KI-Agenten und Datenschutz: Wenn autonome Systeme personenbezogene Daten verarbeiten (Teil 2).

Im ersten Teil dieser Beitragsserie drehte sich alles um die Frage, was KI-Agenten von herkömmlichen Chatbots unterscheidet: ihre Fähigkeit zur autonomen Planung, ihre Gedächtnisarchitektur und ihr Zusammenspiel in Multi-Agenten-Systemen. Doch mit jeder neuen Fähigkeit wachsen auch die Risiken. Denn je autonomer ein System agiert, desto größer wird die Frage nach der Verantwortung, wenn etwas schiefgeht.

Diese Frage ist längst keine theoretische mehr. KI-Agenten greifen auf interne Datenbanken zu, kommunizieren mit externen Cloud-Diensten, speichern Kontextinformationen in langfristigen Gedächtnisstrukturen und treffen dabei zunehmend autonome Entscheidungen. Die datenschutzrechtlichen Implikationen sind erheblich – und betreffen nahezu alle Bereiche der DSGVO-Compliance. Für Unternehmen, die KI-Agenten einsetzen oder dies planen, ist eine systematische Auseinandersetzung mit den Schwachstellen, Compliance-Anforderungen, Bedrohungen und geeigneten Maßnahmen unverzichtbar.

Wenn Software eigenständig handelt: Was agentische KI von herkömmlicher Software unterscheidet.

Um die Schwachstellen agentischer Systeme zu verstehen, lohnt sich zunächst ein Blick auf einen fundamentalen Unterschied zu klassischer Software.

Während klassische Software in der Regel festen, vorab programmierten Regeln folgt und damit weitgehend deterministisch arbeitet, treffen agentische KI-Systeme Entscheidungen auf Grundlage von Modellen, Wahrscheinlichkeiten und Kontextinformationen. Sie entscheiden autonom und probabilistisch, welche Datenquellen sie heranziehen, welche Tools sie einsetzen und welchen Code sie ausführen.

Ein weiterer wesentlicher Unterschied liegt im Grad der Autonomie. Herkömmliche Software führt typischerweise konkrete Befehle eines Nutzers aus und verfolgt keine eigenen Ziele. Agentische KI-Systeme hingegen können eigenständig Ziele verfolgen, Handlungsschritte planen und mehrere Zwischenschritte selbstständig generieren, um ein gewünschtes Ergebnis zu erreichen.

Auch hinsichtlich der Vorhersehbarkeit und Dynamik bestehen deutliche Unterschiede. Während sich das Verhalten klassischer Software in der Regel umfassend testen und vorher bestimmen lässt, erzeugen KI-Systeme häufig neue Inhalte, Entscheidungen oder Handlungsschritte, die nicht vollständig vorab definiert werden können. Dadurch entsteht eine größere Dynamik im Systemverhalten.

Schließlich unterscheiden sich beide Systemtypen auch in der Interaktion mit ihrer Umgebung. Klassische Software arbeitet häufig innerhalb klar abgegrenzter Systemstrukturen. Agentische KI-Systeme können hingegen aktiv mit anderen Systemen, Datenquellen oder digitalen Werkzeugen interagieren, externe Dienste nutzen und komplexe Prozessketten selbstständig auslösen.

 Die Achillesferse agentischer Systeme.

Aufgrund ihrer dynamischen Architektur und Funktionsweise gehen die mit dem Einsatz von KI-Agenten verbundenen Risiken über die bekannten Risiken ihrer einzelnen Komponenten – etwa von LLMs, APIs oder Datenbanken – hinaus. Erst das Zusammenspiel dieser Komponenten schafft ein Risikopotential, das größer ist als die Summe ihrer Einzelteile. Schwachstellen wirken dabei nicht isoliert, sondern verstärken sich gegenseitig – ein multiplikativer und kein bloß additiver Effekt.

 Ein zentrales Risiko von KI-Agenten liegt in ihrer Fähigkeit, aktiv mit ihrer Umgebung zu interagieren. Greifen sie auf E-Mails, Kundendatenbanken oder interne Listen – etwa Bewerber- oder Gehaltsübersichten – zu, verarbeiten sie schnell große Mengen personenbezogener Daten. Gleichzeitig kommunizieren sie über APIs mit externen Diensten und übermitteln dabei möglicherweise kritische Informationen, z. B. Informationen, die aufgrund vertraglicher oder gesetzlicher Pflichten vertraulich zu behandeln sind. Durch kontinuierliche (und unkontrollierte) Datenströme zwischen internen Systemen und externen Diensten und zunehmender Selbstständigkeit der Agenten steigt die Schwierigkeit, eine hinreichende Transparenz der Verarbeitungsvorgänge sowie eine wirksame menschliche Kontrolle sicherzustellen.

Die heterogene Struktur externe Diente – unterschiedliche Vertragsbedingungen, Versionen und Schnittstellen – erschwert eine konsistente Compliance erheblich. Während bei klassischer Software die datenschutzrechtlichen Rollen meist klar verteilt sind – etwa durch einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit einem Cloud-Dienst –, bricht dieses Modell bei KI-Agenten auf, weil der Agent zur Laufzeit autonom entscheidet, welche Dienste er in welcher Reihenfolge und mit welchen Daten anspricht. Die Verarbeitungskette steht daher nicht im Voraus fest, sondern entsteht situativ. Daten werden etwa in verschiedenen Rechtsräumen verarbeitet, an Subunternehmer weitergegeben oder unterliegen unterschiedlichen Aufbewahrungs- und Löschkonzepten. Kombiniert der Agent diese Dienste dynamisch, entsteht eine Verarbeitungskette, deren Gesamtkonformität schwer zu beherrschen ist.

Herausforderungen für die DSGVO-Compliance.

Die Architektur agentischer Systeme bringt mehrere datenschutzrechtlich relevante Besonderheiten mit sich und berührt nahezu jeden Aspekt der DSGVO-Compliance. Die Datenschutz-Grundverordnung baut auf zentralen Prinzipien wie Transparenz, Zweckbindung, Datenminimierung und Verantwortlichkeit auf. Autonome Multi-Agenten-Systeme stellen diese Grundprinzipien vor neue praktische Herausforderungen.

Die Black-Box-Problematik - Transparenz und Nachvollziehbarkeit nach Art. 5 Abs. 1 lit. a DSGVO.

Der Transparenzgrundsatz bildet einen zentralen Pfeiler des europäischen Datenschutzrechts. Art. 5 Abs. 1 lit. a DSGVO verpflichtet Verantwortliche dazu, personenbezogene Daten in einer Weise zu verarbeiten, die für betroffene Personen nachvollziehbar bleibt. Betroffene sollen verstehen können, welche Daten verarbeitet werden, zu welchen Zwecken dies geschieht und welche Folgen die Verarbeitung hat. Diese Transparenzpflicht konkretisieren insbesondere die Informationspflichten nach Art. 13 und Art. 14 DSGVO sowie dem korrespondierenden (und von Arbeitgebern „geliebten“) Auskunftsanspruch nach Art. 15 DSGVO.

Agentic AI führt hier zu erheblichen Schwierigkeiten. Agentische Systeme arbeiten häufig mit mehrstufigen Entscheidungsprozessen, bei denen mehrere Agenten miteinander interagieren. Jeder Agent analysiert Daten, generiert Zwischenergebnisse und übergibt diese an andere Komponenten des Systems. Die Gesamtentscheidung ergibt sich daher nicht aus einer einzelnen Verarbeitungshandlung, sondern aus einer Vielzahl miteinander verknüpfter Schritte.

Diese Architektur erschwert es erheblich, die konkrete Logik der Datenverarbeitung transparent darzustellen. Wenn Entscheidungen auf komplexen Interaktionen zwischen mehreren Agenten beruhen, verliert die Datenverarbeitung ihre intuitive Nachvollziehbarkeit. Betroffene Personen können dann häufig nicht mehr erkennen, welche Daten in welchem Verarbeitungsschritt verwendet wurden und wie das System zu einem bestimmten Ergebnis gelangt ist.

Wenn Entscheidungen nicht mehr erklärbar sind - Rechenschaftspflicht und Verantwortlichkeit nach Art. 5 Abs. 2 DSGVO.

Neben der Transparenz verlangt die DSGVO von Verantwortlichen auch eine umfassende Rechenschaftspflicht. Nach Art. 5 Abs. 2 DSGVO muss der Verantwortliche nicht nur die Einhaltung der Datenschutzgrundsätze gewährleisten, sondern diese Einhaltung auch nachweisen können. Diese Anforderung setzt voraus, dass sich Datenverarbeitungsvorgänge klar dokumentieren und einzelnen Akteuren zuordnen lassen. Verantwortliche müssen nachvollziehen können, wer welche Daten verarbeitet hat und welche Entscheidungen daraus resultierten.

Datenrichtigkeit nach Art. 5 Abs. 1 lit. d DSGVO und die Gefahr kaskadierender Fehler.

Ein weiterer zentraler Datenschutzgrundsatz betrifft die sachliche Richtigkeit personenbezogener Daten. Art. 5 Abs. 1 lit. d DSGVO verpflichtet Verantwortliche, sicherzustellen, dass personenbezogene Daten korrekt und auf dem neuesten Stand sind. Unrichtige Daten müssen unverzüglich berichtigt oder gelöscht werden.

Agentische Systeme können diesen Grundsatz vor neue Herausforderungen stellen. Da mehrere Agenten miteinander interagieren und ihre Ergebnisse gegenseitig weiterverarbeiten, können Fehler oder unzutreffende Annahmen leicht fortgeschrieben werden. Wenn ein Agent auf fehlerhaften Daten basiert oder eine falsche Bewertung vornimmt, übernehmen nachgelagerte Agenten diese Einschätzung häufig als Ausgangspunkt für weitere Entscheidungen. Auf diese Weise entstehen sogenannte kaskadierende Fehler. Ein einmal entstandener Fehler kann sich über mehrere Verarbeitungsschritte hinweg verstärken und schließlich in Entscheidungen münden, die erhebliche Auswirkungen auf betroffene Personen haben.

Die Sicherstellung der Datenrichtigkeit erfordert daher bei Agentic AI nicht nur die Kontrolle einzelner Datensätze, sondern eine kontinuierliche Überwachung der gesamten Verarbeitungskette.

Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO.

Der Grundsatz der Integrität und Vertraulichkeit verpflichtet Verantwortliche dazu, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen. Art. 5 Abs. 1 lit. f DSGVO verlangt insbesondere Schutz vor unbefugtem Zugriff, unrechtmäßiger Verarbeitung und unbeabsichtigtem Verlust.

Agentische Systeme weisen häufig eine komplexe Architektur auf, die mit zahlreichen Datenquellen, Schnittstellen und externen Tools interagiert. Diese technische Offenheit erweitert die Angriffsfläche für Sicherheitsrisiken erheblich. Ein besonderes Risiko stellen Manipulationsangriffe dar, bei denen Angreifer versuchen, die Entscheidungslogik der Systeme gezielt zu beeinflussen. Wenn ein Agent beispielsweise automatisiert Inhalte aus externen Quellen verarbeitet, können manipulierte Daten dazu führen, dass der Agent falsche Entscheidungen trifft oder sensible Informationen preisgibt. In Multi-Agenten-Systemen können sich solche Manipulationen zudem über mehrere Verarbeitungsschritte hinweg ausbreiten und dadurch weitreichende Auswirkungen auf ganze Entscheidungsprozesse entfalten.

Ein engmaschiges Risk Management ist unabdingbare Voraussetzung für den Einsatz Agentischer Systeme.

Wer trägt eigentlich die Verantwortung? Verantwortlichkeit und Rollenverteilung nach Art. 4 Nr. 7, Art. 26 und Art. 28 DSGVO.

Ein zentrales Strukturprinzip des europäischen Datenschutzrechts besteht in der klaren Zuweisung von Verantwortlichkeiten. Art. 4 Nr. 7 DSGVO definiert den Verantwortlichen als diejenige Stelle, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Diese Zuordnung bildet die Grundlage für sämtliche datenschutzrechtlichen Pflichten. Sie entscheidet darüber, wer Informationspflichten erfüllen muss, wer für Rechtsgrundlagen verantwortlich ist und wer gegenüber Betroffenen haftet.

In der Praxis moderner KI-Infrastrukturen lässt sich diese Zuordnung jedoch nicht mehr ohne Weiteres treffen. Agentische Systeme beruhen häufig auf einer mehrschichtigen technischen Architektur. Ein Anbieter stellt das zugrunde liegende KI-Modell bereit, eine Plattform betreibt die Agentenstruktur, ein Unternehmen integriert die Systeme in eigene Geschäftsprozesse und zusätzliche externe Dienste liefern Daten oder Funktionen. Innerhalb dieser Infrastruktur treffen mehrere technische Komponenten eigenständig Entscheidungen und greifen auf unterschiedliche Datenquellen zu.

Die tatsächliche Datenverarbeitung entsteht somit nicht durch eine einzelne Organisation, sondern durch das Zusammenwirken mehrerer Akteure innerhalb eines komplexen technischen Ökosystems. Wenn ein Agent Daten analysiert, ein weiterer Agent diese Ergebnisse bewertet und ein dritter Agent daraus operative Entscheidungen ableitet, entsteht eine Verarbeitungskette, deren rechtliche Verantwortlichkeit nicht ohne Weiteres einer einzelnen Stelle zugeordnet werden kann. Gerade in Multi-Agenten-Architekturen wird daher häufig unklar, welche Organisation die maßgebliche Entscheidung über Zwecke und Mittel der Datenverarbeitung trifft.

Für die datenschutzrechtliche Einordnung stellt sich damit regelmäßig die Frage, ob einzelne Beteiligte als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO handeln, ob mehrere Akteure gemeinsam verantwortlich sind oder ob einzelne Beteiligte lediglich als Auftragsverarbeiter tätig werden. Die Architektur agentischer Systeme verwischt diese Abgrenzung.

Fazit: Datenschutz als zentraler Bestandteil agentischer KI-Governance.

Agentic AI markiert einen wichtigen Entwicklungsschritt in der Nutzung künstlicher Intelligenz. Autonome Systeme können komplexe Prozesse automatisieren und Unternehmen erhebliche Effizienzgewinne ermöglichen.

Gleichzeitig verändern sie jedoch die Struktur der Datenverarbeitung grundlegend. Die Interaktion mehrerer autonomer Agenten erschwert Transparenz, Verantwortungszuordnung und Kontrolle. Zudem entstehen neue Risiken durch inferenzbasierte Datenverarbeitung, kaskadierende Fehler und komplexe Sicherheitsbedrohungen.

Unternehmen, die agentische KI einsetzen möchten, müssen diese Risiken frühzeitig in ihre Datenschutzstrategie integrieren. Verantwortliche müssen technische Entscheidungsstrukturen dokumentieren, Rollenverteilungen vertraglich regeln und Kontrollmechanismen etablieren, die eine eindeutige Zuordnung von Datenverarbeitungsschritten ermöglichen. Technische Architektur, organisatorische Governance und rechtliche Compliance müssen eng miteinander verzahnt werden.

Sie wollen wissen, wie sich technologische Innovation und rechtliche Sicherheit praxisnah verbinden lassen? Dann besuchen Sie unseren Workshop