Die meisten AI Agent Entwickler denken: "Mein Agent ist kein Hochrisiko-System. Den EU AI Act muss ich nicht beachten." Das ist ein gefährlicher Irrtum — und er könnte ab August 2026 teuer werden.
Was der EU AI Act wirklich bedeutet (und was er nicht bedeutet)
Der EU AI Act ist seit August 2024 in Kraft und gilt seit Februar 2025 schrittweise für verschiedene Kategorien. Für die meisten AI Agent Entwickler wird der kritische Stichtag der 2. August 2026: Ab dann gelten die Regeln für General Purpose AI (GPAI) — und genau hier wird es für Agent-Creator interessant.
Häufiger Irrtum: "Ich baue nur einen kleinen Chatbot-Agenten für HR-Fragen — das ist kein Hochrisiko-System."
Stimmt. Aber es gibt drei Compliance-Ebenen, und mindestens zwei davon betreffen fast jeden Agent-Entwickler.
Die drei Compliance-Ebenen, die Agents betreffen
1. Verbotene Praktiken (ab Februar 2025 aktiv)
Einige KI-Anwendungen sind schlicht verboten. Für Agents relevant:
- Social Scoring Systeme: Ein Agent, der Nutzerverhalten über verschiedene Lebensbereiche hinweg bewertet und daraus Scores ableitet
- Emotionale Manipulation: Agents die Schwachstellen (Alter, Behinderungen, soziale Lage) ausnutzen, um Verhalten zu beeinflussen
- Echtzeitbiometrische Identifikation im öffentlichen Raum
Wenn dein Agent keins davon tut — gut. Weiter zu Ebene zwei.
2. Hochrisiko-Systeme (volle Compliance bis August 2026)
Hier unterschätzen viele Entwickler ihr eigenes Produkt. Als Hochrisiko gilt ein AI System, wenn es in einem dieser Bereiche eingesetzt wird:
| Bereich | Beispiel Agent-Use-Case | |---------|------------------------| | Bildung & Berufsausbildung | Agent der Bewerbungen filtert oder Lernleistung bewertet | | Beschäftigung & HR | CV-Screening, Mitarbeiter-Bewertung, Gehaltsempfehlungen | | Wesentliche öffentliche & private Dienste | Kreditwürdigkeitsprüfung, Notfalldienste-Routing | | Strafverfolgung | Risikobewertung, Beweisanalyse | | Bildungseinrichtungen | Automatische Bewertung von Prüfungsleistungen | | Rechtspflege | Recherche-Agents für juristische Entscheidungen |
Kritischer Punkt: Es geht um den Verwendungszweck, nicht die Technologie. Ein LLM-basierter Agent, der Lebensläufe analysiert und Rankings erstellt, ist Hochrisiko — unabhängig davon, wie technisch simpel er intern ist.
3. Transparenzpflichten (gilt für nahezu alle Agents)
Das betrifft jeden, der Agents an Endnutzer ausliefert:
- Kennzeichnungspflicht: Nutzer müssen wissen, dass sie mit einem AI-System interagieren
- Deepfake-Kennzeichnung: KI-generierte Inhalte (Bilder, Videos, Texte) müssen als solche markiert sein
- Informationspflicht bei GPAI: Nutzer müssen über Fähigkeiten und Einschränkungen informiert werden
General Purpose AI — wo die meisten Agents wirklich stehen
GPAI (General Purpose AI) ist der Begriff, unter den fast alle modernen LLM-basierten Agents fallen. Ein Agent auf Basis von GPT-5.4, Claude oder Gemini ist per Definition ein GPAI-System.
Für GPAI-Systeme gelten ab August 2026:
Für Creator/Anbieter:
- Technische Dokumentation des Systems
- Urheberrechtliche Compliance (kein Training auf geschütztem Material ohne Erlaubnis)
- Zusammenfassung der Trainingsdaten (bei Eigenentwicklung)
- Richtlinien für nachgelagerte Anbieter
Für Betreiber von Hochrisiko-GPAI-Systemen:
Wenn ein GPAI-System in einem Hochrisiko-Kontext eingesetzt wird, greifen zusätzlich die Hochrisiko-Anforderungen.
Wichtiger Unterschied: Wer ein GPAI-Modell nutzt (also einen Agenten auf GPT/Claude aufbaut), hat andere Pflichten als wer das Modell entwickelt. OpenAI und Anthropic sind für das Modell verantwortlich — der Agent-Creator für seinen Anwendungsfall.
Das KI-Marktüberwachungsgesetz (KI-MIG) — Deutschland goes first
Kaum beachtet, aber relevant: Das Bundeskabinett hat am 11. Februar 2026 das KI-Marktüberwachungsgesetz beschlossen. Deutschland schafft damit eine eigene nationale Aufsichtsstruktur:
- Die Bundesnetzagentur (BNetzA) wird zur zentralen KI-Aufsichtsbehörde
- Ein KI-Reallabor soll kleineren Unternehmen und Start-ups den regulierten Test neuer Systeme ermöglichen
- Ein KI-Service Desk bietet niedrigschwellige Beratung für KMU
Für Indie Developer und kleine Teams ist das tatsächlich eine gute Nachricht: Das Reallabor bedeutet, dass du Compliance-Fragen proaktiv mit der Behörde klären kannst, bevor du ein Produkt launchst.
Praktischer Compliance-Check: 5 Fragen für deinen Agent
Bevor du deinen nächsten Agent auf AgentYard veröffentlichst, beantworte diese fünf Fragen:
1. Was ist der primäre Verwendungszweck?
Arbeits-, Bildungs- oder Finanzentscheidungen? → Hochrisiko-Prüfung notwendig.
2. Sieht der Nutzer, dass er mit KI interagiert?
Falls nein: Transparenzpflicht verletzt — auch in der Beta.
3. Auf welchem Modell basiert dein Agent?
GPT/Claude/Gemini → GPAI-Anforderungen gelten. Die technische Dokumentation des Basis-Modells bekommst du vom Anbieter.
4. Welche Daten verarbeitet dein Agent?
Personenbezogene Daten → DSGVO bleibt zusätzlich relevant. DSGVO und EU AI Act ergänzen sich, sie ersetzen sich nicht.
5. Wo wird dein Agent genutzt?
EU-Nutzer → EU AI Act gilt, unabhängig davon, wo du als Developer sitzt.
Was du jetzt tun kannst
Konkreter Fahrplan für die nächsten Wochen:
Schritt 1: Klassifizierung
Nutze die EU AI Act Compliance Checker Tools — zum Beispiel das kostenlose Tool des Fraunhofer IAIS. Ziel: deinen Agent einer Risikostufe zuordnen.
Schritt 2: Technische Dokumentation aufsetzen
Mindestens dokumentieren: Zweck, Fähigkeiten, Einschränkungen, Datenverarbeitung. Für Hochrisiko-Systeme gilt EU AI Act Annex IV als Vorlage; für Standard-Agents reicht eine strukturierte Selbstauskunft.
Schritt 3: Transparenz implementieren
- "Powered by AI"-Hinweis im Interface
- Nutzungsbedingungen aktualisieren
- Opt-out für automatisierte Entscheidungen (wo relevant)
Für Agents auf AgentYard gilt: Wir arbeiten aktiv an einem Compliance-Framework für Creator — einem standardisierten Klassifizierungs-Prozess, der dir beim Upload deines Agents hilft, die relevante Risikostufe zu bestimmen.
Der Vorteil: Compliance als Differenziator
Hier ist das kontraintuitive Insight: Compliance ist kein Kostenfaktor, sondern ein Wettbewerbsvorteil — besonders im B2B-Segment.
Unternehmen in Deutschland und der EU werden zunehmend von ihrer eigenen Legal-Abteilung aufgefordert, nur Agents einzusetzen, die nachweislich EU AI Act konform sind. Ein Agent-Creator, der heute schon dokumentierte Compliance vorweisen kann, hat einen messbaren Vertriebsvorteil gegenüber dem Wettbewerber der wartet bis er muss.
Der Claude Marketplace von Anthropic — der gerade Enterprise-Kunden aufnimmt — lässt sich ohne nachgewiesene Compliance gar nicht erst joinen. AgentYard wird diesen Standard für alle Creator zugänglich machen.
Zusammenfassung
| Was? | Wann? | Für wen? | |------|-------|----------| | Verbotene Praktiken | Seit Feb 2025 | Alle | | GPAI-Anforderungen | Ab Aug 2026 | Alle Agents auf LLM-Basis | | Hochrisiko-Anforderungen | Ab Aug 2026 | Agents in HR, Bildung, Kredit, Recht, Strafverfolgung | | Transparenzpflichten | Seit Feb 2025 | Alle Agent-Betreiber |
Der August 2026 Stichtag klingt weit weg. Für Hochrisiko-Systeme bedeutet Compliance aber echten Entwicklungsaufwand — Documentation, Testing, Logging, Human-Oversight-Mechanismen. Wer im Sommer 2026 anfängt, ist zu spät.
Starte jetzt: Klassifiziere deinen Agent, dokumentiere den Zweck, und setze die Transparenzhinweise um. Zwei Stunden Arbeit heute können dich vor teuren Compliance-Nacharbeiten in acht Monaten bewahren.
→ Erstelle deinen ersten compliant Agent auf AgentYard
→ Mehr zu EU AI Act & Marketplace: Unsere Dokumentation
