In zwei Jahren hat sich agentische KI von einer Forschungsneugier zu einer Produktionsrealität entwickelt. Ende 2025 betrieben achtzig Prozent der Fortune-500-Unternehmen mindestens einen KI-Agenten im täglichen Betrieb.[1] Diese Systeme unterscheiden sich qualitativ von der KI, die die Diskussion dominierte, als der EU AI Act (der „Act“) zwischen 2021 und 2023 ausgearbeitet wurde. Während ein Chatbot Text generiert und ein Klassifikator Labels zuweist, verfolgt ein agentisches System Ziele: Es plant, wählt Werkzeuge aus, führt Handlungen aus, beobachtet Ergebnisse und iteriert – oft über Dutzende von Schritten hinweg mit minimaler menschlicher Intervention.

Eine wachsende Zahl von Kommentaren argumentiert, der Act sei für dieses Zeitalter ungeeignet. Jones hat ausgeführt, dass der Compliance-Rahmen für Agenten, die autonom Drittanbietertools über Zuständigkeitsgrenzen hinweg aufrufen, „strukturell unzureichend“ sei, und dabei das Konzept der „Agentic Tool Sovereignty“ geprägt.[2] Das Europe Technology Policy Committee der ACM hat zu einem „grundlegenden Umdenken“ aufgerufen und argumentiert, der Act unterstelle, dass KI sich wie klassische Software verhalte – „vorhersehbar, begrenzt und unter menschlichem Kommando“.[3] The Future Society ist zu dem Schluss gekommen, dass technische Standards, die sich in Entwicklung befinden, „Risiken durch Agenten wahrscheinlich nicht vollständig adressieren werden“.[4]

Diese Kritiken sind ernst zu nehmen, und die von ihnen benannten operativen Schwierigkeiten sind real. Sie neigen jedoch dazu, die Angemessenheit des Act als eine einzige Frage zu behandeln, obwohl sie besser als zwei Fragen verstanden werden sollte. Dieser Beitrag legt eine Analyse auf zwei Ebenen vor. Auf der definitionellen Ebene – also der Frage, ob agentische KI in den regulatorischen Anwendungsbereich des Act fällt – erweist sich der Act als bemerkenswert belastbar. Auf der operativen Ebene – bei den Pflichten, Bewertungsverfahren und Überwachungsanforderungen – haben die Kritiker die stärkeren Argumente.

Diese Unterscheidung ist bedeutsamer, als es zunächst erscheinen mag. Wäre die definitionelle Ebene defekt, müsste der Act umfassend überarbeitet werden. Da sie trägt, geht es nun um operative Anpassung – und die eigenen Sekundärinstrumente des Act geben hierfür einiges an Handwerkszeug an die Hand.

Die definitionelle Ebene: Artikel 3 Absatz 1 und ihre Robustheit

Artikel 3 Absatz 1 definiert ein „KI-System“ als:

ein maschinenbasiertes System, das darauf ausgelegt ist, mit unterschiedlichen Autonomiestufen zu operieren, und das nach der Bereitstellung Anpassungsfähigkeit aufweisen kann und das für explizite oder implizite Ziele aus den erhaltenen Eingaben ableitet, wie Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen zu erzeugen sind, die physische oder virtuelle Umgebungen beeinflussen können.

Diese Definition ist das Ergebnis erheblicher Verhandlungen und spiegelt bewusste Entscheidungen über Reichweite und Abstraktion wider.[6] Um zu sehen, wie sie auf agentische KI anwendbar ist, hilft es, die einzelnen Elemente nacheinander zu betrachten.

„Unterschiedliche Autonomiestufen“

Diese Formulierung denkt ausdrücklich ein Spektrum mit, von Systemen, die ständige menschliche Eingaben erfordern, bis hin zu solchen, die mit erheblicher Eigenständigkeit arbeiten. Erwägungsgrund 12 erläutert, dass sich Autonomie auf „ein gewisses Maß an Unabhängigkeit der Handlungen von menschlicher Beteiligung und auf die Fähigkeit bezieht, ohne menschliches Eingreifen zu operieren“.[7] Ein System, das Werkzeugaufrufe plant, diese ausführt, Ergebnisse bewertet und seinen Ansatz anpasst – alles ohne dass ein Mensch auf jeder Stufe eingreift – arbeitet innerhalb dieser Definition eindeutig mit einem hohen Maß an Autonomie.

„Explizite oder implizite Ziele“

Ein Chatbot arbeitet auf explizite Ziele hin: Beantworte diese Frage, klassifiziere dieses Bild. Agentische Systeme arbeiten häufig auf Ziele hin, die implizit, unzureichend spezifiziert oder emergent sind. Eine Anweisung wie „Finden Sie den besten Kandidaten für diese Rolle“ verlangt vom Agenten, das Ziel zu zerlegen, Werkzeuge auszuwählen und eigene Abwägungen vorzunehmen. Hätte die Definition bei „expliziten Zielen“ aufgehört, könnten agentische Systeme, die emergente Unterziele verfolgen, durchaus aus dem Anwendungsbereich herausfallen. Die Einbeziehung von „implizit“ schließt dieses Argument aus.

„Entscheidungen“ als Ausgabekategorie 

Unter den vier Ausgabekategorien der Definition – Vorhersagen, Inhalte, Empfehlungen und Entscheidungen – ist die letzte entscheidend. Eine „Entscheidung“ impliziert etwas Aktives: eine Wahl zwischen Alternativen mit Folgen. Wenn ein Agent entscheidet, welches Werkzeug er aufruft oder wie er Ressourcen zuweist, trifft er in diesem Sinne eindeutig Entscheidungen.

„Physische oder virtuelle Umgebungen beeinflussen“ 

Diese letzte Klausel ist womöglich die folgenschwerste. Sie geht über das Input-Output-Paradigma hinaus und denkt ausdrücklich an Systeme, deren Ausgaben den Zustand der Welt verändern. Ein Agent, der E-Mails versendet, Code ausführt, Datenbanken verändert oder Aktoren steuert, beeinflusst seine Umgebung. Indem die Verfasser auf „Umwelteinfluss“ statt bloße Ausgabenerzeugung abstellen, haben sie eine Definition geschaffen, die mit handlungsfähigen Systemen inhärent vereinbar ist.

In der Gesamtschau beschreibt die Definition, was KI-Systeme tun (ableiten, entscheiden, beeinflussen) und wie sie arbeiten (autonom, adaptiv, zielgerichtet), nicht aber, wie sie gebaut sind. Genau dieser funktionale, technologieneutrale Ansatz verleiht ihr ihre Robustheit. Eine auf bestimmte Techniken – maschinelles Lernen, neuronale Netze – ausgerichtete Definition wäre an einen technologischen Moment gekettet gewesen. Eine auf „automatisierte Entscheidungsfindung“ fokussierte Definition (wie in Artikel 22 der DSGVO) hätte den autonomen, mehrstufigen und umgebungsprägendem Charakter verfehlt, der Agenten auszeichnet.

War diese Robustheit beabsichtigt? Oder war sie ein glückliches Nebenprodukt ausgehandelter Abstraktion? Wahrscheinlich ein wenig von beidem. Die Abkehr vom technisch spezifischeren ursprünglichen Vorschlag der Kommission spiegelte Druck aus mehreren Richtungen wider: Mitgliedstaaten, die Flexibilität suchten, das Parlament, das größere Reichweite anstrebte, und der OECD-Rahmen, der eine Vorlage auf hoher Ebene bot.[8] Das Ergebnis dürfte stärker der Logik des Kompromisses als vorausschauendem Design zu verdanken sein. Doch gleichgültig, woher es stammt: Eine regulatorische Definition, die einen Paradigmenwechsel übersteht, ist keine Kleinigkeit.

Die operative Ebene: Wo der Rahmen unter Spannung gerät

Wenn die definitionelle Ebene trägt, liegt die eigentliche Schwierigkeit auf der operativen Ebene. Die Pflichten des Act wurden für statischere und stärker begrenzte Systeme entworfen, und drei Probleme stechen besonders hervor.

Statische Konformität versus dynamische Systeme

Die Hochrisiko-Architektur des Act stützt sich auf die Konformitätsbewertung, die dem EU-Produktsicherheitsrecht entnommen ist – ein Modell, in dem Anbieter ihre eigenen Systeme vor dem Inverkehrbringen anhand der anwendbaren Anforderungen bewerten.[9] Das funktioniert hinreichend gut, wenn die Fähigkeiten eines Systems zum Zeitpunkt der Bewertung grob bekannt sind. Agentische KI kehrt dieses Modell um. Ein Agent, der zur Laufzeit Werkzeuge aus dynamisch aktualisierten Verzeichnissen auswählt, ruft Fähigkeiten ab, die zum Zeitpunkt seiner Bewertung schlicht noch nicht existierten. Der Begriff der „wesentlichen Veränderung“ in Artikel 3 Absatz 23 – eine Änderung, „die in der ursprünglichen Konformitätsbewertung nicht vorhergesehen oder geplant wurde“[10] – rückt das Problem scharf ins Blickfeld. Wenn ein Agent autonom einen neuen Drittanbieterdienst aufruft, handelt es sich dann um eine wesentliche Veränderung? Wenn ja, löst jeder neuartige Werkzeugaufruf eine erneute Bewertung aus – offenkundig absurd. Wenn nein, gelangen materielle Änderungen am Risikoprofil des Systems vollständig unbemerkt durch.

Das Anbieter-Betreiber-Binärmodell versus eine fragmentierte Wertschöpfungskette 

Der Act teilt Pflichten zwischen zwei Rollen auf: Anbietern und Betreibern.[11] Die agentische Wertschöpfungskette passt nicht zu dieser Aufteilung. Sie umfasst mindestens vier Akteure: den Anbieter des Basismodells; den Anbieter des Agenten-Frameworks; den Betreiber; und Tool-Anbieter, deren APIs zur Laufzeit aufgerufen werden, oft ohne deren Wissen. Artikel 25 Absatz 4 verlangt schriftliche Vereinbarungen zwischen Anbietern und Drittanbietern,[12] setzt damit jedoch bereits bestehende Beziehungen voraus – die schlicht nicht existieren können, wenn Agenten Werkzeuge spontan auswählen. Wie Jones ausführlich dokumentiert hat, fragmentiert sich die Verantwortung entlang der Kette, sodass niemand zu einem gegebenen Zeitpunkt ein vollständiges Bild der Entscheidungen des Agenten, der Datenflüsse oder des Compliance-Status hat – treffend bezeichnet er dies als ein „Many-Hands-Problem“.[13]

Das Paradox der menschlichen Aufsicht

Artikel 14 verlangt Aufsichtsmaßnahmen, die „dem Risiko, dem Maß an Autonomie und dem Nutzungskontext angemessen“ sind.[14] Doch der ganze Sinn agentischer KI liegt in der autonomen Ausführung mit minimaler menschlicher Beteiligung. Ein Agent, der pro Sekunde Dutzende von Mikroentscheidungen trifft, arbeitet mit Geschwindigkeiten, die sinnvolle menschliche Intervention schlicht überholen können. Der Act gibt keine Anleitung dazu, wie „verhältnismäßige“ Aufsicht am oberen Ende des Autonomiekontinuums tatsächlich aussieht,[15] und auch der Ende 2025 fertiggestellte GPAI-Verhaltenskodex löst dies nicht vollständig auf.

Dies sind nicht die einzigen operativen Herausforderungen – die Überwachung nach der Markteinführung nach Artikel 72 Absatz 2 steht vor ähnlichen Schwierigkeiten in Bezug auf Reichweite, Zugriff und Zeitlichkeit[16] – aber sie veranschaulichen die Kernspannung: Ein operativer Rahmen, der für vorhersehbare, begrenzte Systeme entwickelt wurde, trifft nun auf eine Technologie, die weder das eine noch das andere ist.

Die Sekundärinstrumente: Ein glaubwürdiger Weg nach vorn

Die operativen Herausforderungen sind real, aber nicht alle gleichermaßen unlösbar. Die Sekundärinstrumente des Act bieten einen glaubwürdigen, wenn auch unvollständigen Weg zur Anpassung.

Harmonisierte Normen

CEN und CENELEC entwickeln Normen über das Gemeinsame Technische Komitee 21, auf Grundlage eines im Juni 2025 geänderten Mandats; beide Organisationen haben im Oktober 2025 außergewöhnliche Beschleunigungsmaßnahmen beschlossen.[17] Das ist wohl der vielversprechendste Ansatz. Die Verhältnismäßigkeitsformel in Artikel 14 ist im Kern eine offene Einladung, zu präzisieren, wie angemessene Aufsicht für hochautonome Systeme aussieht – begrenzte Handlungsräume, strukturierte Kontrollpunkte, Audit-Trails und Interventionsmechanismen – ohne bei jedem Schritt einen Menschen in der Schleife zu verlangen.

Delegierte Rechtsakte 

Artikel 7 ermächtigt die Kommission, Anhang III – die Liste der Hochrisiko-Anwendungsfälle – durch delegierte Rechtsakte zu ändern, vorbehaltlich eines Einspruchs des Parlaments und des Rates.[18] Dadurch können bestimmte Kategorien agentischer Systeme in den Hochrisiko-Rahmen aufgenommen werden, sobald Risiken sichtbar werden, ohne dass eine Gesetzesänderung erforderlich ist. Artikel 6 Absatz 3 ermöglicht eine Kalibrierung auch in die andere Richtung.[19]

Leitlinien und Verhaltenskodizes der Kommission

Die Kommission hat bereits Auslegungshilfen zur Definition eines KI-Systems veröffentlicht,[20] und weitere Leitlinien könnten sich damit befassen, wie der Anbieter-Betreiber-Rahmen auf agentische Wertschöpfungsketten überträgt und wann ein Laufzeit-Werkzeugaufruf als „wesentliche Veränderung“ gilt. Verhaltenskodizes nach Artikel 56 bieten einen weiteren Hebel, um agentenspezifische Risiken auf der Ebene des GPAI-Modells anzugehen – Steuerungsfunktionen, Protokollierung der Werkzeugnutzung und Begrenzungen des Handlungsraums – und Risiken an einem natürlichen Engpass in der Wertschöpfungskette zu adressieren.[21]

Der von der Kommission im November 2025 vorgeschlagene Digital-Omnibus zu KI ist ein früher Beleg dafür, dass diese adaptive Mechanik in der Praxis funktioniert.[22] Der Omnibus schlägt vor, Hochrisikopflichten aufzuschieben, bis harmonisierte Normen tatsächlich verfügbar sind, die Fristen für Transparenzanforderungen an generative KI zu verlängern, die Konformität für KMU zu vereinfachen und die Durchsetzung von auf GPAI basierenden Systemen auf Ebene des AI Office zu zentralisieren. All dies geschieht, ohne die Definition in Artikel 3 Absatz 1 anzutasten – die definitionelle Ebene bleibt intakt, während die operative Ebene angepasst wird. Ebenso aufschlussreich ist jedoch, dass der Omnibus agentische KI nicht ausdrücklich adressiert, was darauf hindeutet, dass die oben genannten Sekundärinstrumente noch erhebliche Arbeit vor sich haben.

Zwei strukturelle Merkmale werden voraussichtlich mit der Zeit eine gesetzgeberische Änderung erfordern. Das Anbieter-Betreiber-Binärmodell lässt sich nicht über Sekundärinstrumente so weit ausdehnen, dass Laufzeit-Tool-Anbieter erfasst werden, die womöglich nicht einmal wissen, dass sie Teil eines agentischen Systems sind – dafür braucht es eine neue gesetzliche Grundlage. Und ein echter Übergang von einer punktuellen zu einer kontinuierlichen Konformitätsbewertung geht über das hinaus, was Normen oder Leitlinien allein leisten können. Dies sind Bereiche, in denen sich der Act weiterentwickeln muss, und seine eigenen Überprüfungsmechanismen – einschließlich Artikel 112 – bieten dafür einen Weg.[23]

Ein Rahmen, der sich biegt

Die vorherrschende Erzählung stellt den EU AI Act als Relikt der Zeit vor der agentischen KI dar. Dieser Beitrag hat argumentiert, dass diese Erzählung wesentlich unvollständig ist.

Auf der definitionellen Ebene zeigt der Act echte Robustheit. Die Verweise in Artikel 3 Absatz 1 auf unterschiedliche Autonomiegrade, implizite Ziele, Entscheidungsfindung und Umwelteinfluss ziehen einen regulatorischen Anwendungsbereich, der agentische KI ohne Überdehnung erfasst. Auf der operativen Ebene haben die Kritiker recht, dass es reale Lücken gibt. Doch diese Lücken liegen innerhalb eines Rahmens, der bewusst mit Blick auf Anpassungsfähigkeit entworfen wurde. Der Vorschlag für den Digital-Omnibus zeigt bereits die Bereitschaft der EU, die operative Ebene anzupassen, während die definitionale Grundlage unangetastet bleibt, und die breiteren Sekundärinstrumente des Act können einen erheblichen Teil der agentischen Herausforderung bewältigen, ohne dass eine vollständige gesetzgeberische Änderung erforderlich wäre.

Die EU sollte zwei Versuchungen widerstehen: (i) Selbstzufriedenheit, indem sie annimmt, der Rahmen werde ohne aktive Anpassung tragen; und (ii) Panik, indem sie daraus schließt, er müsse vollständig neu aufgesetzt werden. Der AI Act war nicht für agentische KI konzipiert. Aber er war hinreichend gut konzipiert, um sie aufzunehmen – und dieser Unterschied ist für die Zukunft der KI-Governance in Europa von enormer Bedeutung. Der Rahmen biegt sich. Er muss nicht brechen.

Für Organisationen, die heute agentische Systeme einsetzen, ist die praktische Konsequenz klar: Compliance ist kein zukünftiges Problem, das man aufschieben sollte, bis das Recht nachzieht. Der definitionale Anwendungsbereich erfasst diese Systeme bereits, und die operativen Pflichten rücken näher. Die Aufgabe besteht nun darin, Governance von Anfang an in agentische Workflows einzubauen: KI-Systeme bei ihrer Bereitstellung zu inventarisieren, sie gegen sich weiterentwickelnde Risikoklassifikationen abzubilden und die Art kontinuierlicher Aufsicht aufrechtzuerhalten, die die Sekundärinstrumente des Act zunehmend verlangen werden. Bei Enzai ist dies die Herausforderung, bei deren Bewältigung unsere Plattform Organisationen unterstützt. Um mehr zu erfahren, melden Sie sich hier.

Enzai ist die führende Governance-Plattform für Enterprise-KI, speziell entwickelt, um Organisationen den Übergang von abstrakter Politik zu operativer Aufsicht zu ermöglichen. Unsere KI-Risikomanagement-Plattform stellt die spezialisierte Infrastruktur bereit, die erforderlich ist, um Governance für agentische KI zu steuern, ein umfassendes KI-Inventar zu führen und die Compliance mit dem EU AI Act sicherzustellen. Durch die Automatisierung komplexer Workflows befähigt Enzai Unternehmen, die Einführung von KI mit Zuversicht zu skalieren und dabei die Ausrichtung an globalen Standards wie ISO 42001 und NIST aufrechtzuerhalten.

Referenzen

[1] Microsoft Security Blog, „80 % der Fortune-500-Unternehmen nutzen aktive KI-Agenten: Beobachtbarkeit, Governance und Sicherheit prägen die neue Front“ (Februar 2026), verfügbar unter https://www.microsoft.com/en-us/security/blog/2026/02/10/80-of-fortune-500-use-active-ai-agents-observability-governance-and-security-shape-the-new-frontier/.

[2] L. Jones, „Agentic Tool Sovereignty“, European Law Blog (2025), verfügbar unter https://www.europeanlawblog.eu/pub/dq249o3c.

[3] ACM Europe Technology Policy Committee, „Systemische Risiken im Zusammenhang mit agentischer KI: Ein Policy-Brief“ (Oktober 2025), verfügbar unter https://www.acm.org/binaries/content/assets/public-policy/europe-tpc/systemic_risks_agentic_ai_policy-brief_final.pdf.

[4] M.L. Miller Nguyen, „Wie KI-Agenten unter dem EU AI Act geregelt werden“, The Future Society (Juni 2025), verfügbar unter https://thefuturesociety.org/aiagentsintheeu/.

[5] Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 mit harmonisierten Vorschriften für künstliche Intelligenz (KI-Verordnung), Art. 3 Absatz 1.

[6] Die Definition des AI Act baut auf der 2023 angenommenen OECD-Definition von KI-Systemen auf, weicht jedoch davon ab. Siehe die Leitlinien der Europäischen Kommission zur Definition eines KI-Systems (Februar 2025).

[7] AI Act, Erwägungsgrund 12.

[8] Siehe den ursprünglichen Vorschlag der Europäischen Kommission, COM(2021) 206 final, sowie die anschließenden Positionen von Rat und Parlament im Rahmen der Trilog-Verhandlungen (2022–2023).

[9] Der Rahmen der Konformitätsbewertung stützt sich auf den „New Legislative Framework“ der EU für Produktsicherheit, einschließlich Entscheidung Nr. 768/2008/EG.

[10] AI Act, Art. 3 Absatz 23.

[11] AI Act, Art. 16–27 (Pflichten der Anbieter) und Art. 26 (Pflichten der Betreiber).

[12] AI Act, Art. 25 Absatz 4.

[13] Jones (Fn. 2); AI Act, Erwägungsgrund 88, der die Zusammenarbeit entlang der Wertschöpfungskette lediglich „fördert“, ohne verbindliche Pflichten zu schaffen.

[14] AI Act, Art. 14 Absatz 1; Art. 14 Absatz 4 Buchst. a und d.

[15] M. Fink, „Human Oversight under Article 14 of the EU AI Act“, SSRN (2025), verfügbar unter https://papers.ssrn.com/sol3/papers.cfm?abstract_id=5147196.

[16] AI Act, Art. 72 Absatz 2. Siehe Jones (Fn. 2), der die zeitliche Diskrepanz des Durchsetzungsmodells mit agentischen Abläufen erörtert.

[17] Europäische Kommission, Standardisierungsauftrag M/593, geändert durch M/613 (Juni 2025); CEN-CENELEC, „Aktualisierung zur Entscheidung von CEN und CENELEC, die Entwicklung von Normen für künstliche Intelligenz zu beschleunigen“ (Oktober 2025).

[18] AI Act, Art. 7 und 97. Die Ermächtigung gilt für fünf Jahre ab dem 1. August 2024, mit einer dreimonatigen Einspruchsfrist.

[19] AI Act, Art. 6 Absatz 3.

[20] Siehe Orrick, „EU-Kommission präzisiert die Definition von KI-Systemen“ (April 2025). MEP Lagodinsky hat die Kommission im September 2025 förmlich um eine Klarstellung zur Regulierung von Agenten gebeten und damit das politische Interesse an weiteren Leitlinien signalisiert: siehe Jones (Fn. 2).

[21] AI Act, Art. 56.

[22] Europäische Kommission, Vorschlag für eine Verordnung zur Änderung der Verordnungen (EU) 2024/1689 und (EU) 2024/1689 (Digital-Omnibus zu KI), 19. November 2025. Siehe auch European Parliament Think Tank, „Digital Omnibus on AI: EU Legislation in Progress“ (Februar 2026).

[23] AI Act, Art. 112.