Skip to content
Veröffentlicht am 15. April 2026 · von Coinator-Team

KI-Verordnung und Blockchain-Forensik: Welche Dokumentationspflichten Ermittler jetzt treffen

Ab August 2026 greifen die Hochrisiko-Pflichten der EU-KI-Verordnung — und treffen damit auch Blockchain-Forensik-Tools mit ML-Komponenten. Was bedeutet das für Behörden, Banken und Ermittler, die solche Systeme einsetzen?

#ai-act #ki-verordnung #compliance #methodik #transparenz

Die EU-KI-Verordnung (AI Act) wurde bereits im Juli 2024 verabschiedet, ihre Bestimmungen treten in gestaffelten Fristen in Kraft. Die entscheidende Etappe für Forensik-Anwender rückt jetzt näher: Ab 2. August 2026 gelten die vollen Pflichten für Hochrisiko-KI-Systeme. Wer KI-gestützte Blockchain-Analyse einsetzt, sollte jetzt prüfen, ob das eigene Tool diesen Anforderungen standhält.

Was macht ein System „hochrisikofähig"?

Die KI-Verordnung klassifiziert KI-Systeme in vier Risiko-Stufen. Relevant für unsere Branche sind zwei Anhänge:

  • Anhang III Nr. 6 — Strafverfolgung: KI-Systeme, die von Strafverfolgungsbehörden zur Bewertung von Beweismitteln oder zur Profilerstellung natürlicher Personen eingesetzt werden.
  • Anhang III Nr. 5c — Kreditwürdigkeit & Risikobewertung: KI-Systeme zur Bewertung der finanziellen Risikobewertung natürlicher Personen, etwa im AML-Screening.

Viele moderne Blockchain-Forensik-Tools fallen direkt oder indirekt unter eine dieser Kategorien — sobald sie Cluster-Attributionen, Risiko-Scores oder verdachtsbezogene Bewertungen zu konkreten Personen oder Wallets liefern.

Die Kern-Pflichten im Überblick

Für Hochrisiko-Systeme gelten ab August 2026 unter anderem:

  1. Dokumentation der Trainingsdaten — Herkunft, Repräsentativität, Bias-Prüfung (Art. 10)
  2. Technische Dokumentation und Transparenz — Algorithmen, Metriken, bekannte Limitationen (Art. 11)
  3. Protokollierung der Entscheidungen — Audit-Trail jeder KI-gestützten Einordnung (Art. 12)
  4. Menschliche Aufsicht — kein vollautomatisierter Produktiveinsatz ohne Kontrollmöglichkeit (Art. 14)
  5. Genauigkeits-, Robustheits- und Cybersecurity-Anforderungen (Art. 15)

Wer ein KI-System in Kernprozesse integriert, ist als Betreiber (Art. 26) mitverantwortlich — nicht nur der Hersteller. Banken, Finanzämter und Ermittlungsbehörden müssen also prüfen, ob sie die nötige Dokumentation ihrer Lieferanten vorhalten können.

Wo Blockchain-Forensik klassisch versagt

Viele im Markt verbreitete Forensik-Suites arbeiten mit proprietären, nicht offengelegten Risiko-Modellen:

  • Das Herkunfts-Scoring einer Adresse wird als einzelne Kennzahl ausgeworfen, ohne klare Aufschlüsselung der eingeflossenen Heuristiken.
  • Trainingsdaten der internen ML-Modelle (z. B. Mixer-Classifier oder Change-Detection-Netze) sind nicht dokumentiert.
  • Das Audit-Log beschränkt sich auf API-Aufrufe, nicht auf die Entscheidungsbegründung pro Wallet.

Das genügt ab August 2026 nicht mehr. Im Gutachten-Kontext können solche Ergebnisse schon heute angefochten werden, weil die Nachvollziehbarkeit fehlt.

Unser Ansatz: Transparenz als Architektur-Prinzip

Der Coinator wurde von Anfang an mit der Annahme gebaut, dass jede Attribution im Zweifel vor Gericht standhalten muss. Konkret bedeutet das:

  • Alle über 40 Heuristiken sind offen dokumentiert — einsehbar auf unserer Methodik-Seite und im Gutachten-Anhang zitierbar.
  • Jede ML-gestützte Zuordnung liefert die klassische Heuristik-Herleitung mit — man sieht, welche Multi-Input-, Change- oder Pattern-Heuristiken zur Einstufung beigetragen haben.
  • Trainingsdaten unserer GNN-Modelle sind nachvollziehbar: Wir verwenden ausschließlich Adressen aus eigenen, manuell verifizierten Clustern — keine anonymen Drittanbieter-Feeds.
  • Audit-Log pro Anfrage: Jede Cluster-Attribution wird mit Zeitstempel, Input-Parametern und der Heuristik-Entscheidungskette protokolliert.

Damit ist der Coinator schon heute konform mit den Kernanforderungen der KI-Verordnung — ohne dass unsere Kunden nachrüsten müssen.

Was Sie jetzt tun sollten

Wenn Sie in Ihrer Behörde oder Ihrem Institut KI-gestützte Blockchain-Forensik einsetzen (oder einzusetzen planen):

  1. Prüfen Sie die Einordnung: Fällt Ihr aktueller Einsatz unter Anhang III der KI-Verordnung?
  2. Fordern Sie Dokumentation an: Verlangen Sie vom Tool-Anbieter eine schriftliche Auskunft zu Trainingsdaten, Algorithmen, Limitationen und Audit-Möglichkeiten.
  3. Etablieren Sie Aufsichts-Workflows: Jede automatisierte Cluster-Zuordnung, die in ein Verfahren einfließt, sollte vor Veröffentlichung durch eine qualifizierte Person geprüft und freigegeben sein.
  4. Dokumentieren Sie den eigenen Einsatz: Betreiberpflichten (Art. 26) verlangen eigene Protokolle — nicht nur die des Herstellers.

Wir unterstützen Sie dabei gern — mit Schulungen, Gutachten-Vorlagen und Compliance-Beratung. Sprechen Sie uns an.

Dieser Beitrag ersetzt keine Rechtsberatung. Die hier dargestellten Einschätzungen beruhen auf der veröffentlichten Fassung der Verordnung (EU) 2024/1689 und dem aktuellen Stand der sekundärrechtlichen Durchführungsrechtsakte.

← Zur Blog-Übersicht