Wir haben vor 14 Monaten angefangen, Artikel-12-Logging für unser eigenes KI-System zu bauen. Der Gesetzestext ist nur zwei Seiten lang, aber die Umsetzung hat uns sechs Monate Fehler gekostet, bevor wir die Form gefunden haben, die einer Prüfung standhält.

Der Stichtag ist der 2. August 2026. Das sind elf Wochen. Die meisten EU-SaaS-Teams, mit denen ich rede, behandeln es immer noch als Q3-Problem.

Ein paar Dinge, die beim Lesen von Artikel 12 nicht offensichtlich sind:

Cloud-natives Logging von einem einzelnen Anbieter besteht den Integritäts-Test meist nicht. Behörden erwarten Manipulationssicherheit — Hash-Chain plus Signatur pro Batch — auch wenn das Gesetz nur "automatische Aufzeichnung" sagt.

Die Aufbewahrungsfrist ist keine einzelne Zahl. Sie ist eine Skala mit sektoralen Überlagerungen. Medizinische KI nach MDR landet bei 10+ Jahren. Kritische Infrastruktur unter NIS2 dasselbe. HR-Systeme können kürzer sein. Die Matrix zählt mehr als die Schlagzeile.

Multi-Provider-Setups brauchen Per-Vote-Logging. Wenn drei Modelle abgestimmt haben und nur das Endergebnis geloggt wurde, lässt sich die Entscheidung sechs Monate später im Audit nicht rekonstruieren. Das haben wir auf die harte Tour gelernt.

Ich habe ein 40-seitiges zweisprachiges Praktiker-Toolkit (Deutsch und Englisch) veröffentlicht mit den Patterns, bei denen wir gelandet sind, plus fünf Excel-Templates, drei Checklisten für Pre-Audit, Lieferanten-Onboarding und Incident-Response, sowie 50+ JSON-Schemas. Launch-Preis 29 Euro mit Code LAUNCH50.

https://yoendem.gumroad.com/l/eu-ai-act-article-12-toolkit

Wenn Sie an der Artikel-12-Umsetzung arbeiten — die Frage, die mich aus dieser Community wirklich interessieren würde: Welches Cross-Mapping mit GDPR Artikel 30 (VVT) hat sich für Sie am nützlichsten erwiesen?