Regulierung von Agentic AI im Rahmen des EU AI Act 2026

Die rapide Entwicklung der Künstlichen Intelligenz (KI) hat in den letzten Jahren zu bemerkenswerten Fortschritten geführt, insbesondere im Bereich der sogenannten Agentic AI. Diese autonomen KI-Systeme sind in der Lage, komplexe Aufgaben zu planen, Entscheidungen zu treffen und Aktionen mit minimaler menschlicher Intervention auszuführen. Während das Potenzial für Effizienzsteigerung und Innovation enorm ist, wirft die zunehmende Autonomie von Agentic AI auch grundlegende Fragen hinsichtlich Governance und Regulierung auf, insbesondere im Kontext des ab August 2026 vollständig in Kraft tretenden EU AI Act.

Agentic AI im Fokus der Regulierung

Agentic AI, auch als KI-Agenten bezeichnet, unterscheidet sich von herkömmlichen KI-Systemen durch ihre Fähigkeit, Ziele in ausführbare Schritte zu zerlegen, geeignete Aktionen auszuwählen und mit anderen Systemen zu interagieren, um Aufgaben selbstständig zu erledigen. Diese Systeme können dynamisch auf neue Daten und Situationen reagieren, was ihre Einsatzmöglichkeiten erweitert, aber auch neue Risikoprofile schafft. Bereiche wie der Finanzsektor, das Gesundheitswesen, Personalwesen und das Management kritischer Infrastrukturen nutzen bereits Agentic AI oder stehen kurz davor, diese zu implementieren.

Obwohl der EU AI Act den Begriff "Agentic AI" nicht explizit verwendet, fällt diese Art von Systemen unter die breite Definition eines "KI-Systems" gemäss Artikel 3 Absatz 1 des Gesetzes. Diese Definition umfasst maschinenbasierte Systeme, die mit unterschiedlichem Autonomiegrad arbeiten, nach der Bereitstellung Anpassungsfähigkeit zeigen und Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen generieren können, die reale oder virtuelle Umgebungen beeinflussen. Die Europäische Kommission hat in ihren Leitlinien von Februar 2026 bestätigt, dass autonome Agenten, die beispielsweise Finanztransaktionen durchführen, explizit in diese Kategorie fallen.

Risikoklassifizierung und ihre Implikationen

Ein zentraler Aspekt des EU AI Act ist die risikobasierte Klassifizierung von KI-Systemen. Der Grad der Regulierung hängt davon ab, ob ein System als minimal, begrenzt, hochriskant oder gar unzulässig eingestuft wird. Entgegen einer weit verbreiteten Annahme ist nicht die Autonomie an sich der entscheidende Faktor für eine Hochrisikoeinstufung, sondern der spezifische Anwendungsfall des KI-Agenten.

Ein Agent, der lediglich E-Mails entwirft oder Kalender organisiert, wird wahrscheinlich als System mit minimalem oder begrenztem Risiko eingestuft. Für solche Systeme gelten hauptsächlich Transparenzpflichten nach Artikel 50. Sobald ein Agent jedoch Aktionen ausführt, die in einem der acht im Anhang III des AI Act aufgeführten Hochrisikobereiche fallen, wie z.B. die Kandidatenauswahl im Personalwesen, die Kreditwürdigkeitsprüfung oder das Management kritischer Infrastrukturen, wird er als hochriskant eingestuft. Dies zieht eine Reihe strenger Verpflichtungen nach sich.

Regulatorische Verpflichtungen für hochriskante Agentic AI

Für hochriskante Agentic AI-Systeme fordert der EU AI Act umfassende Massnahmen in mehreren Schlüsselbereichen:

• Menschliche Aufsicht (Artikel 14): Hochrisikosysteme müssen so konzipiert sein, dass eine menschliche Aufsichtsperson deren Betrieb verstehen, überwachen und bei Bedarf eingreifen oder unterbrechen kann. Dies stellt eine besondere Herausforderung für autonome Agenten dar, da sie oft ohne ständige menschliche Bestätigung agieren. Es erfordert Mechanismen wie Unterbrechungsmöglichkeiten, Erklärbarkeit der Aktionen und Validierungsschwellen für weitreichende Entscheidungen.
• Rückverfolgbarkeit und Protokollierung (Artikel 12 und 26 Absatz 6): Jede Aktion eines hochriskanten KI-Agenten muss automatisch protokolliert werden. Die Protokolle müssen eine Rekonstruktion der Entscheidungsfindung des Agenten ermöglichen: welche Daten konsultiert wurden, welche Tools aufgerufen wurden, welche Zwischenentscheidungen getroffen wurden und warum. Dies ist besonders komplex in Multi-Agenten-Architekturen, wo mehrere Agenten in einer Kette zusammenarbeiten.
• Risikomanagement über den gesamten Lebenszyklus (Artikel 9): Angesichts der Fähigkeit von Agenten, dynamisch Tools zur Laufzeit aufzurufen, müssen Risikomanagementprozesse kontinuierlich und nicht nur einmalig erfolgen. Die Identifizierung und Minderung von Risiken muss ein fortlaufender, evidenzbasierter Prozess sein, der in jede Phase der Bereitstellung integriert ist und ständig überprüft wird.
• Transparenz gegenüber dem Anwender (Artikel 13): Wenn ein hochriskantes KI-Agenten-System von einem Drittanbieter eingesetzt wird, muss dieser klare Informationen über die Fähigkeiten und Einschränkungen des Agenten, die verwendeten Daten und die Kontexte, in denen falsche oder voreingenommene Ergebnisse auftreten können, bereitstellen. Dies erfordert, dass KI-Systeme für ihre Nutzer interpretierbar sind und mit ausreichender Dokumentation für eine sichere und rechtmässige Nutzung versehen werden.

Herausforderungen bei der Umsetzung

Die Umsetzung dieser Anforderungen stellt sowohl für Anbieter als auch für Anwender von Agentic AI erhebliche Herausforderungen dar. Die dynamische und autonome Natur dieser Systeme macht es schwierig, alle potenziellen Risiken vorauszusehen und zu kontrollieren. Beispielsweise können sich Agenten im Laufe der Zeit durch Interaktion mit neuen Daten weiterentwickeln, was ohne regelmässige Audits zu einer Abweichung vom ursprünglichen Zweck führen kann (sogenannter "Model Drift").

Ein weiteres Problem ist die "Many Hands Problem", bei dem die Verantwortlichkeit in komplexen Wertschöpfungsketten, an denen mehrere Akteure beteiligt sind, verschwimmt. Wenn ein KI-Agent von einem Drittanbieter entwickelt und von einem anderen Unternehmen eingesetzt wird, muss klar definiert sein, wer für welche Aspekte der Compliance verantwortlich ist. Der AI Act versucht, dies durch die Zuweisung von Pflichten an Modell-Anbieter, System-Anbieter und System-Anwender zu adressieren.

Best Practices für Compliance

Um den Anforderungen des EU AI Act gerecht zu werden, sollten Unternehmen, die Agentic AI einsetzen oder entwickeln, folgende Best Practices berücksichtigen:

• Umfassende Bestandsaufnahme: Alle eingesetzten Agenten sollten kartiert werden, einschliesslich ihres genauen Anwendungsfalls, der verwendeten Tools, der zugänglichen Daten und der Art der Entscheidungen, die sie treffen oder beeinflussen.
• Risikoklassifizierung: Jeder Agent ist anhand des Anhangs III des AI Act zu klassifizieren. Systeme, die Entscheidungen über natürliche Personen in hochriskanten Bereichen treffen, sind entsprechend zu behandeln.
• Menschliche Aufsicht "by Design": Menschliche Validierungspunkte, Eskalationsschwellen und Unterbrechungsmechanismen sollten von Anfang an in die Workflows der Agenten integriert werden.
• Detaillierte Protokollierung: Hochrisiko-Agenten müssen automatische Protokolle generieren, die alle Aktionen und Zwischenentscheidungen erfassen und für mindestens sechs Monate aufbewahrt werden.
• Audit der Drittanbieter: Bei der Nutzung von Drittanbieter-Agenten in hochriskanten Kontexten müssen Anweisungen zur Nutzung angefordert und die Einhaltung des AI Act überprüft werden.

Der Blick über den AI Act hinaus

Die Regulierung von Agentic AI beschränkt sich nicht allein auf den EU AI Act. Eine Vielzahl weiterer EU-Gesetze und -Richtlinien kann je nach Anwendungsfall des Agenten relevant sein, darunter:

• Datenschutz-Grundverordnung (DSGVO): Relevant, wenn Agenten personenbezogene Daten verarbeiten.
• Cyber Resilience Act (CRA): Betrifft Produkte mit digitalen Elementen, einschliesslich Software, und stellt Anforderungen an die Cybersicherheit.
• Digital Services Act (DSA): Gilt für Online-Plattformen und -Dienste, die Agenten zur Inhaltsmoderation oder für Marketingzwecke einsetzen.
• Produkthaftungsrichtlinie: Erweitert die Haftung auf digitale Produkte und KI-Systeme bei Schäden durch fehlerhafte Ausgaben.

Diese Überlappungen erfordern einen integrierten Compliance-Ansatz, bei dem Unternehmen die Wechselwirkungen zwischen den verschiedenen Rechtsrahmen verstehen und adressieren müssen. Die Komplexität wird zusätzlich durch die Tatsache erhöht, dass harmonisierte Standards zur Umsetzung des AI Act noch in Entwicklung sind und sich die Interpretationen weiter klären müssen.

Fazit

Agentic AI birgt ein enormes Potenzial für die Transformation von Geschäftsprozessen und die Schaffung neuer Werte. Gleichzeitig stellt ihre autonome Natur die bestehenden Governance-Rahmenwerke vor erhebliche Herausforderungen. Der EU AI Act bietet einen umfassenden Ansatz zur Regulierung von KI-Systemen, der auch Agentic AI einschliesst. Die Einhaltung der Vorschriften erfordert jedoch eine proaktive und integrierte Strategie, die von der Risikobewertung und -minderung über die transparente Protokollierung bis hin zur menschlichen Aufsicht und der Berücksichtigung weiterer relevanter EU-Gesetze reicht. Unternehmen, die diese Herausforderungen meistern, werden nicht nur rechtlich konform sein, sondern auch das Vertrauen ihrer Kunden und Partner stärken und sich einen Wettbewerbsvorteil in einem sich schnell entwickelnden Markt sichern.

Bibliographie

- Techoranews.com: "Agentic AI's governance challenges under the EU AI Act in 2026", 9. April 2026. - AI.cc: "AI Agent Governance Best Practices and Challenges in 2026", 8. April 2026. - AiActo.eu: "AI Agents at Work: What Are Your AI Act Obligations?", 7. April 2026. - Aigl.blog: "Governing AI Agents Under the EU AI Act", Juni 2025. - Lexology.com: "Agentic AI and the EU AI Act", 11. April 2025. - Consultancy.eu: "Driving compliance with EU’s AI Act through Agentic AI agents", 10. September 2025. - Aetherlink.ai: "Agentic AI & Multi-Agent Orchestration: EU Compliance Guide 2026", 11. März 2026. - Arxiv.org: "AI Agents Under EU Law A Compliance Architecture for AI Providers", April 2026. - Aigl.blog: "Agentic AI: Fostering Responsible and Beneficial Development and Adoption", 6. Februar 2026. - Jurisconsul.com: "Agentic law in the European Union: Governing autonomous AI agents", 24. Februar 2026.