KI-Agenten-Workflows: Compliance ist Architektur
Mehrere KI-Agenten, die zusammenarbeiten, sind state-of-the-art — aber rechtlich anspruchsvoll. Du kombinierst AI-Act-Pflichten (Art. 26 Human Oversight, Art. 50 Kennzeichnung) mit DSGVO Art. 22 (keine vollautomatisierten Einzelentscheidungen). Ohne Audit-Trail kein Compliance-Nachweis.
Worum es geht
Multi-Agent-Systeme sind Programme, in denen mehrere KI-Agenten Aufgaben aufteilen — z.B. ein 'CEO-Agent' der Strategie plant, ein 'Engineer-Agent' der Code schreibt, ein 'Reviewer-Agent' der prueft. Klingt elegant, ist rechtlich heikel: Welcher Agent hat welche Daten gesehen? Wer hat die Entscheidung getroffen? Wer ist verantwortlich? Der AI Act verlangt Human Oversight an kritischen Entscheidungspunkten (Art. 26), die DSGVO verbietet vollautomatisierte Einzelentscheidungen ohne Opt-in (Art. 22). Beides zusammen: Approval-Gates an Stellen, wo es um Geld, Personen oder kundensichtbare Inhalte geht.
Was Pflicht ist
- Pro Agent-Lauf: vollstaendiges Log (Eingabe, Modell, Output, Zeitstempel, Tool-Calls)
- Approval-Gates an kritischen Entscheidungen (Hiring, Budget, Code-Deploy, Kundenkontakt)
- Memory-System fuer Audit-Trail (Continuous-Learning-Pattern, Insights, Improvements)
- Rollback-Moeglichkeit fuer jede Agent-Aktion (kein 'irreversibel by design')
- EU-hosted Modelle fuer sensible Workloads (Scaleway Paris, kein US-Anbieter)
- Tool-Rules pro Agent: welche APIs darf er aufrufen, welche Daten lesen, welche Aktionen tun
- Human Oversight Dashboard fuer Admin-Einsicht in Agent-Outputs vor Production
- Retention: KI-Prompts und Logs nach 30 Tagen loeschen (es sei denn rechtl. Aufbewahrung)
Was ich fuer dich uebernehme
- Architektur mit klaren Agent-Rollen (z.B. CEO/CTO/Engineer-Pattern), Tool-Rules pro Rolle
- Memory-System (Insights/Improvements als getrennte Kollektionen mit Audit-Bezug)
- Approval-Workflow vor Production-Aktionen (UI fuer Admin, E-Mail-Benachrichtigung)
- Audit-Logging in Postgres mit Such-UI: Agent, Lauf, Eingabe, Modell, Output, Zeit
- EU-hosted Modelle als Default (Scaleway Mistral, Pixtral) — US-LLMs nur per Opt-in
- AiBadge-Integration auf jedem KI-Output (DE+EN, sichtbar fuer Endnutzer)
- Dashboard mit Agent-Run-Historie und Filter (nach Agent, Datum, Status)
Rechtsgrundlage
Verordnung (EU) 2024/1689 (AI Act) · DSGVO Art. 22 · DSGVO Art. 30 (Verarbeitungsverzeichnis) · DSGVO Art. 35 (DSFA bei Profiling)
Haeufige Fragen
- Reicht eine einfache Logdatei als Audit-Trail fuer KI-Agenten?
- Theoretisch ja, praktisch nein. Eine flache Logdatei ist nicht durchsuchbar, nicht auditierbar, nicht zugriffsgeschuetzt. Die Aufsichtsbehoerde will im Ernstfall pro Lauf wissen: Welcher Agent? Welche Eingabe? Welches Modell? Welcher Output? Welche Tools? Strukturiertes Logging in Postgres mit Such-UI ist Mindeststandard fuer Compliance-Nachweis.
- Wann genau brauche ich ein Approval-Gate?
- Vor jeder Aktion mit Aussenwirkung: kundensichtbarer Inhalt (Blog-Post, E-Mail, Rechnung), Geld-Bewegung, Personalentscheidung, Code-Deploy in Produktion. Faustregel: 'Wuerde ich diesen Schritt einem unerfahrenen Mitarbeiter ohne Review erlauben?' — wenn nein, dann auch keinem KI-Agenten. Approval kann eine Ein-Klick-UI sein, muss aber dokumentiert (wer, wann, was).
- Warum EU-hosted Modelle, wenn OpenAI ja auch Vertraege anbietet?
- Aus drei Gruenden. (1) Drittlandstransfer kostet Compliance-Aufwand (TIA, SCCs, Risikoabwaegung — bei jeder Aenderung der Geschaeftsgrundlagen erneut). (2) Schrems-II-Risiko: US-Behoerden koennen US-Anbieter zwingen. (3) Datensouveraenitaet: bei sensiblen Workloads (Personalakten, Gesundheit, Strategiepapiere) ist 'in der EU bleiben' Goldstandard. Scaleway Mistral kostet aehnlich, vermeidet aber das ganze Drittland-Thema.
Brauchst du Unterstuetzung?
Lass uns 30 Minuten reden. Ich schaue mir deine Situation an und sage dir, was als Naechstes sinnvoll ist.
Termin vereinbaren