Kategorie: AgenticAI

Agentic AI Authoring: Sie bleiben am Steuer: An KI-Agenten delegieren, ohne die Verantwortung abzugeben

Der Wandel 2026 vom Gespräch mit KI zur Delegation — und Delegation hat Konsequenzen, über die die Anbieter nicht reden.

Stellen Sie sich eine Beratungsfirma mit 40 Mitarbeitenden vor, die einen automatisierten Assistenten so einrichtet, dass er eingehende Support-Mails liest, passenden Kontext aus dem Firmenwiki zieht und Antworten entwirft. Um Zeit zu sparen, schaltet das Team von „Entwurf zur Freigabe“ auf „automatisch versenden unterhalb einer Konfidenzschwelle“ um.

Drei Wochen später ruft ein Kunde an. Er hat eine E-Mail erhalten, in der ihm eine Rückerstattung zugesagt wird, die das Unternehmen nie genehmigt hat. Der Agent hat aus einigen früheren Fällen verallgemeinert und entschieden, dass dies die richtige Antwort sei. Die E-Mail wurde unter dem Namen einer echten Person verschickt. Der Kunde hat sie bereits an seinen Rechtsbeistand weitergeleitet.

Wer trägt die Verantwortung?

Der Agent hat keine Rechtspersönlichkeit. Die AGB des Anbieters schließen die Haftung für Output mit ziemlicher Sicherheit aus. Die Mitarbeiterin, deren Unterschrift unter der Nachricht stand, hat sie nicht geschrieben. Der Manager, der den Schalter umgelegt hat, hat genau diese E-Mail nie gesehen. Der Agent hat es getan, aber alle anderen tragen die Folgen.

In meinem letzten Artikel habe ich argumentiert, dass die neuen Modelle klüger geworden sind, aber nicht ehrlicher. Diese Asymmetrie war schon unangenehm, solange sie nur sprachen. Sie wird tragend, sobald sie handeln.

Vom Gespräch zur Delegation

Der eigentliche Wandel 2026 ist nicht das, was die meisten „KI am Arbeitsplatz“-Artikel behaupten. Modelle sind keine Partner geworden. Sie haben weder Urteilsvermögen, noch Rechenschaftspflicht, noch etwas, das auf dem Spiel steht, entwickelt. Was sich geändert hat, ist, dass sie jetzt *Dinge tun können*: surfen, klicken, Code ausführen, Dateien bearbeiten, Nachrichten verschicken, Zustände in Systemen verändern, von denen Sie abhängen.

Das ist keine Partnerschaft. Partner teilen Urteil und Konsequenzen. Was Sie tatsächlich haben, ist ein hochfähiger **Beauftragter**: Sie autorisieren, er führt aus, Sie tragen das Ergebnis.

Der Unterschied ist wichtig, denn Recht, Vertrag und Organigramm wissen längst, wie das heißt. Wenn ein Agent mit Ihrem API-Schlüssel, Ihrem OAuth-Token, Ihren Zugangsdaten, Ihrem Konto, Ihrer Domain handelt — sind Sie der Auftraggeber. Der Agent handelt in Ihrem Namen. Die rechtlichen Rahmenwerke holen diese Realität gerade ein. In Kalifornien verbietet AB 316 (Civil Code §1714.46), in Kraft seit dem 1. Januar 2026, Beklagten, die ein KI-System „entwickelt, modifiziert oder genutzt“ haben, die Verteidigung, die KI habe den Schaden autonom verursacht. In der EU dehnt die neue Produkthaftungsrichtlinie,  die die Mitgliedstaaten bis zum 9. Dezember 2026 in nationales Recht umsetzen müssen, die verschuldensunabhängige Haftung auf KI-Systeme als „Produkte“ aus, mit widerlegbaren Vermutungen, die die Beweislast für Geschädigte senken. Die Richtung ist konsistent: Verantwortung folgt der Autorisierung. Wer einsetzt, der haftet.

Das ist kein Gedankenexperiment. Browser-Agenten, Coding-Agenten, Spreadsheet-Agenten, MCP-vernetzte Tool-Agenten, sie laufen gerade jetzt produktiv in kleinen und mittleren Unternehmen. Die meisten dieser Unternehmen haben nicht ernsthaft darüber nachgedacht, was das bedeutet.

Die Verifikations-Asymmetrie

Solange ein LLM nur spricht, ist Verifikation billig. Sie lesen den Output. Sie erwischen den Fehler oder eben nicht, aber die Kosten eines übersehenen Fehlers sind begrenzt — meist verlorene Zeit, gelegentlich eine schlechte Entscheidung auf Basis schlechter Information.

Wenn ein LLM handelt, muss die Verifikation *vor* die Handlung wandern. Sobald eine Zustandsänderung commited ist, pflanzt sie sich fort. Manche lässt sich rückgängig machen. Manche nicht.

Eine grobe Taxonomie, die man im Kopf behalten sollte:

  1. Reversibel: Entwürfe, interne Abfragen, Lesezugriffe, Sandbox-Schreibvorgänge. Kosten einer Fehlhandlung ungefähr null.
  2. Schwer reversibel: versendete E-Mails, gepostete Nachrichten, Kalendereinladungen, die meisten ausgehenden API-Calls. Sie können sich entschuldigen, zurückrufen, nachfassen — aber der Empfänger hat es schon gesehen.
  3. Faktisch irreversibel: Löschungen ohne Backup, Finanztransaktionen, akzeptierte AGB, öffentliche Aussagen, alles, worauf ein anderer Mensch oder ein anderes System bereits reagiert hat.

Der Reflex aus 2025: „erst laufen lassen, dann lesen, was rauskam“, überlebt den Kontakt mit der zweiten und dritten Kategorie nicht. Wenn Sie es lesen, ist die Handlung schon passiert.

Das ist der strukturelle Grund, warum „dem Agenten mehr vertrauen“ der falsche Ratschlag für 2026 Agentic AI ist. Die Frage ist nicht *wie viel* Vertrauen. Die Frage ist *wo* im Ablauf Vertrauen verifiziert wird — und bei irreversiblen Handlungen muss das vor der Handlung passieren, nicht danach.

Der neue Guardrail-Stack

Was tatsächlich funktioniert, etwa in der Reihenfolge, in der die meisten KMU es einführen sollten, folgt etablierter DevSecOps-Praxis, deren kanonisches Beispiel der Microsoft Security Development Lifecycle (SDL) ist. Keine dieser Ideen ist in der IT neu; neu ist, dass KMU jetzt Systeme betreiben, die solche Maßnahmen verlangen.

  1. Scope Limits: Was der Agent *nicht* anfassen kann, ist wichtiger als das, was er kann. Wenden Sie das Least-Privilege-Prinzip aus der Informationssicherheit an: nur lesende Zugangsdaten, wo Lesen genügt; eingeschränkte Ordner und Kanäle; OAuth-Scopes, die auf die tatsächliche Aufgabe zugeschnitten sind. Ein Agent, der das ganze gemeinsame Laufwerk löschen *kann*, wird es früher oder später versuchen, bei genug Schritten und einem missverstandenen Prompt.
  2. Kosten- und Ressourcendeckel:  Eine entgleiste ReAct-Schleife oder ein fehlfunktionierender Agent kann dieselbe Aufgabe endlos wiederholen und Ihr Budget still und leise verbrennen — API-Kosten, Compute, Drittanbieter-Gebühren. Harte Grenzen pro Schritt, pro Sitzung und pro Tag lassen Agenten sicher scheitern statt teuer. Das ist das agentische Äquivalent eines Sicherungsautomaten.
  3. Bestätigungs-Workflows für irreversible Handlungen: Alles, was in die dritte Kategorie der Reversibilitäts-Taxonomie fällt, sollte einen expliziten menschlichen Freigabeschritt erfordern — idealerweise mit einer klaren Zusammenfassung dessen, was gleich passiert und was nicht rückgängig zu machen ist.
    Zwei-Stufen-Abläufe, der Agent bereitet die Aktion vor, ein Mensch bestätigt,  sind unmodern, aber genau der Grund, warum Luftfahrt und Chirurgie noch funktionieren.
  4. Dry-Run als Standard: Bei unbekannten Aufgaben lassen Sie den Agenten beschreiben, was er tun *würde*, bevor er es tut. Das fängt die meisten Missverständnisse kostenlos ab. Es legt auch versteckte Annahmen offen, die der Prompt nicht spezifiziert hat.
  5. Reibung nach Reversibilität abgestuft: Wenden Sie nicht denselben Freigabe-Workflow auf einen Mail-Entwurf an wie auf eine Überweisung. Stimmen Sie die Reibung auf den Schadensradius ab. Sonst wird die Reibung entweder abgeschaltet, weil die meisten Aktionen niedrige Stakes haben, oder die Leute brennen aus, weil sie alles freigeben.
  6. Audit-Trail:  Logs, Versionskontrolle, unveränderliche Historie, datierte Snapshots. Die Frage ist nicht, *ob* etwas schiefläuft, sondern *wann es bemerkt wird*. Drei Minuten Fehlverhalten eines Agenten sind heilbar. Drei Wochen sind ein Projekt. Drei Monate sind ein Aufsichtsfall.
  7. Sandbox, wo es geht:  Testkonten, Staging-Umgebungen, getrennte Workspaces, gescopete Container. Die Kosten einer Sandbox sind fast immer niedriger als die Kosten *einer* falschen Aktion in der Produktion.

Das Neue an 2026  Agentic AI sind nicht diese Praktiken. Neu ist, dass kleine und mittlere Unternehmen jetzt Systeme betreiben, die sie verlangen. Ohne die Infrastruktur-Teams, die in größeren Organisationen drumherum gewachsen sind.

Was das für Wissensarbeiter und KMU bedeutet

Die Fähigkeit, die gute Nutzer agentischer KI 2026 auszeichnet, ist nicht Prompting. Es ist Autorisierungs-Design: zu entscheiden, was der Agent unter welchen Bedingungen mit welcher Verifikation in wessen Namen tun darf.

Vier Fragen, bevor Sie irgendeine Aufgabe an einen Agenten delegieren:

1. Was ist das schlimmstmögliche Ergebnis, wenn das schiefgeht?
2. Ist es reversibel? In welchem Zeitrahmen? Zu welchen Kosten?
3. Wessen Name steht unter der Handlung, wenn sie passiert?
4. Wie hoch ist meine Erkennungslatenz — wie lange dauert es, bis ich merke, dass etwas falsch läuft?

Für kleine und mittlere Unternehmen ist das Wissensmanagement-Arbeit, nicht IT-Arbeit. Der Agent operiert auf Ihren Prozessen, Ihren Kundenbeziehungen, Ihren Daten, Ihrem Ruf. Die Architekturentscheidungen, was der Agent anfassen darf, wer was bestätigt, wo das Audit-Trail liegt, sind Entscheidungen darüber, wie Ihr Unternehmen funktioniert, nicht nur darüber, wie Ihre Tools konfiguriert sind.

Wenn Ihr Unternehmen agentische KI ausrollt, ohne explizite Antworten auf diese vier Fragen pro Anwendungsfall zu haben, dann setzen Sie keine Technologie ein. Sie setzen blind auf ein Verhalten, das Sie nicht charakterisiert haben.

Der rote Faden Ehrlichkeit

Im letzten Artikel habe ich argumentiert, dass klügere Modelle nicht ehrlicher sind. Das hieß: Solange das Modell nur spricht, ist Verifikation Ihre Aufgabe. Agentische Modelle ziehen das Argument weiter: Verifikation kann nicht mehr nachträglich passieren, weil die Handlung schon passiert ist.

Damit wird strukturelle Verifikation, der Guardrail-Stack oben, zum neuen Ehrlichkeitsmechanismus. Nicht, weil das Modell vertrauenswürdig geworden ist, sondern weil Sie eine Umgebung gebaut haben, in der seine unzuverlässigen Momente weniger kosten, als seine zuverlässigen einbringen.

Das ist es, was kalibriertes Vertrauen in der Praxis bedeutet. Es heißt nicht „mehr vertrauen“. Es heißt „ein System bauen, in dem die Konsequenzen fehlgeleiteten Vertrauens begrenzt, beobachtbar und behebbar sind.“

Zum Schluss

Die KI ist nicht Ihr Partner. Sie ist Ihr hochfähiger Beauftragter. Sie sind nach wie vor der Auftraggeber — und 2026 fängt dieser Unterschied an, auf eine Weise wichtig zu werden, die zu erklären die Anbieter nicht eilig haben.

Autorisieren Sie entsprechend.