelten kumulativ und müssen in der Systemarchitektur integriert umgesetzt werden.
Erforderlicher Inhalt von Ereignisprotokollen
Die Verordnung schreibt kein bestimmtes Protokollformat vor, legt aber fest, dass Protokolle die nachträgliche Überwachung des Systemverhaltens, die Erkennung von Anomalien und die Rekonstruktion von Entscheidungen ermöglichen müssen. In der Praxis sollten konforme Protokolle enthalten: die Ereignis-ID, den genauen Zeitstempel, die KI-System-ID, die Art der durchgeführten Operation, relevante Eingabedaten, die getroffene Entscheidung oder Ausgabe und die Sitzungs- oder Nutzer-ID. Für synthetische Trainingsdaten ergänzt CertifiedData diese operativen Protokolle mit Herkunftszertifikaten für die Daten.
Kryptografische Integrität von Protokollen
Eine implizite, aber grundlegende Anforderung der EU AI Act-Compliance ist die Integrität der Protokolle: Sie müssen manipulationssicher sein, und jeder Änderungsversuch muss erkennbar sein. CertifiedData verwendet Ed25519-Signaturen, um die Integrität jedes Zertifizierungsartefakts zu gewährleisten. Die Signatur wird über die kanonische JSON-Darstellung der Artefakt-Metadaten berechnet, einschließlich des SHA-256-Fingerabdrucks des Datensatzes. Jede Änderung — selbst ein einzelnes Byte — macht die Signatur ungültig, was bei der Verifizierung über die öffentliche Verifizierungs-API sofort erkennbar ist.
Compliance mit CertifiedData umsetzen
CertifiedData vereinfacht die Umsetzung der EU AI Act-Protokollierungsanforderungen durch eine schlüsselfertige Zertifizierungsinfrastruktur. Die API-Integration ermöglicht die automatische Zertifizierung jedes für das Training verwendeten synthetischen Datensatzes. Das dauerhaft archivierte öffentliche Register erfüllt die Aufbewahrungsanforderungen des Artikels 19. Die öffentliche Verifizierung erfüllt die Transparenzanforderungen des Artikels 13. Und kryptografisch signierte Protokolle entsprechen den impliziten Integritätsanforderungen des Artikels 12. Den vollständigen Compliance-Leitfaden finden Sie unter EU AI Act Compliance-Leitfaden.