/ Florian Stompe

Governance und AI Act: Warum du jetzt bauen musst, bevor du musst

Der AI Act wird als Compliance-Hürde diskutiert. Für agentische Systeme ist er etwas anderes: ein Gestaltungsrahmen, den du ohnehin brauchst.

governance ai-act compliance dsgvo

Der EU AI Act wird in Marketing-Diskussionen meist als Risiko verhandelt. Als etwas, das Projekte bremst. Als Compliance-Last, die auf den Tisch des Legal-Teams gehört.

Für agentische Systeme ist das eine Fehleinordnung. Die Governance, die der AI Act fordert, brauchst du ohnehin — wenn du willst, dass deine Agenten in sechs Monaten noch verantwortet werden können.

Was der AI Act wirklich regelt

Der AI Act teilt KI-Systeme in Risikoklassen: unakzeptabel (verboten), hochriskant (streng reguliert), begrenztes Risiko (Transparenzpflichten), minimales Risiko (keine spezifischen Pflichten).

Die Hochrisiko-Klasse ist eng gefasst. Sie trifft KI-Anwendungen in Bereichen wie Kreditscoring, Personalrekrutierung, Strafverfolgung, kritischer Infrastruktur. Klassische Marketing-Agenten landen dort nicht.

Sie landen meist bei „begrenztes Risiko”. Das bedeutet im Kern: Transparenzpflicht. Nutzer müssen erkennen können, dass sie mit einem KI-System interagieren. Das klingt überschaubar. Operativ hat es Folgen für Design, Tonalität und UX von allem, was dein Agent nach außen produziert.

Warum DSGVO Artikel 22 oft die härtere Kante ist

Für viele Marketing-Verantwortliche ist nicht der AI Act die größte Hürde, sondern DSGVO Artikel 22: das Verbot ausschließlich automatisierter Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung.

Die Auslegung ist streitig. Die deutschen Aufsichtsbehörden tendieren eher zu einer weiten Lesart. Ein Agent, der automatisch entscheidet, wer welches Angebot bekommt, welcher Preis gezeigt wird oder wer aus einer Kampagne ausgeschlossen wird, kann schon in den Anwendungsbereich fallen — je nach Konsequenz für die Betroffenen.

Die Folge ist nicht Verbot, sondern Gestaltungspflicht. Du brauchst eine tragfähige Rechtsgrundlage (Vertragserforderlichkeit, gesetzliche Erlaubnis oder ausdrückliche Einwilligung). Und du musst dem Betroffenen die Möglichkeit geben, die Entscheidung anzufechten und menschlich überprüfen zu lassen.

Nachträglich an einem laufenden Agenten nachzurüsten, ist schwer. Beim Entwurf mitgedacht, passt es sauber hinein.

Governance als Architektur-Prinzip

Das ist der Punkt, an dem Governance von einer Compliance-Frage zu einer Architektur-Frage wird. Vier Ebenen, die in der Praxis den Unterschied machen.

Entscheidungen protokollieren. Jede Entscheidung, die ein Agent trifft, muss nachvollziehbar sein: Welche Daten lagen vor, welches Modell wurde verwendet, welche Regel griff, welches Ergebnis kam heraus. Das ist nicht optional. Es ist die Grundlage jeder Nachfrage — von Betroffenen, von Aufsichtsbehörden, von dir selbst, wenn etwas schiefgeht.

Eingriffspunkte definieren. An welchen Stellen kann ein Mensch eingreifen? Bei welchen Entscheidungen muss er es? Das ist eine Design-Frage. Wer sie nicht beim Bau klärt, baut sie unter Druck nach — teurer, meist schlechter und oft erst nach einem Vorfall.

Transparenz nach außen. Wenn dein Agent mit Nutzern interagiert, müssen sie wissen, dass sie mit einem KI-System zu tun haben. Das ist AI Act. Es ist aber auch Markenarbeit. Verdeckte Agenten, die als Menschen auftreten, werden spätestens beim ersten Fehler zum Reputationsthema.

Datenbasis dokumentieren. Welche Daten fließen in die Entscheidungen des Agenten ein, woher stammen sie, gibt es eine Rechtsgrundlage? Das ist klassische DSGVO-Arbeit, aber agentische Systeme schärfen sie: Ein Agent, der selbstständig Daten zieht und verknüpft, macht Datenflüsse undurchsichtig, wenn du sie nicht explizit modellierst.

Der häufigste Einwand — und warum er nicht trägt

Ich höre regelmäßig: „Governance verlangsamt Innovation.” In der Praxis stimmt das Gegenteil.

Ein Agent ohne Protokollierung, ohne definierte Eingriffspunkte, ohne klare Datenbasis ist nicht schneller. Er ist nur undurchsichtiger. Beim ersten größeren Fehler — und Agenten machen Fehler — musst du den Betrieb stoppen, weil du nicht rekonstruieren kannst, was passiert ist. Das ist kein theoretisches Risiko, sondern die Stelle, an der viele Pilotprojekte hängen bleiben.

Ein Agent mit sauberer Governance lässt sich beobachten, debuggen, anpassen, skalieren. Das ist kein Kompromiss zwischen Innovation und Compliance, sondern die Voraussetzung dafür, dass der Agent überhaupt in den Regelbetrieb geht.

Drei Fragen, die du beantworten können musst

Wenn du heute einen Agenten baust oder betreibst, sind das die drei Fragen, an denen sich zeigt, ob Governance mitgebaut wurde:

  1. Welche Entscheidungen trifft der Agent autonom, welche gehen zur Freigabe, welche sind ausgeschlossen?
  2. Wo liegt der Audit-Trail, welche Felder enthält er, und wie lange wird er aufbewahrt?
  3. Was passiert, wenn ein Nutzer Widerspruch einlegt — wer ist zuständig, welcher Prozess greift, in welcher Frist wird reagiert?

Wenn eine dieser Fragen unklar ist, ist das der nächste Baustein — nicht das nächste Feature.

Kapitel 13 des Buchs behandelt Governance, AI Act und DSGVO aus der Architektur-Perspektive: Wie du regulatorische Anforderungen in das Design agentischer Systeme einbaust, ohne den Betrieb zu bremsen.

→ Zum Buch

Newsletter

Agentic Marketing Weekly

Jede Woche eine Perspektive auf Agentic Marketing — plus als Erstes die Info zur Buchveröffentlichung.

Jetzt abonnieren

← Alle Artikel