Das EU-KI-Gesetz beugt sich dem agentischen KI, ohne zu brechen.

In zwei Jahren hat sich agentische KI von einer Forschungs-Kuriosität zur Realität in der Produktion entwickelt. Bis Ende 2025 betrieben achtzig Prozent der Fortune-500-Unternehmen mindestens einen KI-Agenten im täglichen Betrieb.[1] Diese Systeme unterscheiden sich qualitativ von der KI, die die Diskussion dominierte, als das EU-KI-Gesetz (das „Gesetz“) zwischen 2021 und 2023 entworfen wurde. Wo ein Chatbot Text generiert und ein Klassifikator Labels zuweist, verfolgt ein agentisches System Ziele: Es plant, wählt Werkzeuge aus, führt Aktionen aus, beobachtet Ergebnisse und iteriert – oft über Dutzende von Schritten hinweg mit minimalem menschlichem Eingriff.

Eine wachsende Zahl von Stimmen argumentiert, das Gesetz sei für diese Ära ungeeignet. Jones hat argumentiert, dass der Compliance-Rahmen für Agenten, die autonom grenzüberschreitend Werkzeuge von Drittanbietern aufrufen, „strukturell unzureichend“ sei, und prägte das Konzept der „Souveränität agentischer Werkzeuge“.[2] Das Europe Technology Policy Committee der ACM hat zu einem „grundlegenden Umdenken“ aufgerufen und argues, dass das Gesetz davon ausgeht, KI verhalte sich wie traditionelle Software – „vorhersehbar, begrenzt und unter menschlicher Führung“.[3] The Future Society ist zu dem Schluss gekommen, dass die in der Entwicklung befindlichen technischen Standards „wahrscheinlich nicht vollständig in der Lage sein werden, die Risiken von Agenten zu adressieren“.[4]

Diese Kritiken sind ernstzunehmen, und die von ihnen identifizierten operativen Schwierigkeiten sind real. Aber sie neigen dazu, die Angemessenheit des Gesetzes als eine einzige Frage zu behandeln, obwohl sie besser als zwei Fragen verstanden werden sollte. Dieser Artikel schlägt eine zweistufige Analyse vor. Auf der Definitionsebene – ob agentische KI in den regulatorischen Anwendungsbereich des Gesetzes fällt – erweist sich das Gesetz als bemerkenswert widerstandsfähig. Auf der operativen Ebene – den Verpflichtungen, Bewertungsverfahren und Überwachungsanforderungen – haben die Kritiker die besseren Argumente.

Diese Unterscheidung ist wichtiger, als es zunächst scheinen mag. Wäre die Definitionsebene fehlerhaft, müsste das Gesetz grundlegend überarbeitet werden. Da sie jedoch Bestand hat, wird die Herausforderung zu einer Frage der operativen Anpassung – und die eigenen sekundären Instrumente des Gesetzes bieten uns eine hervorragende Arbeitsgrundlage.

Die Definitionsebene: Artikel 3 Absatz 1 und seine Widerstandsfähigkeit

Artikel 3 Absatz 1 definiert ein „KI-System“ als:

ein maschinengestütztes System, das für den Betrieb mit unterschiedlichem Grad an Autonomie ausgelegt ist und das nach der Inbetriebnahme eine Anpassungsfähigkeit aufweisen kann und das für explizite oder implizite Ziele aus den erhaltenen Eingaben ableitet, wie Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugt werden können, die physische oder virtuelle Umgebungen beeinflussen.

Diese Definition war das Ergebnis beträchtlicher Verhandlungen und spiegelt bewusste Entscheidungen über Anwendungsbereich und Abstraktion wider.[6] Um zu verstehen, wie sie sich auf agentische KI erstreckt, ist es hilfreich, jedes Element nacheinander zu betrachten.

„Unterschiedlicher Grad an Autonomie“

Diese Formulierung sieht explizit ein Spektrum vor, das von Systemen, die ständige menschliche Eingaben erfordern, bis hin zu solchen reicht, die mit erheblicher Unabhängigkeit agieren. Erwägungsgrund 12 führt aus, dass sich Autonomie auf „ein gewisses Maß an Unabhängigkeit der Handlungen von menschlicher Beteiligung und die Fähigkeit, ohne menschliches Eingreifen zu operieren“ bezieht.[7] Ein System, das Werkzeugaufrufe plant, sie ausführt, Ergebnisse bewertet und seinen Ansatz anpasst – und das alles, ohne dass in jeder Phase ein Mensch eingreift –, operiert nach dieser Definition eindeutig auf einem hohen Autonomiegrad.

„Explizite oder implizite Ziele“

Ein Chatbot arbeitet auf explizite Ziele hin: Beantworte diese Frage, klassifiziere dieses Bild. Agentische Systeme arbeiten oft auf Ziele hin, die implizit, unvollständig spezifiziert oder emergent sind. Eine Anweisung wie „Finden Sie den besten Kandidaten für diese Position“ erfordert vom Agenten, das Ziel selbstständig zu zerlegen, Werkzeuge auszuwählen und fundierte Entscheidungen zu treffen. Hätte die Definition bei „expliziten Zielen“ Halt gemacht, könnten agentische Systeme, die emergente Teilziele verfolgen, durchaus außerhalb des Anwendungsbereichs liegen. Die Aufnahme von „implizit“ schließt dieses Argument aus.

„Entscheidungen“ als Ausgabekategorie

Unter den vier Ausgabekategorien der Definition – Vorhersagen, Inhalte, Empfehlungen und Entscheidungen – ist die letzte entscheidend. Eine „Entscheidung“ impliziert etwas Aktives: eine Wahl zwischen Alternativen mit Konsequenzen. Wenn ein Agent entscheidet, welches Werkzeug er aufruft oder wie er Ressourcen zuweist, trifft er in diesem Sinne eindeutig Entscheidungen.

„Physische oder virtuelle Umgebungen beeinflussen“

Diese letzte Klausel ist möglicherweise die folgenreichste. Sie geht über das Input-Output-Paradigma hinaus und sieht explizit Systeme vor, deren Ausgaben den Zustand der Welt verändern. Ein Agent, der E-Mails versendet, Code ausführt, Datenbanken modifiziert oder Aktuatoren steuert, beeinflusst seine Umgebung. Indem die Verfasser auf die „Beeinflussung der Umgebung“ anstatt auf die bloße Generierung von Ausgaben setzten, schufen sie eine Definition, die von Natur aus mit handlungsorientierten Systemen kompatibel ist.

Zusammengenommen beschreibt die Definition, was KI-Systeme tun (ableiten, entscheiden, beeinflussen) und wie sie operieren (autonom, anpassungsfähig, zielgerichtet), und nicht, wie sie aufgebaut sind. Dieser funktionale, technologieneutrale Ansatz verleiht ihr ihre Widerstandsfähigkeit. Eine Definition, die sich an spezifischen Techniken orientiert hätte – maschinelles Lernen, neuronale Netze –, wäre an einen technologischen Moment gefesselt gewesen. Eine Definition, die sich auf „automatisierte Entscheidungsfindung“ konzentriert hätte (wie in Artikel 22 der DSGVO), hätte den autonomen, mehrstufigen und umgebungsgestaltenden Charakter verfehlt, der Agenten auszeichnet.

War diese Widerstandsfähigkeit beabsichtigt? Oder war sie ein glückliches Nebenprodukt verhandelter Abstraktion? Wahrscheinlich ein wenig von beidem. Die Abkehr vom ursprünglich technisch spezifischeren Vorschlag der Kommission spiegelte den Druck aus mehreren Richtungen wider: Mitgliedstaaten, die Flexibilität suchten, das Parlament, das nach Breite strebte, und das OECD-Framework, das eine übergeordnete Vorlage lieferte.[8] Das Ergebnis ist möglicherweise eher der Logik des Kompromisses als einem vorausschauenden Design zu verdanken. Aber unabhängig von ihrem Ursprung ist eine regulatorische Definition, die einem Paradigmenwechsel standhält, keine Kleinigkeit.

Die operative Ebene: Wo das Framework an seine Grenzen stößt

Wenn die Definitionsebene Bestand hat, so liegen auf der operativen Ebene die eigentlichen Schwierigkeiten. Die Verpflichtungen des Gesetzes wurden für statischere und begrenztere Systeme konzipiert, und drei Probleme stechen hervor.

Statische Konformität versus dynamische Systeme

Die Hochrisiko-Architektur des Gesetzes stützt sich auf eine Konformitätsbewertung, die dem EU-Produktsicherheitsrecht entlehnt ist – ein Modell, bei dem Anbieter ihre eigenen Systeme anhand der geltenden Anforderungen bewerten, bevor sie sie auf dem Markt bereitstellen.[9] Das funktioniert gut genug, wenn die Fähigkeiten eines Systems zum Zeitpunkt der Bewertung weitgehend bekannt sind. Agentische KI stellt dies auf den Kopf. Ein Agent, der zur Laufzeit Werkzeuge aus sich dynamisch aktualisierenden Registern auswählt, wird Fähigkeiten nutzen, die zum Zeitpunkt seiner Bewertung schlichtweg noch nicht existierten. Das Konzept der „wesentlichen Änderung“ in Artikel 3 Absatz 23 – eine Änderung, „die bei der ursprünglichen Konformitätsbewertung weder vorgesehen noch geplant war“[10] – rückt das Problem in den Fokus. Wenn ein Agent autonom einen neuen Drittanbieter-Dienst aufruft, ist das eine wesentliche Änderung? Wenn ja, löst jeder neue Werkzeugaufruf eine erneute Bewertung aus – was schlicht absurd ist. Wenn nein, schlüpfen wesentliche Änderungen am Risikoprofil des Systems gänzlich durch.

Die Polarität von Anbieter und Betreiber versus eine fragmentierte Wertschöpfungskette

Das Gesetz teilt die Verpflichtungen zwischen zwei Rollen auf: Anbietern und Betreibern.[11] Die agentische Wertschöpfungskette passt nicht in diese Aufteilung. Sie umfasst mindestens vier Akteure: den Anbieter des Basismodells, den Anbieter des Agenten-Frameworks, den Betreiber sowie die Werkzeuganbieter, deren APIs zur Laufzeit aufgerufen werden, oft ohne deren Wissen. Artikel 25 Absatz 4 erfordert schriftliche Vereinbarungen zwischen Anbietern und Drittanbietern,[12] was jedoch bereits etablierte Beziehungen voraussetzt – die schlichtweg nicht existieren können, wenn Agenten Werkzeuge spontan auswählen. Wie Jones im Detail dokumentiert hat, fragmentiert die Verantwortung über die gesamte Kette hinweg, sodass niemand zu jedem Zeitpunkt ein vollständiges Bild der Entscheidungen des Agenten, der Datenflüsse oder des Compliance-Status hat – was er treffend als „Problem der vielen Hände“ bezeichnet.[13]

Das Paradoxon der menschlichen Aufsicht

Artikel 14 fordert Aufsichtsmaßnahmen, die „den Risiken, dem Grad der Autonomie und dem Verwendungskontext angemessen sind“.[14] Aber der eigentliche Sinn von agentischer KI ist der autonome Betrieb mit minimaler menschlicher Beteiligung. Ein Agent, der Dutzende von Mikroentscheidungen pro Sekunde trifft, agiert in Geschwindigkeiten, die ein sinnvolles menschliches Eingreifen schlichtweg unmöglich machen können. Das Gesetz bietet keine Anleitung dazu, wie eine „angemessene“ Aufsicht am oberen Ende des Autonomiespektrums tatsächlich aussieht,[15] und der Ende 2025 fertiggestellte GPAI Code of Practice löst dies ebenfalls nicht vollständig.

Dies sind nicht die einzigen operativen Herausforderungen – die Post-Market-Beobachtung gemäß Artikel 72 Absatz 2 steht vor ähnlichen Schwierigkeiten hinsichtlich Umfang, Zugriff und Zeitlichkeit[16] –, aber sie verdeutlichen das Kernproblem: Ein operatives Framework, das für vorhersehbare, begrenzte Systeme entwickelt wurde, steht nun einer Technologie gegenüber, die beides nicht ist.

Die sekundären Instrumente: Ein glaubwürdiger Weg nach vorn

Die operativen Herausforderungen sind real, aber sie sind nicht alle gleichermaßen unlösbar. Die sekundären Instrumente des Gesetzes bieten einen glaubwürdigen, wenn auch unvollständigen Weg zur Anpassung.

Harmonisierte Normen

CEN und CENELEC entwickeln Standards im Rahmen des Joint Technical Committee 21 unter einem im Juni 2025 geänderten Mandat, wobei beide Organisationen im Oktober 2025 außergewöhnliche Beschleunigungsmaßnahmen beschlossen haben.[17] Dies ist wohl der vielversprechendste Weg. Die Verhältnismäßigkeitsformulierung in Artikel 14 ist praktisch eine offene Einladung zu präzisieren, wie eine angemessene Aufsicht für hochautonome Systeme aussieht – begrenzte Handlungsspielräume, strukturierte Kontrollpunkte, Audit-Trails und Interventionsmechanismen –, ohne dass an jeder Stelle ein Mensch im System verlangt wird.

Delegierte Rechtsakte

Artikel 7 ermächtigt die Kommission, Anhang III – die Liste der Hochrisiko-Anwendungsfälle – durch delegierte Rechtsakte zu ändern, vorbehaltlich des Einspruchs von Parlament und Rat.[18] Dies bedeutet, dass spezifische Kategorien agentischer Systeme bei Auftreten neuer Risiken in das Hochrisiko-Framework aufgenommen werden können, ohne dass eine Gesetzesänderung erforderlich ist. Artikel 6 Absatz 3 ermöglicht auch eine Anpassung in die entgegengesetzte Richtung.[19]

Leitlinien der Kommission und Verhaltenskodizes

Die Kommission hat bereits Auslegungsleitlinien zur Definition von KI-Systemen herausgegeben,[20] und weitere Leitlinien könnten sich damit befassen, wie das Anbieter-Betreiber-Modell auf agentische Wertschöpfungsketten übertragen werden kann und wann ein Werkzeugaufruf zur Laufzeit als „wesentliche Änderung“ gilt. Verhaltenskodizes gemäß Artikel 56 bieten einen weiteren Hebel, um agentenspezifische Risiken auf der Ebene des GPAI-Modells zu adressieren – Kontrollierbarkeitsfunktionen, Protokollierung der Werkzeugnutzung und Einschränkungen des Handlungsspielraums – und zielen auf Risiken an einer natürlichen Schnittstelle in der Wertschöpfungskette ab.[21]

Der im November 2025 von der Kommission vorgeschlagene „Digital Omnibus on AI“ ist ein früher Beweis dafür, dass diese Anpassungsmechanismen in der Praxis funktionieren.[22] Der Omnibus schlägt vor, die Verpflichtungen für Hochrisiko-Systeme aufzuschieben, bis harmonisierte Normen tatsächlich verfügbar sind, die Fristen für Transparenzanforderungen bei generativer KI zu verlängern, die Konformität für KMU zu vereinfachen und die Durchsetzung für auf GPAI basierende Systeme auf der Ebene des KI-Büros zu zentralisieren. All dies geschieht, ohne die Definition in Artikel 3 Absatz 1 anzutasten – die Definitionsebene bleibt intakt, während die operative Ebene angepasst wird. Ebenso bezeichnend ist jedoch, dass der Omnibus agentische KI nicht spezifisch adressiert, was darauf hindeutet, dass die oben diskutierten sekundären Instrumente noch erhebliche Arbeit vor sich haben.

Zwei strukturelle Merkmale werden im Laufe der Zeit wahrscheinlich eine Gesetzesänderung erfordern. Das Anbieter-Betreiber-Dilemma lässt sich nicht durch sekundäre Instrumente so weit dehnen, dass es Werkzeuganbieter zur Laufzeit abdeckt, die möglicherweise gar nicht wissen, dass sie Teil eines agentischen Systems sind – dafür ist eine neue gesetzliche Grundlage erforderlich. Und ein echter Übergang von einer punktuellen zu einer kontinuierlichen Konformitätsbewertung geht über das hinaus, was Standards oder Leitlinien allein leisten können. Dies sind Bereiche, in denen sich das Gesetz weiterentwickeln muss, und seine eigenen Überprüfungsmechanismen – einschließlich Artikel 112 – bieten einen Weg dafür.[23]

Ein Framework, das sich biegt

Das vorherrschende Narrativ stellt das EU-KI-Gesetz als ein Relikt der prä-agentischen Ära dar. Dieser Artikel hat dargelegt, dass dieses Narrativ in wichtigen Punkten unvollständig ist.

Auf der Definitionsebene zeigt das Gesetz eine echte Widerstandsfähigkeit. Die Verweise in Artikel 3 Absatz 1 auf unterschiedliche Autonomiegrade, implizite Ziele, Entscheidungsfindung und Umgebungseinfluss ziehen eine regulatorische Grenze, die agentische KI ohne Weiteres erfasst. Auf der operativen Ebene haben die Kritiker Recht, dass es reale Lücken gibt. Aber diese Lücken befinden sich innerhalb eines Rahmens, der bewusst mit Blick auf Anpassungsfähigkeit konzipiert wurde. Der Vorschlag für den Digital Omnibus zeigt bereits die Bereitschaft der EU, die operative Ebene anzupassen, während das definitorische Fundament unangetastet bleibt, und die umfassenderen sekundären Instrumente des Gesetzes können einen Großteil der agentischen Herausforderung ohne vollständige Gesetzesänderung bewältigen.

Die EU sollte zwei Versuchungen widerstehen: (i) der Selbstgefälligkeit, anzunehmen, dass der Rahmen ohne aktive Anpassung Bestand haben wird; und (ii) der Panik, zu dem Schluss zu kommen, dass er komplett neu gestaltet werden muss. Das KI-Gesetz wurde nicht für agentische KI entwickelt. Aber es wurde gut genug konzipiert, um sie zu integrieren – und dieser Unterschied ist für die Zukunft der KI-Governance in Europa von enormer Bedeutung. Das Framework biegt sich. Es muss nicht brechen.

Für Organisationen, die heute agentische Systeme einsetzen, ist die praktische Implikation klar: Compliance ist kein zukünftiges Problem, das aufgeschoben werden kann, bis das Gesetz aufschließt. Der definitorische Rahmen erfasst diese Systeme bereits, und die operativen Verpflichtungen rücken näher. Die Aufgabe besteht nun darin, Governance von Anfang an in agentische Workflows zu integrieren: KI-Systeme bei ihrer Bereitstellung zu inventarisieren, sie mit sich entwickelnden Risikoklassifizierungen abzugleichen und die Art von kontinuierlicher Aufsicht aufrechtzuerhalten, die die sekundären Instrumente des Gesetzes zunehmend fordern werden. Bei Enzai ist dies genau die Herausforderung, für deren Bewältigung unsere Plattform entwickelt wurde. Um mehr zu erfahren, kontaktieren Sie uns hier.

Enzai ist die führende Plattform für die Enterprise AI Governance, die speziell dafür entwickelt wurde, Unternehmen beim Übergang von abstrakten Richtlinien zur operativen Aufsicht zu unterstützen. Unsere KI-Risikomanagement-Plattform bietet die spezialisierte Infrastruktur, die erforderlich ist, um die Governance agentischer KI zu verwalten, ein umfassendes KI-Inventar zu führen und die Einhaltung des EU-KI-Gesetzes sicherzustellen. Durch die Automatisierung komplexer Workflows ermöglicht Enzai es Unternehmen, die Einführung von KI vertrauensvoll zu skalieren und gleichzeitig die Ausrichtung an globalen Standards wie ISO 42001 und NIST zu gewährleisten.

Referenzen

[1] Microsoft Security Blog, „80% of Fortune 500 use active AI Agents: Observability, governance, and security shape the new frontier“ (Februar 2026), verfügbar unter https://www.microsoft.com/en-us/security/blog/2026/02/10/80-of-fortune-500-use-active-ai-agents-observability-governance-and-security-shape-the-new-frontier/.

[2] L. Jones, „Agentic Tool Sovereignty“, European Law Blog (2025), verfügbar unter https://www.europeanlawblog.eu/pub/dq249o3c.

[3] ACM Europe Technology Policy Committee, „Systemic Risks Associated with Agentic AI: A Policy Brief“ (Oktober 2025), verfügbar unter https://www.acm.org/binaries/content/assets/public-policy/europe-tpc/systemic_risks_agentic_ai_policy-brief_final.pdf.

[4] M.L. Miller Nguyen, „How AI Agents Are Governed Under the EU AI Act“, The Future Society (Juni 2025), verfügbar unter https://thefuturesociety.org/aiagentsintheeu/.

[5] Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz), Art. 3 Abs. 1.

[6] Die Definition des KI-Gesetzes baut auf der 2023 verabschiedeten Definition von KI-Systemen der OECD auf, weicht jedoch von dieser ab. Siehe die Leitlinien der Europäischen Kommission zur Definition eines KI-Systems (Februar 2025).

[7] KI-Gesetz, Erwägungsgrund 12.

[8] Siehe den ursprünglichen Vorschlag der Europäischen Kommission, COM(2021) 206 final, und die nachfolgenden Positionen von Rat und Parlament während der Trilog-Verhandlungen (2022-2023).

[9] Der Rahmen für die Konformitätsbewertung stützt sich auf den „Neuen Rechtsrahmen“ der EU für die Produktsicherheit, einschließlich des Beschlusses Nr. 768/2008/EG.

[10] KI-Gesetz, Art. 3 Abs. 23.

[11] KI-Gesetz, Art. 16-27 (Pflichten der Anbieter) und Art. 26 (Pflichten der Betreiber).

[12] KI-Gesetz, Art. 25 Abs. 4.

[13] Jones (Fn 2); KI-Gesetz, Erwägungsgrund 88, der die Zusammenarbeit in der Wertschöpfungskette lediglich „fördert“, ohne verbindliche Verpflichtungen zu schaffen.

[14] KI-Gesetz, Art. 14 Abs. 1; Art. 14 Abs. 4 Buchst. a und d.

[15] M. Fink, „Human Oversight under Article 14 of the EU AI Act“, SSRN (2025), verfügbar unter https://papers.ssrn.com/sol3/papers.cfm?abstract_id=5147196.

[16] KI-Gesetz, Art. 72 Abs. 2. Siehe Jones (Fn 2) für eine Diskussion der zeitlichen Diskrepanz des Durchsetzungsmodells mit agentischen Abläufen.

[17] Europäische Kommission, Normungsauftrag M/593, geändert durch M/613 (Juni 2025); CEN-CENELEC, „Update on CEN and CENELEC's Decision to Accelerate the Development of Standards for Artificial Intelligence“ (Oktober 2025).

[18] KI-Gesetz, Art. 7 und 97. Die Befugnisübertragung gilt für fünf Jahre ab dem 1. August 2024 mit einer dreimonatigen Einspruchsfrist.

[19] KI-Gesetz, Art. 6 Abs. 3.

[20] Siehe Orrick, „EU Commission Clarifies Definition of AI Systems“ (April 2025). Der Europaabgeordnete Lagodinsky forderte die Kommission im September 2025 formell auf, die Regulierung von Agenten klarzustellen, was den politischen Willen für weitere Leitlinien signalisiert: siehe Jones (Fn 2).

[21] KI-Gesetz, Art. 56.

[22] Europäische Kommission, Vorschlag für eine Verordnung zur Änderung der Verordnungen (EU) 2024/1689 und (EU) 2024/1689 (Digital Omnibus on AI), 19. November 2025. Siehe auch Denkfabrik des Europäischen Parlaments, „Digital Omnibus on AI: EU Legislation in Progress“ (Februar 2026).

[23] KI-Gesetz, Art. 112.