KI-Agenten sind keine Chatbots. Sie warten nicht auf einen Prompt, generieren Text und hören dann auf. Sie beobachten, entscheiden und handeln. Sie verbinden sich autonom mit Ihrem CRM, fragen Ihre Datenbanken ab, versenden E-Mails, ändern Code und stoßen Workflows an, ohne einen Menschen im Loop. Und sie tauchen überall auf: Gartner prognostiziert, dass 40 % der Enterprise-Anwendungen bis Ende 2026 aufgabenspezifische KI-Agenten integrieren werden, während Deloittes Bericht State of AI in the Enterprise prognostiziert, dass 74 % der Unternehmen bis 2027 agentische KI zumindest moderat einsetzen werden. Doch hier ist die Frage, die fast niemand stellt: Wo laufen diese Agenten eigentlich? Und wer kann sonst noch sehen, was sie tun?

Wenn die Antwort „in der Cloud von jemand anderem“ lautet, haben Sie ein Souveränitätsproblem, das sich grundlegend von allem unterscheidet, was Unternehmen bisher erlebt haben.

Agenten sind keine Modelle. Das Bedrohungsmodell ist anders.

Wenn Ihr Unternehmen ein großes Sprachmodell hinter einer API bereitstellt, selbst ein cloudgehostetes, ist der Datenfluss relativ begrenzt. Ein Benutzer sendet eine Anfrage, erhält eine Antwort, und die Interaktion endet. Sie können Eingabe und Ausgabe prüfen. Sie können begrenzen, welche Daten in die Pipeline gelangen.

Agentische KI sprengt dieses Modell vollständig.

Ein KI-Agent, der innerhalb Ihrer Organisation läuft, verarbeitet nicht nur Daten. Er bewegt sich durch Ihre Systeme wie ein Mitarbeiter. Er liest interne Dokumente, gleicht Datenbanken ab, ruft externe APIs auf, aktualisiert Datensätze und verknüpft mehrere Aktionen über Minuten oder Stunden hinweg. Eine einzige Agentensitzung kann Ihr ERP, Ihr HR-System, Ihre E-Mail-Plattform und Ihre Finanzdaten berühren, alles im Dienste einer einzigen Aufgabe.

Das ist kein Prompt-Response-Zyklus. Das ist eine persistente, autonome Präsenz in Ihrer Infrastruktur. Und wenn diese Präsenz auf einer Drittanbieter-Cloud läuft, wird jedes System, das sie berührt, der Gerichtsbarkeit, den Nutzungsbedingungen und dem Sicherheitsniveau des Cloud-Anbieters ausgesetzt.

Der CLOUD Act trifft auf agentische KI

Die meisten europäischen Unternehmen verstehen das grundlegende CLOUD-Act-Risiko bereits: Wenn Ihre Daten auf Servern liegen, die von einem in den USA ansässigen Unternehmen betrieben werden, kann die US-Strafverfolgung Zugriff auf diese Daten erzwingen, unabhängig davon, in welchem Land die Server physisch stehen.

Bei einer Standard-LLM-API beschränkt sich dieses Risiko auf die Prompts und Antworten, die durch die Infrastruktur des Anbieters fließen. Unangenehm, aber begrenzt.

Bei agentischer KI ist die Exposition um Größenordnungen größer. Ein Agent, der auf der Infrastruktur eines US-amerikanischen Cloud-Anbieters läuft, verarbeitet nicht nur eine einzelne Anfrage. Er sammelt Kontext über Ihren gesamten Betrieb hinweg. Er hält Sitzungsspeicher über mehrere Systeme hinweg. Er greift auf Zugangsdaten, interne Dokumente, Kundendaten und strategische Kommunikation zu. Wenn ein CLOUD-Act-Auskunftsersuchen den Anbieter erreicht, ist die potenzielle Datenfreigabe nicht ein einzelner Prompt. Es ist ein Abbild davon, wie Ihr Unternehmen denkt, entscheidet und arbeitet.

Das ist kein Sonderfall. Es ist der Standardbetriebszustand für jedes europäische Unternehmen, das agentische KI auf einer US-amerikanischen Cloud-Infrastruktur betreibt. Die rechtliche Lage entwickelt sich hier weiter, mit bilateralen Vereinbarungen und Mechanismen zur Anfechtung durch Anbieter, was die Sache komplexer macht, aber die grundlegende jurisdiktionelle Exponierung bleibt bestehen. Unternehmen sollten für ihre konkrete Situation qualifizierte Rechtsberatung einholen.

Für Unternehmen, die der DSGVO, dem EU AI Act oder branchenspezifischen Vorschriften wie DORA (Finanzdienstleistungen) oder der NIS2-Richtlinie (kritische Infrastruktur) unterliegen, ist das kein theoretisches Risiko. Es ist eine Architekturentscheidung, die Compliance-Teams sorgfältig bewerten sollten.

Das Berechtigungsproblem: Agenten brauchen die Schlüssel zu allem

Hier zeigt sich der fundamentale Unterschied von agentischer KI zu jeder anderen Softwarekategorie, wenn es um Sicherheit geht: Damit sie nützlich ist, brauchen Agenten weitreichende Zugriffsberechtigungen über mehrere Umgebungen hinweg.

Ein traditionelles SaaS-Tool verbindet sich mit einem System. Ihr CRM bleibt in Ihrem CRM. Ihre E-Mail bleibt in Ihrer E-Mail-Plattform. Aber ein KI-Agent, der beauftragt wird mit „Bereiten Sie den Quartalsbericht für den Vorstand vor“, muss vielleicht Finanzdaten aus Ihrem ERP holen, Kundenkennzahlen aus Ihrem CRM, Wettbewerbsinformationen aus Ihrer Forschungsdatenbank und frühere Berichte aus Ihrem Dokumentenmanagementsystem. Er braucht Lese- und Schreibzugriff auf all das.

Ciscos State of AI Security 2026 stellte fest, dass die meisten Organisationen, die planten, agentische KI einzusetzen, nicht darauf vorbereitet waren, diese Bereitstellungen abzusichern. Nur 29 % meldeten Bereitschaft, agentische Systeme abzusichern, was bedeutet, dass 71 % Agenten mit erhöhten Berechtigungen und ohne klaren Governance-Rahmen einsetzten.

Wenn diese Agenten auf Infrastruktur laufen, die Sie nicht kontrollieren, übergeben Sie die Schlüssel zu Ihrem gesamten Betrieb an die Server von jemand anderem.

Was in der Praxis schiefgeht: reale Angriffsvektoren

Das ist nicht hypothetisch. Die Angriffsfläche der agentischen KI wird bereits ausgenutzt.

Anfang 2026 dokumentierten Forscher einen Lieferkettenangriff, der auf das MCP-Ökosystem abzielte, das Standardprotokoll, das KI-Agenten mit externen Tools verbindet. Angreifer luden über 1.100 schädliche Skills in einen öffentlichen Skill-Hub hoch, getarnt als Produktivitäts- und Coding-Tools. Als Unternehmen diese Skills installierten, gaben sie kompromittierten Agenten die Möglichkeit, Daten aus privaten Repositorien abfließen zu lassen.

In einem anderen dokumentierten Fall schleuste ein kompromittierter Research-Agent versteckte Anweisungen in seine Ausgabe ein, die von einem nachgelagerten Finanz-Agenten verarbeitet wurden, der daraufhin unbeabsichtigte Transaktionen ausführte. Die Kommunikation von Agent zu Agent erzeugte eine Kette der Ausnutzung, die kein einzelnes System erkannte.

Eine Dark-Reading-Umfrage ergab, dass 48 % der Cybersicherheitsexperten agentische KI als wichtigsten Angriffsvektor für 2026 nannten und damit Deepfakes, Cyberrisiken auf Vorstandsebene und die Einführung passwortloser Verfahren übertrafen.

Diese Angriffe sind schwerer zu erkennen und einzudämmen, wenn Agenten auf Infrastruktur außerhalb Ihrer Kontrolle laufen. Sie können die Laufzeitumgebung nicht inspizieren. Sie können den Speicher nicht prüfen. Sie können nicht garantieren, dass die anderen Mandanten des Anbieters oder der Anbieter selbst nicht kompromittiert wurden.

Warum „Sovereign Cloud“ für Agenten nicht souverän genug ist

Manche Anbieter werden Ihnen sagen, dass das Hosten Ihrer Agenten in einer „Sovereign Cloud“, also einem europäischen Rechenzentrum, das von einem in den USA ansässigen Unternehmen betrieben wird, das Problem löst. Das tut es nicht.

Wie wir bereits in unserem Beitrag über Souveränitäts-Washing geschrieben haben, beseitigt das Betreiben von Workloads auf einem europäischen Server, der von einem in den USA ansässigen Unternehmen betrieben wird, die CLOUD-Act-Exponierung nicht. Die rechtliche Zuständigkeit folgt dem Unternehmen, nicht der Hardware.

Speziell für agentische KI geht das Problem tiefer als die Gerichtsbarkeit. Agenten benötigen:

Laufzeit-Isolation. Die Ausführungsumgebung eines Agenten, sein Speicher, seine Tool-Verbindungen, sein Sitzungskontext müssen vollständig von anderen Mandanten und vom Infrastruktur-Anbieter isoliert sein. In einer geteilten Cloud hängt diese Isolation von der Architektur des Anbieters ab und lässt sich möglicherweise nur schwer unabhängig verifizieren.

Prüfbare Tool-Ketten. Jedes Tool, das ein Agent aufruft, jede API, mit der er sich verbindet, und jede Datenbankabfrage, die er ausführt, muss in einem Audit-Trail protokolliert werden, den Sie kontrollieren. Auf Drittanbieter-Infrastruktur gehören die Audit-Logs dem Anbieter und unterliegen möglicherweise dessen Aufbewahrungsrichtlinien, nicht Ihren.

Echtzeit-Berechtigungssteuerung. Wenn ein Agent sich unerwartet verhält, auf Systeme zugreift, auf die er nicht zugreifen sollte, oder Aktionen auf eine Weise verkettet, die nicht vorgesehen war, brauchen Sie die Möglichkeit, Berechtigungen sofort zu widerrufen. Auf Ihrer eigenen Infrastruktur ist das ein Not-Aus-Schalter. Auf der Cloud von jemand anderem ist es ein Support-Ticket.

Modellherkunft. Sie müssen genau wissen, welche Modellgewichte laufen, dass sie nicht manipuliert wurden und dass keine externe Partei das Modell zwischen Bereitstellung und Ausführung verändert hat. Eine Bereitstellung On-Premises ist der einzige Weg, diese Nachweiskette zu garantieren.

So sieht wirklich souveräne agentische KI aus

Souveräne Infrastruktur für agentische KI bedeutet, dass die Agenten auf Hardware laufen, die Sie direkt besitzen oder leasen, innerhalb Ihrer physischen oder rechtlichen Grenze. Die Modelle, die Laufzeitumgebung, die Tool-Verbindungen, der Speicher und die Audit-Logs bleiben alle unter Ihrer Kontrolle.

Dafür ist Xinity gebaut. Unsere Plattform ermöglicht es Ihnen, KI-Agenten, einschließlich Multi-Agenten-Systemen mit MCP-kompatiblen Tool-Verbindungen, vollständig On-Premises oder auf Ihrer eigenen dedizierten Hardware bereitzustellen. Keine Daten verlassen Ihr Gebäude. Kein Dritter kann auf die Laufzeit zugreifen. Keine ausländische Gerichtsbarkeit greift.

Konkret heißt das, dass Ihre Agenten über Tool-Integrationen, die nie über externe Server geleitet werden, mit Ihren internen Systemen verbunden werden. Jede Agentenaktion wird in einem Audit-Log protokolliert, das auf Ihrer Infrastruktur gespeichert ist, nicht auf unserer. Modellgewichte werden auf Ihrer Hardware bereitgestellt und beim Laden verifiziert, wodurch Lieferkettenrisiken durch entfernte Modellaktualisierungen beseitigt werden. Sie können Agentenberechtigungen widerrufen, Sitzungen beenden und den Speicher in Echtzeit prüfen, weil Sie die Infrastrukturebene kontrollieren. Der gesamte Stack, vom Modell über die Laufzeit bis zu den Tools und den Daten, arbeitet innerhalb einer einzigen Rechtsordnung: Ihrer.

Das Zeitfenster schließt sich

Die Bestimmungen des EU AI Act für Allgemeinzweck-KI treten am 2. August 2026 in Kraft, also in nur 76 Tagen. Der Act stuft KI-Systeme nach Risikostufe ein, und Agenten, die autonom auf sensible Daten zugreifen, Entscheidungen treffen oder mit kritischen Systemen interagieren, werden der strengsten Prüfung unterliegen.

Unternehmen, die agentische KI auf Infrastruktur einsetzen, die sie nicht kontrollieren, stehen vor einer doppelten Compliance-Belastung: nachzuweisen, dass das KI-System selbst die Anforderungen des Acts erfüllt, und nachzuweisen, dass die Infrastruktur, auf der es läuft, keine zusätzlichen Risiken durch Drittzugriffe, grenzüberschreitende Datenflüsse oder nicht prüfbare Laufzeitumgebungen schafft.

IDC prognostiziert, dass bis 2028 60 % der multinationalen Unternehmen ihre KI-Stacks über souveräne Zonen hinweg aufteilen werden, wodurch sich die Integrationskosten verdreifachen. Die Unternehmen, die jetzt souveräne Infrastruktur für agentische KI aufbauen, werden diese Kosten später nicht tragen müssen.

Das Fazit

Agentische KI ist die leistungsstärkste und zugleich gefährlichste Softwarekategorie, die Unternehmen je eingesetzt haben. Agenten verarbeiten nicht nur Ihre Daten. Sie leben in Ihren Systemen. Sie treffen Entscheidungen mit Ihren Informationen. Sie handeln in Ihrem Namen.

Das auf einer Infrastruktur von jemand anderem zu betreiben, ist nicht nur ein Datenschutzrisiko. Es ist eine Governance-Lücke. Es ist ein Sicherheitsrisiko. Und wenn die Regulierung nachzieht, droht daraus auch noch ein Compliance-Problem zu werden.

Die Agenten kommen. Die einzige Frage ist, wo sie leben werden.

Bereit, KI-Agenten auf Infrastruktur einzusetzen, die Sie tatsächlich kontrollieren? Sprechen Sie mit uns über die Bereitstellung souveräner agentischer KI. Jetzt eine kostenlose Demo buchen →

Dieser Artikel dient nur zu Informationszwecken und stellt keine rechtliche, compliance- oder regulatorische Beratung dar. Die regulatorische Landschaft rund um KI, Datensouveränität und grenzüberschreitende Datenübertragungen entwickelt sich rasch weiter. Konsultieren Sie für Compliance-Entscheidungen, die speziell Ihre Organisation betreffen, qualifizierte Rechtsberatung.