Artikel 19 des EU AI Act — Aufbewahrung der technischen Dokumentation
Artikel 19 der KI-Verordnung verpflichtet Anbieter von Hochrisiko-KI-Systemen, die technische Dokumentation mindestens zehn Jahre nach der Markteinführung aufzubewahren. CertifiedData archiviert Zertifikate synthetischer Daten dauerhaft im öffentlichen Register — abrufbar für Behörden, Auditoren und Nutzer.
Was regelt Artikel 19 zur Dokumentenaufbewahrung?
Artikel 19 der Verordnung (EU) 2024/1689 legt Aufbewahrungspflichten für Anbieter von Hochrisiko-KI-Systemen fest. Die gemäß Artikel 11 erstellte technische Dokumentation muss zehn Jahre ab dem Datum der Markteinführung oder Inbetriebnahme des KI-Systems aufbewahrt werden. Diese Dokumentation umfasst insbesondere die Systembeschreibung, Designspezifikationen, verwendete Trainingsdaten, Ergebnisse der Validierungstests und Maßnahmen zur Erfüllung der wesentlichen Anforderungen der Verordnung. Die Dokumente müssen auf Anfrage der zuständigen nationalen Behörden zugänglich sein.
Kryptografische Archivierung für die Aufbewahrungsdauer
CertifiedData löst das Problem der Langzeitaufbewahrung, indem jedes Zertifikat dauerhaft im öffentlichen Register archiviert wird. Im Gegensatz zu einem internen Dateisystem, das manipuliert oder gelöscht werden kann, ist das CertifiedData-Register ein unveränderliches Protokoll: Sobald ein Zertifikat ausgestellt ist, wird sein Inhalt durch die Ed25519-Signatur der ausstellenden Behörde "Certified Data LLC" gesichert. Jeder Änderungsversuch macht die Signatur ungültig, was bei der Verifizierung über die öffentliche Transparenzschnittstelle sofort erkennbar ist.
Technische Dokumentation synthetischer Trainingsdaten
Trainingsdaten bilden einen zentralen Bestandteil der nach Artikel 11 erforderlichen technischen Dokumentation, welche die Aufbewahrungspflichten des Artikels 19 begründet. Für Systeme, die mit synthetischen Daten trainiert wurden, dokumentiert jedes CertifiedData-Zertifikat: den Generierungsalgorithmus (CTGAN), die Anzahl der Zeilen und Spalten, den SHA-256-Fingerabdruck des Datensatzes, Datum und Uhrzeit der Generierung im ISO-8601-Format und die eindeutige Datensatz-ID. Diese strukturierten Informationen bilden die Datenherkunftsdokumentation, die die Verordnung fordert, und sind über die öffentliche API von CertifiedData abrufbar.
Reaktion auf Anfragen zuständiger nationaler Behörden
Artikel 19 beschränkt sich nicht auf die Aufbewahrung: Die Dokumentation muss auf Verlangen der Marktüberwachungsbehörden vorgelegt werden. CertifiedData erleichtert diese Pflicht, indem jedes Zertifikat über eine dauerhafte URL zugänglich und über eine öffentliche Verifizierungs-API abrufbar ist. Ein Prüfer oder eine Regulierungsbehörde kann die Echtheit eines Zertifikats jederzeit unabhängig verifizieren, ohne von der Organisation abhängig zu sein, die es ausgestellt hat. Diese unabhängige Verifizierbarkeit ist ein zentrales Compliance-Argument im Rahmen des EU AI Act.