Ein lückenloser Verlauf aller Aktionen — damit man später nachvollziehen kann was passiert ist.
EU AI Act Art. 12 fordert automatische Logs für Hochrisiko-KI: Zeitstempel, Input/Output, HITL-Entscheidungen, Anomalien. Technisch: unveränderliche Append-Only-Logs (Git, WORM-Storage). GoBD-konform: 10 Jahre Aufbewahrung für geschäftsrelevante Daten.
Definition
Ein Audit Trail (Prüfpfad) ist eine lückenlose, zeitlich geordnete Aufzeichnung aller relevanten Ereignisse in einem System:
- Wer hat gehandelt (Actor/Agent)
- Was wurde getan (Action)
- Wann (Timestamp, UTC)
- Warum (Begründung / Evidence)
- Mit welchem Ergebnis (Outcome)
Rechtliche Grundlage
EU AI Act Art. 12 — Aufzeichnungspflicht
Hochrisiko-KI-Systeme müssen Logs automatisch erstellen, die:
- Betriebszeiträume dokumentieren
- Eingabedaten (soweit sicherheitsrelevant) festhalten
- Referenzdaten für Interpretierbarkeit enthalten
- Informationen zur menschlichen Überwachung enthalten
Aufbewahrungspflicht: mind. 6 Monate (Betreiber), Anbieter nach Vereinbarung.
DSGVO Art. 22 — Automatisierte Entscheidungen
Bei automatisierten Entscheidungen mit rechtlicher Wirkung:
- Betroffene haben Anspruch auf Erklärung
- Aufzeichnungen müssen Nachvollziehbarkeit gewährleisten
ISO 42001 Abschnitt 7.5 — Dokumentierte Information
Aufzeichnungen als Nachweis der Konformität sind zu pflegen und aufzubewahren.
Eigenschaften eines guten Audit Trails
| Eigenschaft | Beschreibung |
|---|---|
| Vollständigkeit | Keine Lücken — alle relevanten Ereignisse erfasst |
| Unveränderlichkeit | Einmal geschrieben, nicht nachträglich änderbar |
| Zeitstempel | UTC, präzise, manipulationssicher |
| Strukturierung | Maschinenlesbar (JSON/YAML), nicht nur Freitext |
| Zugänglichkeit | Auditoren können Logs in angemessener Zeit auslesen |
| Integrität | Cryptographic hash oder Signatur empfohlen |
IIO-Implementierung: Git als Audit Trail
IIO nutzt Git-Commits als primären Audit Trail:
commit a1b2c3d
Author: agent/20260519-opencode-occ-web <agent@iio.space>
Date: 2026-05-19T01:00:00Z
feat(occ): deploy Astro website — HITL approved
Evidence: gate.occ-www-deploy-go-no-go → GO (operator: zolo)
Scope: tenants/occ/www → /opt/occ-portal/
Files: 101 pages, 359KBVorteile:
- Dezentral, kryptographisch integer
- Diff zeigt exakt was geändert wurde
- Branching erlaubt Isolation von Experimenten
- CI/CD kann Compliance automatisch prüfen
Audit Trail für KI-Entscheidungen
Bei automatisierten KI-Entscheidungen mit Auswirkungen auf Menschen:
decision:
id: dec-2026-05-19-001
timestamp: "2026-05-19T01:00:00Z"
system: credit-scoring-v2
actor: ai-agent/credit-model
input_hash: sha256:a1b2c3... # Keine Rohdaten — nur Hash
decision: APPROVED
confidence: 0.87
hitl_required: false # confidence > threshold
model_version: "2.1.0"
evidence: "score=720, threshold=650"引用
"Audit Trail." Open Cognition Commons Foundation. https://opencognitioncommons.org/ja/glossary/audit-trail. CC-BY 4.0. 機械可読メタデータ
{
"@context": "https://schema.org",
"@type": "DefinedTerm",
"name": "Audit Trail",
"description": "Ein Audit Trail ist eine lückenlose, chronologisch geordnete und unveränderliche Aufzeichnung aller sicherheitsrelevanten Ereignisse, Entscheidungen und Aktionen in einem System — nachvollziehbar für interne und externe Prüfer.\n",
"url": "https://opencognitioncommons.org/ja/glossary/audit-trail",
"license": "https://creativecommons.org/licenses/by/4.0/",
"alternateName": [
"Audit Trail",
"Prüfpfad",
"Revisionsprotokoll"
]
}