← News
DE

AEPD veröffentlicht umfassende Leitlinien zu agentiver KI und Datenschutz: Was Datenschutzbeauftragte wissen müssen

Agentive KI ist kein theoretisches Konzept mehr. Die AEPD hat ein 81-seitiges Leitliniendokument veröffentlicht, das die datenschutzrechtlichen Herausforderungen durch agentive KI behandelt – eine der ersten umfassenden regulatorischen Veröffentlichungen in der EU zu diesem Thema.

Einführung

Agentische KI ist kein theoretisches Konzept mehr, das auf Forschungsarbeiten beschränkt ist. Organisationen setzen bereits KI-Systeme ein, die eigenständig Aufgaben planen, auf Unternehmensdatenbanken zugreifen, mit externen Diensten interagieren und Entscheidungen mit minimaler menschlicher Intervention ausführen. Die datenschutzrechtlichen Auswirkungen sind erheblich – und bis vor Kurzem gab es praktisch keine regulatorischen Leitlinien dazu, wie diese Systeme gemäß der DSGVO zu regeln sind.

Dies änderte sich am 18. Februar 2026, als die spanische Datenschutzbehörde (Agencia Española de Protección de Datos, AEPD) ein 81-seitiges Leitliniendokument veröffentlichte, das sich speziell mit den datenschutzrechtlichen Herausforderungen durch agentische KI befasst. Dies ist eine der ersten umfassenden regulatorischen Veröffentlichungen in der EU, die sich direkt mit der Schnittstelle zwischen autonomen KI-Agenten und dem Datenschutzrecht auseinandersetzt.

Für Datenschutzbeauftragte (DSB) ist diese Leitlinie ein Muss. Selbst wenn Ihre Organisation außerhalb Spaniens tätig ist, basiert die Analyse der AEPD auf der DSGVO – was sie direkt für den gesamten Europäischen Wirtschaftsraum und darüber hinaus relevant macht. Dieser Beitrag fasst die wichtigsten Punkte zusammen, hebt die umsetzbarsten Empfehlungen hervor und skizziert konkrete Schritte, die DSB als Reaktion ergreifen sollten.

Was ist agentische KI laut AEPD?

Die AEPD definiert agentische KI als Systeme, die große Sprachmodelle (LLMs) nutzen, um spezifische Ziele zu erreichen, indem sie ihr Verhalten basierend auf sich entwickelnden Zielen und Umgebungsbedingungen anpassen. Dies ist eine bewusste und präzise Formulierung – sie unterscheidet agentische KI von einfachen Chatbot-Schnittstellen oder statischer regelbasierter Automatisierung.

Die Leitlinie identifiziert sechs definierende Merkmale agentischer KI:

  1. Autonomie – Das System arbeitet eigenständig und trifft Entscheidungen, ohne dass schrittweise menschliche Anweisungen erforderlich sind.
  2. Umweltwahrnehmung – Es nimmt Daten aus seiner Betriebsumgebung auf und interpretiert sie (E-Mails, Kalender, Datenbanken, APIs, Webinhalte).
  3. Handlungsfähigkeit – Es empfiehlt nicht nur, sondern führt auch aus. Es kann E-Mails versenden, Reisen buchen, Datensätze ändern oder Workflows auslösen.
  4. Proaktivität – Es antizipiert Bedürfnisse und initiiert Aktionen, anstatt auf explizite Befehle zu warten.
  5. Planung und Schlussfolgerung – Es zerlegt komplexe Ziele in Teilaufgaben und ordnet sie logisch an.
  6. Gedächtnis und Anpassungsfähigkeit – Es behält den Kontext über Sitzungen hinweg bei und passt sein Verhalten basierend auf früheren Interaktionen an.

Um dies zu veranschaulichen, verwendet die AEPD ein praktisches Beispiel: einen KI-Agenten, der mit der Organisation einer Geschäftsreise eines Mitarbeiters beauftragt ist. Dieser einzelne Agent greift eigenständig auf den Kalender des Mitarbeiters zu, kontaktiert Hotels, kauft Flugtickets, überwacht Wetterbedingungen und passt Pläne entsprechend an. Das Beispiel ist bewusst gewählt – es ist alltäglich genug, um realistisch zu wirken, zeigt aber sofort die datenschutzrechtlichen Komplexitäten auf. Im Rahmen einer einzigen Aufgabe verarbeitet der Agent personenbezogene Daten aus mehreren Quellen, interagiert mit Drittdiensten, trifft Entscheidungen, die die betroffene Person betreffen, und speichert Informationen über die Zeit hinweg.

Was die Leitlinie abdeckt

Das AEPD-Dokument ist umfassend. Es ordnet agentische KI den Kernpflichten und operativen Anforderungen der DSGVO zu und behandelt:

  • Rollen von Verantwortlichen und Auftragsverarbeitern – Wer ist der Verantwortliche, wenn ein KI-Agent eigenständig einen Drittdienst in Anspruch nimmt? Die Leitlinie untersucht, wie das traditionelle Rahmenwerk von Verantwortlichen und Auftragsverarbeitern unter autonomen Multi-Agenten-Architekturen leidet, bei denen ein KI-System, kein Mensch, Unterauftragsverarbeiter auswählt.
  • Transparenzpflichten – Wie können Sie betroffenen Personen sinnvolle Informationen bereitstellen, wenn der Entscheidungsprozess des KI-Agenten undurchsichtig oder emergent ist? Die Leitlinie betont, dass Transparenz die Logik des Agenten umfassen muss, nicht nur die Existenz der automatisierten Verarbeitung.
  • Rechte der betroffenen Personen – Die Ausübung von Rechten wie Auskunft, Löschung oder Berichtigung wird erheblich komplexer, wenn personenbezogene Daten über das Gedächtnis des Agenten, externe Tool-Aufrufe und Drittsysteme verteilt sind.
  • Verzeichnis von Verarbeitungstätigkeiten (VVT) – Agentische KI erschwert die Pflege des VVT, da der Agent dynamisch neue Verarbeitungstätigkeiten erstellen kann, die zum Zeitpunkt des Designs nicht vorhergesehen wurden.
  • Automatisierte Entscheidungsfindung – Die Auswirkungen von Artikel 22 DSGVO, wenn Agenten Entscheidungen treffen oder maßgeblich beeinflussen, die Einzelpersonen betreffen.
  • Datenschutz-Folgenabschätzungen (DSFA) – Die Leitlinie macht deutlich, dass der Einsatz von agentischer KI fast sicher die DSFA-Pflicht nach Artikel 35 auslöst, angesichts der systematischen Überwachung, der großflächigen Verarbeitung und der neuartigen Technologie.
  • Management von Datenschutzverletzungen – Wie Datenschutzverletzungen in Systemen erkannt, eingedämmt und gemeldet werden können, in denen der KI-Agent selbst der Vektor oder die Schwachstelle sein kann.

Datenschutzschwachstellen: Die Angriffsfläche ist anders

Einer der wertvollsten Abschnitte der AEPD-Leitlinie ist die detaillierte Analyse von Datenschutzschwachstellen, die spezifisch für agentische KI sind. Das Dokument kategorisiert Risiken in drei Gruppen:

Autorisiertes Risiko (Risiken aus legitimer Nutzung)

Selbst bei bestimmungsgemäßem Betrieb führt agentische KI Datenschutzrisiken ein, die traditionelle Systeme nicht haben. Die AEPD hebt hervor:

  • Mangelnde Verantwortlichkeit – Wenn ein KI-Agent eigenständig mehrere Aktionen verknüpft, wird es schwierig, spezifische Verarbeitungsentscheidungen einem verantwortlichen Menschen zuzuordnen.
  • Schlechte Datenzugriffsverwaltung – Agenten benötigen oft breiten Datenzugriff, um effektiv zu funktionieren, was Spannungen mit dem Prinzip der geringsten Rechte erzeugt.
  • „Schattenleck-Exfiltration“ – Ein besonders besorgniserregendes Konzept: Der Agent könnte unbeabsichtigt personenbezogene Daten an externe Dienste oder Kontexte während des normalen Betriebs weitergeben, ohne böswillige Absicht. Beispielsweise könnte ein Agent, der eine Hotel-API abfragt, diätetische Einschränkungen, Gesundheitsinformationen oder Reisegewohnheiten eines Mitarbeiters an einen Dritten übermitteln, ohne explizite Anweisung dazu.

Unautorisierte Risiken (Angriffsvektoren)

Die Leitlinie katalogisiert spezifische Angriffsvektoren, die einzigartig für oder durch agentische Architekturen verstärkt werden:

  • Prompt-Injection – Manipulation der Anweisungen des Agenten durch gezielte Eingabedaten.
  • Memory-Poisoning – Korruption des persistenten Gedächtnisses des Agenten, um zukünftiges Verhalten zu ändern.
  • Session-Hijacking – Übernahme einer aktiven Agentensitzung, um dessen Aktionen umzuleiten.
  • Privilegieneskalation – Ausnutzung der Zugriffsrechte des Agenten, um Daten oder Systeme zu erreichen, die über den beabsichtigten Umfang hinausgehen.

Resilienzrisiken

  • Abhängigkeit von externen Diensten – Agentische KI verlässt sich oft auf Drittanbieter-APIs, Cloud-Dienste und Modellanbieter. Störungen oder Kompromittierungen eines Glieds in der Kette können kaskadieren.
  • Denial-of-Service-Angriffe – Angriffe auf die Infrastruktur des Agenten, um Betriebsstörungen zu verursachen oder Fallback-Verhalten zu erzwingen, das weniger datenschutzfreundlich sein kann.

Was dies für DSB bedeutet

Die AEPD-Leitlinie vermittelt eine klare Botschaft: Der DSB muss frühzeitig und substanziell in jeden Einsatz von agentischer KI eingebunden sein. Dies ist keine Compliance-Checkbox-Übung.

Governance muss maßgeschneidert sein

Die Leitlinie fordert einen maßgeschneiderten Informations-Governance-Rahmen – keine generelle KI-Richtlinie, die an bestehende Dokumentation angehängt wird. Der DSB sollte ein Schlüsselarchitekt dieses Rahmens sein und sicherstellen, dass er die spezifischen Merkmale agentischer Systeme adressiert: ihre Autonomie, ihr Gedächtnis, ihre Fähigkeit, externe Dienste zu nutzen, und ihre Kapazität, dynamisch neue Verarbeitungstätigkeiten zu erstellen.

Kontinuierliche Bewertung, keine einmalige Prüfung

Traditionelle Compliance-Ansätze – eine DSFA durchführen, dokumentieren, jährlich überprüfen – sind für agentische KI unzureichend. Die AEPD empfiehlt eine kontinuierliche evidenzbasierte Bewertung, einschließlich automatisierter Überwachung des Agentenverhaltens, regelmäßiger Benchmarking gegen erwartete Ergebnisse und sinnvoller menschlicher Überwachung. Dies verschiebt die Rolle des DSB vom periodischen Prüfer zum kontinuierlichen Überwacher.

Datenminimierung erfordert aktive Durchsetzung

Agentische KI-Systeme sind von Natur aus datenhungrig. Sie funktionieren besser mit mehr Kontext, mehr Gedächtnis, mehr Zugriff. Die AEPD ist explizit: Organisationen müssen strikte Datenaufbewahrungsrichtlinien implementieren, unnötigen persistenten Speicher deaktivieren und Data-Loss-Prevention (DLP)-Tools einsetzen, um Schattenleck-Exfiltration zu verhindern. Der DSB muss die Stimme sein, die auf diesen Einschränkungen besteht, selbst wenn sie die Leistung des Agenten reduzieren.

Menschliche Überwachung muss sinnvoll sein

Die Leitlinie betont wiederholt sinnvolle menschliche Überwachung in jeder Pipeline-Stufe – keine Abnick-Genehmigung, sondern echte Überprüfung durch jemanden, der sowohl die Verarbeitung als auch deren Auswirkungen versteht. Für sensible oder hochriskante Aktionen empfiehlt die AEPD, eine explizite menschliche Genehmigung zu verlangen, bevor der Agent ausführt.

Praktische Maßnahmen für DSB

Basierend auf der AEPD-Leitlinie und der Analyse von Alston & Bird sind hier konkrete Schritte, die DSB jetzt ergreifen sollten:

1. Inventarisieren Sie den Einsatz von agentischer KI (einschließlich Schatten-Einsatz). Erfassen Sie jede Instanz, in der KI-Agenten mit irgendeinem Grad an Autonomie in Ihrer Organisation operieren. Dies umfasst offiziell genehmigte Tools und – kritisch – jeden inoffiziellen oder experimentellen Einsatz durch einzelne Teams. Sie können nicht regieren, was Sie nicht kennen.

2. Führen Sie oder aktualisieren Sie DSFAs speziell für Anwendungsfälle von agentischer KI. Generische KI-DSFAs sind nicht ausreichend. Jeder Einsatz von agentischer KI benötigt eine Bewertung, die speziell die sechs von der AEPD identifizierten Merkmale adressiert: Autonomie, Umweltwahrnehmung, Handlungsfähigkeit, Proaktivität, Planung/Schlussfolgerung und Gedächtnis. Achten Sie besonders auf Schattenleck-Exfiltrationspfade und den Umfang der Rechte.

3. Richten Sie ein kontinuierliches Überwachungsregime ein. Arbeiten Sie mit Ihren IT- und