Die Rufe nach mehr Unabhängigkeit von den großen globalen Software-Konzernen werden lauter und Regularien in Europa strenger. Gleichzeitig verspricht agentische KI enorme Effizienzgewinne. Doch wie lässt sich die Autonomie der Agenten mit digitaler Souveränität in Einklang bringen? Ein Kommentar von Nico Bäumer, Vorstand und CTO bei d.velop.
Wenn es um Technologie geht, werden aktuell in Deutschland und Europa zwei Themen besonders heiß diskutiert: KI-Agenten und digitale Souveränität. Auf den ersten Blick könnten diese beiden Trends unterschiedlicher kaum sein. Während digitale Souveränität sehr viel mit Kontrolle zu tun hat, geht es bei KI-Agenten darum, dass sie selbst handeln, oder sogar eigenständige Entscheidungen treffen.
Schnell kommt dann auch die Frage auf, ob Europa durch das Beharren auf dem Souveränitätsprinzip Innovationen versäumt. Oder droht andererseits die Dystopie einer außer Kontrolle geratenen, unkontrollierbaren KI? Aus einer technologischen Frage wird dann nicht selten auch noch eine kulturelle Dimension abgeleitet, die asiatische Innovationskraft und amerikanischen Unternehmergeist europäischer Zurückhaltung oder gar Rückständigkeit gegenüberstellt.
Akademisierende Diskussionen auf diesem Niveau können wir uns in der Praxis allerdings nicht mehr leisten. Schließlich ist beides Realität: Geopolitische Spannungen, die Abhängigkeiten hinterfragen lassen, und KI-Agenten, die immer leistungsfähiger und zum festen Bestandteil von Unternehmensstrategien werden. Für uns als IT-Dienstleister geht es darum, wie wir einen Mittelweg finden können, der die kontrollierte und Compliance-konforme Nutzung von KI-Agenten für europäische Unternehmen ermöglicht.
Die Entkopplung von KI-Agent und KI-Modell
Aus der privaten und teilweise auch beruflichen Nutzung generativer KI sind es viele Menschen gewohnt, „künstliche Intelligenz“ mehr oder weniger synonym mit einem bestimmten Anbieter oder Modell zu verwenden – man nutzt ChatGPT, Claude, Copilot, Gemini etc. Viele Anwender bleiben ihrem präferierten Chatbot treu. Um Unternehmens-KI und vor allem Agenten für Unternehmen besser zu verstehen, müssen wir uns von diesen Vorstellungen lösen. Dies beginnt damit, dass es sich bei Agenten in Unternehmen in den meisten Fällen nicht um eine monolithische All-in-one-Lösung handelt.
Das wird der Realität von gewachsenen und regulierten Geschäftsprozessen nicht gerecht. Stattdessen geht es darum, KI so in diese Prozesse zu integrieren, dass sie dort im Rahmen konkreter Anforderungen direkt Mehrwert liefert. Agenten, die darauf ausgelegt sind, können hochspezialisiert sein. Somit muss gar nicht immer ein Large-Language-Model (LLM) im Hintergrund laufen, auch Zugriff auf das Internet ist nicht zwingend notwendig. Ein KI-Agent kann auch auf einem lokalen Small-Language-Model (SLM) basieren und nur mit unternehmenseigenen Daten arbeiten. Dies wäre das höchste Level an Souveränität – für viele Anwendungsfälle aber weder wirtschaftlich sinnvoll noch notwendig.
Wichtig ist deshalb, dass Unternehmen die Flexibilität und Wahlfreiheit haben, wie sie die in ihre Software integrierten Agenten betreiben wollen. APIs und offene Interoperabilitätsstandards sorgen dafür, dass verschiedene Modelle angebunden werden können – von lokal gehostet, über europäische Anbieter in heimischen Clouds bis hin zu den großen LLMs. Die Wahlfreiheit und Austauschbarkeit machen einen großen Teil von Souveränität aus. Außerdem trägt dieser Aspekt zur Resilienz von Infrastrukturen bei, wie sie beispielsweise durch Regularien wie DORA gefordert wird.
Souveränität umfasst dabei mehr als die Wahl des Modells. Sie betrifft den gesamten Agenten-Stack: die Kontrolle über Unternehmensdaten, die Orchestrierungsebene, die definierten Aktionen und Werkzeuge eines Agenten sowie die Nachvollziehbarkeit seiner Entscheidungen. Eine belastbare Souveränitätsstrategie berücksichtigt all diese Aspekte – und nicht nur die Frage, welches LLM im Hintergrund läuft.
Human-in-the-Loop und KI-Agenten im Prozess
Ganz oben bei den Befürchtungen bezüglich KI-Agenten rangiert die Angst, dass sie eigenständig Entscheidungen treffen, die dem Unternehmen oder sogar Menschen schaden. Für dieses Szenario müsste allerdings zuvor ein menschlicher Nutzer die relevanten Zugänge zu sensiblen Daten an den Agenten übergeben und anschließend komplett auf den letzten menschlichen Freigabeschritt verzichten. Um das zu verhindern, werden die Mitarbeitenden einiger Branchen nicht nur entsprechend geschult, sondern auch regulatorisch ist der Human-in-the-Loop-Ansatz vorgeschrieben. Beispielsweise kann KI zwar die Vorarbeit für Kreditformalitäten im Finanzwesen erledigen, die endgültige Entscheidung, ob der Kredit gewährt wird, muss aber immer bei einem Menschen liegen.
Entscheidend ist, dass Human-in-the-Loop kein binäres Prinzip ist, sondern ein abgestuftes Vorgehen je nach Risiko. Je nach Prozess und Risikoklasse reicht das Spektrum vom reinen Vorschlag, den ein Mensch prüft, über freigabepflichtige Aktionen bis hin zu definierten Routineaufgaben, in denen der Agent eigenständig innerhalb klarer Grenzen handelt – stets mit vollständigem Audit-Trail. Diese Abstufung ist die eigentliche Designfrage beim Einsatz von KI-Agenten im Unternehmen.
Hinzu kommt die Integration in Geschäftsprozesse. Viele spezialisierte Agenten, die in diesen Strukturen definierte Aufgaben übernehmen, wirken deutlich weniger dystopisch als eine „autonome Super-KI“, die nach dem Black-Box-Prinzip nicht nachvollziehbare Entscheidungen trifft und direkt handelt. So kann man davon ausgehen, dass es zukünftig sehr viel mehr Agenten geben wird, die sich durch hohe Spezialisierung, tiefe Integration und menschliche Aufsicht auszeichnen. Dadurch und durch die Wahlfreiheit sowie Austauschbarkeit von Modellen, lässt sich digitale Transformation mit der Forderung nach Souveränität vereinen.
Souveränität ist dabei kein Zustand, sondern eine Architekturentscheidung – und sie hat einen Preis, etwa in zusätzlicher Komplexität oder Qualitätsunterschieden zwischen Modellen. Für europäische Unternehmen ist diese Investition in vielen Fällen nicht nur strategisch sinnvoll, sondern regulatorisch geboten. Die zentrale Frage für Entscheider lautet deshalb nicht mehr „Souveränität oder Innovation?“, sondern: Welche Agenten-Architektur sichert beides – heute und bei wechselnden Rahmenbedingungen?
#d_velop
