Letzte Woche hast du einen KI-Agenten in deinen Slack eingebaut. Er liest Nachrichten, erstellt Jira-Tickets, verschickt E-Mails — alles in deinem Namen. Niemand auf der Empfängerseite hat jemals ein Label gesehen mit dem Hinweis: "Diese Aktion wurde von einer KI ausgefuehrt." Niemand wurde um Einwilligung gebeten. Niemand hat irgendetwas offengelegt.
In Bruessel hat das jemand bemerkt.
Der EU AI Act — Europas umfassendes Gesetz zur Regulierung kuenstlicher Intelligenz — enthaelt Artikel 50, eine Reihe von Transparenzpflichten, die am 2. August 2026 durchsetzbar werden. Das sind 112 Tage ab heute. Die Regel ist simpel: Jedes KI-System, das mit einem Menschen interagiert, muss klar offenlegen, dass der Mensch es mit einer KI zu tun hat. Nicht in den AGB. Nicht in einer versteckten FAQ. Beim ersten Kontakt. Verstoesse werden mit Bussgeldern von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes geahndet — je nachdem, welcher Betrag hoeher ist. Bei schwerwiegenden Verstoessen gegen den gesamten AI Act steigt die Obergrenze auf 35 Millionen Euro oder 7 % des globalen Umsatzes.
Jetzt schau dir an, was allein in der letzten Woche gelauncht wurde. Am 8. April hat Anthropic Managed Agents vorgestellt — autonome KI-Agenten (Programme, die eigenstaendig in deinem Namen handeln, Entscheidungen treffen und Aktionen ausfuehren, ohne dass du jedes Mal auf "Bestaetigen" klickst) fuer 0,08 $ pro Session-Stunde plus Token-Kosten. Am selben Tag hat GitHub seinen Copilot Cloud Agent auf Mobile erweitert. Am 11. April hat Google das Agent Development Kit (ADK) veroeffentlicht — ein Open-Source-Framework fuer Multi-Agent-Systeme. Jede grosse Plattform liefert jetzt autonome Agenten aus. Keine davon liefert die Transparenzmechanismen mit, die Artikel 50 verlangt.
Hier liegt das Problem, das Compliance wirklich schwierig macht — und es ist nicht das gleiche Problem, das Agent-Registries loesen. Registries beantworten die Frage: "Welche Agenten existieren in unserer Organisation?" Artikel 50 beantwortet eine andere Frage: "Weiss der Mensch am anderen Ende, dass er mit einer Maschine spricht?" Wenn dein Agent einen Sub-Agenten startet — eine sekundaere KI, die eine Teilaufgabe uebernimmt — und dieser dann eine E-Mail an deinen Kollegen schickt: Wer genau legt was offen, gegenueber wem und wann? Ein Paper von Nannini et al., veroeffentlicht am 4. April auf arXiv, kartiert genau diese Luecke: "Wenn ein Agent im Namen seines Nutzers eine E-Mail versendet, ist der Empfaenger eine betroffene Person, die moeglicherweise nicht weiss, dass sie mit einem KI-System interagiert." Das Paper weist auch auf ein tieferes strukturelles Problem hin — der EU AI Act enthaelt keine Legaldefinition von 'KI-Agent', dennoch loesen Agenten funktional jede Transparenzpflicht im Gesetz aus. Wie AI News am 9. April berichtete, brauchen Organisationen "ein ausfuehrliches, zentralisiertes, moeglicherweise verschluesseltes Aufzeichnungssystem fuer alle agentischen KIs" — verstreute Textlogs werden kein Audit ueberstehen.
Der Praezedenzfall heisst DSGVO. Die Unternehmen, die als Erste konforme Einwilligungsflows gebaut haben — die Cookie-Banner, die Datenexport-Tools, die Datenschutz-Dashboards — haben die Vorlagen geschrieben, die die gesamte Branche kopiert hat. Eine europaeische Regel wurde innerhalb von etwa 18 Monaten zum globalen Produktdesign-Standard. Die finale Version des Code of Practice des EU AI Act (ein freiwilliges Compliance-Handbuch, das Unterzeichnern eine "Konformitaetsvermutung" gewaehrt) wird voraussichtlich im Juni 2026 veroeffentlicht — zwei Monate vor Inkrafttreten. Unternehmen, die daran mitschreiben, gestalten den Standard mit.
Der Tradeoff ist real. Volle Transparenz — jede Agenten-Aktion labeln, jeden Sub-Agent-Spawn offenlegen, asynchrone Workflows fuer Einwilligungen unterbrechen — droht die Produktivitaetsgewinne unter Friction zu begraben. Minimale Compliance riskiert Bussgelder und die Art von Nutzer-Backlash, die eintritt, wenn ein undurchsichtiger Agent spektakulaer versagt. Keines der beiden Extreme funktioniert. Die Antwort liegt irgendwo in der Mitte, und niemand hat sie bisher gefunden.
Wenn du heute irgendeinen KI-Agenten bei der Arbeit nutzt, hat dein Anbieter 112 Tage Zeit zu entscheiden, wie viel dieser Agent dir ueber sich selbst verraet. Diese UX-Entscheidung — ein Disclosure-Banner, ein Metadaten-Tag, ein Audit-Log — wird deinen Arbeitsalltag staerker veraendern als die reinen Faehigkeiten des Agenten es je koennten.
Die Aera autonomer Agenten startete ohne Transparenzstandard. Am 2. August wird einer vorgeschrieben. Der Anbieter, der Compliance zuerst liefert, schreibt die Regeln, die alle anderen kopieren.
