Testen Sie alle Funktionen kostenlos — 3 Credits bei der Registrierung inklusiveKostenlos testen
Zum Hauptinhalt springen
Kostenlose Diagnose

Glossar

25 Schlüsseldefinitionen der Verordnung

Pflichten

24 detaillierte Artikel mit Fristen

Zeitplan

Wichtige Termine von 2025 bis 2027

Diagnose

Identifizieren Sie Ihre Pflichten in 3 Minuten

KMU-Konformität

Prüfen Sie Ihre AI-Act-Pflichten in 30 Sekunden

Europäische Souveränität

100% in Frankreich gehostet

KI-Assistent

Kontextuelle KI mit abschnittsübergreifendem Gedächtnis

Dokumentenerstellung

Anhang-IV-konformer Text per KI generiert

Diagnose

Automatische Klassifizierung Ihres Systems

Versionierung

Vollständige Rückverfolgbarkeit Ihrer Projekte

Multi-Client

Multi-Client-Verwaltung für Agenturen

PDF-Export

Professionelle PDFs für das Audit

PreiseBlogAnmelden
ki-agenten ki-gesetzagentische ki compliance

KI-Agenten im Unternehmen: Welche KI-Gesetz-Pflichten gelten für autonome Systeme?

7. April 20269 min5
KI-Agenten im Unternehmen: Welche KI-Gesetz-Pflichten gelten für autonome Systeme?

Auf einen Blick

  • Das KI-Gesetz deckt KI-Agenten ab: Ohne sie explizit zu benennen, umfasst die allgemeine Definition des "KI-Systems" in Artikel 3§1 autonome Agenten. Die Europäische Kommission bestätigte dies in ihren Leitlinien vom Februar 2026.
  • Das Risiko hängt vom Anwendungsfall ab: Ein Agent, der E-Mails verfasst = begrenztes Risiko. Ein Agent, der Bewerbungen sortiert oder Scoring-Entscheidungen trifft = hohes Risiko (Anhang III). Die Aktion, nicht die Autonomie, bestimmt das Niveau.
  • Menschliche Aufsicht: die zentrale Pflicht: Artikel 14 verlangt, dass Hochrisikosysteme es einem Menschen ermöglichen, ihre Aktionen zu verstehen, zu überwachen und zu unterbrechen. Ein vollständig autonomer Agent bei hochimpaktigen Entscheidungen ist nicht konform.
  • Rückverfolgbarkeitspflicht: Jede Aktion eines Hochrisiko-KI-Agenten muss protokolliert, prüfbar und nachvollziehbar sein.
  • Multi-Agenten-Systeme erschweren die Compliance: Wenn mehrere Agenten interagieren, muss die Verantwortungskette klar definiert sein.
  • EU-Chance: KI-Gesetz-Compliance bei autonomen Agenten wird zu einem Wettbewerbsvorteil auf europäischen B2B-Märkten.

Ende 2025 schätzte das MIT Technology Review, dass 40 % der Unternehmensanwendungen bis 2027 agentische KI-Modelle integrieren werden. 2026 ist die Realität bereits da: KI-Agenten verwalten vollständige B2B-Einkäufe, sortieren Bewerbungen, orchestrieren HR-Workflows, lösen Finanztransaktionen aus - oft ohne menschliche Intervention bei jedem Schritt.

Für die meisten Entscheidungsträger bleibt die Compliance-Frage nach dem KI-Gesetz (Verordnung EU 2024/1689) zu diesem Thema unklar. Deckt das KI-Gesetz autonome Agenten ab? Und wenn ja, wie? Die Antwort ist eindeutig: Ja, und oft mit erheblichen Pflichten.

Was ist ein KI-Agent im Sinne des KI-Gesetzes?

Das KI-Gesetz erwähnt "KI-Agenten" oder "agentische KI" nicht explizit. Aber seine allgemeine Definition des KI-Systems in Artikel 3§1 ist breit genug, um sie einzuschließen. KI-Agenten entsprechen genau dieser Definition - und die Europäische Kommission bestätigte dies in ihren Leitlinien vom Februar 2026: Autonome Agenten, die Finanztransaktionen durchführen oder Wirtschaftsentscheidungen beeinflussen, werden dort explizit klassifiziert.

Was einen Agenten von einem gewöhnlichen Chatbot unterscheidet

Ein herkömmliches KI-System funktioniert im Anfrage-Antwort-Modus: Der Mensch stellt eine Frage, die KI antwortet, der Mensch entscheidet. Der Mensch bleibt bei jedem folgenreichen Schritt in der Schleife. Ein Agent bricht dieses Muster. Er erhält ein übergeordnetes Ziel, zerlegt es in Teilaufgaben, wählt Tools aus und ruft sie auf, bewertet Zwischenergebnisse und passt seinen Ansatz an - alles mit variablen Graden menschlicher Aufsicht, manchmal keiner.

Wie das Risiko eines KI-Agenten klassifiziert wird

Das Risikoniveau hängt vom Anwendungsfall ab, nicht vom Autonomiegrad.

Minimales oder begrenztes Risiko

Ein Agent, der Aufgaben ohne direkten Einfluss auf Personen automatisiert, fällt unter minimales oder begrenztes Risiko: Inhalts- oder E-Mail-Schreib-Agenten, Informationsüberwachungs-Agenten, Kalender-Organisations-Agenten. Für diese Nutzungen gelten nur die Transparenzpflichten des Artikels 50.

Hohes Risiko - Anhang III

Ein Agent wechselt in den Hochrisikobereich, sobald seine Aktion in einen der acht Anhang-III-Bereiche fällt:

  • Autonomer HR-Agent, der Bewerbungen sortiert, Leistungen bewertet oder Entlassungen empfiehlt - Anhang III, Abschnitt 4
  • Finanzscoring-Agent, der Kreditwürdigkeit bewertet, Kreditlimits festlegt oder Betrugsalarme auslöst - Anhang III, Abschnitt 5
  • Agent zur Verwaltung kritischer Infrastruktur (Energie, Transport, Wasser) - Anhang III, Abschnitt 2
  • Agent für den Zugang zu öffentlichen Diensten, der Sozialleistungs- oder Wohnanträge weiterleitet - Anhang III, Abschnitt 5
  • Agent im Justiz- oder Strafverfolgungsbereich - Anhang III, Abschnitte 6 und 7
Die praktische Regel: Ein Agent, der bei Entscheidungen über natürliche Personen tätig wird - deren Beschäftigung, Kreditvergabe, Rechte, Sicherheit - ist fast sicher hochriskant.

Konkrete Pflichten für Hochrisiko-Agenten

Artikel 14: effektive menschliche Aufsicht

Das ist die zentrale Pflicht für autonome Agenten. Artikel 14 verlangt, dass Hochrisikosysteme so konzipiert sind, dass ein Mensch ihren Betrieb verstehen, überwachen und unterbrechen kann. Für Hochrisiko-KI-Agenten bedeutet das: Unterbrechungsmechanismus, Erklärbarkeit der Aktionen, Validierungsschwellen für hochimpaktige Aktionen und geschultes Aufsichtspersonal.

Artikel 12 und 26§6: Rückverfolgbarkeit und Protokolle

Jede Aktion eines Hochrisiko-KI-Agenten muss automatisch protokolliert werden. Die Logs müssen die Rekonstruktion der Überlegung des Agenten ermöglichen: Welche Daten er konsultiert hat, welche Tools er aufgerufen hat, welche Zwischenentscheidungen er getroffen hat.

Artikel 9: Risikomanagement über den gesamten Lebenszyklus

Die Fähigkeit von Agenten, Tools zur Laufzeit dynamisch aufzurufen, schafft eine spezifische Herausforderung. Artikel 9 schreibt einen kontinuierlichen Prozess der Risikoidentifikation vor - keine einmalige Erstbewertung. Jeder Tool-Zusatz, jede neue API-Integration löst eine Überprüfung der Risikobewertung aus.

Der spezifische Fall von Multi-Agenten-Systemen

  • Die Stelle, die jeden Komponenten-Agenten entwickelt und vermarktet, ist Anbieter dieses Agenten
  • Die Stelle, die diese Agenten in einem Workflow orchestriert, ist Betreiber des Gesamtsystems
  • Wenn Sie Ihren eigenen Orchestrator-Agenten durch Kombination von Drittanbieter-Agenten entwickeln, werden Sie zum Anbieter des resultierenden Systems

Was Sie tun sollten, wenn Sie KI-Agenten einsetzen

  1. Jeden eingesetzten Agenten kartieren: Listen Sie alle Ihre Agenten auf, mit ihrem genauen Anwendungsfall, den Tools, die sie aufrufen, den Daten, auf die sie zugreifen, und den Entscheidungstypen, die sie treffen.
  2. Das Risikoniveau jedes Agenten klassifizieren: Wenden Sie das Anhang-III-Raster an. Wenn der Agent bei Entscheidungen über natürliche Personen in einem der 8 Bereiche tätig wird, ist er hochriskant.
  3. Menschliche Aufsicht by Design implementieren: Nicht nachträglich hinzufügen. Agentische Workflows von Anfang an mit Validierungspunkten, Eskalationsschwellen und Unterbrechungsmechanismen konzipieren.
  4. Logs einrichten: Jeder Hochrisiko-Agent muss automatische Protokolle generieren, die mindestens 6 Monate aufbewahrt werden.
  5. SaaS-Agenten-Anbieter prüfen: Wenn Sie einen Drittanbieter-Agenten in einem Hochrisikokontext nutzen, fordern Sie Gebrauchsanweisungen an und prüfen Sie die KI-Gesetz-Konformität.

Die kostenlose AiActo-Diagnose hilft Ihnen, Ihre KI-Systeme - einschließlich Ihrer autonomen Agenten - zu klassifizieren und Ihre Pflichten gemäß Ihrem Anbieter- oder Betreiberprofil zu identifizieren.

Häufig gestellte Fragen

Ist ein vollständig autonomer KI-Agent durch das KI-Gesetz verboten?

Nein - totale Autonomie ist als solche nicht verboten. Was für Hochrisikosysteme gefordert wird, ist, dass die Autonomie durch effektive menschliche Aufsichtsmechanismen eingerahmt ist. Ein Agent kann bei niedrigimpaktigen Aufgaben autonom handeln, aber hochimpaktige Entscheidungen über natürliche Personen müssen von einem kompetenten Menschen überprüft, angefochten und korrigiert werden können.

Wie ist menschliche Aufsicht zu gewährleisten, wenn ein Agent 24/7 tätig ist?

Artikel 14 verlangt nicht, dass bei jeder Agentenaktion ein Mensch anwesend ist - er verlangt, dass Aufsicht ermöglichende Mechanismen vorhanden sind. Konkret: automatische Alarme bei Überschreitung bestimmter Schwellenwerte, Monitoring-Dashboards, klare Eskalationsverfahren und die Fähigkeit, den Agenten jederzeit zu stoppen.

Mein KI-Agent nutzt Drittanbieter-Tools über API - wer haftet, wenn etwas schiefläuft?

Als Betreiber des Agenten sind Sie für das Gesamtverhalten des Systems in Ihrem Einsatz verantwortlich. Sie können vertraglich Rückgriff beim API-Anbieter nehmen, aber das entbindet Sie nicht von der Haftung gegenüber der betroffenen Person oder der Aufsichtsbehörde.

Was ist der Unterschied zwischen einem RPA-Workflow und einem KI-Agenten?

Ein RPA-System, das feste, vorbestimmte Regeln ohne Anpassungsfähigkeit ausführt, fällt generell nicht unter die KI-Gesetz-Definition. Ein KI-Agent, der ein Sprachmodell oder maschinelles Lernmodell nutzt, um sich an unvorhergesehene Situationen anzupassen oder variable Ausgaben zu erzeugen, fällt unter das KI-Gesetz.

Agentische KI ist die nächste Grenze der KI-Gesetz-Compliance. Unternehmen, die diese Systeme heute ohne strukturierte Governance einsetzen, gehen ein wachsendes regulatorisches Risiko ein. Diejenigen, die antizipieren, verwandeln diese Einschränkung in einen strukturellen Vorteil auf europäischen Märkten. Verfolgen Sie den KI-Gesetz-Zeitplan für alle wichtigen Compliance-Daten.

Diesen Artikel teilen