KI-Audit-Nachweise sind die systemseitig erzeugten Belege — Zugriffsprotokolle, Prüfpfade, Anbieter-Unterlagen und Folgenabschätzungen — die zeigen, dass deine KI-Nutzung ein Kontroll-Rahmenwerk wie SOC 2, ISO 27001, die EU-KI-Verordnung oder die DSGVO erfüllt. Die Lücke, in die die meisten Organisationen fallen, ist nicht das Fehlen einer Richtlinie; es ist das Liefern der Nachweise, wenn ein Prüfer fragt. Die eine Anforderung, an der Teams scheitern: Zeig mir, welcher Mitarbeitende welche Daten wann an welches Modell geschickt hat. Ein Richtlinien-PDF beantwortet das nicht. Ein Protokoll schon — wenn du eines hast.

Drei Mythen machen das schwerer als nötig, und wir räumen sie vorweg aus: Es gibt kein "SOC 2 für KI", die berühmte "90-Tage-Aufbewahrungs-Regel" ist keine SOC-2-Anforderung, und die meisten alltäglichen KI-Assistenten am Arbeitsplatz sind nach der EU-KI-Verordnung nicht "hochriskant". Sind die aus dem Weg, ist die eigentliche Arbeit eng und konkret: die jeweils akzeptierten Artefakte liefern. Dieser Leitfaden ordnet sie zu — und erklärt, warum private KI-Konten keines davon erzeugen und selbst Enterprise-Stufen die Nachweise oft zerstückeln.

Gibt es ein "SOC 2 für KI"? Nein — was das bedeutet

Es gibt kein eigenes SOC-2-Rahmenwerk für KI. Verarbeitet ein KI-Assistent Kunden- oder personenbezogene Daten, wird er gegen die bestehenden AICPA Trust Services Criteria geprüft — dieselben Kriterien zu Zugriff, Überwachung, Änderungsmanagement und Anbietern, die jedes System abdecken. Der KI-spezifische Standard ist ein anderer: ISO/IEC 42001, veröffentlicht im Dezember 2023, ist der erste zertifizierbare KI-Managementsystem-Standard (AIMS) und der, auf den Prüfer bei KI-Governance zunehmend verweisen. Er erweitert ein ISO-27001-Informationssicherheits-Managementsystem, statt es zu ersetzen.

Die praktische Erkenntnis: Du brauchst keine mythische "KI-Zertifizierung", um eine Prüfung mit KI im Umfang zu bestehen. Du musst die Kriterien erfüllen, gegen die du ohnehin geprüft wirst, angewendet auf die KI — plus, wenn du ein KI-spezifisches Signal willst, ISO 42001. KI als exotisch zu behandeln verleitet Teams dazu, Einzelwerkzeuge zu kaufen, statt die Nachweise zu liefern, die ihre bestehenden Rahmenwerke verlangen.

Was SOC-2-Prüfer wirklich verlangen, wenn KI im Umfang ist

SOC-2-Nachweise für KI gruppieren sich um vier Bereiche der Common Criteria. Logischer Zugriff (CC6): Verschlüsselung der Daten zur und von der Modell-API, Bereitstellung und Zugriffsüberprüfungen sowie rollenbasierter Least-Privilege-Zugriff darüber, wer — und welche Dienstkonten — das Modell aufrufen oder die zugrunde liegenden Daten lesen darf. Überwachung (CC7, besonders CC7.2): kontinuierliche Protokollierung der Inferenzen (Modellversion, redigierter Prompt und Tool-Aufrufe, Ergebnis) plus Alarmierung und Vorfallsreaktion. Änderungsmanagement (CC8.1): eine genehmigte Änderungsrichtlinie mit Stichproben-Protokollen und Funktionstrennung. Anbietermanagement (CC9): Der LLM-Anbieter ist ein Unterauftragsverarbeiter, du brauchst also eine dokumentierte Anbieter-Risikobewertung, dessen eigenen SOC-2-Type-2- oder ISO-Bericht, den Nachweis einer No-Training- oder Zero-Data-Retention-Konfiguration und einen unterzeichneten AVV.

Zwei Details entscheiden über Bestehen oder Durchfallen. Erstens bevorzugen Prüfer systemseitig erzeugte, zeitgestempelte, manipulationssichere Protokolle deutlich gegenüber Screenshots — und für einen Type-II-Bericht müssen die Protokolle das gesamte Beobachtungsfenster abdecken und belegen, dass die Kontrolle über die Zeit wirkte, nicht nur am Tag des Hinsehens. Zweitens ein typisch KI-Fehler: Das Protokollieren roher, nicht redigierter Prompts und Antworten mit personenbezogenen Daten verwandelt deine Prüfpfad-Kontrolle in einen Datenleck-Befund. Redigiere, bevor du protokollierst.

Mythos: "SOC 2 verlangt 90 Tage Log-Aufbewahrung." Tut es nicht. SOC 2 und die Trust Services Criteria schreiben keine feste Aufbewahrungsdauer vor — sie verlangen eine dokumentierte, risikobasierte Richtlinie. Die "90 Tage" stammen aus Cloud-Standardwerten (kostenloser AWS-CloudTrail-Verlauf) und aus PCI DSS, einem anderen Rahmenwerk, das tatsächlich 12 Monate insgesamt mit den letzten 3 Monaten sofort verfügbar verlangt. Für SOC 2 planst du die Aufbewahrung so, dass sie dein Prüffenster plus Puffer abdeckt — in der Praxis rund 12 Monate — und hältst es schriftlich fest.

ISO 27001:2022 und ISO 42001: die Kontrollen, die auf KI passen

Kontrolle / ArtefaktRahmenwerkNachweis, den ein Prüfer für KI akzeptiert
A.5.15 ZugriffssteuerungISO 27001:2022Zugriffsrichtlinie + Rollen-Rechte-Matrix + regelmäßige Zugriffs-Rezertifizierung
A.8.15 ProtokollierungISO 27001:2022Prompt-/Antwort-/Auth-/Zugriffsprotokolle + Protokollierungsrichtlinie (was, Aufbewahrung, Manipulationsschutz)
A.8.16 Überwachung (neu 2022)ISO 27001:2022Alarmschwellen-Konfiguration + Aufzeichnungen ausgelöster Alarme und ihrer Untersuchung — Beleg, dass Protokolle geprüft, nicht nur aufbewahrt werden
A.5.23 Nutzung von Cloud-Diensten (neu 2022)ISO 27001:2022LLM-API als Cloud-Unterauftragsverarbeiter: Due Diligence, deren Zertifikate, Vertrag/AVV, definierter Ausstieg
KI-System-Folgenabschätzung (AIIA)ISO/IEC 42001:2023Das zentrale 42001-Artefakt: dokumentierte Auswirkung des KI-Systems auf Personen + KI-Nutzungsrichtlinie + Governance-RACI

Sieh, wo deine KI-Audit-Nachweise Lücken haben

Kostenlose 7-minütige KI-Governance-Bewertung. Sie ordnet deine KI-Nutzung den Kontrollen zu, die Prüfer prüfen — Zugriff, Protokollierung, Anbieter, Folgenabschätzung — und zeigt, welche Nachweise du liefern kannst und welche nicht. EU-gehostet, kostenlos.

Jetzt ausprobieren

EU-KI-Verordnung und DSGVO: Wann Protokollierung zur Rechtspflicht wird

Nach der EU-KI-Verordnung ist automatische Protokollierung eine Rechtspflicht — aber nur für hochriskante Systeme. Artikel 12 verlangt, dass hochriskante KI Ereignisse über ihre Lebensdauer automatisch aufzeichnet; Artikel 26 Absatz 6 verlangt, dass der Betreiber diese Protokolle mindestens sechs Monate aufbewahrt. Die entscheidende Feinheit, die die meisten Beiträge falsch darstellen: Der Hochrisiko-Status richtet sich nach dem Anwendungsfall, nicht nach der Technologie. Ein allgemeiner Arbeitsplatz-Assistent ist nur dann hochriskant, wenn er eine Entscheidung nach Anhang III maßgeblich beeinflusst — etwa Beschäftigungsentscheidungen wie Einstellung, Beförderung, Kündigung oder Beschäftigtenüberwachung. Gewöhnliche Schreib- und Suchunterstützung ist meist nicht hochriskant, auch wenn die Transparenzpflicht aus Artikel 50 (offenlegen, dass man mit KI interagiert) gelten kann. Stand 2026 gelten die Hochrisiko-Pflichten aus Anhang III ab dem 2. August 2026; eine vorgeschlagene Verschiebung auf Dezember 2027 (das "Digital Omnibus") wurde diskutiert, aber noch nicht beschlossen — behandle den 2. August 2026 also als aktives Datum und prüfe es erneut, bevor du dich darauf verlässt.

Die DSGVO gilt unabhängig vom Hochrisiko-Status, sobald personenbezogene Daten an eine KI fließen. Artikel 30 verlangt, dass der LLM-Anbieter in deinem Verzeichnis der Verarbeitungstätigkeiten als Empfänger oder Auftragsverarbeiter erscheint, mit Transfer-Garantien, wenn er außerhalb des EWR sitzt. Die Rechenschaftspflicht aus Artikel 5 Absatz 2 bedeutet, dass du die Einhaltung nachweisen musst, nicht nur behaupten — in der Praxis also Zugriffsaufzeichnungen und Prüfprotokolle. Artikel 28 verlangt einen AVV mit Prüfrechten, und Artikel 35 macht eine Datenschutz-Folgenabschätzung bei höher-riskanter KI-Verarbeitung wahrscheinlich, wenn auch im Einzelfall.

Nicht über-erfüllen. Jeden Arbeitsplatz-Assistenten als "hochriskant" zu behandeln, kostet Aufwand und bremst die Einführung. Prüfe den Anwendungsfall zuerst gegen Anhang III: Treibt die KI keine Beschäftigungs-, Kredit- oder ähnliche regulierte Entscheidung maßgeblich, gelten die Hochrisiko-Protokollpflichten der KI-Verordnung nicht — SOC 2, ISO und die DSGVO aber schon. Passe die Nachweise an das tatsächlich geltende Rahmenwerk an.

Die Nachweis-Lücke: Was dein KI-Werkzeug wahrscheinlich nicht liefern kann

Die Anforderung, auf die Prüfer zulaufen, ist eine Aufzeichnung pro Interaktion: welcher Nutzer welche Eingabe wann an welches Modell geschickt hat — und, zunehmend als Best-Practice-Erwartung, in welcher Datenklassifizierung. Für hochriskante KI ist das in Artikel 12 verankert; für alles andere ist es die praktische Form von SOC-2- und ISO-42001-Nachweisen. Das Problem ist strukturell. Die meiste KI-Nutzung am Arbeitsplatz läuft über private oder kostenlose Konten, die kein Admin-Protokoll, keine Aufbewahrungssteuerung und keinen Export erzeugen — der Nachweis existiert also schlicht nicht. Das ist dasselbe Schatten-KI-Problem aus Prüfersicht und der Grund, warum ein Fundament aus Berechtigung und Zugriff zählt.

Selbst Enterprise-Stufen zerstückeln die Nachweise. Der Compliance-Export von ChatGPT Enterprise bewahrt nur rund 30 Tage auf, du musst also laufend exportieren oder verlierst die Spur. Der Prüfdatensatz von Microsoft 365 Copilot erfasst Nachrichten-IDs und ein Prompt-und-Antwort-Kennzeichen, aber nicht den Text — der Inhalt liegt anderswo und muss per eDiscovery geholt werden. Googles Vault-Aufbewahrung deckt die eigenständige Gemini-App ab, aber nicht das in Gmail und Docs eingebettete Gemini. Keines davon erreicht KI auf privaten Konten. So merken selbst gut ausgestattete Teams: Stellt der Prüfer die einfache Frage, liegt die Antwort verstreut über drei Konsolen und ein 30-Tage-Fenster — oder fehlt ganz.

Prüfbereite KI-Plattform

  • Nutzer-Zuordnung bei jeder Interaktion

  • Unveränderliche Protokolle mit selbst gesteuerter Aufbewahrung

  • Ein Export, der wer-was-wann-an-welches-Modell beantwortet

  • EU-gehostet, AVV, Unterauftragsverarbeiter-Nachweis bereit

Verbraucher- / zerstückelte Werkzeuge

  • Private/kostenlose Konten: kein Protokoll, keine Aufbewahrung, kein Export

  • ~30-Tage-Fenster; Protokolle ohne Prompt-Text

  • Nachweise über mehrere Konsolen verstreut

  • Eingebettete KI oft außerhalb des Aufbewahrungs-Werkzeugs

So schließt du die KI-Audit-Nachweis-Lücke (Checkliste)

Ist deine KI-Nutzung prüfbereit?

Kostenlose 7-minütige KI-Reifegrad-Bewertung. Sie sagt dir, ob dein aktueller Aufbau die Zugriffs- und Protokoll-Nachweise liefern kann, die ein Prüfer verlangt. EU-gehostet, kostenlos.

Jetzt ausprobieren

Wo Teamo passt

Teamo ist eine Multi-LLM-Enterprise-Plattform (OpenAI, Anthropic, Google, Mistral, Aleph Alpha), so gebaut, dass der Audit-Nachweis eine Standardfunktion ist, kein Enterprise-Zusatz. Jede Interaktion ist über ein siebenstufiges Berechtigungsmodell einem echten Nutzer zuordenbar, und drei unabhängige Prüfprotokolle erfassen Zugriff, Tool-Aktionen und Aktivität — sodass die Frage wer-was-wann-an-welches-Modell eine einzige, exportierbare Antwort hat statt drei zerstückelter Konsolen. Sie ist EU-gehostet mit selbst gesteuerter Aufbewahrung, DSGVO- und KI-Verordnungs-tauglich, und es gibt keine Enterprise-Mindestabnahme, sodass ein 25-Personen-Unternehmen denselben prüffesten Nachweis erhält wie ein 2.500-Personen-Unternehmen. Wenn dein Hindernis das Liefern der Nachweise ist und nicht das Schreiben der Richtlinie, schließt sie genau diese Lücke.

Das Fazit

KI-Prüfungen scheitern an Nachweisen, nicht an Richtlinien. Lass die Mythen weg — es gibt kein SOC 2 für KI, keine feste 90-Tage-Regel, und die meisten Assistenten sind nicht hochriskant — und konzentriere dich auf die Artefakte, die jedes geltende Rahmenwerk wirklich akzeptiert: zuordenbare, redigierte, geprüfte Protokolle mit risikobasierter Aufbewahrung, dazu Unterauftragsverarbeiter-Nachweise und, wo es gilt, eine KI-Folgenabschätzung. Die Teams, die bestehen, können in einem einzigen Export beantworten, wer was wann an welches Modell geschickt hat. Kann dein Werkzeug das nicht, ist das die Lücke, die du schließt, bevor der Prüfer kommt.

Wichtigste Erkenntnisse:

- Es gibt kein "SOC 2 für KI" — KI wird gegen bestehende Trust Services Criteria geprüft; ISO 42001 (Dez 2023) ist der KI-spezifische, zertifizierbare Standard.
- Die "90-Tage-Aufbewahrung" ist bei SOC 2 ein Mythos; es gibt keine feste Frist. Plane ~12 Monate, risikobasiert.
- Die meisten KI-Assistenten am Arbeitsplatz sind nach der EU-KI-Verordnung NICHT hochriskant — prüfe gegen Anhang III, bevor du über-erfüllst.
- Prüfer wollen ein Protokoll pro Interaktion: wer was wann an welches Modell geschickt hat (und zunehmend in welcher Klassifizierung).
- Private/kostenlose KI-Konten erzeugen keinen Nachweis; selbst Enterprise-Stufen zerstückeln ihn (30-Tage-Fenster, kein Prompt-Text, Lücken bei eingebetteter KI).
- Eine Plattform, bei der Zuordnung und Prüfprotokolle Standard sind (EU-gehostet, ohne Mindestabnahme, wie Teamo), macht den Nachweis zu einem einzigen Export.