Auf einen Blick: KI-Agents sind Systeme, die ein Ziel verfolgen, mehrere Schritte planen und Tools selbständig aufrufen. Im Mai 2026 haben Anthropic, OpenAI, Google und Mistral konkurrierende Frameworks im Markt. Was funktioniert: strukturierte Daten extrahieren, Routine-Trichter abarbeiten, Recherche mit menschlicher Kontrolle. Was scheitert: lange Multi-Step-Pläne ohne Eskalation, Aufgaben mit hoher Konsequenz. Für KMU realistisch sind die Stufen L2 und L3, nicht L5.
Agentic AI ist das Marketing-Wort des Jahres 2026. Jeder Anbieter behauptet, sein Modell sei agentenfähig, jede Demo zeigt einen autonomen Workflow, der angeblich von alleine Reisen bucht oder Bestellungen erledigt. In der Praxis sieht das anders aus. Die meisten produktiven Agent-Implementierungen in deutschen KMU stehen auf Stufe zwei oder drei der Autonomie-Skala, nicht auf fünf. Sie machen das, was sie sollen, in einem engen Kontext, mit menschlicher Kontrolle und mit klaren Eskalationsregeln. Wer das versteht, hat eine echte Chance auf Hebel. Wer auf die Demos hereinfällt, baut Piloten, die nie skalieren.
Was ein KI-Agent ist, jenseits von Marketing
Definition, nüchtern: Ein KI-Agent ist ein System, das ein Ziel verfolgt, dafür mehrere Schritte planen kann und Werkzeuge selbständig aufruft, ohne dass ein Mensch jeden einzelnen Schritt anstößt. Drei Merkmale sind dafür notwendig.
Erstens, das System bekommt ein Ziel statt einer konkreten Anweisung. Statt "übersetze diesen Text" lautet die Aufgabe "schreibe eine Antwort auf diese Kundenmail in deutscher Sprache und passe den Ton an die bisherige Korrespondenz an". Das Ziel ist breiter als eine Einzelaktion.
Zweitens, das System darf Werkzeuge aufrufen. Tools können API-Endpunkte sein, Datenbank-Queries, Webseiten-Aufrufe, Code-Ausführung. Modern: Tool-Use über das Model Context Protocol (MCP), Function Calling, Computer Use.
Drittens, das System bezieht das Ergebnis eines Tool-Aufrufs in die nächste Entscheidung ein. Es plant, ruft auf, beobachtet, korrigiert. Das unterscheidet einen Agent von einem normalen Chat-Workflow, der nur einen einzigen Tool-Call macht und dann antwortet.
Wichtig: Ein "Agent" ist nicht automatisch vollautonom. Die Autonomie ist eine Skala, kein Schalter.
Frameworks im Mai 2026
Vier Anbieter haben im Mai 2026 ernsthafte Agent-Frameworks im Markt.
Anthropic Agent SDK ist die direkte Tool-Sammlung zu Claude. Tool-Use ist nativ unterstützt, Model Context Protocol als Standard für externe Tool-Anbindung, Computer Use erlaubt Klicks und Tastatureingaben in einer kontrollierten Sandbox, Code Execution läuft in einer eingebetteten Python-Umgebung. Stand Mai 2026 das ausgereifteste Framework für reflektierende Agenten mit menschlicher Aufsicht.
OpenAI Assistants API und Operator sind die Pendants. Assistants ist die ältere API für Thread-basierte Konversationen mit persistenter Zustandshaltung und Tool-Calls. Operator ist das neuere Produkt für Computer-Use-Aufgaben, also Agents, die im Browser klicken und Formulare ausfüllen. Operator ist seit 2025 verfügbar, hat sich aber in produktiven KMU-Use-Cases bislang wenig durchgesetzt, weil die Zuverlässigkeit auf realen Webseiten schwankt.
Google Agent Builder und Vertex AI Agent Engine sind die Cloud-Native-Variante. Stark, wenn das Unternehmen ohnehin in der Google-Welt arbeitet. Integration mit Google Workspace, BigQuery, Drive. Für KMU außerhalb der Google-Welt selten erste Wahl.
Mistral hat im Mai 2026 den Le Chat Work Mode veröffentlicht, der ebenfalls Agent-Funktionen für Geschäftsanwender bringt. Politisch interessant für EU-Behörden und für Mittelständler, die einen EU-basierten Anbieter bevorzugen.
Daneben gibt es Frameworks für Self-Hosting. LangGraph, CrewAI und AutoGen sind die bekanntesten Open-Source-Lösungen. Sie verlangen mehr Engineering-Arbeit, sind aber dafür anbieter-neutral und können auch mit Open-Source-Modellen wie Llama oder Mistral lokal betrieben werden.
Autonomie-Levels L1 bis L5
Wer in Agent-Diskussionen mitreden will, kennt die fünf Stufen.
| Level | Bezeichnung | Beschreibung | Realistisch für KMU |
|---|---|---|---|
| L1 | Workflow | Vorgegebene Schritte, keine Planung | ja, häufig |
| L2 | Mensch-im-Loop | Agent plant, Mensch genehmigt jeden Schritt | ja, Standard |
| L3 | Mensch-on-Loop | Agent handelt, Mensch überwacht und greift ein | ja, mit Mühe |
| L4 | Autonom mit Eskalation | Agent handelt, eskaliert bei Unsicherheit | selten heute |
| L5 | Vollautonom | Agent handelt ohne menschliche Kontrolle | praktisch nirgends |
L1 ist streng genommen kein Agent, sondern ein Workflow. n8n-Pipelines fallen meist hier rein. Die Bezeichnung "Agent" wird trotzdem oft draufgeklebt, weil es besser klingt.
L2 ist der Standard für seriöse KMU-Implementierungen. Das System schlägt eine Aktion vor, der Mensch klickt "Bestätigen". Beispiel: Eine KI klassifiziert eingehende Belege und legt sie in Ordner ab, der Buchhalter prüft jede Klassifikation einmal pro Tag und ändert ab.
L3 ist der Bereich, in den 2026 viele Projekte gehen. Das System handelt selbständig, der Mensch sieht ein Dashboard und greift ein, wenn die Kennzahlen abweichen. Beispiel: E-Mail-Triage, die routinemäßige Anfragen direkt beantwortet und Eskalationsfälle an den Sachbearbeiter weiterleitet.
L4 und L5 sind 2026 vor allem in Demos und in geschlossenen Forschungsumgebungen sichtbar. In produktiven KMU-Workflows sehen wir das praktisch nicht, weil die Konsequenzen von Fehlhandlungen ohne Eskalation zu teuer wären.
Was funktioniert, was scheitert
Drei Use-Case-Typen funktionieren im Mai 2026 zuverlässig.
Strukturierte Daten extrahieren. Ein Agent liest eingehende Rechnungen, extrahiert Felder wie Rechnungsnummer, Datum, Betrag, Steuersatz, Vorsteuer und schreibt das Ergebnis in die Buchhaltung. Mit menschlicher Stichprobe alle paar Tage. Ausfall-Toleranz hoch, Fehler erkennbar.
Routine-Trichter abarbeiten. E-Mail-Triage in einem Servicepostfach, FAQ-Antworten in einem Web-Chat, automatische Kategorisierung eingehender Anfragen mit Weiterleitung. Der Agent beantwortet 60 bis 80 Prozent der Anfragen, der Rest geht an den Mitarbeiter. Erfolgskennzahl: Mitarbeiter-Zeit pro Tag.
Recherche mit Output-Kontrolle. Ein Agent durchsucht öffentliche Datenquellen, fasst zusammen, erstellt einen ersten Entwurf. Der Mensch redigiert. Klassisches L2-Beispiel: Wettbewerbsanalyse, Patentrecherche, Marktbeobachtung. Quellenangaben sind dabei Pflicht.
Drei Use-Case-Typen scheitern im Mai 2026 regelmäßig.
Lange Multi-Step-Pläne ohne Kontrolle. Ein Agent soll von alleine eine Reise buchen, Hotel und Mietwagen reservieren und alles in den Kalender eintragen. Bei drei Browser-Klicks geht etwas schief, der Plan entgleist. Anbieter zeigen das in Demos, in der Praxis bricht es bei realen Websites.
Robuste Fehlerbehandlung in offenen Umgebungen. Computer-Use auf nicht standardisierten Webseiten, Verarbeitung beliebig formatierter Eingangs-Dokumente, Umgang mit Captcha und unerwarteten Pop-ups. Hier reicht die Robustheit aktueller Modelle noch nicht aus, um produktiv ohne Mensch zu fahren.
Aufgaben mit hoher Konsequenz. Verkaufsentscheidungen, Kreditvergabe, Rechtsschritte. Wenn ein Fehler 50.000 EUR oder einen Mandanten kostet, ist die Halluzinations-Toleranz null. L4-Autonomie ist hier mit dem aktuellen Stand der Modelle nicht verantwortbar.
Compliance: Was die KI-VO für Agents bedeutet
Agent-Systeme sind nicht außerhalb der Regulierung. Art. 14 KI-VO verlangt menschliche Aufsicht bei Hochrisiko-Anwendungen. Wer einen Agent für HR-Scoring oder Kreditvergabe einsetzt, bekommt vier konkrete Pflichten: Die Aufsichtsperson muss die Fähigkeiten und Grenzen des Systems verstehen, Anomalien erkennen können, gegen Automation Bias geschützt sein und das System jederzeit überstimmen oder abschalten können.
Das hat Konsequenzen für die Architektur. Ein Agent ohne Stop-Funktion ist nicht KI-VO-konform für Hochrisiko-Use-Cases. Ein Dashboard, das Tool-Aufrufe sichtbar macht, ist nicht Kür, sondern Pflicht. Ein Audit-Trail, der jede automatisierte Entscheidung nachvollziehbar macht, ist Voraussetzung.
Art. 26 KI-VO regelt die Betreiberpflichten. Wer einen Agent betreibt, muss die Anwendungsbedingungen des Anbieters einhalten, Schulungsnachweise nach Art. 4 KI-VO für die operativen Mitarbeiter vorhalten und im Fall eines Hochrisiko-Systems eine Folgenabschätzung nach Art. 27 KI-VO durchführen. Das gilt unabhängig davon, ob der Agent auf Anthropic, OpenAI oder einem selbst gehosteten Modell läuft.
DSGVO-seitig kommt Art. 22 DSGVO ins Spiel, wenn der Agent automatisierte Entscheidungen mit rechtlicher Wirkung trifft. Bonitätsprüfung, Vertragsabschluss, Personalentscheidungen. Der Betroffene hat das Recht auf menschliche Überprüfung. Das schließt vollautonome Implementierungen in diesen Bereichen praktisch aus.
Die Inkraftsetzung der Hochrisiko-Vorschriften wurde im EU-Trilog vom 07.05.2026 auf den 02.12.2027 verschoben. Die Pflichten kommen, sie kommen nur später. Wer heute einen Agent für eine Hochrisiko-Anwendung baut, baut ihn so, dass er ab 02.12.2027 konform ist. Sonst wird der Umbau teuer.
Wer das tiefer braucht, findet im Pillar zur KI-Kompetenzpflicht nach Art. 4 KI-VO die zugrunde liegenden Pflichten.
Wie KMU pragmatisch starten
Wir sehen einen Muster-Weg, der bei KMU zuverlässig funktioniert.
Schritt eins: Single-Task vor Multi-Step. Anfänger-Projekte wählen einen einzelnen, klar abgegrenzten Vorgang. Eingehende Belege klassifizieren. Routinemails beantworten. Termine vorab bestätigen. Nichts mit fünf Werkzeugen und drei Verzweigungen.
Schritt zwei: L2 vor L3. Mensch-im-Loop ist der richtige Start. Der Agent macht den Vorschlag, der Mensch genehmigt. Das gibt eine Trainings-Phase, in der das Team das Tool versteht, Fehlermuster sieht und Anpassungen vornimmt. Erst wenn die Trefferquote stabil über 90 Prozent liegt, lohnt der Sprung auf L3.
Schritt drei: Audit-Trail von Anfang an. Jeder Agent-Lauf wird geloggt: Was war das Ziel, welche Tools wurden aufgerufen, welche Antworten kamen zurück, welche Entscheidung wurde getroffen. Ohne diesen Trail ist weder Debugging möglich noch Compliance-Nachweis. Mit dem Trail fällt die Anpassung leicht.
Schritt vier: Eskalations-Schwellen definieren. Welche Anfragen darf der Agent allein beantworten, welche müssen an einen Mitarbeiter? Diese Regel muss explizit definiert sein, nicht im Modell-Prompt versteckt. Beispiel: Anfragen mit Beträgen über 5.000 EUR, mit Schlüsselwörtern "Beschwerde", "Anwalt" oder "Kündigung", oder mit unbekannten Mandanten gehen automatisch an den Menschen.
Schritt fünf: Volumen langsam hochfahren. Zehn Anfragen pro Tag in der ersten Woche, dann fünfzig, dann zweihundert. Nach jeder Stufe Stichproben prüfen.
Eine ehrliche Beobachtung
Wer das unterschätzt, baut Piloten, die nie skalieren. Wir sehen das regelmäßig: Ein Berater zeigt eine Demo mit fünf agentic Tools, das Management ist begeistert, sechs Monate später läuft das System in der Test-Umgebung, niemand setzt es produktiv ein. Warum: Die Eskalationsregeln waren nicht klar, der Audit-Trail fehlte, das Team konnte den Vorgang im Fehlerfall nicht reparieren. Ein Agent ohne ständigen Eskalationspfad und ohne klare Fehlerverarbeitung ist ein Spielzeug. Die Investition lohnt sich erst, wenn das Team das System als Werkzeug akzeptiert, nicht als Bedrohung.
Das hat nichts mit der Technologie zu tun. Die Modelle sind 2026 leistungsfähig. Es scheitert an der Implementierung, an der Schulung und an der Akzeptanz. Genau hier liegt der Hebel.
Praxis: Frischer Wind Versicherungsmakler in Bayreuth
Frischer Wind, ein fiktiver Versicherungsmakler-Betrieb mit 14 Mitarbeitern in Bayreuth, hat im Februar 2026 einen Agent-Piloten für E-Mail-Triage gestartet. Aufgabe: Eingehende Mandanten-Mails kategorisieren, Routinefälle direkt beantworten, alles andere zuweisen.
Setup: Anthropic Agent SDK mit Claude 4.5, drei Tools angebunden. Erstes Tool ist ein MCP-Filesystem-Server auf das Mandantenverzeichnis (Read-Only). Zweites Tool ist eine Anbindung an das interne CRM für Status-Abfragen. Drittes Tool ist ein E-Mail-Versender mit Stop-Pflicht: ausgehende Mails an Mandanten gehen nicht automatisch raus, sondern landen in einem Postfach "Vorschlag", den ein Sachbearbeiter freigibt. Das ist L2-Autonomie.
Eskalationsregeln explizit: Mails mit den Wörtern "Schaden", "Kündigung", "Beschwerde", "Anwalt", mit Beträgen über 10.000 EUR im Text, oder mit Neukunden gehen direkt an die Sachbearbeiterin, ohne Vorschlag. Routinefälle wie Adress-Änderung, Anfrage nach Versicherungsschein-Kopie, Beitragsfreigabe gehen in den Vorschlag-Workflow.
Ergebnis nach drei Monaten: Etwa 65 Prozent eingehender Mails laufen über den Agent-Workflow. Die Sachbearbeiterin bearbeitet pro Tag rund 40 Vorschläge, klickt sie meist mit kleinen Anpassungen frei, etwa 5 bis 10 Prozent werden komplett umgeschrieben. Zeitersparnis pro Sachbearbeiterin: etwa 90 Minuten pro Tag.
Was bewusst nicht über Agents läuft: Schadensmeldungen, Beratungsgespräche, Vertragsabschlüsse. Hier greift die Beratungs- und Dokumentationspflicht nach § 61 VVG, die menschliche Entscheidung verlangt.
Investition: Etwa 60 Stunden interne Aufbauzeit für Tool-Anbindung und Prompt-Tuning, 8.000 EUR externe Beratung für DSFA und Compliance-Dokumentation. Laufende Kosten: rund 200 EUR pro Monat für Claude-API, dazu Wartung etwa zwei Stunden pro Woche.
Was sie nicht tun: Sprung auf L3 oder L4. Auch in einem Jahr nicht. Die Risiko-Akzeptanz im Versicherungsgeschäft erlaubt keinen Agent, der ohne menschliche Freigabe an Mandanten schreibt. Das ist eine bewusste Geschäftsführungs-Entscheidung.
Wer überlegt, wie sich Agents, n8n-Automation und KI-Praxis im Betrieb sinnvoll verbinden lassen, findet im Digitalisierungsmanager eine viermonatige geförderte Weiterbildung, die genau diese Verbindung von Frameworks, Werkzeugen und Prozessen vermittelt. Mit Bildungsgutschein 0 Euro, komplett online.
Häufige Fragen
Was unterscheidet einen KI-Agent von einer normalen Automation?
Ein Agent verfolgt ein Ziel statt eine konkrete Anweisung auszuführen. Er plant mehrere Schritte, ruft Werkzeuge selbständig auf und bezieht die Ergebnisse in die nächste Entscheidung ein. Eine normale Automation oder ein n8n-Workflow folgt einem festen Pfad. Stand Mai 2026 ist die Grenze fließend, aber der Unterschied liegt in der Planungs- und Reaktionsfähigkeit. Wer fünfzehn n8n-Knoten hintereinander setzt, hat einen Workflow, keinen Agent. Wer einem System ein Ziel gibt und es bestimmen lässt, welche Schritte nötig sind, hat einen Agent.
Welche Autonomie-Stufe ist für KMU realistisch?
L2 (Mensch-im-Loop) ist der Standard für seriöse KMU-Implementierungen im Mai 2026. L3 (Mensch-on-Loop) ist möglich für Routine-Anwendungen mit niedriger Konsequenz und gutem Audit-Trail. L4 und L5 sehen wir in produktiven KMU-Workflows praktisch nicht, weil die Konsequenzen von Fehlhandlungen ohne Eskalation zu teuer wären. Wer auf der Demo-Bühne L5 sieht, sieht eine kontrollierte Vorführung. In der Praxis bricht das bei realen Daten oft schon im Pilot.
Welche Use-Cases funktionieren bei Agents zuverlässig?
Drei Typen funktionieren stabil. Erstens, strukturierte Datenextraktion (Belege, Formulare, eingehende Dokumente). Zweitens, Routine-Trichter (E-Mail-Triage, FAQ-Antworten, einfache Klassifikation). Drittens, Recherche mit Output-Kontrolle (Wettbewerbsanalyse, Marktbeobachtung, Vorab-Entwürfe mit menschlicher Redaktion). Gemeinsamer Nenner: Eng abgegrenzte Aufgabe, klare Eskalationsregel, menschliche Stichprobe.
Welche Compliance-Pflichten gelten für Agent-Systeme?
Die KI-VO macht keinen Unterschied zwischen Chatbot und Agent. Art. 14 KI-VO verlangt menschliche Aufsicht bei Hochrisiko-Anwendungen, Art. 26 regelt Betreiberpflichten, Art. 27 verlangt eine Grundrechte-Folgenabschätzung bei bestimmten Hochrisiko-Use-Cases. Bei automatisierten Entscheidungen mit rechtlicher Wirkung greift zusätzlich Art. 22 DSGVO mit dem Recht auf menschliche Überprüfung. Wer einen Agent für HR-Scoring, Kreditvergabe oder Vertragsabschlüsse baut, baut ihn so, dass er ab 02.12.2027 konform ist (Trilog-Verschiebung 07.05.2026). Schulungsnachweis nach Art. 4 KI-VO ist seit 02.02.2025 in Kraft, unabhängig von der Risikoklasse.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
30 Minuten Klarheit kosten nichts. Wenn Du KI im Betrieb einsetzt oder überlegst einzusetzen, kommt es nicht auf das Tool an. Es kommt auf die Frage: wo entstehen Risiken, wo Hebel? In 30 Minuten gehen wir Deine konkrete Lage durch und Du weisst, wo Du anfangen solltest. Termin reservieren oder kostenlosen KI-Schnupperkurs starten.
Zuletzt geprüft am 26. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.