EU-KI-Gesetz · Einhaltung
Annex-IV-konforme Prüfpfade
für Hochrisiko-KI.
Audital erweitert Ihre bestehende ML-Infrastruktur — GitHub, MLflow, SageMaker, Jira und mehr — und erstellt automatisch die technische Dokumentation nach Anhang IV, das Risikomanagementsystem nach Artikel 9 und die Ereignisprotokolle nach Artikel 12. Als Erweiterung Ihrer operativen KI-Infrastruktur integriert sich Audital nahtlos, ohne Ihre Engineering-Workflows zu verändern.
Wichtiger Termin
Hochrisiko-KI-Verpflichtungen gelten ab dem 2. August 2026. Systeme zur Kreditbewertung, Betrugserkennung und Geldwäscheprüfung (AML-Screening) sind betroffen. Finanzdienstleister, die KI in diesen Bereichen einsetzen, müssen sicherstellen, dass eine konforme Dokumentations- und Protokollierungsinfrastruktur vor diesem Datum operativ ist.
Anhang IV: Technische Dokumentation
Artikel 11 des EU-KI-Gesetzes verpflichtet Anbieter von Hochrisiko-KI-Systemen, vor dem Inverkehrbringen eine vollständige technische Dokumentation nach Anhang IV zu erstellen. Diese Dokumentation muss die allgemeine Beschreibung des Systems, die Risikoklassifizierung, Trainingsarchitektur, Datenverwaltungsmaßnahmen, menschliche Überwachungsmechanismen und das Änderungsprotokoll umfassen.
Audital generiert den vollständigen Anhang-IV-Technischen Dossier (Abschnitte 1–8) automatisch aus den im kryptografisch gesicherten Prüfpfad erfassten Ereignissen. Die Dokumentation wird kontinuierlich aktualisiert, wenn sich das System ändert — kein manueller Redaktionsprozess, keine retrospektive Zusammenstellung.
Jeder generierte Bericht erhält einen SHA-256-Fingerabdruck und einen RFC-3161-Zeitstempel, der von einer unabhängigen Zeitstempelstelle ausgestellt wurde. Aufsichtsbehörden können jeden Bericht ohne Beteiligung von Audital verifizieren.
Generierte Abschnitte
- 1. Allgemeine Beschreibung des KI-Systems
- 2. Risikoklassifizierung und Geschäftszweck
- 3. Genauigkeits- und Leistungsmetriken
- 4. Trainingsdaten und Datenverwaltung
- 5. Maßnahmen zur menschlichen Überwachung
- 6. Protokoll wesentlicher Änderungen
- 7. Plan zur Nachmarktüberwachung
- 8. Konformitätserklärung und CE-Kennzeichnung
Artikel 9: Risikomanagementsystem
Artikel 9 verlangt, dass Anbieter von Hochrisiko-KI-Systemen ein fortlaufendes Risikomanagementsystem einrichten und dokumentieren. Das System muss den gesamten Lebenszyklus des KI-Systems abdecken: von der Konzeption über das Training und die Validierung bis hin zur Bereitstellung, Laufzeitbeobachtung und ausgemusterten Versionen.
Audital erfasst jeden Schritt dieses Lebenszyklus als unverfälschbaren Prüfereignis: Trainingsläufe, Validierungsergebnisse, Genehmigungsentscheidungen, Bereitstellungsereignisse, Konfigurationsvariationen und Vorfallsreaktionen werden alle in der append-only Hash-Kette aufgezeichnet. Das Risikomanagementsystem ist damit nicht ein separates Dokument — es ist der Prüfpfad selbst.
Änderungen an Modellkonfigurationen, Schwellenwerten oder Eingabedaten werden automatisch als Risikoereignisse klassifiziert und erfordern eine dokumentierte Genehmigung vor der Reaktivierung der Produktion.
Erfasste Lebenszyklusereignisse
- ✓TRAINING_STARTED / TRAINING_COMPLETED
- ✓VALIDATION_RUN — Ergebnis und Schwellenwert
- ✓APPROVAL_GRANTED — Genehmigender und Zeitstempel
- ✓DEPLOYMENT_EVENT — Version und Umgebung
- ✓CONFIG_CHANGE — Vorher/Nachher-Diff
- ✓INCIDENT_OPENED / INCIDENT_RESOLVED
- ✓MODEL_RETIRED — Ausmusterungsbegründung
Artikel 12: Protokollierungspflichten
Artikel 12 schreibt vor, dass Hochrisiko-KI-Systeme während ihres gesamten Betriebs automatisch Protokolle erzeugen. Diese Protokolle müssen den Beginn und das Ende jeder Nutzungssitzung, die verarbeiteten Eingabedaten sowie die erzeugten Ausgaben erfassen. Die Protokolle müssen für eine ausreichende Zeitspanne aufbewahrt werden, um eine nachträgliche Prüfung zu ermöglichen.
Die Audital-Ereignisprotokollierung läuft zum Inferenzzeitpunkt, bei Modelkonfigurationsänderungen und bei Entscheidungen zur menschlichen Überwachung. Jedes Ereignis ist mit einem RFC-3161-Zeitstempel versehen und in einer SHA-256-Hash-Kette verankert — manipulationüberwacht durch Konstruktion.
Für Finanzdienstleister beträgt die gesetzliche Mindestspeicherfrist im Allgemeinen fünf Jahre. Auditals Write-Once-Objektspeicher mit Unveränderlichkeitssperren erfüllt diese Anforderung infrastrukturell — nicht nur als Unternehmensversprechen.
Artikel-12-Anforderungen
- ✓Automatische Protokollierung während der gesamten Betriebszeit
- ✓Erfassung von Eingabedaten, Ausgaben und Entscheidungsparametern
- ✓Mindestaufbewahrung gemäß sektorspezifischem Recht (i.d.R. 5 Jahre)
- ✓Protokolle zugänglich für Betreiber und nationale Behörden
- ✓RFC-3161-Zeitstempel jedes Ereignisses
- ✓SHA-256-Hash-Kette verhindert nachträgliche Änderungen
- ✓Write-Once-Speicher mit Unveränderlichkeitssperre
Abdeckungsmatrix
| Artikel | Verpflichtung | Audital-Abdeckung |
|---|---|---|
| Anhang IV | Technische Dokumentation | Automatisch generiert |
| Artikel 9 | Risikomanagementsystem | Lückenlos dokumentiert |
| Artikel 12 | Ereignisprotokollierung | Append-only Prüfprotokoll |
Dreischichtige Unveränderlichkeit
Audital erzwingt die Append-Only-Eigenschaft auf drei unabhängigen Ebenen. Ein Angreifer müsste alle drei gleichzeitig kompromittieren — und selbst dann wäre die Manipulation durch die RFC-3161-Zeitstempel einer externen Zeitstempelstelle erkennbar.
Anwendungsschicht
Append-Only in der API erzwungen — keine UPDATE- oder DELETE-Routen für Prüfereignisse
Datenbankschicht
PostgreSQL-Zeilensicherheit verweigert dem Anwendungsnutzer das Ändern von Ereignissen
Infrastrukturschicht
Objektspeicher mit Unveränderlichkeitssperren — geschriebene Objekte können nicht überschrieben werden
Jetzt starten
Bereit für die Einhaltung des EU-KI-Gesetzes?
Registrieren Sie sich und verbinden Sie Ihr erstes KI-Modell in unter 60 Minuten. Audital erweitert Ihre bestehende Infrastruktur und generiert sofort Ihre Anhang-IV-Dokumentation aus den vorhandenen Prüfereignissen.
Fragen? Kontaktieren Sie uns unter contact@audital.ai