Der Europäische Datenschutzbeauftragte (EDSB) hat zum ersten Mal konkret benannt, was an KI-Agenten aus Datenschutzsicht problematisch ist. Im TechSonar-Bericht 2025-2026, veröffentlicht am 24. November 2025, stuft der EDSB agentische KI als eine von sechs aufkommenden Technologien mit erhöhtem Datenschutzrisiko ein. Statt allgemeiner Verweise auf DSGVO-Grundsätze listet der Bericht 12 spezifische Risiken auf, die herkömmliche Datenschutzkonzepte nicht abdecken: autonome Zweckänderung, unvorhersehbare Datenerfassung, kaskadierende Verzerrungen über Multi-Agenten-Ketten und fragmentierte Verantwortlichkeiten.
Das ist keine akademische Analyse. Der EDSB überwacht die Datenschutz-Compliance aller EU-Organe, Einrichtungen und Agenturen. Seine Einschätzungen beeinflussen direkt, worauf sich die nationalen Datenschutzbehörden als nächstes konzentrieren. Und mit der vollständigen Anwendbarkeit der Hochrisiko-Bestimmungen der EU-KI-Verordnung ab dem 2. August 2026 schließt sich ein regulatorisches Zeitfenster, das viele Entwickler noch nicht auf dem Schirm haben.
Die 12 Risiken, die der EDSB für KI-Agenten identifiziert hat
Der EDSB unterhält eine eigene TechSonar-Seite zu agentischer KI, die über den gedruckten Bericht hinausgeht. Eine wichtige Unterscheidung: KI-Agenten sind einzelne Systeme, die autonom Aufgaben ausführen und Werkzeuge nutzen. Agentische KI bezeichnet koordinierte Multi-Agenten-Systeme, die größere Ziele verfolgen. Beide tragen Datenschutzrisiken, aber Multi-Agenten-Architekturen vervielfachen sie.
Umfassender Datenzugriff und unvorhersehbare Erfassung
KI-Agenten, die in Betriebssysteme oder Unternehmensplattformen eingebettet sind, benötigen breiten Zugriff auf Datenspeicher, APIs und Kommunikationskanäle. Der EDSB stellt fest, dass es “herausfordernd ist, im Voraus zu bestimmen, welche personenbezogenen Daten erfasst werden, wie sie verwendet werden und zu welchen konkreten Zwecken.” Das untergräbt direkt den Zweckbindungsgrundsatz nach Art. 5 Abs. 1 lit. b DSGVO, weil die Verarbeitungskette zur Laufzeit entsteht statt vorab definiert zu werden.
Ein konkretes Beispiel: Ein Recruiting-Agent, der mit einer Stellenbeschreibung beginnt, greift im Laufe einer Aufgabe möglicherweise auf Kalenderdaten, interne Chat-Nachrichten und externe Gehaltsvergleichsportale zu. Keine Datenschutzerklärung deckt diesen Umfang ab, weil niemand ihn vorhergesehen hat.
Autonome Zweckänderung und umfassende Profilbildung
Der EDSB warnt ausdrücklich, dass KI-Agenten “autonom neue Verwendungszwecke für personenbezogene Daten bestimmen könnten.” Anders als bei herkömmlichen Systemen, in denen ein Entwickler jeden Verarbeitungsschritt codiert, kann ein Agent mit Tool-Zugriff sich eigenständig in Verarbeitungsaktivitäten hineinarbeiten, die niemand geplant hat. Kombiniert mit dem Risiko umfassender Profilbildung, bei der “personenbezogene Daten aus verschiedenen Quellen auf unvorhergesehene Weise kombiniert werden können, möglicherweise ohne Einwilligung der Nutzer,” entsteht eine Compliance-Lücke, die keine statische Datenschutz-Folgenabschätzung schließen kann.
Die spanische AEPD hat in ihrer 71-seitigen Leitlinie zu agentischer KI vom Februar 2026 diesen Punkt verstärkt: “Richtig gebaut, können agentische Systeme zu datenschutzfördernden Technologien werden; schlecht gebaut, werden sie zu Quellen für Datenschutzverletzungen.”
Transparenzversagen und Umsetzung von Betroffenenrechten
Zwei der handlungsrelevantesten EDSB-Erkenntnisse betreffen Transparenz und Betroffenenrechte. Der EDSB stellt fest, dass es “schwierig für Nutzer ist zu verstehen, wie personenbezogene Daten verwendet würden, welche Schlussfolgerungen aus personenbezogenen Daten gezogen würden und warum bestimmte Handlungen in ihrem Namen vorgenommen würden.” Das ist eine direkte Kennzeichnung der Informationspflichten nach Art. 13 und 14 DSGVO.
Schlimmer noch: Die Umsetzung von Betroffenenrechten wie Auskunft und Löschung wird “sehr schwierig zu erreichen,” wenn Daten durch mehrere Agenten fließen, die jeweils eigene Kontextfenster und Speicher unterhalten. Stellt ein Nutzer einen Löschantrag nach Art. 17 DSGVO, müssen dessen Daten in jedem Agenten-Speicher, jeder zwischengespeicherten Inferenz und jedem nachgelagerten System identifiziert und bereinigt werden.
Kaskadierende Verzerrungen und Verantwortungsfragmentierung
Die übrigen Risiken verstärken sich gegenseitig. Verzerrte Entscheidungen können durch mehrere autonome Aktionen kaskadieren, bevor sie erkannt werden. Verantwortlichkeiten fragmentieren sich über KI-Entwickler, einsetzende Organisationen und Nutzer. Personenbezogene Daten werden an Dritte weitergegeben, deren “eigenständige Datenerhebungs- und Verarbeitungspraktiken” dem ursprünglichen Verantwortlichen möglicherweise gar nicht bekannt sind.
Der EDSB fasst die Auswirkungen auf den Menschen unverhohlen zusammen: Diese Systeme riskieren, “die menschliche Würde und Autonomie zu untergraben, indem sie Einzelpersonen auf Datenpunkte reduzieren” und eine “manipulative Wirkung auf die betroffene Person” auszuüben.
Drei EDSB-Dokumente bilden den Compliance-Rahmen
Der EDSB hat zwischen Oktober und November 2025 drei zusammenhängende Leitlinien veröffentlicht, die zusammen einen Compliance-Rahmen für KI-Systeme bilden.
Überarbeitete Orientierungen zu generativer KI (28. Oktober 2025)
Die überarbeitete Leitlinie aktualisiert die ursprünglichen Orientierungen vom Juni 2024. EDSB Wojciech Wiewiórowski: “Künstliche Intelligenz ist eine Erweiterung menschlichen Erfindungsgeistes, und die sie regelnden Vorschriften müssen sich ebenso dynamisch weiterentwickeln.”
Für Agenten-Entwickler ist die Klärung der Verantwortlichen/Auftragsverarbeiter-Rollen der zentrale Punkt. In einer Multi-Agenten-Architektur mit Modellanbieter (OpenAI, Anthropic), Plattformschicht (LangChain, CrewAI), Unternehmensintegrator und externen API-Diensten stellt sich die Frage: Wer ist der Verantwortliche im Sinne der DSGVO? Die Antwort bestimmt, wer für Datenschutzverletzungen haftet, wer Auskunftsansprüche beantworten muss und wen die Bußgelder treffen.
Risikomanagement-Leitlinie für KI-Systeme (11. November 2025)
Die 55-seitige Risikomanagement-Leitlinie übernimmt ISO 31000:2018 als Methodik und behandelt fünf technische Kernbereiche: Fairness, Genauigkeit, Datenminimierung, Sicherheit und Betroffenenrechte.
Die stärkste Aussage im Dokument: Interpretierbarkeit und Erklärbarkeit werden als “conditio sine qua non” für DSGVO-Compliance bezeichnet. Nicht als empfohlene Praxis, sondern als unverzichtbare Voraussetzung. Für Agenten, die Entscheidungen über Menschen treffen, bedeutet das: Sie müssen nicht nur das Endergebnis erklären können, sondern die gesamte Entscheidungskette, inklusive aufgerufener Werkzeuge, abgerufener Daten und Einfluss von Zwischenergebnissen.
Vier Laufzeitkontrollen für jeden KI-Agenten
Die EDSB-Leitlinien sind bewusst prinzipienbasiert. Die IAPP-Analyse von Keivan Navaie (Lancaster University) hat diese Prinzipien in vier konkrete technische Kontrollen übersetzt.
Zweckbindungssperren und Zieländerungsgates
Agentenobjektive müssen als inspizierbare Objekte im System behandelt werden. Wenn sich der Handlungsspielraum eines Agenten während der Ausführung erweitert, muss das System die vorgeschlagene Änderung anzeigen, die Kompatibilität mit der ursprünglichen Rechtsgrundlage prüfen und entweder blockieren, eine Einwilligung anfordern oder an einen menschlichen Operator eskalieren.
Das ist unter dem EDSB-Rahmenwerk nicht optional. Die autonome Zweckänderung wurde ausdrücklich als Risiko benannt.
Lückenlose Ausführungsprotokolle
Jeder Agentenlauf braucht eine dauerhafte Aufzeichnung: den vom Agenten generierten Plan, jeden Tool- oder API-Aufruf, die verarbeiteten Datenkategorien, Datenziele (einschließlich Drittanbieterdienste) und Statusaktualisierungen. Das ist die technische Voraussetzung für Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) und die automatische Protokollierungspflicht der EU-KI-Verordnung.
Bitkoms Whitepaper zur Sicherheit von KI-Agenten vom Dezember 2025 zeigt, warum das dringend ist: 86% der getesteten Agenten führten in mindestens einem Angriffsszenario kritische oder schädliche Aktionen durch. Über 80% der erfolgreichen Angriffe basierten ausschließlich auf Textmanipulation (Prompt Injection), ohne technischen Zugang oder Codeänderungen.
Gestufte Speicher-Governance
Agentenspeicher muss in Stufen verwaltet werden: kurzlebiger Arbeitskontext mit strikten Löschfristen und langfristiges Wissen (Profile, Embeddings, erlernte Präferenzen), das zweckgebunden ist und Löschung als aufrufbare Operation unterstützt. Die EDSB-Warnung, dass “kontinuierliches Lernen aus dem Nutzerverhalten und das Teilen von Informationen zwischen mehreren KI-Agenten diese Risiken verstärken,” adressiert genau diesen Punkt.
Die spanische AEPD empfiehlt zusätzlich Speicher-Kompartimentierung pro Verarbeitungsaktivität und “Golden Testing”-Verfahren, um Verhaltensabweichungen bei lernenden Agenten zu erkennen.
Live-Zuordnung von Verantwortlichen und Auftragsverarbeitern
Ein Laufzeitregister muss die Rollen von Verantwortlichen und Auftragsverarbeitern pro Anwendungsfall auflösen, vertragliche Regelungen pflegen und grenzüberschreitende Datenpfade nachverfolgen. Wenn Agent A Agent B aufruft, der eine externe API in den USA abfragt, deren Ergebnisse Agent C nutzt, um eine EU-Datenbank zu aktualisieren, muss die Verantwortlichkeitskette dokumentiert und in Echtzeit prüfbar sein.
Verbindung zur EU-KI-Verordnung
Der EDSB hat seine Leitlinien ausdrücklich “unbeschadet der EU-KI-Verordnung” veröffentlicht. Aber das Timing ist kein Zufall. Am 2. August 2026 werden die Hochrisiko-Pflichten der KI-Verordnung vollständig durchsetzbar: Risikomanagementsysteme, menschliche Aufsicht, technische Dokumentation, automatische Protokollierung und Cybersicherheitsanforderungen.
EDSB Wiewiórowski hat auf dem IAPP Europe Data Protection Congress 2025 angekündigt, dass gemeinsame Leitlinien zum Zusammenspiel von DSGVO und KI-Verordnung mit dem EDSA und der Europäischen Kommission erarbeitet werden. Doppel-Compliance ist damit der neue Standard.
DSGVO-Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes kumulieren mit KI-Verordnungsbußgeldern von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes. Die kombinierte Bußgeldobergrenze für einen einzigen KI-Agenten, der personenbezogene Daten ohne ordnungsgemäße Dokumentation verarbeitet: 55 Millionen Euro.
Die Warnung der niederländischen Datenschutzbehörde vom Februar 2026 zu OpenClaw und ähnlichen Systemen zeigt, dass Aufsichtsbehörden das Agenten-Ökosystem bereits gezielt beobachten. Rund 20% der verfügbaren Plug-ins enthielten Schadsoftware.
Was Entwickler jetzt konkret tun sollten
Zwischen der Veröffentlichung der EDSB-Leitlinien und der KI-Verordnungs-Deadline liegen fünf Monate. Hier die Prioritätenliste:
Datenzugriffsumfang des Agenten auditieren. Jede Datenquelle, API und jedes System kartieren, auf das der Agent zugreifen kann. Wenn der Zugriffsumfang breiter ist als in Datenschutzerklärung und DSFA dokumentiert: Berechtigungen einschränken oder Dokumentation aktualisieren.
Zweckbindungssperren implementieren. Laufzeitprüfungen einbauen, die signalisieren, wenn die Verarbeitung eines Agenten vom erklärten Zweck abweicht. Das kann eine Whitelist zulässiger Tool-Aufrufe pro Aufgabentyp sein oder ein Classifier, der jeden Schritt gegen die ursprüngliche Nutzerintention bewertet.
Ausführungsprotokollierung von Anfang an einbauen. Jeder Tool-Aufruf, jeder Datenzugriff, jede Inferenz, protokolliert mit Zeitstempeln, Datenkategorien und Verarbeitungszwecken. Das ist das Minimum für Art. 30 DSGVO und Art. 12 KI-Verordnung.
Verantwortlichen/Auftragsverarbeiter-Zuordnung durchführen. Für jeden externen Dienst, den der Agent aufruft, klären: Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter? Dokumentieren und Auftragsverarbeitungsverträge nach Art. 28 DSGVO abschließen.
Budget für Compliance-Kosten einplanen. Branchenschätzungen beziffern den Compliance-Aufwand für produktive KI-Agenten, die sensible Daten verarbeiten, auf 8.000 bis 25.000 US-Dollar pro Agent: Verschlüsselung, Audit-Protokollierung, PII-Schutz und Datenaufbewahrungsrichtlinien.
Der globale Markt für agentische KI in Unternehmen soll von 3,6 Milliarden US-Dollar (2024) auf knapp 171 Milliarden US-Dollar (2034) wachsen, ein jährliches Wachstum von 47,2%. Der EDSB setzt darauf, dass Regulierung jetzt eine Datenschutzkrise später verhindert. Ob man dem Ansatz zustimmt oder nicht: der Durchsetzungsapparat steht, und die Fristen stehen fest.
Häufig gestellte Fragen
Was ist der EDSB TechSonar-Bericht zu agentischer KI?
Der EDSB TechSonar-Bericht 2025-2026, veröffentlicht am 24. November 2025, stuft agentische KI als eine von sechs aufkommenden Technologien ein, die besondere Datenschutzaufmerksamkeit erfordern. Er listet 12 spezifische Risiken auf, darunter autonome Zweckänderung, unvorhersehbare Datenerfassung, kaskadierende Verzerrungen und Verantwortungsfragmentierung in Multi-Agenten-Systemen.
Wie unterscheidet sich die EDSB-Leitlinie von allgemeinen DSGVO-Anforderungen für KI?
Die EDSB-Leitlinie adressiert spezifisch die Herausforderungen autonomer KI-Agenten: Laufzeitentscheidungen über Datenverarbeitung, Verantwortlichkeitslücken bei Multi-Agenten-Systemen, kontinuierliches Lernen aus Nutzerverhalten und die Unfähigkeit statischer Compliance-Dokumente, emergente Verarbeitungsaktivitäten abzudecken. Allgemeine DSGVO-Anforderungen setzen vordefinierte Verarbeitungsketten voraus, die Agenten konstruktionsbedingt durchbrechen.
Welche Bußgelder drohen KI-Agenten-Entwicklern unter DSGVO und KI-Verordnung kombiniert?
DSGVO-Bußgelder betragen bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Die EU-KI-Verordnung ergänzt Bußgelder von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes. Diese kumulieren, sodass die kombinierte Bußgeldobergrenze für einen einzelnen KI-Agenten, der beide Rahmenwerke verletzt, bei 55 Millionen Euro liegt.
Welche vier Laufzeitkontrollen werden für DSGVO-konforme KI-Agenten empfohlen?
Basierend auf den EDSB-Prinzipien sind die vier Kernkontrollen: (1) Zweckbindungssperren und Zieländerungsgates, die Umfangserweiterungen signalisieren, (2) lückenlose Ausführungsprotokolle für jeden Tool-Aufruf und Datenzugriff, (3) gestufte Speicher-Governance, die kurzlebigen Kontext von langfristigen Daten trennt, und (4) eine Live-Zuordnung von Verantwortlichen und Auftragsverarbeitern, die Datenverantwortlichkeit in Echtzeit nachverfolgt.
Ab wann gelten die Hochrisiko-Bestimmungen der EU-KI-Verordnung für KI-Agenten?
Die Hochrisiko-Pflichten der EU-KI-Verordnung werden ab dem 2. August 2026 vollständig durchsetzbar. Dazu gehören Anforderungen an Risikomanagementsysteme, menschliche Aufsicht, technische Dokumentation, automatische Protokollierung und Cybersicherheitsmaßnahmen. KI-Agenten, die personenbezogene Daten verarbeiten, müssen gleichzeitig DSGVO- und KI-Verordnungs-Anforderungen erfüllen.