KI-Entscheidungsprotokollierung — Gesetzliche Anforderungen unter dem EU AI Act
Der EU AI Act verpflichtet Hochrisiko-KI-Systeme zur automatischen Protokollierung ihrer Entscheidungen und Betriebsereignisse. CertifiedData liefert die kryptografische Zertifizierungsinfrastruktur für manipulationssichere, drittverifizierbare KI-Protokolle.
Warum ist die KI-Entscheidungsprotokollierung gesetzlich vorgeschrieben?
Der EU AI Act (Verordnung 2024/1689) verpflichtet Anbieter und Betreiber von Hochrisiko-KI-Systemen gemäß Artikel 12 zur automatischen Protokollierung. Diese Anforderungen sollen die nachträgliche Überwachung des Systemverhaltens, die Erkennung von Anomalien und die Rechenschaftspflicht der Betreiber ermöglichen. In sensiblen Bereichen wie Kreditvergabe, Personalwesen, Gesundheitsversorgung oder Grenzkontrolle muss jede Entscheidung eines KI-Systems so dokumentiert werden, dass sie von menschlichen Prüfern nachvollzogen und interpretiert werden kann.
CertifiedData als Zertifizierungsstelle für KI-Artefakte
CertifiedData übernimmt die Rolle einer Zertifizierungsstelle für KI-Artefakte — analog zu TLS-Zertifizierungsstellen für Webseiten. Jedes der Plattform übermittelte Artefakt — synthetischer Datensatz, Modellergebnis, algorithmische Ausgabe — erhält ein Zertifikat mit einem SHA-256-Fingerabdruck, einem Zeitstempel, den Artefakt-Metadaten und einer digitalen Ed25519-Signatur. Dieses Zertifikat ist der kryptografische Nachweis, dass das Artefakt zu einem bestimmten Zeitpunkt, in einem bestimmten Zustand und gemäß einem dokumentierten Prozess erstellt wurde.
Architektur einer EU AI Act-konformen Protokollierungsplattform
Eine konforme KI-Entscheidungsprotokollierungsplattform muss vier Kriterien erfüllen: Integrität (Protokolle können nach ihrer Erstellung nicht verändert werden), Authentizität (der Aussteller der Protokolle ist identifizierbar und verifizierbar), Verfügbarkeit (Protokolle bleiben für die vorgeschriebene Aufbewahrungsdauer zugänglich) und Vollständigkeit (alle relevanten Ereignisse werden erfasst). CertifiedData erfüllt alle vier Kriterien durch sein Ed25519-Signatursystem, das öffentliche Register, dauerhafte URLs und die Zertifizierungspipeline, die den gesamten Lebenszyklus des Artefakts abdeckt.
Integration in bestehende KI-Pipelines
CertifiedData lässt sich über eine REST-API in bestehende KI-Pipelines integrieren. Nach der Generierung eines synthetischen Datensatzes oder eines Modellartefakts erstellt ein API-Aufruf einen unveränderlichen Eintrag im öffentlichen Register. Das ausgestellte Zertifikat kann über das Transparenzregister eingesehen oder programmgesteuert über den öffentlichen Verifizierungsendpunkt abgerufen werden — ohne Authentifizierung. Diese Drittverifizierbarkeit ist eine Kernanforderung für die EU AI Act-Compliance.