In den letzten zwei Jahren hat sich die agentische KI von einer Forschungskuriosität zur Produktionsrealität entwickelt. Ende 2025 betrieben achtzig Prozent der Fortune-500-Unternehmen mindestens einen KI-Agenten im täglichen Betrieb.[1] Diese Systeme unterscheiden sich qualitativ von der KI, die die Diskussion beherrschte, als der EU-KI-Gesetzesentwurf (der "Gesetzesentwurf") zwischen 2021 und 2023 verfasst wurde. Während ein Chatbot Text generiert und ein Klassifizierer Labels zuordnet, verfolgt ein agentisches System Ziele: Es plant, wählt Werkzeuge aus, führt Aktionen aus, beobachtet Ergebnisse und iteriert – oft über Dutzende von Schritten hinweg mit minimalem menschlichen Eingreifen.

Eine wachsende Anzahl von Kommentaren argumentiert, dass der Gesetzesentwurf für diese Ära ungeeignet ist. Jones hat argumentiert, dass das Compliance-Rahmenwerk "strukturell unzureichend" für Agenten ist, die autonom Drittanbieter-Tools über Gerichtsbarkeiten hinweg einsetzen, und prägte den Begriff "Agentic Tool Sovereignty".[2] Der Technologierat der ACM Europe hat zu einem "grundsätzlichen Umdenken" aufgerufen und argumentiert, dass der Gesetzesentwurf davon ausgeht, dass KI sich wie herkömmliche Software verhält - "vorhersehbar, begrenzt und unter menschlichem Kommando".[3] Die Future Society hat gefolgert, dass derzeit in Entwicklung befindliche technische Standards "wahrscheinlich nicht alle Risiken von Agenten vollständig adressieren werden".[4]

Diese Kritiken sind ernst zu nehmen, und die von ihnen identifizierten betrieblichen Schwierigkeiten sind real. Doch tendieren sie dazu, die Angemessenheit des Gesetzesentwurfs als eine einzige Frage zu behandeln, während es besser verstanden wird als zwei Fragen. Dieser Artikel schlägt eine Zweischichtanalyse vor. Auf der definitorischen Ebene - ob agentische KI innerhalb des regulatorischen Rahmens des Gesetzesentwurfs fällt - erweist sich der Gesetzesentwurf als bemerkenswert widerstandsfähig. Auf der operativen Ebene - die Verpflichtungen, Bewertungsverfahren und Überwachungsanforderungen - haben die Kritiker die stärkeren Argumente.

Diese Unterscheidung ist bedeutsamer, als es auf den ersten Blick erscheinen mag. Wenn die definitorische Ebene gebrochen wäre, müsste der Gesetzesentwurf umfassend überarbeitet werden. Da sie hält, besteht die Herausforderung in der operativen Anpassung - und die eigenen sekundären Instrumente des Gesetzesentwurfs bieten zahlreiche Optionen.

Die Definitorische Ebene: Artikel 3(1) und Seine Widerstandskraft

Artikel 3(1) definiert ein "KI-System" als:

ein maschinenbasiertes System, das entwickelt wurde, um mit variierenden Autonomiestufen zu operieren und das nach der Bereitstellung Adaptivität zeigen kann und sich, für explizite oder implizite Ziele, aus den empfangenen Eingaben ableitet, wie Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen zu generieren, die physische oder virtuelle Umgebungen beeinflussen können.

Diese Definition war das Ergebnis erheblicher Verhandlungen und spiegelt bewusste Entscheidungen über den Umfang und die Abstraktion wider.[6] Um zu verstehen, wie sie sich auf agentische KI erstreckt, ist es hilfreich, jedes Element einzeln zu betrachten.

"Variierende Autonomiestufen"

Dieser Ausdruck berücksichtigt ausdrücklich ein Spektrum, von Systemen, die ständige menschliche Eingaben benötigen, bis hin zu solchen, die mit erheblicher Unabhängigkeit arbeiten. Erwägungsgrund 12 erläutert, dass Autonomie "einen gewissen Grad an Unabhängigkeit von Handlungen und die Fähigkeit, ohne menschliches Eingreifen zu agieren" bedeutet.[7] Ein System, das Werkzeuge plant, sie ausführt, Ergebnisse evaluiert und seinen Ansatz anpasst - alles, ohne dass ein Mensch in jedem Stadium eingreift - arbeitet eindeutig auf einem hohen Maß an Autonomie innerhalb dieser Definition.

"Explizite oder implizite Ziele"

Ein Chatbot arbeitet auf explizite Ziele hin: Diese Frage beantworten, dieses Bild klassifizieren. Agentische Systeme arbeiten oft auf Ziele hin, die implizit, unbestimmt oder emergent sind. Eine Anweisung "den besten Kandidaten für diese Rolle zu finden" erfordert, dass der Agent das Ziel in Teilziele zerlegt, Werkzeuge auswählt und eigenständig Entscheidungen trifft. Hätte die Definition bei "explizite Ziele" aufgehört, könnten agentische Systeme, die emergente Teilziele verfolgen, leicht außerhalb des Rahmens fallen. Die Einbeziehung von "implizit" schließt dieses Argument aus.

"Entscheidungen" als eine Ausgabekategorie 

Unter den vier Ausgabekategorien der Definition - Vorhersagen, Inhalte, Empfehlungen und Entscheidungen - ist die letzte entscheidend. Eine "Entscheidung" impliziert etwas Aktives: Eine Wahl zwischen Alternativen mit Konsequenzen. Wenn ein Agent entscheidet, welches Werkzeug er anrufen soll oder wie Ressourcen zugeteilt werden, trifft er offensichtlich Entscheidungen in diesem Sinne.

"Physische oder virtuelle Umgebungen beeinflussen" 

Diese letzte Klausel ist möglicherweise die am weitreichendsten. Sie geht über das Eingabe-Ausgabe-Paradigma hinaus und berücksichtigt ausdrücklich Systeme, deren Ausgaben den Zustand der Welt verändern. Ein Agent, der E-Mails sendet, Code ausführt, Datenbanken ändert oder Aktuatoren kontrolliert, beeinflusst seine Umgebung. Indem sie nach "Umwelteinfluss" statt nur nach Ausgabenerzeugung strebten, schufen die Verfasser eine Definition, die von Natur aus mit handlungsfähigen Systemen kompatibel ist.

Insgesamt beschreibt die Definition, was KI-Systeme tun (folgern, entscheiden, beeinflussen) und wie sie agieren (autonom, adaptiv, zielgerichtet), statt wie sie gebaut sind. Dieser funktionale, technologie-neutrale Ansatz verleiht ihr ihre Widerstandskraft. Eine Definition, die um bestimmte Techniken - maschinelles Lernen, neuronale Netze - aufgebaut ist, wäre an einen technologischen Moment gebunden gewesen. Eine Definition, die sich auf "automatisierte Entscheidungsfindung" (wie in Artikel 22 der DSGVO) konzentriert, hätte den autonomen, mehrstufigen und umweltgestaltenden Charakter verpasst, der Agenten unterscheidet.

War diese Widerstandsfähigkeit absichtlich? Oder war es ein glücklicher Nebeneffekt der verhandelten Abstraktion? Wahrscheinlich ein wenig von beidem. Der Wandel vom technisch spezifischeren ursprünglichen Vorschlag der Kommission widerspiegelte Druck aus mehreren Richtungen: Mitgliedstaaten suchten nach Flexibilität, das Parlament suchte nach Breite und das OECD-Rahmenwerk bot eine hochrangige Vorlage.[8] Das Ergebnis verdankt sich vielleicht mehr der Logik des Kompromisses als der vorausschauenden Gestaltung. Aber egal, woher es stammt, eine regulatorische Definition, die sich über eine Paradigmenverschiebung hinweg bewährt, ist keine Kleinigkeit.

Die Operative Ebene: Wo das Rahmenwerk Spannungen Aufweist

Wenn die definitorische Ebene hält, liegen bei der operativen Ebene die eigentlichen Schwierigkeiten. Die Verpflichtungen des Gesetzesentwurfs wurden für statische und begrenzte Systeme entworfen, und es gibt drei hervorstechende Probleme.

Statische Konformität versus dynamische Systeme

Die Hochrisiko-Architektur des Gesetzesentwurfs basiert auf einem Konformitätsbewertungsmodell, das aus dem EU-Produktsicherheitsrecht abgeleitet ist - einem Modell, bei dem Anbieter ihre Systeme gegen die anwendbaren Anforderungen selbst bewerten, bevor sie auf den Markt kommen.[9] Das funktioniert gut genug, wenn die Fähigkeiten eines Systems zum Zeitpunkt der Bewertung weitgehend erkennbar sind. Agentische KI verändert dies. Ein Agent, der zur Laufzeit Werkzeuge aus sich dynamisch aktualisierenden Registern auswählt, wird Fähigkeiten nutzen, die zum Zeitpunkt der Bewertung einfach nicht existierten. Das Konzept der "wesentlichen Änderung" in Artikel 3(23) - eine Änderung "die in der ursprünglichen Konformitätsbewertung nicht vorgesehen oder geplant war"[10] - verdeutlicht das Problem. Ruft ein Agent autonom einen neuen Drittanbieterdienst auf, handelt es sich dann um eine wesentliche Änderung? Wenn ja, löst jeder neue Toolaufruf eine Neubewertung aus - schlicht absurd. Wenn nein, fallen wesentliche Änderungen des Risikoprofils des Systems vollständig durch.

Die Anbieter-Deployerkonstellation versus eine fragmentierte Wertschöpfungskette 

Der Gesetzesentwurf teilt Verpflichtungen zwischen zwei Rollen: Anbieter und Deployer.[11] Die agentische Wertschöpfungskette passt nicht in diese Aufteilung. Sie umfasst mindestens vier Akteure: den Anbieter des Basis-Modells, den Anbieter des Agentenrahmenwerks, den Deployer und Tool-Anbieter, deren APIs zur Laufzeit aufgerufen werden, oft ohne deren Wissen. Artikel 25(4) verlangt schriftliche Vereinbarungen zwischen Anbietern und Drittanbietern,[12] aber das setzt vorab etablierte Beziehungen voraus - die einfach nicht existieren können, wenn Agenten Werkzeuge im Handumdrehen auswählen. Wie Jones im Detail dokumentiert hat, fragmentiert die Verantwortung entlang der Kette, ohne dass jemand ein vollständiges Bild der Entscheidungen des Agenten, der Datenflüsse oder der Compliance-Position zu einem gegebenen Zeitpunkt hat - was er treffend als "many hands problem" bezeichnet.[13]

Das Paradox der menschlichen Aufsicht

Artikel 14 erfordert Aufsichtsmaßnahmen, die "den Risiken, dem Grad der Autonomie und dem Nutzungskontext entsprechen".[14] Aber der ganze Punkt der agentischen KI ist der autonome Betrieb mit minimalem menschlichem Eingriff. Ein Agent, der Dutzende von Mikroentscheidungen pro Sekunde trifft, agiert mit Geschwindigkeiten, die jede sinnvolle menschliche Intervention einfach überholen könnten. Der Gesetzesentwurf gibt keine Anleitung, wie "proportionale" Aufsicht tatsächlich am oberen Ende des Autonomiespektrums aussieht,[15] und der Ende 2025 fertiggestellte GPAI-Verhaltenskodex löst dies auch nicht vollständig.

Dies sind nicht die einzigen operativen Herausforderungen - die Nachmarktüberwachung gemäß Artikel 72(2) steht vor ähnlichen Schwierigkeiten mit Umfang, Zugriff und Temporalität[16] - aber sie verdeutlichen die zentrale Spannung: ein operatives Rahmenwerk, das für vorhersehbare, begrenzte Systeme gebaut wurde und nun mit Technik konfrontiert ist, die das nicht ist.

Die sekundären Instrumente: Ein glaubwürdiger Weg nach vorne

Die operativen Herausforderungen sind real, aber sie sind nicht alle gleichermaßen unüberwindbar. Die sekundären Instrumente des Gesetzesentwurfs bieten einen glaubwürdigen, wenn auch unvollständigen Weg zur Anpassung.

Harmonisierte Standards

CEN und CENELEC entwickeln Standards durch das Joint Technical Committee 21 unter einem im Juni 2025 geänderten Mandat, wobei beide Organisationen im Oktober 2025 außergewöhnliche Beschleunigungsmaßnahmen angenommen haben.[17] Dies ist wohl der vielversprechendste Weg. Die Verhältnismäßigkeitssprache von Artikel 14 ist im Grunde eine offene Einladung, zu erläutern, wie eine angemessene Aufsicht für hochautonome Systeme aussieht - begrenzte Handlungsspielräume, strukturierte Kontrollpunkte, Prüfpfade und Eingriffsmechanismen - ohne in jedem Fall einen Menschen im Kreislauf zu verlangen.

Delegierte Rechtsakte 

Artikel 7 ermächtigt die Kommission, Anhang III - die Hochrisikoanwendungsliste - durch delegierte Rechtsakte zu ändern, vorbehaltlich der Ablehnung durch das Parlament und den Rat.[18] Dies bedeutet, dass spezifische Kategorien von agentischen Systemen in den Hochrisikorahmen eingefügt werden können, wenn Risiken auftreten, ohne gesetzliche Änderung. Artikel 6(3) ermöglicht auch eine Kalibrierung in die andere Richtung.[19]

Kommissionsleitlinien und Verhaltenskodizes

Die Kommission hat bereits interpretative Leitlinien zur Definition eines KI-Systems herausgegeben,[20] und weitere Leitlinien könnten klären, wie das Anbieter-Deployer-Rahmenwerk auf agentische Wertschöpfungsketten angewendet wird und wann die Laufzeitauswahl von Werkzeugen als "wesentliche Änderung" gilt. Verhaltenskodizes gemäß Artikel 56 bieten einen weiteren Hebel, um agentenspezifische Risiken auf der GPAI-Modell-Ebene anzugehen - Kontrollierbarkeitsmerkmale, Werkzeugeinsatzprotokollierung und Aktionsraum-Einschränkungen - und Risiken an einem natürlichen Engpass in der Wertschöpfungskette zu adressieren.[21]

Das von der Kommission im November 2025 vorgeschlagene digitale Omnibus für KI ist ein erster Hinweis darauf, dass diese Anpassungsmaschinerie in der Praxis funktioniert.[22] Der Omnibus schlägt vor, Hochrisikoverpflichtungen zu verschieben, bis harmonisierte Standards tatsächlich verfügbar sind, Verlängerung der Fristen für Transparenzanforderungen an generative KI, Vereinfachung der Konformität für KMU und Zentralisierung der Durchsetzung von GPAI-basierten Systemen auf AI Office Ebene. All dies geschieht, ohne Artikel 3(1) - die definitorische Ebene - zu berühren, während die operative Ebene angepasst wird. Umso bemerkenswerter ist jedoch, dass der Omnibus agentische KI nicht spezifisch adressiert, was darauf hindeutet, dass die oben diskutierten sekundären Instrumente noch eine beträchtliche Arbeit vor sich haben.

Zwei strukturelle Merkmale werden wahrscheinlich mit der Zeit gesetzliche Änderungen erfordern. Die Anbieter-Deployer-Zweiteilung kann nicht durch sekundäre Instrumente erweitert werden, um Laufzeit-Tool-Anbieter abzudecken, die möglicherweise nicht einmal wissen, dass sie Teil eines agentischen Systems sind - das erfordert eine neue gesetzliche Grundlage. Und ein echter Wechsel von der Punkt-zu-Punkt-Konformitätsbewertung zur kontinuierlichen Konformitätsbewertung geht über das hinaus, was Standards oder Leitlinien alleine liefern können. Dies sind Bereiche, in denen der Gesetzesentwurf sich weiterentwickeln muss, und sein eigener Überprüfungsmechanismus - einschließlich Artikel 112 - bietet einen Weg dafür.[23]

Ein Rahmenwerk, das sich biegt

Das dominante Narrativ positioniert den EU-KI-Gesetzesentwurf als Relikt aus der präagentischen Ära. Dieser Artikel argumentiert, dass dieses Narrativ in wichtiger Weise unvollständig ist.

Auf der definitorischen Ebene zeigt der Gesetzesentwurf echte Widerstandsfähigkeit. Die Bezüge von Artikel 3(1) zu variierender Autonomie, impliziten Zielen, Entscheidungsfindung und Umwelteinfluss ziehen einen regulatorischen Rahmen, der agentische KI ohne Spannungen einschließt. Auf der operativen Ebene haben die Kritiker recht, dass es reale Lücken gibt. Aber diese Lücken liegen innerhalb eines Rahmenwerks, das bewusst mit Anpassungsfähigkeit gebaut wurde. Der digitale Omnibus-Vereinbarung zeigt bereits die Bereitschaft der EU, die operative Ebene anzupassen, während das definitorische Fundament unangetastet bleibt, und die breiteren sekundären Instrumente des Gesetzesentwurfs können einen Großteil der agentischen Herausforderung ohne vollständige gesetzliche Änderung bewältigen.

Die EU sollte zwei Versuchungen widerstehen: (i) der Selbstgefälligkeit, in der Annahme, das Rahmenwerk werde ohne aktive Anpassung halten; und (ii) der Panik, in der Schlussfolgerung, es müsse auseinandergerissen werden. Der KI-Gesetzesentwurf wurde nicht für agentische KI entworfen. Aber er wurde gut genug entworfen, um sie aufzunehmen - und diese Unterscheidung ist von enormer Bedeutung für die Zukunft der KI-Governance in Europa. Der Rahmen biegt sich. Er muss nicht brechen.

Für Organisationen, die heute agentische Systeme einsetzen, ist die praktische Implikation klar: Compliance ist kein zukünftiges Problem, das aufgeschoben werden kann, bis das Gesetz aufholt. Der definitorische Rahmen erfasst diese Systeme bereits, und die operativen Verpflichtungen kommen. Die Aufgabe besteht jetzt darin, Governance von Anfang an in die Arbeitsabläufe von Agenten zu integrieren: KI-Systeme zu inventarisieren, sobald sie eingesetzt werden, sie im Vergleich zu sich entwickelnden Risiko-Klassifikationen abzubilden und die Art der kontinuierlichen Aufsicht zu pflegen, die die sekundären Instrumente des Gesetzesentwurfs zunehmend erfordern werden. Bei Enzai ist dies die Herausforderung, der unsere Plattform dabei hilft, Organisationen zu navigieren. Um mehr zu erfahren, kontaktieren Sie uns hier.

Referenzen

[1] Microsoft Security Blog, "80% der Fortune 500 nutzen aktive KI-Agenten: Beobachtbarkeit, Governance und Sicherheit gestalten die neue Grenze" (Februar 2026), verfügbar unter https://www.microsoft.com/en-us/security/blog/2026/02/10/80-of-fortune-500-use-active-ai-agents-observability-governance-and-security-shape-the-new-frontier/.

[2] L. Jones, "Agentic Tool Sovereignty," European Law Blog (2025), verfügbar unter https://www.europeanlawblog.eu/pub/dq249o3c.

[3] ACM Europe Technology Policy Committee, "Systemische Risiken im Zusammenhang mit agentischer KI: Ein politisches Briefing" (Oktober 2025), verfügbar unter https://www.acm.org/binaries/content/assets/public-policy/europe-tpc/systemic_risks_agentic_ai_policy-brief_final.pdf.

[4] M. L. Miller Nguyen, "Wie KI-Agenten unter dem EU-KI-Gesetz geregelt werden," The Future Society (Juni 2025), verfügbar unter https://thefuturesociety.org/aiagentsintheeu/.

[5] Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI- Gesetz), Art. 3(1).

[6] Die KI-Gesetzeskonzeption basiert auf, weicht jedoch ab von der Definition der AI-Systeme der OECD, die 2023 übernommen wurde. Siehe die Leitlinien der Europäischen Kommission zur Definition eines KI-Systems (Februar 2025).

[7] KI-Gesetz, Erwägungsgrund 12.

[8] Siehe den ursprünglichen Vorschlag der Europäischen Kommission, KOM(2021) 206 endgültig, und die anschließenden Positionen von Rat und Parlament während der Trilog-Verhandlungen (2022-2023).

[9] Das Konformitätsbewertungsrahmenwerk stützt sich auf den "Neuen Rechtsrahmen" der EU für Produktsicherheit, einschließlich Entscheid Nr. 768/2008/EG.

[10] KI-Gesetz, Art. 3(23).

[11] KI-Gesetz, Arts. 16-27 (Anbieterpflichten) und Art. 26 (Deployerpflichten).

[12] KI-Gesetz, Art. 25(4).

[13] Jones (n 2); KI-Gesetz, Erwägungsgrund 88, das lediglich die Zusammenarbeit in der Wertschöpfungskette "fördert" ohne rechtlich bindende Verpflichtungen zu schaffen.

[14] KI-Gesetz, Art. 14(1); Art. 14(4)(a) und (d).

[15] M. Fink, "Menschliche Aufsicht gemäß Artikel 14 des EU-KI-Gesetzes," SSRN (2025), verfügbar unter https://papers.ssrn.com/sol3/papers.cfm?abstract_id=5147196.

[16] KI-Gesetz, Art. 72(2). Siehe Jones (n 2), der das zeitliche Fehlverhältnis des Durchsetzungsmodells mit agentischen Operationen diskutiert.

[17] Europäische Kommission, Standardisierungsanfrage M/593, geändert durch M/613 (Juni 2025); CEN-CENELEC, "Aktualisierung zur Entscheidung von CEN und CENELEC, die Entwicklung von Standards für künstliche Intelligenz zu beschleunigen" (Oktober 2025).

[18] KI-Gesetz, Arts. 7 und 97. Die Delegation gilt für fünf Jahre ab dem 1. August 2024, mit einer dreimonatigen Einwendungsfrist.

[19] KI-Gesetz, Art. 6(3).

[20] Siehe Orrick, "EU-Kommission klärt Definition von KI-Systemen" (April 2025). MEP Lagodinsky fragte im September 2025 formell bei der Kommission nach der Klarstellung der Regulierung von Agenten, was auf politischen Appetit auf weitere Leitlinien hinweist: siehe Jones (n 2).

[21] KI-Gesetz, Art. 56.

[22] Europäische Kommission, Vorschlag für eine Verordnung zur Änderung der Verordnungen (EU) 2024/1689 und (EU) 2024/1689 (Digital Omnibus über KI), 19. November 2025. Siehe auch das Europäische Parlament Think Tank, "Digital Omnibus über KI: EU-Gesetzgebung in Bearbeitung" (Februar 2026).

[23] KI-Gesetz, Art. 112.