DSGVO-konform Cookieless & ohne Tracking EU-Datenhaltung Made in Germany · Berlin Inhabergeführt
DSGVO-konform Cookieless & ohne Tracking EU-Datenhaltung Made in Germany · Berlin Inhabergeführt DSGVO-konform Cookieless & ohne Tracking EU-Datenhaltung Made in Germany · Berlin Inhabergeführt

Agentic AI im Unternehmen: Chancen, Grenzen und Einführung

Von Philip Schenk-Hana Stand: 17. Juli 2026
Kurz beantwortet

Agentic AI bezeichnet KI-Systeme, die nicht nur einzelne Anfragen beantworten, sondern eigenständig planen, Werkzeuge aufrufen, Zwischenergebnisse bewerten und mehrere Schritte hintereinander ausführen, um ein Ziel zu erreichen – mit weniger menschlicher Steuerung pro Einzelschritt als bei einem festen Workflow. Ein Agent reagiert dynamisch auf das, was er unterwegs vorfindet, statt einem starren Ablauf zu folgen. Für Unternehmen zählt deshalb nicht das Etikett agentisch, sondern wie viel Autonomie ein System in welchem Rahmen tatsächlich bekommt.

Ein Kundenservice-Postfach, das eingehende Anfragen nicht nur kategorisiert, sondern selbstständig in einem CRM nachschlägt, einen Entwurf erstellt, bei Unklarheit in einer Wissensdatenbank weitersucht und erst dann eine Antwort vorschlägt – das ist der Unterschied, um den es in diesem Artikel geht. Nicht ein cleverer Chatbot, sondern ein System, das mehrere Schritte selbst plant und ausführt, um zu einem Ergebnis zu kommen.

Genau das macht Agentic AI für Geschäftsführung, Operations, IT und Fachbereiche in KMU gleichzeitig interessant und unbequem. Interessant, weil Aufgaben automatisierbar werden, die bisher zu variabel für starre Workflows waren. Unbequem, weil mit mehr Autonomie auch mehr Unsicherheit kommt: Was tut das System, wenn es auf einen Fall trifft, den niemand vorgesehen hat? Wer trägt die Verantwortung, wenn ein Agent eine falsche Aktion ausführt, statt nur einen falschen Text zu schreiben? Dieser Artikel ordnet Agentic AI ein, zeigt, welche Aufgaben sich eignen, welche Architektur und Organisation es braucht – und wo die Grenzen liegen.

Begriffe kurz geklärt: Agent, Workflow, Autonomie

Drei Begriffe werden in der Praxis oft vermischt:

  • Workflow-Automatisierung folgt einem festen, vorher definierten Ablauf: Wenn A, dann B, dann C. Der Ablauf ändert sich nicht, egal was im Detail passiert – lediglich Verzweigungen sind vorgesehen.
  • Ein KI-Agent setzt an einer bestimmten Stelle Urteilsvermögen ein: Er entscheidet, welches Werkzeug er als Nächstes braucht, bewertet ein Zwischenergebnis und passt seinen nächsten Schritt daran an. Das Ziel ist vorgegeben, der Weg dorthin nicht vollständig.
  • Autonomie ist keine Eigenschaft, die ein System entweder hat oder nicht hat, sondern eine Stufe: Wie viele Schritte darf ein Agent ohne Rückfrage ausführen, bevor ein Mensch eingreift oder freigibt? Das ist die entscheidende Stellschraube für dieses ganze Thema.

Die eigenständige Abgrenzung zwischen Agent, Workflow und klassischem Chatbot vertiefen weitere Artikel in unserem Themen-Cluster KI-Agenten – hier bleibt es beim Vorgehen für den konkreten Unternehmenseinsatz.

Was bedeutet Agentic AI?

Agentic AI beschreibt keine neue Modellgeneration, sondern eine Betriebsart: ein Sprachmodell wird mit Werkzeugen, einem Gedächtnis für Zwischenschritte und der Fähigkeit ausgestattet, in einer Schleife aus Wahrnehmung, Planung und Handlung zu arbeiten – es beobachtet den aktuellen Zustand, plant den nächsten Schritt, führt ihn aus und bewertet das Ergebnis, bevor es weitermacht. Genau das unterscheidet einen Agenten von einem klassischen Automatisierungs-Workflow, der einer vorher festgelegten Kette von Schritten folgt, unabhängig davon, was im Einzelfall passiert.

Wichtig für die Einordnung im Unternehmenskontext: Agentic AI ist eine Verstärkung bestehender Risiken, keine grundsätzlich neue Kategorie. Ein Agent, der mit Werkzeugen und eigenständiger Handlungsfähigkeit ausgestattet ist, hat einen eigenen Aktionsradius – er kann lesend und schreibend auf Systeme zugreifen, nicht nur Text erzeugen. Das bedeutet: Fehler eines Agenten sind potenziell wirkungsvoller als Fehler eines reinen Textgenerators, weil sie sich in einer tatsächlichen Aktion niederschlagen können, nicht nur in einer falschen Formulierung.

Für die praktische Einordnung reicht ein einfaches Kriterium: Sobald ein System mehr als einen Schritt selbst plant, Werkzeuge selbst auswählt und auf Basis von Zwischenergebnissen weiterarbeitet, statt nur eine Anfrage zu beantworten, sprechen wir von einem Agenten – unabhängig vom Marketingbegriff, den ein Anbieter dafür verwendet.

Welche Aufgaben sind geeignet?

Nicht jede Aufgabe profitiert von zusätzlicher Autonomie. Ich prüfe Kandidaten in meiner Arbeit anhand von drei Fragen, bevor ich über Architektur spreche:

Ist das Ergebnis prüfbar? Aufgaben, bei denen ein Mensch (oder ein automatisierter Test) das Ergebnis eindeutig als richtig oder falsch einordnen kann, eignen sich deutlich besser als Aufgaben mit unklaren Erfolgskriterien. „Finde alle offenen Rechnungen über 90 Tage und erstelle eine Zusammenfassung” ist prüfbar. „Verbessere unsere Kundenkommunikation” ist es nicht.

Wie teuer ist ein Fehler? Ein Agent, der eine interne Recherche falsch zusammenfasst, kostet Nacharbeit. Ein Agent, der eine falsche Bestellung auslöst oder eine fehlerhafte E-Mail an Kund:innen verschickt, kostet mehr. Je höher der potenzielle Schaden, desto enger muss die Freigabe gestaltet sein – bis hin zu reiner Vorschlagsfunktion ohne eigenständige Ausführung.

Braucht die Aufgabe wirklich mehrere Schritte mit Zwischenentscheidungen? Wenn eine Aufgabe in Wahrheit ein linearer Ablauf ist – erst A, dann B, dann C, ohne echte Verzweigung – ist ein klassischer, deterministischer Workflow oft die bessere, wartungsärmere Lösung als ein Agent. Agenten lohnen sich dort, wo der Weg zum Ziel vorher nicht vollständig feststeht: Recherche über mehrere Quellen, Abgleich zwischen Systemen mit uneinheitlicher Datenlage, mehrstufige Bearbeitung eingehender Anfragen mit variablem Inhalt.

Typische Einstiegskandidaten in KMU: interne Recherche und Zusammenfassung über mehrere Dokumente oder Systeme hinweg, Abgleich und Anreicherung von Datensätzen aus verschiedenen Quellen, mehrstufige Vorprüfung eingehender Anfragen (Kategorisierung, Prioritätseinschätzung, Entwurf) vor menschlicher Freigabe. Gemeinsam ist diesen Fällen: internes Wirkungsfeld, prüfbares Ergebnis, Mensch prüft vor jeder Wirkung nach außen.

Welche Architektur ist nötig?

Ein Agentensystem im Unternehmenseinsatz besteht aus vier Bausteinen, die getrennt betrachtet und getrennt abgesichert werden müssen:

BausteinFunktionWorauf es ankommt
PlanungsinstanzSprachmodell, das den nächsten Schritt bestimmtKlarer Systemauftrag, der Ziel und Grenzen definiert
WerkzeugeDefinierte Schnittstellen zu Systemen (Datenbank, CRM, E-Mail, Suche)Jedes Werkzeug einzeln berechtigt, kein pauschaler Vollzugriff
GedächtnisZwischenspeicher für Kontext und bisherige Schritte innerhalb eines AuftragsBegrenzte Reichweite, keine unkontrollierte Anreicherung mit sensiblen Daten
Ausführungs- und KontrollschichtProtokoll, das festhält, was ausgeführt wurde, und Freigaben erzwingtNachvollziehbarkeit im Nachhinein, definierte Stopp- und Eskalationspunkte

Eigene Architekturübersicht Philogic Labs, abgeleitet aus Umsetzungsprojekten. Kein vollständiges technisches Referenzmodell, sondern die vier Punkte, an denen in der Praxis am häufigsten etwas übersehen wird.

Der in der Praxis am meisten unterschätzte Baustein ist die Kontrollschicht. Ein Agent, der technisch funktioniert, aber dessen Aktionen im Nachhinein nicht nachvollziehbar sind, ist im Unternehmenseinsatz nicht seriös betreibbar – unabhängig davon, wie gut das zugrundeliegende Modell rechnet. Bitkom benennt in seinem Whitepaper zur Sicherheit von KI-Agenten genau diesen Punkt: granulare, rollenbasierte Zugriffskontrolle und transparente Dokumentation des Systemverhaltens gehören zu den zentralen Schutzmaßnahmen, nicht zu optionalen Extras.

Praktisch heißt das für den Einstieg: kein Agent bekommt mehr Werkzeugzugriff, als die konkrete Aufgabe erfordert. Ein Recherche-Agent braucht keinen Schreibzugriff auf ein CRM. Ein Kategorisierungs-Agent für eingehende Anfragen braucht keinen Zugriff auf Personalakten. Diese Trennung klingt banal, wird in der Praxis aber regelmäßig übersprungen, weil „einmal alles anbinden” kurzfristig bequemer wirkt als saubere Abgrenzung pro Anwendungsfall.

Wie begrenzt man Autonomie?

Autonomie ist der zentrale Hebel, über den du Nutzen und Risiko eines Agenten steuerst. Vier Stellschrauben, die sich unabhängig voneinander justieren lassen:

  1. Werkzeugumfang. Welche Systeme darf der Agent überhaupt ansprechen – lesend, schreibend, beides? Je enger, desto geringer der maximale Schaden im Fehlerfall.
  2. Freigabepunkte. Bei welchen Aktionen ist eine menschliche Bestätigung zwingend, bevor etwas wirkt – etwa vor dem Versand einer E-Mail, dem Anlegen eines Datensatzes oder einer finanziellen Transaktion? Human-in-the-loop an den kritischen Stellen ist der wirksamste einzelne Hebel, den du hast.
  3. Datenreichweite. Auf welche Datenbereiche darf der Agent zugreifen, und wie lange behält er Informationen im Kontext eines Auftrags? Sensible oder personenbezogene Daten gehören nur dort hinein, wo es für die Aufgabe zwingend nötig ist.
  4. Auftragsschärfe. Wie eng ist das Ziel formuliert? „Beantworte Kundenanfragen selbstständig” lässt viel mehr Interpretationsspielraum als „Erstelle einen Antwortentwurf für Anfragen zu Lieferzeiten und markiere alles andere zur manuellen Bearbeitung”.

Diese vier Hebel lassen sich zu einer einfachen Stufenlogik kombinieren, die sich für die interne Abstimmung eignet:

AutonomiestufeWerkzeugzugriffFreigabe vor WirkungTypischer Einsatz
Stufe 1 – VorschlagLesendImmer, für jede AusgabeEntwürfe, Zusammenfassungen, Klassifizierung
Stufe 2 – Begrenzt autonomLesend + eng begrenzt schreibendBei definierten kritischen AktionenInterne Datenpflege, Vorsortierung mit Ausnahmefällen
Stufe 3 – Weitgehend autonomLesend + schreibend in klar abgegrenztem BereichNur bei Eskalation/AusnahmefallInterne Workflows mit geringem Einzelschaden und guter Beobachtbarkeit

Eigene Stufenlogik Philogic Labs. Für die meisten KMU-Einstiegsfälle ist Stufe 1 oder 2 der richtige Startpunkt – Stufe 3 gehört an den Anfang eines Projekts fast nie.

Das BSI ordnet in seiner Einschätzung zu generativen KI-Modellen diese Vorsicht grundsätzlich ein: Die Modelle bringen neue IT-Sicherheitsrisiken mit sich und können bekannte Bedrohungen verstärken – eine systematische Risikoanalyse vor dem produktiven Einsatz ist entsprechend keine Formalität, sondern die Grundlage für einen vertretbaren Betrieb.

Welche Organisation braucht es?

Technik allein macht einen Agenten nicht kontrollierbar. Drei organisatorische Elemente sind aus meiner Erfahrung nicht verhandelbar, bevor ein Agent produktiv geht:

Benannte Verantwortung pro Agent. Jeder produktive Agent braucht eine Person, die für sein Verhalten geradesteht – nicht abstrakt „die IT”, sondern ein konkreter Name, der Freigaben erteilt, Auffälligkeiten meldet und über Anpassungen entscheidet. Ohne diese Zuordnung verwässert Verantwortung genau in dem Moment, in dem sie gebraucht wird: wenn etwas schiefläuft.

Geklärte Berechtigungsvergabe. Wer entscheidet, welches Werkzeug ein Agent bekommt, und wer prüft das regelmäßig nach? Berechtigungen, die einmal vergeben und nie wieder geprüft werden, sind ein wachsendes Risiko – besonders wenn sich Aufgaben und Systemlandschaft über die Zeit verändern.

Monitoring und Eskalationsprozess. Wer sieht, was ein Agent tatsächlich tut, und was passiert, wenn er wiederholt falsch oder ungewöhnlich handelt? Ein Protokoll, das niemand ansieht, ist keine Kontrolle. Für den Einstieg reicht eine einfache, aber verbindliche Regel: stichprobenartige Prüfung der Agenten-Aktionen in einem festen Rhythmus plus ein klarer Ansprechpartner für Auffälligkeiten.

Diese drei Punkte sind bewusst unabhängig von der Unternehmensgröße formuliert. Ein KMU braucht kein KI-Ethikboard, um einen Agenten verantwortungsvoll zu betreiben – aber es braucht diese drei Grundlagen, sonst bleibt jeder Agent ein unkontrolliertes Experiment, egal wie leistungsfähig das zugrundeliegende Modell ist.

Umsetzung: wie man einsteigt

Der Einstieg gelingt am ehesten klein und mit engem Rahmen, nicht mit dem ambitioniertesten Anwendungsfall zuerst:

  1. Einen Aufgabenkandidaten nach den drei Eignungsfragen prüfen (prüfbares Ergebnis, tolerierbarer Fehlerfall, echte Mehrschrittigkeit) – siehe Abschnitt „Welche Aufgaben sind geeignet?”.
  2. Autonomiestufe 1 oder 2 wählen und explizit festlegen, welche Werkzeuge der Agent bekommt und wo eine Freigabe zwingend ist.
  3. Verantwortliche Person benennen, bevor der Agent das erste Mal produktiv läuft – nicht danach.
  4. Testphase mit engem Scope, eng beobachtet, mit klaren Kriterien, wann die Stufe erhöht oder das Projekt gestoppt wird.
  5. Erst nach stabiler Testphase erweitern – mehr Werkzeuge, höhere Autonomiestufe, weitere Anwendungsfälle, jeweils einzeln geprüft statt als Paket.

Zur Werkzeugfrage noch ein Punkt, der in Projekten oft zu früh entschieden wird: Ob du auf ein Low-Code-Automatisierungswerkzeug mit Agenten-Funktionen setzt oder eine individuell integrierte Lösung baust, entscheidet sich nicht am Hype, sondern am konkreten Fall. Low-Code eignet sich, wenn Standardanbindungen an gängige Systeme reichen und das Team selbst weiterentwickeln soll. Eine individuelle Integration lohnt sich, wenn bestehende Systeme keine passenden Standardschnittstellen bieten oder die Anforderungen an Nachvollziehbarkeit und Berechtigungssteuerung über das hinausgehen, was ein Standardwerkzeug mitbringt. Beides sind legitime Wege – die Entscheidung gehört an den Anfang der Umsetzungsphase, nicht ans Ende, weil sie Aufwand und Betriebsverantwortung erheblich beeinflusst.

Wer sich unsicher ist, ob ein konkreter Anwendungsfall für einen Agenten geeignet ist oder besser als klassischer Workflow gelöst gehört: Genau diese Einschätzung ist Teil unseres Beratungsangebots. Ein kostenloses Erstgespräch klärt in kurzer Zeit, ob und wo sich der Einstieg lohnt.

Risiken & Grenzen

Zur ehrlichen Einordnung gehört, wo Agentic AI (noch) nicht die richtige Antwort ist:

  • Unklare Erfolgskriterien. Wenn niemand im Vorfeld sagen kann, wann ein Ergebnis richtig ist, kann auch niemand prüfen, ob der Agent gut arbeitet. Das ist kein Autonomieproblem, sondern ein vorgelagertes Klärungsproblem.
  • Hoher Schaden bei Fehlern ohne Prüfschritt. Aufgaben mit direkter Wirkung nach außen (Kundenkommunikation, finanzielle Transaktionen, rechtlich bindende Erklärungen) gehören nicht in hohe Autonomiestufen, solange kein verlässlicher Freigabeschritt existiert.
  • Fehlende Beobachtbarkeit. Wenn ein System nicht protokolliert, was es tut und warum, ist nachträgliche Kontrolle unmöglich – dann ist die Lösung noch nicht einsatzbereit, unabhängig von ihrer fachlichen Qualität.
  • Datenschutz und regulatorischer Rahmen. Sobald ein Agent mit personenbezogenen Daten arbeitet, gelten die üblichen DSGVO-Anforderungen zusätzlich zur technischen Absicherung. Beim EU AI Act gilt (Stand Juli 2026, keine Rechtsberatung): Die Verordnung ist seit Februar 2025 gestuft in Kraft, seit August 2025 gelten Regeln für Modelle mit allgemeinem Verwendungszweck, ab August 2026 wird sie weitgehend anwendbar. Agentensysteme mit hoher Entscheidungswirkung – etwa im Personalwesen – fallen tendenziell in höhere Risikoklassen und damit unter strengere Pflichten. Verbindliche Einordnung liefert nur die Europäische Kommission oder rechtliche Beratung im Einzelfall.

Und eine Grenze, die selten ausgesprochen wird: Nicht jede Aufgabe, die theoretisch von einem Agenten übernommen werden könnte, sollte es auch. Ein sauberer, deterministischer Workflow ist oft billiger im Betrieb, leichter zu prüfen und weniger fehleranfällig als ein Agent – dort, wo der Ablauf tatsächlich feststeht, ist Autonomie ein unnötiges Risiko statt ein Vorteil. Wo genau die Grenze zwischen beiden Ansätzen verläuft, behandeln weitere Artikel in unserem Themen-Cluster KI-Agenten vertiefend.

Checkliste: Agentic AI im Unternehmen einführen

  1. Der Anwendungsfall hat ein prüfbares Ergebnis, mehrere echte Zwischenschritte und einen tolerierbaren Fehlerfall.
  2. Wir haben geprüft, ob ein klassischer, deterministischer Workflow nicht die einfachere und wartungsärmere Lösung wäre.
  3. Der Werkzeugzugriff des Agenten ist auf das für die Aufgabe zwingend nötige Minimum begrenzt.
  4. Es gibt definierte Freigabepunkte für jede Aktion mit Wirkung nach außen oder mit finanzieller Relevanz.
  5. Die Autonomiestufe (1, 2 oder 3) ist bewusst gewählt, nicht die höchste technisch mögliche.
  6. Es gibt eine benannte, verantwortliche Person für jeden produktiven Agenten.
  7. Jede Aktion des Agenten wird protokolliert und ist im Nachhinein nachvollziehbar.
  8. Es gibt einen Rhythmus für Stichprobenprüfung und einen klaren Eskalationsweg bei Auffälligkeiten.
  9. Datenschutzrelevante Fragen (personenbezogene Daten, Auftragsverarbeitung) sind vor dem produktiven Start geklärt.
  10. Die Einordnung in den EU-AI-Act-Rahmen wurde geprüft, insbesondere bei Entscheidungswirkung auf Menschen.
  11. Die Testphase hat klare Kriterien, wann die Autonomiestufe erhöht, unverändert beibehalten oder das Projekt gestoppt wird.

Für die Grundlagen von KI-Agenten und die Abgrenzung zu Workflows und Chatbots lohnt sich der Blick in unser Themen-Cluster KI-Agenten; wer Teams auf den Umgang mit solchen Systemen vorbereiten will, findet dazu Schulungen.

Häufige Fragen

Was bedeutet Agentic AI?

Agentic AI bezeichnet KI-Systeme, die selbstständig planen, Werkzeuge aufrufen, Zwischenergebnisse bewerten und mehrere Schritte ausführen, um ein Ziel zu erreichen – statt nur eine einzelne Anfrage zu beantworten oder einen starren Ablauf abzuarbeiten. Der Unterschied zu klassischer Automatisierung liegt im Grad der Autonomie, nicht in einer neuen Technologiekategorie.

Welche Aufgaben sind für KI-Agenten geeignet?

Am besten geeignet sind Aufgaben mit klar prüfbarem Ergebnis, mehreren Zwischenschritten und tolerierbarem Fehlerfall – etwa Recherche, Datenabgleich oder mehrstufige Bearbeitung interner Anfragen. Ungeeignet sind Aufgaben mit hohem Schaden bei Fehlern, unklaren Erfolgskriterien oder ohne Möglichkeit zur Prüfung vor Wirkung nach außen.

Welche Architektur braucht ein KI-Agent im Unternehmen?

Im Kern: ein Sprachmodell als Planungsinstanz, definierte Werkzeuge mit klaren Schnittstellen, ein Gedächtnis für Zwischenschritte und ein Protokoll für Ausführung und Kontrolle. Wichtig sind außerdem Berechtigungsgrenzen pro Werkzeug und eine Protokollierung, die im Nachhinein nachvollziehbar macht, welcher Schritt warum ausgeführt wurde.

Wie begrenzt man die Autonomie eines KI-Agenten?

Über vier Hebel: welche Werkzeuge ein Agent überhaupt aufrufen darf, welche Aktionen eine menschliche Freigabe brauchen, welche Datenbereiche zugänglich sind und wie eng der Auftrag formuliert ist. Autonomie ist keine Ein-Aus-Entscheidung, sondern eine Stufe, die du pro Anwendungsfall bewusst wählst.

Welche Organisation braucht ein Unternehmen für KI-Agenten?

Mindestens eine benannte Verantwortung pro Agent, eine geklärte Berechtigungsvergabe und einen Prozess für Monitoring und Eskalation, wenn ein Agent falsch handelt. Ohne diese drei Elemente bleibt ein Agent ein unkontrolliertes Experiment, unabhängig davon, wie gut das zugrundeliegende Modell ist.

Quellen

Weiterlesen

Wo lohnt sich das bei euch zuerst?

Kostenloser Erstcheck: 45 Minuten, wir schauen auf eure Prozesse und priorisieren, was Wirkung bringt.

Kostenlosen Erstcheck anfragen →