{"id":257,"date":"2026-06-28T15:47:43","date_gmt":"2026-06-28T14:47:43","guid":{"rendered":"https:\/\/knowtech.waszmann.com\/?p=257"},"modified":"2026-06-28T15:47:43","modified_gmt":"2026-06-28T14:47:43","slug":"agentic-ai-authoring-sie-bleiben-am-steuer-an-ki-agenten-delegieren-ohne-die-verantwortung-abzugeben","status":"publish","type":"post","link":"https:\/\/knowtech.waszmann.com\/?p=257&lang=de","title":{"rendered":"Agentic AI Authoring: Sie bleiben am Steuer: An KI-Agenten delegieren, ohne die Verantwortung abzugeben"},"content":{"rendered":"

Der Wandel 2026 vom Gespr\u00e4ch mit KI zur Delegation \u2014 und Delegation hat Konsequenzen, \u00fcber die die Anbieter nicht reden.<\/strong><\/p>\n

Stellen Sie sich eine Beratungsfirma mit 40 Mitarbeitenden vor, die einen automatisierten Assistenten so einrichtet, dass er eingehende Support-Mails liest, passenden Kontext aus dem Firmenwiki zieht und Antworten entwirft. Um Zeit zu sparen, schaltet das Team von \u201eEntwurf zur Freigabe” auf \u201eautomatisch versenden unterhalb einer Konfidenzschwelle” um.<\/p>\n

Drei Wochen sp\u00e4ter ruft ein Kunde an. Er hat eine E-Mail erhalten, in der ihm eine R\u00fcckerstattung zugesagt wird, die das Unternehmen nie genehmigt hat. Der Agent hat aus einigen fr\u00fcheren F\u00e4llen verallgemeinert und entschieden, dass dies die richtige Antwort sei. Die E-Mail wurde unter dem Namen einer echten Person verschickt. Der Kunde hat sie bereits an seinen Rechtsbeistand weitergeleitet.<\/p>\n

Wer tr\u00e4gt die Verantwortung?<\/h3>\n

Der Agent hat keine Rechtspers\u00f6nlichkeit. Die AGB des Anbieters schlie\u00dfen die Haftung f\u00fcr Output mit ziemlicher Sicherheit aus. Die Mitarbeiterin, deren Unterschrift unter der Nachricht stand, hat sie nicht geschrieben. Der Manager, der den Schalter umgelegt hat, hat genau diese E-Mail nie gesehen. Der Agent hat es getan, aber alle anderen tragen die Folgen.<\/p>\n

In meinem letzten Artikel habe ich argumentiert, dass die neuen Modelle kl\u00fcger geworden sind, aber nicht ehrlicher. Diese Asymmetrie war schon unangenehm, solange sie nur sprachen. Sie wird tragend, sobald sie handeln.<\/p>\n

Vom Gespr\u00e4ch zur Delegation<\/h3>\n

Der eigentliche Wandel 2026 ist nicht das, was die meisten \u201eKI am Arbeitsplatz”-Artikel behaupten. Modelle sind keine Partner geworden. Sie haben weder Urteilsverm\u00f6gen, noch Rechenschaftspflicht, noch etwas, das auf dem Spiel steht, entwickelt. Was sich ge\u00e4ndert hat, ist, dass sie jetzt *Dinge tun k\u00f6nnen*: surfen, klicken, Code ausf\u00fchren, Dateien bearbeiten, Nachrichten verschicken, Zust\u00e4nde in Systemen ver\u00e4ndern, von denen Sie abh\u00e4ngen.<\/p>\n

Das ist keine Partnerschaft. Partner teilen Urteil und Konsequenzen. Was Sie tats\u00e4chlich haben, ist ein hochf\u00e4higer **Beauftragter**: Sie autorisieren, er f\u00fchrt aus, Sie tragen das Ergebnis.<\/p>\n

Der Unterschied ist wichtig, denn Recht, Vertrag und Organigramm wissen l\u00e4ngst, wie das hei\u00dft. Wenn ein Agent mit Ihrem API-Schl\u00fcssel, Ihrem OAuth-Token, Ihren Zugangsdaten, Ihrem Konto, Ihrer Domain handelt \u2014 sind Sie der Auftraggeber. Der Agent handelt in Ihrem Namen. Die rechtlichen Rahmenwerke holen diese Realit\u00e4t gerade ein. In Kalifornien verbietet AB 316 (Civil Code \u00a71714.46), in Kraft seit dem 1. Januar 2026, Beklagten, die ein KI-System \u201eentwickelt, modifiziert oder genutzt” haben, die Verteidigung, die KI habe den Schaden autonom verursacht. In der EU dehnt die neue Produkthaftungsrichtlinie,\u00a0 die die Mitgliedstaaten bis zum 9. Dezember 2026 in nationales Recht umsetzen m\u00fcssen, die verschuldensunabh\u00e4ngige Haftung auf KI-Systeme als \u201eProdukte” aus, mit widerlegbaren Vermutungen, die die Beweislast f\u00fcr Gesch\u00e4digte senken. Die Richtung ist konsistent: Verantwortung folgt der Autorisierung. Wer einsetzt, der haftet.<\/strong><\/p>\n

Das ist kein Gedankenexperiment. Browser-Agenten, Coding-Agenten, Spreadsheet-Agenten, MCP-vernetzte Tool-Agenten, sie laufen gerade jetzt produktiv in kleinen und mittleren Unternehmen. Die meisten dieser Unternehmen haben nicht ernsthaft dar\u00fcber nachgedacht, was das bedeutet.<\/p>\n

Die Verifikations-Asymmetrie<\/h3>\n

Solange ein LLM nur spricht, ist Verifikation billig. Sie lesen den Output. Sie erwischen den Fehler oder eben nicht, aber die Kosten eines \u00fcbersehenen Fehlers sind begrenzt \u2014 meist verlorene Zeit, gelegentlich eine schlechte Entscheidung auf Basis schlechter Information.<\/p>\n

Wenn ein LLM handelt, muss die Verifikation *vor* die Handlung wandern. Sobald eine Zustands\u00e4nderung commited ist, pflanzt sie sich fort. Manche l\u00e4sst sich r\u00fcckg\u00e4ngig machen. Manche nicht.<\/p>\n

Eine grobe Taxonomie, die man im Kopf behalten sollte:<\/p>\n

    \n
  1. Reversibel<\/strong>: Entw\u00fcrfe, interne Abfragen, Lesezugriffe, Sandbox-Schreibvorg\u00e4nge. Kosten einer Fehlhandlung ungef\u00e4hr null.<\/li>\n
  2. Schwer reversibel<\/strong>: versendete E-Mails, gepostete Nachrichten, Kalendereinladungen, die meisten ausgehenden API-Calls. Sie k\u00f6nnen sich entschuldigen, zur\u00fcckrufen, nachfassen \u2014 aber der Empf\u00e4nger hat es schon gesehen.<\/li>\n
  3. Faktisch irreversibel<\/strong>: L\u00f6schungen ohne Backup, Finanztransaktionen, akzeptierte AGB, \u00f6ffentliche Aussagen, alles, worauf ein anderer Mensch oder ein anderes System bereits reagiert hat.<\/li>\n<\/ol>\n

    Der Reflex aus 2025: \u201eerst laufen lassen, dann lesen, was rauskam”, \u00fcberlebt den Kontakt mit der zweiten und dritten Kategorie nicht. Wenn Sie es lesen, ist die Handlung schon passiert.<\/strong><\/p>\n

    Das ist der strukturelle Grund, warum \u201edem Agenten mehr vertrauen” der falsche Ratschlag f\u00fcr 2026 Agentic AI ist. Die Frage ist nicht *wie viel* Vertrauen. Die Frage ist *wo* im Ablauf Vertrauen verifiziert wird \u2014 und bei irreversiblen Handlungen muss das vor der Handlung passieren, nicht danach.<\/p>\n

    Der neue Guardrail-Stack<\/h3>\n

    Was tats\u00e4chlich funktioniert, etwa in der Reihenfolge, in der die meisten KMU es einf\u00fchren sollten, folgt etablierter DevSecOps-Praxis, deren kanonisches Beispiel der Microsoft Security Development Lifecycle (SDL) ist. Keine dieser Ideen ist in der IT neu; neu ist, dass KMU jetzt Systeme betreiben, die solche Ma\u00dfnahmen verlangen.<\/p>\n

      \n
    1. Scope Limits:<\/strong> Was der Agent *nicht* anfassen kann, ist wichtiger als das, was er kann. Wenden Sie das Least-Privilege-Prinzip aus der Informationssicherheit an: nur lesende Zugangsdaten, wo Lesen gen\u00fcgt; eingeschr\u00e4nkte Ordner und Kan\u00e4le; OAuth-Scopes, die auf die tats\u00e4chliche Aufgabe zugeschnitten sind. Ein Agent, der das ganze gemeinsame Laufwerk l\u00f6schen *kann*, wird es fr\u00fcher oder sp\u00e4ter versuchen, bei genug Schritten und einem missverstandenen Prompt.<\/li>\n
    2. Kosten- und Ressourcendeckel<\/strong>:\u00a0 Eine entgleiste ReAct-Schleife oder ein fehlfunktionierender Agent kann dieselbe Aufgabe endlos wiederholen und Ihr Budget still und leise verbrennen \u2014 API-Kosten, Compute, Drittanbieter-Geb\u00fchren. Harte Grenzen pro Schritt, pro Sitzung und pro Tag lassen Agenten sicher scheitern statt teuer. Das ist das agentische \u00c4quivalent eines Sicherungsautomaten.<\/li>\n
    3. Best\u00e4tigungs-Workflows f\u00fcr irreversible Handlungen:<\/strong> Alles, was in die dritte Kategorie der Reversibilit\u00e4ts-Taxonomie f\u00e4llt, sollte einen expliziten menschlichen Freigabeschritt erfordern \u2014 idealerweise mit einer klaren Zusammenfassung dessen, was gleich passiert und was nicht r\u00fcckg\u00e4ngig zu machen ist.
      \nZwei-Stufen-Abl\u00e4ufe, der Agent bereitet die Aktion vor, ein Mensch best\u00e4tigt,\u00a0 sind unmodern, aber genau der Grund, warum Luftfahrt und Chirurgie noch funktionieren.<\/li>\n
    4. Dry-Run als Standard:<\/strong> Bei unbekannten Aufgaben lassen Sie den Agenten beschreiben, was er tun *w\u00fcrde*, bevor er es tut. Das f\u00e4ngt die meisten Missverst\u00e4ndnisse kostenlos ab. Es legt auch versteckte Annahmen offen, die der Prompt nicht spezifiziert hat.<\/li>\n
    5. Reibung nach Reversibilit\u00e4t abgestuft<\/strong>: Wenden Sie nicht denselben Freigabe-Workflow auf einen Mail-Entwurf an wie auf eine \u00dcberweisung. Stimmen Sie die Reibung auf den Schadensradius ab. Sonst wird die Reibung entweder abgeschaltet, weil die meisten Aktionen niedrige Stakes haben, oder die Leute brennen aus, weil sie alles freigeben.<\/li>\n
    6. Audit-Trail<\/strong>:\u00a0 Logs, Versionskontrolle, unver\u00e4nderliche Historie, datierte Snapshots. Die Frage ist nicht, *ob* etwas schiefl\u00e4uft, sondern *wann es bemerkt wird*. Drei Minuten Fehlverhalten eines Agenten sind heilbar. Drei Wochen sind ein Projekt. Drei Monate sind ein Aufsichtsfall.<\/li>\n
    7. Sandbox, wo es geht:\u00a0<\/strong> Testkonten, Staging-Umgebungen, getrennte Workspaces, gescopete Container. Die Kosten einer Sandbox sind fast immer niedriger als die Kosten *einer* falschen Aktion in der Produktion.<\/li>\n<\/ol>\n

      Das Neue an 2026\u00a0 Agentic AI sind nicht diese Praktiken. Neu ist, dass kleine und mittlere Unternehmen jetzt Systeme betreiben, die sie verlangen. Ohne die Infrastruktur-Teams, die in gr\u00f6\u00dferen Organisationen drumherum gewachsen sind.<\/p>\n

      Was das f\u00fcr Wissensarbeiter und KMU bedeutet<\/h3>\n

      Die F\u00e4higkeit, die gute Nutzer agentischer KI 2026 auszeichnet, ist nicht Prompting. Es ist Autorisierungs-Design<\/strong>: zu entscheiden, was der Agent unter welchen Bedingungen mit welcher Verifikation in wessen Namen tun darf.<\/p>\n

      Vier Fragen, bevor Sie irgendeine Aufgabe an einen Agenten delegieren:<\/strong><\/p>\n

      1. Was ist das schlimmstm\u00f6gliche Ergebnis, wenn das schiefgeht?<\/strong>
      \n2. Ist es reversibel? In welchem Zeitrahmen? Zu welchen Kosten?<\/strong>
      \n3. Wessen Name steht unter der Handlung, wenn sie passiert?<\/strong>
      \n4. Wie hoch ist meine Erkennungslatenz \u2014 wie lange dauert es, bis ich merke, dass etwas falsch l\u00e4uft?<\/strong><\/p>\n

      F\u00fcr kleine und mittlere Unternehmen ist das Wissensmanagement-Arbeit, nicht IT-Arbeit. Der Agent operiert auf Ihren Prozessen, Ihren Kundenbeziehungen, Ihren Daten, Ihrem Ruf. Die Architekturentscheidungen, was der Agent anfassen darf, wer was best\u00e4tigt, wo das Audit-Trail liegt, sind Entscheidungen dar\u00fcber, wie Ihr Unternehmen funktioniert, nicht nur dar\u00fcber, wie Ihre Tools konfiguriert sind.<\/p>\n

      Wenn Ihr Unternehmen agentische KI ausrollt, ohne explizite Antworten auf diese vier Fragen pro Anwendungsfall zu haben, dann setzen Sie keine Technologie ein. Sie setzen blind auf ein Verhalten, das Sie nicht charakterisiert haben.<\/p>\n

      Der rote Faden Ehrlichkeit<\/h3>\n

      Im letzten Artikel habe ich argumentiert, dass kl\u00fcgere Modelle nicht ehrlicher sind. Das hie\u00df: Solange das Modell nur spricht, ist Verifikation Ihre Aufgabe. Agentische Modelle ziehen das Argument weiter: Verifikation kann nicht mehr nachtr\u00e4glich passieren, weil die Handlung schon passiert ist.<\/strong><\/p>\n

      Damit wird strukturelle Verifikation, der Guardrail-Stack oben, zum neuen Ehrlichkeitsmechanismus. Nicht, weil das Modell vertrauensw\u00fcrdig geworden ist, sondern weil Sie eine Umgebung gebaut haben, in der seine unzuverl\u00e4ssigen Momente weniger kosten, als seine zuverl\u00e4ssigen einbringen.<\/p>\n

      Das ist es, was kalibriertes Vertrauen<\/strong> in der Praxis bedeutet. Es hei\u00dft nicht \u201emehr vertrauen”. Es hei\u00dft \u201eein System bauen, in dem die Konsequenzen fehlgeleiteten Vertrauens begrenzt, beobachtbar und behebbar sind.”<\/p>\n

      Zum Schluss<\/h3>\n

      Die KI ist nicht Ihr Partner. Sie ist Ihr hochf\u00e4higer Beauftragter. Sie sind nach wie vor der Auftraggeber \u2014 und 2026 f\u00e4ngt dieser Unterschied an, auf eine Weise wichtig zu werden, die zu erkl\u00e4ren die Anbieter nicht eilig haben.<\/strong><\/p>\n

      Autorisieren Sie entsprechend.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

      Der Wandel 2026 vom Gespr\u00e4ch mit KI zur Delegation \u2014 und Delegation hat Konsequenzen, \u00fcber die die Anbieter nicht reden. Stellen Sie sich eine Beratungsfirma mit 40 Mitarbeitenden vor, die einen automatisierten Assistenten so einrichtet, dass er eingehende Support-Mails liest, passenden Kontext aus dem Firmenwiki zieht und Antworten entwirft. Um Zeit zu sparen, schaltet das …<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[98,45,70],"tags":[40,100,47,51,49],"class_list":["post-257","post","type-post","status-publish","format-standard","hentry","category-agenticai-de","category-ai","category-ai-in-practice-de","tag-advice-de","tag-agenticai","tag-ai","tag-gpt","tag-llm"],"_links":{"self":[{"href":"https:\/\/knowtech.waszmann.com\/index.php?rest_route=\/wp\/v2\/posts\/257","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/knowtech.waszmann.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/knowtech.waszmann.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/knowtech.waszmann.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/knowtech.waszmann.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=257"}],"version-history":[{"count":4,"href":"https:\/\/knowtech.waszmann.com\/index.php?rest_route=\/wp\/v2\/posts\/257\/revisions"}],"predecessor-version":[{"id":261,"href":"https:\/\/knowtech.waszmann.com\/index.php?rest_route=\/wp\/v2\/posts\/257\/revisions\/261"}],"wp:attachment":[{"href":"https:\/\/knowtech.waszmann.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=257"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/knowtech.waszmann.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=257"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/knowtech.waszmann.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=257"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}