23.03.2026
Gernot Fritz, Tanja Pfleger, Fabian Duschnig
Künstliche Intelligenz ist längst kein Zukunftsthema mehr, sondern fester Bestandteil unternehmerischer Realität. Während sich die öffentliche Diskussion bislang stark auf generative KI konzentriert hat – also Systeme, die Texte, Bilder oder Code erzeugen –, erreicht nun eine Entwicklung die Unternehmenspraxis, die sich seit längerem abzeichnet: sogenannte KI-Agenten. Der Unterschied ist fundamental. Während ein Chatbot auf Eingaben reagiert, verfolgt ein KI-Agent eigenständig ein Ziel. Er plant Zwischenschritte, greift auf Systeme zu und führt Handlungen aus. Kurz gesagt: Der Chatbot antwortet, der Agent handelt.
Gerade diese Fähigkeit, aktiv in Prozesse einzugreifen, macht agentische Systeme für Unternehmen besonders attraktiv. In vielen Bereichen – vom Kundenservice über HR bis hin zu IT und Vertrieb – lassen sich repetitive, datengetriebene Abläufe weitgehend automatisieren. Ein Agent beantwortet dann nicht nur eine Anfrage, sondern prüft interne Richtlinien, holt fehlende Informationen ein, stößt Prozesse an und setzt Entscheidungen um. Damit verschiebt sich der Einsatz von KI von punktueller Unterstützung hin zur Orchestrierung ganzer Prozessketten.
Datenschutz: Wenn Datenverarbeitung dynamisch wird
Mit dieser Entwicklung geht eine neue Qualität rechtlicher Herausforderungen einher. Besonders deutlich wird das im Datenschutz. Wie etwa die Leitlinien der spanischen Datenschutzbehörde zur agentischen KI zeigen, verändert sich die Struktur von Datenverarbeitungen grundlegend. Während klassische Systeme meist klar abgrenzbare Verarbeitungsschritte aufweisen, agieren KI-Agenten dynamisch, mehrstufig und kontextabhängig.
Sie kombinieren Daten aus unterschiedlichen Quellen, interagieren mit externen Diensten und entwickeln ihre Verarbeitungsschritte teilweise erst im laufenden Betrieb. Damit geraten zentrale Prinzipien der DSGVO unter Druck. Die Zweckbindung wird schwieriger greifbar, wenn sich Verarbeitungsschritte situativ entwickeln. Die Datenminimierung verliert an Trennschärfe, wenn Systeme umfassenden Zugriff benötigen, um effizient zu funktionieren. Und auch die Transparenz leidet, wenn Datenflüsse nicht mehr linear verlaufen, sondern sich über mehrere Systeme hinweg entfalten.
Hinzu kommt, dass viele agentische Systeme mit Memory-Funktionen arbeiten und Informationen über längere Zeiträume speichern und weiterverwenden. Datenverarbeitung wird dadurch nicht nur komplexer, sondern auch persistenter.
Datenschutz wird zur Architekturfrage
Vor diesem Hintergrund lässt sich Datenschutz nicht mehr als nachgelagerte Compliance-Schicht verstehen. Er wird zu einem integralen Bestandteil der Systemarchitektur. Die zentrale Weichenstellung erfolgt bereits in der Designphase: Welche Daten darf der Agent verarbeiten? Auf welche Systeme darf er zugreifen? Welche Aktionen darf er eigenständig auslösen?
Diese Fragen sind nicht nur technisch, sondern auch rechtlich zu beantworten. Wer hier zu spät ansetzt, läuft Gefahr, Systeme zu implementieren, die sich im Nachhinein nur schwer oder gar nicht mehr „compliant machen“ lassen.
Gerade bei agentischen Systemen zeigt sich daher besonders deutlich, was „Privacy by Design“ in der Praxis bedeutet: nicht Dokumentation im Nachhinein, sondern Struktur im Vorhinein.
Der AI Act: Risikobasierter Blick statt „Agent“-Kategorie
Der AI Act greift diese Entwicklung auf, ohne sie ausdrücklich als eigene Kategorie zu adressieren. Eine spezifische Regulierung für „Agenten“ existiert nicht. Stattdessen folgt der Rechtsrahmen einem risikobasierten Ansatz, der sich am jeweiligen Einsatzkontext orientiert.
Für die Praxis lassen sich daraus zwei zentrale Erkenntnisse ableiten. Nicht jeder KI-Agent im Unternehmen ist automatisch als Hochrisiko-System einzuordnen. Gleichzeitig können bestimmte Einsatzszenarien sehr schnell in den High-Risk-Bereich führen. Das gilt insbesondere für Anwendungen im HR-Bereich, bei der Steuerung von Beschäftigten, im Recruiting, bei Kreditwürdigkeitsprüfungen oder bei der Bewertung von Risiken in Versicherungsmodellen.
Der rechtliche Einstiegspunkt ist daher nicht die technische Architektur, sondern der konkrete Use Case. Es ist zunächst zu klären, ob ein Einsatz möglicherweise verboten ist, ob ein Hochrisiko-System im Sinne von Anhang III vorliegt oder ob spezifische Transparenzpflichten greifen. Auch außerhalb des Hochrisiko-Bereichs bleiben zentrale Anforderungen bestehen – etwa im Hinblick auf AI Literacy, Transparenz oder flankierende Rechtsbereiche wie Datenschutz- und Arbeitsrecht.
Zeitlich ist die Entwicklung ebenfalls relevant. Die Verbote sowie die Pflicht zur Sicherstellung ausreichender AI-Kompetenz gelten bereits seit Februar 2025. Der Großteil der Verordnung wird ab August 2026 anwendbar, während bestimmte produktbezogene Konstellationen erst ab August 2027 greifen. Unternehmen befinden sich damit bereits jetzt in einer Phase, in der erste Compliance-Anforderungen konkret umzusetzen sind.
Menschliche Aufsicht: Mehr als ein Freigabeknopf
Ein besonders zentraler Punkt – sowohl aus Sicht der Datenschutzbehörden als auch nach dem AI Act – ist die menschliche Aufsicht. Gerade bei leistungsfähigen, autonom agierenden Systemen reicht es nicht aus, formale Kontrollmechanismen vorzusehen. Die Aufsicht muss tatsächlich wirksam sein.
Das bedeutet vor allem, dass Menschen die Funktionsweise und Grenzen des Systems verstehen müssen. Sie müssen in der Lage sein, Auffälligkeiten zu erkennen, Ergebnisse richtig einzuordnen und – wenn erforderlich – bewusst von den Vorschlägen des Systems abzuweichen. Ebenso wichtig ist die Möglichkeit, Entscheidungen zu übersteuern oder Prozesse zu stoppen.
In der praktischen Umsetzung zeigt sich, dass funktionierende Aufsicht selten über einen einzelnen Mechanismus abgebildet wird. Vielmehr bedarf es eines Zusammenspiels verschiedener Elemente. In sensiblen Konstellationen kann es erforderlich sein, dass ein Mensch aktiv eingreifen muss, bevor eine Maßnahme nach außen wirkt – etwa bevor Zahlungen ausgelöst, Verträge versendet oder Personalentscheidungen umgesetzt werden. In anderen Fällen kann ein System weitgehend automatisiert arbeiten, solange bei Unregelmäßigkeiten oder definierten Schwellenwerten eine Eskalation erfolgt. Gerade bei grundrechtsnahen Entscheidungen wird sich häufig ein Vier-Augen-Prinzip etablieren.
Technisch und organisatorisch entscheidend ist zudem, dass Agenten nur über jene Rechte verfügen, die sie für eine konkrete Aufgabe tatsächlich benötigen. Je weiter die Zugriffsmöglichkeiten, desto größer das Risiko. Ergänzend dazu braucht es eine lückenlose Protokollierung der Systemaktivitäten sowie klare Möglichkeiten, Prozesse jederzeit zu stoppen oder in einen kontrollierten Fallback-Modus zu überführen.
Neue Risiken: Wenn Fehler zu Handlungen werden
Neben den regulatorischen Anforderungen treten Risiken, die eng mit der Funktionsweise agentischer Systeme zusammenhängen. Anders als bei klassischen KI-Anwendungen bleiben Fehler nicht auf der Ebene von Vorschlägen oder Inhalten stehen, sondern können unmittelbare Auswirkungen auf Prozesse und Systeme haben.
Ein falsch interpretiertes Ziel kann dazu führen, dass ein Agent zwar formal „richtig“ handelt, aber dennoch unerwünschte oder sogar schädliche Ergebnisse produziert. Fehler können sich über mehrere Verarbeitungsschritte hinweg fortpflanzen und in anderen Systemen verstärken. Umfangreiche Zugriffsrechte erhöhen das Schadenspotenzial zusätzlich, insbesondere wenn sensible Unternehmensbereiche betroffen sind.
Auch aus Security-Perspektive entstehen neue Angriffspunkte. Wird ein agentisches System kompromittiert, kann dies weitreichendere Folgen haben als bei klassischen Anwendungen, da der Agent selbstständig Aktionen ausführen kann. Hinzu kommt ein menschlicher Faktor, der häufig unterschätzt wird: Je besser ein System funktioniert, desto eher verlassen sich Nutzer auf dessen Ergebnisse. Dieser Automation Bias kann dazu führen, dass Fehler nicht mehr ausreichend hinterfragt werden.
Fazit: Governance wird zur Voraussetzung, nicht zur Ergänzung
KI-Agenten markieren einen Wendepunkt in der Nutzung künstlicher Intelligenz. Systeme unterstützen nicht mehr nur, sondern greifen aktiv in Prozesse ein. Damit steigen nicht nur Effizienzpotenziale, sondern auch die Anforderungen an Kontrolle, Transparenz und Verantwortlichkeit.
Die Leitlinien der Aufsichtsbehörden und die Vorgaben des AI Act zeigen klar, dass sich Governance nicht mehr nachträglich aufsetzen lässt. Sie muss integraler Bestandteil der Systemgestaltung sein. Unternehmen sind daher gut beraten, zunächst Prozesse zu verstehen, bevor sie diese automatisieren, Zugriffsrechte bewusst zu begrenzen, bevor Systeme vernetzt werden, und klare Kontrollmechanismen zu etablieren, bevor Skalierung erfolgt.
Oder zugespitzt formuliert: Erst Prozess, dann Agent. Erst Rechte, dann Tools. Erst Governance, dann Skalierung.
Denn mit KI-Agenten beginnt eine Phase, in der Systeme nicht mehr nur Inhalte erzeugen, sondern handeln. Und sobald Systeme handeln, wird Kontrolle zur zentralen Herausforderung.
