EU AI Act für AI Agents

Hinweis: Dieser Beitrag ist informativ und stellt keine Rechtsberatung dar. Provisorische Fristen aus dem Digital Omnibus sind klar als provisorisch markiert; bis zur formalen Veröffentlichung im EU-Amtsblatt (OJEU) bleiben die ursprünglichen Anwendungstermine der rechtliche Default.

Warum der EU AI Act für AI Agents relevant ist - obwohl er „Agenten" gar nicht kennt

Der EU AI Act - formell Verordnung (EU) 2024/1689 vom 13. Juni 2024 - ist die erste umfassende, horizontale KI-Regulierung der Welt. Veröffentlicht am 12. Juli 2024, in Kraft getreten am 1. August 2024, gilt sie als unmittelbar anwendbare Verordnung in allen Mitgliedstaaten. Für Entscheider in DACH-Unternehmen, die AI Agents einsetzen oder anbieten, ist die zentrale konzeptionelle Einsicht: Der AI Act definiert weder „AI Agent" noch „Agentic AI". Auch der Digital Omnibus vom 7. Mai 2026 hat keine Agenten-Definition eingeführt.

Agentic-AI-Systeme - also KI-Systeme, die planen, Tools aufrufen und mehrstufige Aktionsketten mit reduzierter menschlicher Beteiligung ausführen - werden indirekt erfasst, über vier rechtliche Anker:

• die allgemeine Definition des KI-Systems (Art. 3(1));
• die GPAI-Modellregeln (Art. 51-55) für die Foundation-Model-Ebene unter dem Agenten;
• den Annex-III-Hochrisikokatalog und die Transparenzschicht des Art. 50;
• die Wertschöpfungsketten-Regeln (Art. 25), wenn deployer-seitige Komposition, Fine-Tuning oder Prompt-Engineering zur wesentlichen Veränderung wird.

Die praktische Konsequenz, und zugleich die wichtigste Faustregel für jedes Compliance-Projekt: Klassifiziert wird nie „der Agent" als Architektur, sondern immer der konkrete Anwendungsfall (intended purpose). Ein „Office-Assistent" ist kein Rechtsobjekt - ein Agent, der CV-Screening durchführt, ist es sehr wohl.

Die Definition des KI-Systems - und warum jeder LLM-Agent darunter fällt

Ein „KI-System" ist nach Art. 3(1) ein maschinenbasiertes System, das mit unterschiedlichen Autonomiegraden betrieben wird, nach der Inbetriebnahme Anpassungsfähigkeit zeigen kann und aus den erhaltenen Eingaben ableitet, wie Ergebnisse - Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen - erzeugt werden, die physische oder virtuelle Umgebungen beeinflussen.

Die nicht-bindenden Leitlinien der Kommission zur Definition eines KI-Systems (C(2025) 924 final, veröffentlicht am 6. Februar 2025) zerlegen dies in sieben kumulative Elemente, wobei die Inferenzfähigkeit als das entscheidende, unverzichtbare Abgrenzungsmerkmal gegenüber gewöhnlicher Software gilt. Reine regelbasierte Systeme, einfache Optimierungsverfahren (lineare oder logistische Regression) und klassische Datenverarbeitung fallen mangels Inferenz heraus. Jeder ernstzunehmende AI Agent - LLM-gestützte Copilots, RAG-Systeme mit Tool-Use, autonome Multi-Agent-Orchestrierungen - erfüllt alle sieben Elemente. Klassische, deterministische RPA ohne Inferenz hingegen in der Regel nicht.

Die Risikopyramide: vier Stufen plus paralleles GPAI-Regime

Der AI Act schichtet KI-Systeme in vier Stufen, plus ein paralleles Regime für GPAI-Modelle. Die Stufen schließen einander nicht aus: Ein Agent kann gleichzeitig Art. 5, Art. 50 und - über sein Foundation Model - die GPAI-Regeln betreffen.

Die strategische Kernaussage: Die meisten Mittelstands-Agentendeployments liegen in den unteren beiden Stufen - mit einer kleinen, aber wirkungsstarken Teilmenge (HR, Kredit, Versicherung, kritische Infrastruktur, Medizin), die in Annex III oder Annex I landet.

Verbotene Praktiken (Art. 5) - die rote Linie

Acht Kategorien sind seit 2. Februar 2025 in der EU vollständig untersagt, bewehrt mit der höchsten Bußgeldstufe (bis 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes). Die für DACH-Agenten direkt relevanteste Verbotsnorm ist Art. 5(1)(f): Emotionserkennung am Arbeitsplatz - HR-Analytics-Agenten, die aus Video, Audio oder Biometrie auf Stimmung, Fokus oder Stress von Beschäftigten schließen, sind untersagt (enge Ausnahmen nur für medizinische und Sicherheitszwecke). Der Digital Omnibus fügte ein neuntes Verbot hinzu: KI-Systeme zur Erzeugung nicht-einvernehmlicher sexueller Inhalte und KI-generierten Materials über sexuellen Kindesmissbrauch; nicht-konforme Systeme müssen bis 2. Dezember 2026 vom Markt.

Hochrisiko Annex III - die acht Kategorien

Annex III nennt acht eigenständige Hochrisiko-Bereiche. Für AI Agents am wichtigsten:

• Beschäftigung und Personalmanagement (Punkt 4): Rekrutierung und Auswahl (CV-Screening), Leistungsbewertung, Beförderung, Kündigung, Aufgabenzuweisung.
• Wesentliche private und öffentliche Dienste (Punkt 5): Kreditwürdigkeitsprüfung und Credit Scoring (außer Betrugserkennung), Risikobewertung und Preisgestaltung bei Lebens- und Krankenversicherungen, Notruf-Triage.
• Kritische Infrastruktur (Punkt 2): KI als Sicherheitsbauteil bei Verkehr, Wasser, Gas, Strom, kritischer digitaler Infrastruktur.

Die übrigen Kategorien (Biometrie, Bildung, Strafverfolgung, Migration/Asyl, Justiz und demokratische Prozesse) sind für den typischen Mittelstand seltener relevant.

Art.-6(3)-Ausnahme: Selbst bei einem Annex-III-Anwendungsfall ist ein System nicht hochriskant, wenn es kein erhebliches Schadensrisiko birgt - etwa weil es eine eng umrissene Verfahrensaufgabe erfüllt, ein zuvor abgeschlossenes menschliches Ergebnis verbessert, Abweichungen erkennt, ohne die menschliche Bewertung zu ersetzen, oder eine vorbereitende Aufgabe erledigt. Profiling natürlicher Personen bleibt jedoch stets Hochrisiko (Art. 6(3) Unterabs. 2). Wer sich auf die Ausnahme stützt, muss die Begründung dokumentieren (Art. 6(4)) und die Einstufung in der EU-Datenbank registrieren (Art. 49(2)). Die zur praktischen Umsetzung vorgesehenen Art.-6(5)-Leitlinien waren ursprünglich bis 2. Februar 2026 fällig, blieben aber per Mai 2026 ausständig.

Beispiele: Wie konkrete AI Agents einzustufen sind

Eine wichtige agentenspezifische Eigenheit ist die Runtime-Risikodrift: Dieselbe Agentenplattform kann je nach zur Laufzeit angebundenem Tool-Inventar zwischen Risikostufen wechseln. Das Hinzufügen einer HR-Datenquelle kann einen minimal-riskanten Wissensagenten über Nacht in ein Annex-III(4)-Hochrisikosystem verwandeln. Die Klassifikation sollte daher bei jeder Tool-Konfigurationsänderung neu bewertet werden.

Deployer oder Provider? Art. 25 als Falltür

Für die DACH-Praxis ist die Rollenfrage entscheidend. Ein Deployer (Art. 3(4)) nutzt ein KI-System unter eigener Verantwortung - das ist die Standardrolle nahezu aller DACH-Mittelständler. Ein Provider (Art. 3(3)) entwickelt ein System und bringt es unter eigenem Namen in Verkehr oder nimmt es in Betrieb. Auch wer ein internes HR-Screening-System nur für den Eigengebrauch baut, „bringt es zwar nicht in Verkehr" - aber er „nimmt es in Betrieb", und die vollen Provider-Pflichten greifen.

Art. 25 ist die Falltür, durch die ein Deployer zum Provider wird - mit allen Pflichten aus Art. 16, inklusive Konformitätsbewertung und technischer Dokumentation nach Annex IV. Drei Auslöser:

1. Rebranding - das eigene Logo/Markenzeichen auf ein bereits am Markt befindliches Hochrisikosystem setzen (vertragliche Zuweisung kann dies nicht überschreiben);
2. wesentliche Veränderung nach Art. 3(23) - eine nicht in der ursprünglichen Konformitätsbewertung vorgesehene nachträgliche Änderung, die die Konformität mit Art. 8-15 berührt oder den Zweck ändert;
3. Zweckänderung zu Hochrisiko - ein zuvor nicht hochriskantes (oder ein GPAI-)System für einen neuen, nun hochriskanten Zweck einsetzen.

Für GPAI-Modelle führen die Kommissionsleitlinien vom 18. Juli 2025 eine indikative Schwelle ein: Eine nachgelagerte Modifikation mit mehr als einem Drittel der ursprünglichen Trainings-Compute gilt als wesentliche Veränderung. Standard-RAG, Prompt-Engineering und leichtes LoRA-Fine-Tuning liegen deutlich darunter. Die agentenspezifische Falle: Einen Agenten zu bauen, der ein Drittanbieter-GPAI mit eigenem Tool-Calling, Memory und Orchestrierung kombiniert, erzeugt meist kein neues GPAI-Modell - wohl aber ein neues KI-System, dessen Provider der Integrator ist. Das ist die häufigste Fehlklassifikation in DACH-Agentenprojekten.

Deployer-Pflichten (Art. 26) - der DACH-Mittelstandskern

Die zwölf operativen Pflichten des Art. 26 gelten nach ursprünglichem Zeitplan ab 2. August 2026, für die meisten Annex-III-Kategorien nach dem Digital Omnibus ab 2. Dezember 2027 (provisorisch). Die wichtigsten: Einsatz gemäß den Anbieter-Instruktionen (26(1)); menschliche Aufsicht durch kompetente, befugte Personen (26(2)); Monitoring und Suspendierung bei Risiko (26(5)); Aufbewahrung der automatisch erzeugten Logs für mindestens 6 Monate (26(6)); Information betroffener Personen bei Hochrisiko-Entscheidungen (26(11)); Kooperation beim Recht auf Erläuterung (26(12), i. V. m. Art. 86).

Das DACH-Spezifikum: Betriebsrat und Personalvertretung (Art. 26(7))

Art. 26(7) ist die in englischsprachiger Literatur am meisten unterschätzte Norm. Vor Inbetriebnahme eines Hochrisiko-KI-Systems am Arbeitsplatz sind Beschäftigte und ihre Vertretung zu informieren - was die nationalen Mitbestimmungsverfahren auslöst:

• Deutschland: § 87(1) Nr. 6 BetrVG gibt dem Betriebsrat ein echtes Mitbestimmungsrecht (nicht bloß Information) bei technischen Einrichtungen zur Verhaltens-/Leistungsüberwachung; §§ 90 und 95(2a) BetrVG verlangen Unterrichtung bzw. Beteiligung bei KI-gestützten Auswahlrichtlinien.
• Österreich: §§ 91 und 96 ArbVG begründen Mitwirkungsrechte der Personalvertretung/des Betriebsrats bei Personaldatensystemen und Kontrollmaßnahmen, die die Menschenwürde berühren.
• Schweiz: Mitwirkungsgesetz (Art. 9, 10) und OR 328b.

In der Praxis bedeutet das: Art.-26(7)-Information vor Inbetriebnahme, frühe Betriebsrats-/Personalvertretungskonsultation, oft mündend in eine Betriebsvereinbarung. Dies verlängert einen Hochrisiko-Rollout typischerweise um 3-6 Monate und sollte parallel zur FRIA gestartet werden.

Grundrechte-Folgenabschätzung (FRIA, Art. 27)

Art. 27 verpflichtet bestimmte Deployer zu einer eigenen Grundrechte-Folgenabschätzung (FRIA) - eine der wenigen substanziellen Eigenpflichten unabhängig von der Anbieterdokumentation. Betroffen sind öffentlich-rechtliche Stellen, private Erbringer öffentlicher Dienste sowie private Deployer von Annex-III-Systemen zu Kreditwürdigkeit (5(b)) und Lebens-/Krankenversicherungs-Pricing (5(c)). Kritische-Infrastruktur-Betreiber (Annex III(2)) sind ausdrücklich ausgenommen.

Die FRIA muss sechs Elemente enthalten (Art. 27(1)(a)-(f)): Prozessbeschreibung, Nutzungsdauer und -frequenz, betroffene Personengruppen, spezifische Schadensrisiken, menschliche Aufsichtsmaßnahmen sowie Governance- und Beschwerdemechanismen. Sie ist vor erstmaliger Nutzung durchzuführen, bei Faktenänderung zu aktualisieren und der Marktüberwachungsbehörde anzuzeigen (Art. 27(3)); der von der KI-Behörde zu entwickelnde Fragebogen (Art. 27(5)) war per Mai 2026 noch nicht finalisiert. Eine DSGVO-DSFA (Art. 35) deckt typischerweise nur 30-40 % der FRIA-Inhalte ab; eine integrierte DSFA-plus-FRIA ist Best Practice. Jedes Grundrecht ist eigenständig zu bewerten - ein positiver Effekt auf ein Recht kann einen negativen auf ein anderes nicht aufwiegen.

Transparenzpflichten (Art. 50) - ab 2. August 2026

Art. 50 liegt zwischen minimalem Risiko und Hochrisiko und gilt unabhängig von der Hochrisiko-Einstufung. Die materiellen Pflichten gelten ab 2. August 2026; die Übergangsfrist für die technischen Kennzeichnungs-/Wasserzeichenlösungen wurde durch den Digital Omnibus von sechs auf drei Monate verkürzt und endet am 2. Dezember 2026 (provisorisch, abhängig von formaler Annahme).

Die vier Pflichten: Art. 50(1) - Provider müssen KI-Systeme zur direkten Interaktion mit Menschen so gestalten, dass Nutzer informiert sind, dass sie mit KI interagieren (außer wenn aus dem Kontext offensichtlich; eng auszulegen). Art. 50(2) - Provider müssen synthetische Audio-, Bild-, Video- und Text-Ausgaben maschinenlesbar als KI-generiert kennzeichnen. Art. 50(3) - Deployer von Emotionserkennung/biometrischer Kategorisierung informieren die Betroffenen. Art. 50(4) - Deployer kennzeichnen Deepfakes sowie KI-generierte Texte zu Angelegenheiten von öffentlichem Interesse (Ausnahme bei menschlicher redaktioneller Verantwortung). Die Kommission veröffentlichte einen ersten Entwurf eines Verhaltenskodex zur Kennzeichnung am 17. Dezember 2025, einen zweiten am 3. März 2026 und Entwurfs-Leitlinien zu Art. 50 am 7.-8. Mai 2026.

GPAI-Pflichten (Art. 51-55) und der Code of Practice

Die GPAI-Regeln treffen die Modellebene unter jedem Agenten und gelten seit 2. August 2025; Bußgelder für GPAI-Provider (Art. 101) sind ab 2. August 2026 durchsetzbar. Alle GPAI-Provider müssen technische Dokumentation (Annex XI), nachgelagerte Dokumentation für Integratoren (Annex XII - der zentrale Wertschöpfungsketten-Anker für DACH-Agentenbauer), eine Urheberrechts-Policy und eine öffentliche Trainingsdaten-Zusammenfassung bereitstellen. Ab kumuliert 10^25 FLOP gilt ein Modell als GPAI mit systemischem Risiko (Art. 51(2)) mit Zusatzpflichten nach Art. 55.

Der GPAI Code of Practice vom 10. Juli 2025 schafft eine Compliance-Vermutung für Art. 53/55. Zu den 26 Unterzeichnern zählen Amazon, Anthropic, Google, IBM, Microsoft, OpenAI, Mistral AI, Aleph Alpha und Cohere; Meta hat nicht unterzeichnet. Für DACH-Deployer heißt das: Agenten auf Claude, Gemini, Azure OpenAI oder ChatGPT erben standardmäßig eine stärkere Compliance-Position, während der Einsatz von Llama-/Meta-Modellen die Sorgfaltslast erhöht.

Bußgelder und Durchsetzung in DACH

Für KMU gilt jeweils der niedrigere Betrag (Art. 99(6)); der Digital Omnibus dehnt diesen Schutz auf Small Mid-Caps (SMCs) aus. In Deutschland soll die Bundesnetzagentur (BNetzA) nach dem KI-MIG (Kabinettsentwurf 11. Februar 2026) zentrale Marktüberwachungsbehörde werden, mit der DAkkS als notifizierender Stelle; ihr KI-Service-Desk ist bereits faktischer erster Ansprechpartner. In Österreich fungiert die KI-Servicestelle bei RTR/KommAustria als Koordinationsstelle, eine vollwertige Marktüberwachungsbehörde ist in Vorbereitung. Die Schweiz kennt keine direkten AI-Act-Bußgelder; FINMA (Guidance 08/2024 verweist auf Art. 9-15 AI Act), FMA-Äquivalente und Swissmedic agieren sektoral. Über Art. 2(1)(c) können Schweizer Unternehmen jedoch erfasst werden, wenn ihre Agenten-Outputs in der EU genutzt werden.

Zeitachse und der Digital Omnibus

Der Digital Omnibus (politische Einigung Parlament/Rat am 7. Mai 2026, formale Annahme vor dem 2. August 2026 zugesagt) verschiebt die substanziellen Annex-III-Pflichten auf 2. Dezember 2027 und Annex-I-Pflichten auf 2. August 2028. Wichtig: Der Aufschub betrifft nur die Hochrisiko-Substanzpflichten. Nicht verschoben sind Art. 4 (Literacy), Art. 5 (Verbote), die GPAI-Regeln, Art. 50 (nur die technische Umsetzungsfrist wird gekürzt) und der Bußgeldrahmen. Bis zur OJEU-Veröffentlichung bleiben die ursprünglichen Termine des 2. August 2026 der rechtliche Default - eine zentrale Absicherung für jede DACH-Compliance-Roadmap. Renommierte Kanzleien (Latham & Watkins, Baker McKenzie, CMS, Gleiss Lutz, Bird & Bird) warnen konsistent: Der Aufschub ist kein Anlass, die Governance-Arbeit zu pausieren.

Praktische Handlungsempfehlungen für DACH-Entscheider

Die strategische Botschaft lautet: Die zusätzliche Zeit klug nutzen, nicht die Arbeit pausieren. Eine geschichtete Compliance-Haltung umfasst typischerweise:

1. AI Literacy zuerst (Art. 4) - rollenbasiertes, deutschsprachiges Programm, in das LMS integriert, mit dokumentierten Abschlüssen. Diese Pflicht ist seit Februar 2025 in Kraft, gilt für alle Risikostufen und ist für Behörden am leichtesten zu prüfen.
2. Use-Case-Register - jeder Agent mit Zweck, Klassifikationsmemo, Owner und Aufsichtsrolle; bei jeder Tool-Änderung neu bewerten (Runtime-Drift).
3. Vendor-Due-Diligence - Bestätigung der Anbieter-Compliance, CoP-Unterzeichnung des Foundation Models, Annex-XII-Dokumentation, vertragliche Art.-25-Zuweisung und Art.-73-Eskalationspfade.
4. Art.-50-Offenlegung gestalten - Chatbot-Hinweis („Sie chatten mit einem KI-Assistenten"), Kennzeichnung KI-generierter Inhalte, Deepfake-Labels.
5. Art.-26(7)-Prozess - Betriebsrats-/Personalvertretungskonsultation früh starten (3-6 Monate Vorlauf).
6. FRIA + DSFA integriert, wo Kredit, Versicherung oder öffentliche Dienste betroffen sind.

Der typische DACH-Mittelständler bleibt reiner Deployer, solange er das System im dokumentierten Zweck nutzt, das Modell nicht wesentlich verändert, nicht rebrandet und nicht zu einem neuen Annex-III-Zweck umwidmet. Die häufige Selbsttäuschung „Wir nutzen nur Microsoft 365 Copilot, also sind wir nicht betroffen" ist falsch: Wird Copilot zur Vorbereitung einer beschäftigungsbezogenen Entscheidung genutzt, landet der Deployer im Annex-III(4)-Bereich. Ebenso falsch: „Open Source ist ausgenommen" - die Ausnahme nach Art. 2(12) ist eng und gilt nicht für Hochrisiko-Anwendungen, GPAI mit systemischem Risiko oder Art.-50-Transparenz.

Erneuter Hinweis: Dieser Überblick ist informativ und ersetzt keine Rechtsberatung. Für die verbindliche Einstufung eines konkreten AI Agents - insbesondere bei Annex-III-Nähe, möglicher Art.-25-Reklassifizierung oder grenzüberschreitenden Schweizer Sachverhalten - ist eine fallbezogene rechtliche Prüfung erforderlich. Provisorische Fristen des Digital Omnibus stehen unter dem Vorbehalt der formalen Annahme vor dem 2. August 2026.