Gastkommentar ••• Von Thomas Peruzzi
MÜNCHEN. Künstliche Intelligenz wird immer autonomer. Doch wo Agentische KI – KI-Systeme, die selbstständig entscheiden und handeln – eigenständig personenbezogene Daten verarbeitet, rückt der Datenschutz in den Fokus. Denn Agenten agieren nicht nur auf Basis vordefinierter Regeln, sondern auch auf dynamisch gelernten Kontexten. Das wirft neue Fragen auf: Wer ist Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO)? Und wie werden Nachvollziehbarkeit und Rechenschaft gewährleistet, wenn der Handelnde kein Mensch mehr ist, sondern ein digitaler Agent? Bisherige Datenschutzmechanismen sind auf menschlich kontrollierte Prozesse ausgelegt. Wenn Agenten eigenständig Entscheidungen treffen, müssen Unternehmen nachweisen können, dass diese im Rahmen der erteilten Instruktionen gehandelt haben. Datenschutzrechtlich bedeutet das: Die Rechenschaftspflicht wird komplexer. Hier entstehen neue Anforderungen an Daten-Governance und technische Kontrollmechanismen.
Lücke im Rechtsrahmen
Die DSGVO und der AI Act bilden grundsätzlich einen soliden Rahmen hierfür. Doch sie adressieren vor allem „Systeme“, nicht handelnde Agenten mit eigenem Entscheidungsspielraum. Und: Das Zusammenspiel zwischen Datenschutzrecht und KI-Regulierung ist derzeit nicht abschließend geklärt. Insbesondere die Zuordnung von Verantwortlichkeiten und Haftung bleibt offen – etwa, wenn ein Agent auf Basis gelernter Daten rechtswidrig personalisiert oder Gebote abgibt.
Agenten-Überwachung
Wenn Agenten im Auftrag eines Unternehmens handeln, muss der „Auftraggeberstatus“ eindeutig festgelegt und überprüfbar sein. Künftig könnten Nachweispflichten entstehen, die technische Protokollierung, digitale Signaturen und agentenbasierte Audit-Trails verlangen. Der Fokus verschiebt sich von der bloßen Systemklassifizierung hin zur Überwachung agentischer Handlungen im operativen Betrieb. Insbesondere muss aufgezeigt werden können, welcher Agent wann, warum und auf wessen Weisung gehandelt hat. Denkbar sind technische „Agent Identity Layer“, die jeden Agenten eindeutig kennzeichnen und seine Handlungen kryptografisch signieren. So ließe sich belegen, dass ein Agent im Auftrag des Kunden tätig war – eine Voraussetzung für Transparenz, Auskunftsfähigkeit und zum Beispiel den Nachweis der Rechtmäßigkeit aller Verarbeitungen personenbezogener Daten.
„Digitale Vollmachten“
Wenn Agenten im Auftrag eines Unternehmens mit anderen Marktteilnehmern interagieren – etwa Gebote platzieren oder Smart Contracts schließen – müssen neue Formen von „digitalen Vollmachten“ und KYC-Verfahren entwickelt werden, um sicherzustellen, dass Agenten nur im Rahmen ihrer Legitimation handeln. Eine maschinelle Bestätigung („Agent X handelt im Auftrag von Advertiser Y“) könnte Teil zukünftiger TCF- oder API-Standards werden. Abseits der TCF-Signalisierung wird die Bestätigung der rechtmäßigen Datennutzung schwieriger. Agenten werden eigenständig Datenquellen bewerten und kombinieren – rechtlich bindende Nachweise müssen daher automatisiert erfolgen. Hier könnte eine Blockchain-ähnliche Datenherkunftsdokumentation die Einhaltung der DSGVO-Anforderungen unterstützen.
Neue Herausforderungen
Agentic AI eröffnet dem Programmatic Advertising enorme Effizienzpotenziale – stellt aber Datenschutz und datenschutzkonformes Handeln vor neue Herausforderungen. Verantwortlichkeiten, Nachweispflichten und Datenflüsse müssen technisch und regulatorisch neu gedacht werden.
