Wir schätzen Ihre Privatsphäre

Wir verwenden Cookies, um Ihr Surferlebnis zu verbessern, personalisierte Anzeigen oder Inhalte einzusetzen und unseren Datenverkehr zu analysieren. Wenn Sie auf „Alle akzeptieren" klicken, stimmen Sie der Anwendung von Cookies zu.

Powered by
    ← Alle Insights
    RegulierungVorträge

    KI-Agenten, Vibe Coding und der EU AI Act

    Dr. Oliver Gausmann · 8. Juni 2026 · 4 Min. Lesezeit

    Titelgrafik des Vortrags „KI-Agenten, Vibe Coding und der EU AI Act" mit Dr. Oliver Gausmann, Geschäftsführer Convios.

    Eine App bauen kann heute fast jeder. Sie so zu betreiben, dass sie einem Audit standhält, ist die eigentliche Arbeit. Genau darum ging es beim BVMW-Impuls am 8. Juni 2026 zu KI-Agenten, Vibe Coding und dem EU AI Act: ein Prüfkatalog für den verantwortbaren KI-Einsatz im Mittelstand, sechs Entscheidungen, jeweils mit rechtlicher Einordnung.

    Die Folien und den vollständigen Prüfkatalog inklusive der Anleitung zur Konfiguration in Lovable finden Sie hier zum Download:

    Vortragsfolien (PDF)
    Prüfkatalog (PDF)

    Warum Regeln: erst die Checkliste macht Tempo möglich

    Als Pilot wird ein Flug durch Checklisten, Instrumente und klare Verfahren sicher; das Können allein reicht nicht. Mit KI ist es genauso. Das Potenzial ist groß, das Risiko real. Die Regeln sind die Checkliste, die das Potenzial nutzbar macht.

    Vibe Coding: Software per Sprache beschrieben

    Beim Vibe Coding11 beschreiben Sie in normaler Sprache, was die Software tun soll, und die KI schreibt den Code. Die Kehrseite ist belegt: Rund 45 Prozent des KI-Codes hat bekannte Sicherheitslücken1, und ein Benchmark der Carnegie Mellon University wertet nur 10,5 Prozent des funktionierenden Codes als sicher2.

    Funktioniert und sicher sind zwei verschiedene Dinge. Tempo ohne Prüfung ist gefährlich.

    KI-Agenten und die agentische Organisation

    Die Eigenständigkeit steigt vom Assistenten über den Agenten bis zu autonomen Multi-Agenten. Je höher die Stufe, desto mehr Aufsicht, Protokoll und Not-Aus braucht es; die Verantwortung bleibt im Haus. Für die Geschäftsführung heißt das: von Befehl und Kontrolle zu Koordination und Aufsicht, eigene KI-Kompetenz10, ein menschlicher Not-Aus und klare Rechenschaft12.

    Centaur, Cyborg, Self-Automator

    Eine Studie von MIT Sloan und HBS unterscheidet drei Arbeitsweisen: Centaur (gezielte Arbeitsteilung, 14 Prozent), Cyborg (enge Verzahnung, 60 Prozent) und Self-Automator (volle Abgabe, 27 Prozent)3. Wählen Sie den Modus pro Aufgabe: Wichtiges als Centaur, Routine als Self-Automator. Je höher das Risiko, desto mehr Mensch.

    EU AI Act: Risikoklassen und Fristen

    Der EU AI Act reguliert nach Risiko: verboten, hoch, begrenzt (Transparenz), minimal; dazu eine eigene, strengere Spur für Allzweckmodelle (GPAI). Schulungspflicht (Art. 4) und Verbote (Art. 5) gelten seit Februar 20254. Nach der vorläufigen Einigung zum Digital Omnibus verschiebt sich die Kennzeichnungspflicht für KI-Inhalte (Art. 50 Abs. 2) auf Dezember 2026, die Pflichten für eigenständige Hochrisiko-Systeme auf Dezember 20275. Rechtsverbindlich wird das erst mit der förmlichen Annahme. Bußgelder reichen bis 35 Mio. Euro oder 7 Prozent Weltumsatz (Art. 99).

    EU AI Act: Risikoklassen
    RisikoklasseBedeutungBeispiel / Pflicht
    VerbotenInakzeptables Risiko, untersagtSocial Scoring; manipulative Systeme
    HochStrenge Auflagen vor und im BetriebKI in Personalauswahl oder Kreditvergabe
    BegrenztTransparenzpflichtChatbots und KI-Inhalte kennzeichnen
    MinimalKeine besonderen PflichtenSpamfilter, KI in Spielen
    GPAI (Allzweckmodelle)Eigene, strengere SpurGroße Sprachmodelle; Dokumentation, Urheberrecht

    Das Regelwerk steht nicht allein

    Neben dem AI Act greifen DSGVO (Rechtsgrundlage, Auftragsverarbeitung, Datenminimierung, Rechenschaftspflicht)6, NIS2 (in Deutschland seit Dezember 2025; die Geschäftsleitung haftet persönlich)7, die neue Produkthaftung (ab Dezember 2026 gilt Software als Produkt, Haftung ohne Verschuldensnachweis)8 und das Urheberrecht (LG München I, 11.11.2025)9.

    EU AI Act und weitere Regeln: Fristen im Überblick
    RegelwerkWorum es geht
    EU AI Act, Art. 4 (KI-Kompetenz)Schulungspflicht für Anbieter und Betreiber. Gilt seit 2. Februar 2025.
    EU AI Act, Art. 5 (Verbote)Verbotene KI-Praktiken. Gilt seit 2. Februar 2025.
    EU AI Act, Art. 50 Abs. 2 (Kennzeichnung)Kennzeichnung von KI-Inhalten. Vorläufig verschoben auf Dezember 2026.
    EU AI Act (Hochrisiko)Pflichten für eigenständige Hochrisiko-Systeme. Vorläufig verschoben auf Dezember 2027.
    DSGVORechtsgrundlage, Auftragsverarbeitung, Datenminimierung, Rechenschaft. Gilt laufend.
    NIS2-Umsetzungsgesetz (§ 38 BSIG)Cyberpflichten, persönliche Haftung der Geschäftsleitung. Gilt seit 6. Dezember 2025.
    Produkthaftung (EU) 2024/2853Software gilt als Produkt; Haftung ohne Verschuldensnachweis. Gilt für Produkte ab 9. Dezember 2026.

    Die sechs Entscheidungen des Prüfkatalogs

    An sechs Stellen fällt eine echte Entscheidung. Der Prüfkatalog führt durch jede davon:

    Die sechs Entscheidungen im Überblick
    EntscheidungLeitfrageRechtlicher Bezug
    1. Business CaseWollen Sie das überhaupt selbst bauen?Wirtschaftlichkeit (Vorfrage)
    2. Befugnis und FähigkeitDürfen und können Sie das bauen?EU AI Act Art. 4; ISO/IEC 42001
    3. Werkzeug und TarifWelches Tool, welcher Plan?DSGVO Art. 28 und 6
    4. Daten und Input/OutputWelche Daten, und speichert die App etwas?DSGVO Art. 5, 6, 28, 32
    5. HostingWo läuft es, wo stehen die Daten?DSGVO Art. 32; AI Act Art. 12, 26
    6. Betrieb und LebenszyklusWer besitzt, wartet und beendet die App?Produkthaftung (EU) 2024/2853; NIS2

    Nachweispflicht

    Ein Auditor prüft nicht nur, ob eine Richtlinie existiert, sondern ob der Beweis von der Anforderung bis zum Nachweis lückenlos vorliegt. Aus Anforderung wird Policy, daraus Control, daraus Evidence. Fehlt der Nachweis, entsteht das Risiko automatisch.

    DSGVO Art. 5 Abs. 2: Der Verantwortliche muss die Einhaltung nachweisen können (Rechenschaftspflicht)6.

    Unsere Einordnung

    In der Praxis ist das Hindernis selten das Tool und selten das Gesetz. Es ist die fehlende Zuständigkeit für die Nachweis-Ebene. Solange niemand im Haus dafür verantwortlich ist, aus Anforderung, Policy und Control belastbares Evidence zu erzeugen, entsteht es erst, wenn ein Vorfall es erzwingt. Benennen Sie diese Person, bevor das erste Audit kommt, dann ist der Prüfkatalog schon zur Hälfte umgesetzt.

    Materialien und Kontakt

    Die Folien und der vollständige Prüfkatalog stehen oben zum Download. Für Fragen oder Begleitung beim verantwortbaren KI-Einsatz vernetzen Sie sich gern.

    Quellen

    1Veracode, GenAI Code Security Report 2025

    2Zhao u. a., SUSVIBES, Carnegie Mellon University, 2026

    3Kellogg, Lifshitz, Dell'Acqua, Mollick u. a., MIT Sloan / Harvard Business School, 2024

    4EU AI Act, Verordnung (EU) 2024/1689 (Art. 4, 5, 12, 26, 50, 99)

    5Digital Omnibus on AI, vorläufige politische Einigung vom 7. Mai 2026

    6DSGVO, Verordnung (EU) 2016/679 (Art. 5, 6, 28, 32)

    7NIS2-Richtlinie (EU) 2022/2555; NIS2-Umsetzungsgesetz, § 38 BSIG

    8Produkthaftung, Richtlinie (EU) 2024/2853

    9LG München I, Urteil vom 11.11.2025, 42 O 14139/24 (GEMA gegen OpenAI)

    10ISO/IEC 42001:2023, KI-Managementsystem

    11Vibe Coding: Karpathy 2025; Collins Word of the Year 2025

    12Gassmann, Wincent, California Management Review 2025

    Hat Ihnen dieser Artikel geholfen?

    Sie haben Fragen zu diesem Thema?

    Gespräch vereinbaren