← Alle Insights

Wenn der KI-Agent handelt Haftung und Kontrolle agentischer KI.

Klassische KI gibt Vorschläge — ein Mensch entscheidet. Agentische KI dreht dieses Verhältnis um: Sie liest E-Mails, ruft Schnittstellen auf, bucht, bestellt, antwortet Kunden und stößt Folgeaktionen an, oft ohne dass jemand jeden Schritt freigibt. Genau hier entsteht ein neues Risiko, das viele Unternehmen unterschätzen, weil der Agent im Pilotbetrieb beeindruckend zuverlässig wirkt. Die unbequeme Frage kommt erst, wenn etwas schiefgeht: Wer haftet, wenn der Agent eine falsche Bestellung auslöst, einem Kunden eine bindende Zusage macht oder Daten an die falsche Stelle schickt? Dieser Beitrag ordnet die Haftungslage nüchtern ein, zeigt, welche technischen und organisatorischen Kontrollen vor dem Produktivbetrieb stehen müssen, und benennt ehrlich, wo agentische Systeme heute schlicht noch nicht reif für unbeaufsichtigtes Handeln sind. Ziel ist kein Verzicht, sondern ein kontrollierter Einsatz, bei dem Nutzen und Restrisiko in einem vertretbaren Verhältnis stehen — und das Unternehmen weiß, woran es im Schadensfall ist.

Was agentische KI von klassischen Assistenten unterscheidet.

Der Begriff „Agent“ wird inflationär verwendet, deshalb lohnt eine scharfe Abgrenzung. Ein Chatbot oder ein Textassistent erzeugt Vorschläge — Text, Code, eine Zusammenfassung —, die ein Mensch prüft und übernimmt. Die Verantwortung bleibt klar beim Menschen, der den Output verwendet. Ein Agent dagegen handelt: Er hat Zugriff auf Werkzeuge (Tools), kann also Datenbanken abfragen, APIs aufrufen, E-Mails versenden, Tickets schließen, Bestellungen anstoßen. Er plant mehrere Schritte, reagiert auf Zwischenergebnisse und führt Aktionen aus, ohne bei jedem Einzelschritt zu fragen.

Diese Autonomie ist der eigentliche Nutzen — und zugleich die Quelle des Risikos. Solange ein Mensch jeden Schritt freigibt, ist der Agent nur ein schnellerer Assistent. Sobald er eigenständig wirkende Aktionen in der realen Welt auslöst — Geld bewegt, Verträge berührt, Kunden gegenüber auftritt —, entsteht eine Verantwortungslücke, die organisatorisch geschlossen werden muss.

Wichtig ist die Einsicht, dass es kein Schwarz-Weiß gibt. Zwischen „nur Vorschlag“ und „voll autonom“ liegt ein breites Spektrum. Die meisten sinnvollen Produktiv-Setups bewegen sich bewusst nicht am autonomen Ende, sondern definieren Aktionsklassen mit unterschiedlichen Freigabe-Anforderungen.

Wer im Schadensfall haftet.

Vorweg, weil es entscheidend ist: Dieser Abschnitt ordnet ein, ersetzt aber keine Rechtsberatung. Die belastbare Grundlinie lautet jedoch — und das ist über Jurisdiktionen hinweg stabil — dass eine KI kein Rechtssubjekt ist. Der Agent selbst haftet nie. Haftung trägt immer ein Mensch oder ein Unternehmen.

In der Praxis kommen mehrere Ebenen zusammen. Das einsetzende Unternehmen haftet gegenüber seinen Kunden und Partnern für die Aktionen, die in seinem Namen ausgelöst werden — ein vom Agenten versandtes Angebot wirkt nach außen wie ein Angebot des Unternehmens. Gegenüber dem Anbieter der KI-Software begrenzen Verträge und AGB die Haftung meist stark; pauschale Haftungsfreistellungen für Fehlentscheidungen des Modells sind die Regel, nicht die Ausnahme. Wer also glaubt, im Ernstfall den Modellanbieter in Regress nehmen zu können, prüft besser zuerst die Vertragslage — in den allermeisten Fällen bleibt das Risiko beim Anwender.

Hinzu kommt die regulatorische Ebene: Je nach Anwendungsbereich greifen Datenschutz-, Verbraucherschutz- oder branchenspezifische Pflichten. Eine fehlerhafte automatisierte Entscheidung kann nicht nur einen zivilrechtlichen Schaden, sondern auch ein Bußgeldrisiko auslösen. Die nüchterne Konsequenz: Wer einen Agenten produktiv handeln lässt, übernimmt im Wesentlichen das volle Risiko — und sollte den Einsatzrahmen entsprechend eng ziehen.

Freigabe-Grenzen sauber definieren.

Das wirksamste Steuerungsinstrument ist nicht die Modellqualität, sondern die Definition, was der Agent ohne menschliche Freigabe tun darf. Bewährt hat sich, Aktionen nach Reversibilität und Schadenshöhe zu klassifizieren und je Klasse ein Freigaberegime festzulegen.

AktionsklasseBeispieleEmpfohlenes Regime
Lesend / reversibelDaten abrufen, Entwurf erzeugen, intern zusammenfassenautonom erlaubt
Schreibend, gering, reversibelinternen Ticketstatus setzen, Notiz anlegenautonom mit Logging
Außenwirkung, geringer SchadenStandard-Kundenantwort, TerminvorschlagStichprobe oder Vier-Augen ab Schwelle
Geld / Vertrag / Daten externBestellung, Zahlung, Angebot, Datenweitergabeimmer menschliche Freigabe

Der Schlüssel liegt in harten, technisch erzwungenen Grenzen statt in Appellen. Ein Betragslimit, oberhalb dessen zwingend ein Mensch bestätigt; eine Whitelist erlaubter Empfänger; ein Verbot, externe Zahlungen überhaupt auszulösen. Solche Leitplanken wirken auch dann, wenn das Modell sich irrt — und ein Modell irrt sich gelegentlich, das ist keine Frage des Ob, sondern des Wann.

Technische Kontrollen, die vorher stehen müssen.

Vor dem Produktivbetrieb gehört eine Reihe technischer Sicherungen eingebaut. Sie sind nicht optional, sondern die Voraussetzung dafür, dass agentisches Handeln überhaupt verantwortbar ist:

Ein eigenes, oft übersehenes Risiko ist Prompt Injection: Manipulierte Inhalte — in einer eingehenden E-Mail, einem Dokument, einer Webseite — können einen Agenten zu unbeabsichtigten Aktionen verleiten. Genau deshalb dürfen kritische Aktionen nie allein vom Modell-Output abhängen, sondern brauchen die genannten harten Grenzen als zweite Verteidigungslinie.

Wo agentische KI heute noch nicht reif ist.

Bei aller Begeisterung gehört die ehrliche Gegenrede dazu. Voll unbeaufsichtigtes Handeln ist heute nur in eng begrenzten, reversiblen Bereichen vertretbar. Drei Situationen sind besonders heikel.

Erstens irreversible Aktionen mit echtem Schadenspotenzial: Zahlungen, verbindliche Vertragszusagen, Weitergabe sensibler Daten. Hier wiegt der seltene Fehler so schwer, dass die Zeitersparnis ihn nicht aufwiegt — ein Mensch sollte freigeben.

Zweitens mehrstufige Aufgaben mit langer Wirkungskette. Je mehr Schritte ein Agent ohne Zwischenkontrolle plant und ausführt, desto eher pflanzt sich ein früher Fehler durch die ganze Kette fort. Die Fehlerwahrscheinlichkeit über zehn verkettete Schritte ist deutlich höher als bei einem einzelnen.

Drittens Aufgaben in mehrdeutigen oder neuartigen Lagen, in denen der Agent keine klaren Vorbilder hat. Modelle erfinden in der Unsicherheit gelegentlich plausibel klingende, aber falsche Begründungen. Ein realistischer Reifegrad heißt daher: Agenten heute gut für Recherche, Vorbereitung, Entwürfe und reversible interne Schritte — zurückhaltend bei allem, was Geld, Verträge oder externe Daten berührt.

Eine Governance, die zum Risiko passt.

Governance klingt nach Bürokratie, lässt sich aber schlank halten, wenn sie sich am Risiko orientiert statt an einem generischen Maximalkatalog. Vier Bausteine reichen für die meisten Mittelständler.

Erstens eine benannte Verantwortung: Eine Person oder Rolle, die für den jeweiligen Agenten zuständig ist — nicht „die IT“ pauschal. Zweitens ein dokumentierter Einsatzrahmen: Welche Aufgaben, welche Grenzen, welche Freigaben. Drittens eine regelmäßige Stichprobenprüfung der Logs, bei der jemand tatsächlich hineinschaut, ob der Agent so handelt wie gedacht. Viertens ein Eskalationsweg für den Fehlerfall, inklusive der Frage, wer Kunden informiert und wie ein Schaden begrenzt wird.

Diese vier Punkte kosten wenig und verhindern die teuren Überraschungen. Wer sie überspringt, spart in der Einführung ein paar Tage und riskiert dafür, im Ernstfall ohne Protokoll, ohne Zuständigkeit und ohne Stopp-Plan dazustehen.

Schrittweise einführen statt voll automatisieren.

Der bewährte Weg ist nicht der Sprung in die Vollautonomie, sondern ein gestufter Ausbau. In der ersten Phase läuft der Agent im Schattenbetrieb: Er schlägt Aktionen vor, ein Mensch führt sie aus. So sammelt das Team Daten darüber, wie gut die Vorschläge wirklich sind — oft eine ernüchternde, aber wertvolle Erfahrung.

In der zweiten Phase führt der Agent reversible, risikoarme Aktionen selbst aus, während kritische Aktionen weiter Freigabe brauchen. Erst wenn über Wochen belastbare Qualität nachgewiesen ist, lassen sich Freigabeschwellen vorsichtig anheben — Klasse für Klasse, nie pauschal.

Realistisch sollte man für einen sauberen Einstieg mit einem ersten produktiven Agenten-Use-Case mehrere Wochen einplanen, einen erheblichen Teil davon allein für Berechtigungen, Logging und Freigabe-Logik — also für genau die Kontrollen, die später den Unterschied machen. Die laufenden Kosten liegen oft weniger im Modell selbst als im Aufwand für Überwachung und Pflege. Wer das einkalkuliert, baut etwas Tragfähiges; wer nur auf die beeindruckende Demo schaut, baut ein latentes Haftungsrisiko.

Sie überlegen, einen KI-Agenten produktiv handeln zu lassen, und wollen Freigabe-Grenzen, Logging und Haftungsrahmen vorher sauber klären? Unverbindlich anfragen — wir schauen gemeinsam auf den konkreten Use-Case, definieren die Aktionsklassen und prüfen ehrlich, welche Schritte heute autonom vertretbar sind und welche nicht.