Inhaltsverzeichnis

    Ein KI-Agent wird für den Vertrieb eingerichtet — und hat wenige Wochen später Zugriff auf Gehaltsabrechnungen. Nicht weil jemand das so gewollt hat, sondern weil bei der Einrichtung zu weit gefasste Berechtigungen vergeben wurden. Dieses Szenario ist kein Einzelfall, sondern ein systematisches Problem beim Einsatz von KI-Agenten in kleinen und mittleren Unternehmen.

    Warum ist Datenzugriffskontrolle bei KI-Agenten anders als bei klassischer Software? Weil Agenten nicht passiv auf Anfrage reagieren, sondern autonom handeln, Schritte verketten und Datenquellen kombinieren — oft über Systemgrenzen hinweg, die in der ursprünglichen Konfiguration niemand bedacht hat.

    Dieser Artikel liefert keine Theorie. Er zeigt, welche Berechtigungsmodelle für KMU ohne IT-Abteilung realistisch umsetzbar sind, was DSGVO und EU AI Act konkret verlangen — und eine Checkliste, die Sie direkt verwenden können.

    Was KI-Agenten von klassischer Software unterscheidet

    Mehr als ein Chatbot

    Ein KI-Agent ist kein Chatbot. Ein Chatbot beantwortet Fragen. Ein KI-Agent führt Aktionen aus: Er schreibt E-Mails, aktualisiert CRM-Einträge, ruft APIs auf, sucht in Dokumenten — und verkettet diese Schritte zu eigenständigen Abläufen, ohne dass bei jedem Schritt ein Mensch eingreift.

    Das macht KI-Agenten leistungsfähig. Es macht unkontrollierten Datenzugriff aber auch folgenreicher als bei klassischer Software, die genau tut, was ihr Entwickler ihr explizit befohlen hat.

    Warum KI-Agenten strukturell schwieriger zu kontrollieren sind als klassische Automatisierungen, erläutern wir in diesem Artikel: KI-Agenten: Drei unbequeme Wahrheiten, die niemand erwähnt.

    Drei typische Datenzugriffspfade

    KI-Agenten greifen in der Praxis über drei Hauptwege auf Daten zu:

    1. API-Anbindungen — der Agent ruft externe oder interne Dienste auf (CRM, ERP, Kalender, E-Mail)
    2. Datei- und Dokumentenzugriff — z. B. SharePoint-Ordner, Google Drive, interne Wissensdatenbanken
    3. Datenbankabfragen — direkte oder indirekte Abfragen auf strukturierte Datenbanken

    Das konkrete Problem: Ein Vertriebsagent mit CRM-Zugriff braucht Kundenstammdaten und offene Angebote. Wenn das CRM aber auch Rechnungen und Zahlungsstände enthält — und der Agent auf die gesamte CRM-Instanz zugreifen darf — liest er automatisch mit. Nicht böswillig, sondern weil die Grenze nie gezogen wurde.

    Warum „nur Lesezugriff“ nicht reicht

    Lesezugriff klingt harmlos. Aber ein Agent, der lesen kann, kann Daten auch extrahieren, kombinieren, in Prompts einbetten und weiterverarbeiten — und diese Ergebnisse unter Umständen in andere angebundene Systeme schreiben. Lesezugriff auf falsche Daten ist kein harmloses Versehen. Es ist ein Datenschutzvorfall.

    Die wichtigsten Berechtigungsmodelle kurz erklärt

    RBAC — Role-Based Access Control

    RBAC ist das am weitesten verbreitete Berechtigungsmodell und in gängigen Unternehmenstools bereits eingebaut: Microsoft 365, Google Workspace, viele CRM-Systeme und Dokumentenplattformen arbeiten damit.

    Das Prinzip: Zugriffsrechte werden Rollen zugewiesen („Vertrieb“, „Buchhaltung“, „Support“), nicht einzelnen Personen oder Systemen. Ein KI-Agent erhält dann die Rolle, die seinem tatsächlichen Aufgabenbereich entspricht.

    Vorteil für KMU: verhältnismäßig einfach zu administrieren, keine eigene Infrastruktur nötig. Die Schwachstelle: zu weit gefasste Rollen („Admin“, „Vollzugriff“) hebeln die Kontrolle aus — und werden im Alltag gerne der Einfachheit halber vergeben.

    ABAC — Attribute-Based Access Control

    ABAC geht einen Schritt weiter: Zugriff wird nicht nur nach Rolle, sondern nach Attributen gesteuert. Zeitfenster (der Agent darf nur während der Geschäftszeiten auf bestimmte Daten zugreifen), Datenkategorie („nur anonymisierte Daten“) oder Abteilungszugehörigkeit des anfragenden Systems.

    Das ist sinnvoll, wenn RBAC zu unflexibel wird — etwa bei saisonalen Prozessen, externen KI-Diensten oder mehreren Agenten mit überlappenden Aufgaben.

    Realitätscheck für KMU: ABAC ist für kleinste Betriebe mit einem oder zwei KI-Agenten meist Overkill. Der Konfigurationsaufwand rechtfertigt sich erst ab einer gewissen Komplexität — oder wenn externe Dienste angebunden werden, die besonders sensitive Daten verarbeiten.

    Least-Privilege-Prinzip als Grundregel

    Unabhängig davon, welches Modell Sie verwenden: Das Least-Privilege-Prinzip ist die wichtigste Einzelmaßnahme. Der KI-Agent erhält genau die Berechtigungen, die er für seine definierte Aufgabe benötigt — und keine einzige mehr.

    Eine praktische Faustregel: Konfigurieren Sie den Datenzugriff so, wie Sie ihn für einen neuen, noch unbekannten Mitarbeitenden einrichten würden. Kein Admin-Zugriff auf Vorrat. Kein „wir schauen später, was er wirklich braucht.“

    Das BSI-Grundschutz-Kompendium (ORP.4) formalisiert dieses Prinzip für IT-Systeme — der Gedanke ist auf KI-Agenten direkt übertragbar.

    DSGVO und EU AI Act — was KMU beim KI-Datenzugriff konkret beachten müssen

    DSGVO-Pflichten beim Einsatz von KI-Agenten

    Wenn ein KI-Agent auf personenbezogene Daten zugreift — Kundendaten, Mitarbeiterdaten, Kontaktinformationen — greift die DSGVO vollumfänglich. Die wichtigsten Anforderungen in der Praxis:

    • Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Der Datenzugriff muss einem definierten Zweck dienen. Ein Vertriebsagent darf auf Kundendaten zugreifen, um Angebote zu erstellen — nicht um Gehaltsstrukturen zu analysieren.
    • Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Der Agent soll nur auf die Daten zugreifen, die er tatsächlich braucht. Das ist die rechtliche Entsprechung des Least-Privilege-Prinzips.
    • Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO): Der KI-Agenten-Einsatz muss dokumentiert sein — mit Angabe, welche Daten verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage.

    Einen vollständigen 5-Schritte-Leitfaden zur DSGVO-konformen KI-Nutzung finden Sie hier: KI DSGVO-konform einsetzen: Leitfaden für KMU.

    AVV-Pflicht bei Cloud-basierten KI-Agenten

    Wer einen cloudbasierten KI-Agenten nutzt — sei es Microsoft Copilot, einen Make- oder n8n-Workflow mit externer KI-API oder ein SaaS-Produkt — ist in der Regel Auftragsverarbeitung nach Art. 28 DSGVO. Das bedeutet: Ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter ist Pflicht, nicht optional. Ohne AVV ist die Verarbeitung personenbezogener Daten nach aktueller Rechtslage nicht zulässig.

    Wie Sie KI-Workflows generell mit Unternehmensdaten absichern, erklären wir hier ausführlich: KI-Workflows mit Unternehmensdaten absichern.

    EU AI Act — welche Pflichten für KMU entstehen

    Der EU AI Act ist seit August 2024 in Kraft und wird stufenweise bis 2026 vollständig anwendbar. Für die meisten KMU-KI-Agenten gilt nach aktueller Einschätzung die Risikoklasse „minimal“ oder „begrenzt“ — aber das bedeutet nicht, dass keine Pflichten entstehen.

    Agenten der Risikoklasse „begrenzt“ (z. B. Systeme, die mit Menschen interagieren, ohne dass diese es wissen) unterliegen Transparenzpflichten. Bei Agenten, die in sensibleren Bereichen eingesetzt werden — Personalentscheidungen, Kreditbewertung, Kundenselektion — können höhere Anforderungen entstehen: Dokumentation, menschliche Aufsicht, Risikoabschätzung.

    Eine strukturierte Einordnung, was der EU AI Act für KMU konkret bedeutet, bietet dieser Artikel: EU AI Act: Was müssen KMU jetzt wirklich tun?

    Was bei einem Datenleck passiert

    Ein unkontrollierter KI-Agenten-Zugriff, der zu einem Datenschutzvorfall führt, löst nach Art. 33 DSGVO eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde aus — in der Regel innerhalb von 72 Stunden. Bei schwerem Verschulden oder strukturellen Versäumnissen drohen Bußgelder nach Art. 83 DSGVO: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (bei schwerwiegenderen Verstößen bis 4 % oder 20 Millionen Euro).

    Für ein KMU mit 2 Millionen Euro Jahresumsatz kann das im ungünstigen Fall 80.000 Euro bedeuten — für ein Versäumnis, das mit wenigen Stunden Konfigurationsaufwand vermeidbar gewesen wäre.

    Schritt-für-Schritt — Datenzugriff für KI-Agenten in 5 Schritten absichern

    Schritt 1: Inventar erstellen

    Welche Datenquellen greift der Agent tatsächlich an? Listen Sie alle angebundenen Systeme auf: CRM, E-Mail, Dokumentenablage, Datenbanken, externe APIs. Viele Betriebe wissen beim zweiten Hinsehen nicht mehr genau, was der Agent alles „sieht“ — weil Anbindungen schrittweise ergänzt wurden.

    Schritt 2: Datenkategorien klassifizieren

    Ordnen Sie jede Datenquelle einer Kategorie zu:

    • Öffentlich — kein besonderer Schutzbedarf
    • Intern — für Mitarbeitende, aber nicht für externe Systeme
    • Vertraulich — Geschäftsgeheimnisse, Finanzdaten
    • Personenbezogen — Kunden-, Mitarbeiterdaten nach DSGVO

    Diese Klassifizierung ist die Grundlage für alle weiteren Entscheidungen.

    Schritt 3: Minimalen Zugriff definieren und umsetzen

    Legen Sie für jede Datenquelle fest, ob der Agent Zugriff braucht — und wenn ja, in welchem Umfang (nur lesen, schreiben, löschen). Setzen Sie das in den Tool-Einstellungen um:

    • Microsoft Copilot Studio: Einstellungen → Verbindungen → Berechtigungen (Service Account anlegen, nicht persönlichen Account verwenden)
    • Make.com: Verbindungen → Neue Verbindung → Berechtigungsumfang explizit einschränken (Scopes)
    • n8n: Credentials → API-Key mit minimalen Scopes konfigurieren
    • Zapier: Apps & Verbindungen → Berechtigungen pro Zap prüfen

    Schritt 4: Zugriffs-Logs aktivieren

    Logging ist sowohl technische Sicherheitsmaßnahme als auch DSGVO-Nachweisinstrument. Aktivieren Sie in Ihren KI-Plattformen die Protokollierung von Datenzugriffen und Aktionen. In Microsoft 365 ist das über das Compliance Center steuerbar; in n8n und Make lassen sich Execution Logs dauerhaft speichern.

    Prüfen Sie diese Logs regelmäßig — nicht täglich, aber monatlich sollte jemand einen Blick darauf werfen.

    Schritt 5: Überprüfungsintervalle festlegen

    KI-Agenten wachsen mit den Anforderungen: neue Anbindungen kommen dazu, Aufgaben ändern sich, Mitarbeitende verlassen das Unternehmen. Berechtigungen, die heute passen, können in sechs Monaten zu weit gefasst sein. Legen Sie einen festen Überprüfungsrhythmus fest — quartalsweise ist eine bewährte Empfehlung — und tragen Sie ihn in den Kalender ein.

    Checkliste — Datenzugriff KI-Agent sicher einrichten (DSGVO-konform)

    Die folgende Checkliste kombiniert technische und rechtliche Anforderungen. Sie können diese Liste ausdrucken und für jeden eingesetzten KI-Agenten separat abarbeiten.

    • Datenzugriff vollständig dokumentiert und auf tatsächliche Notwendigkeit geprüft
    • Datenkategorien klassifiziert (öffentlich / intern / vertraulich / personenbezogen)
    • RBAC-Rollen für den KI-Agenten definiert (keine Admin-Sammelrechte)
    • Least-Privilege-Prinzip umgesetzt — kein Zugriff auf Vorrat
    • Service Account für den Agenten angelegt (kein persönliches Benutzerkonto)
    • AVV mit dem KI-Anbieter abgeschlossen und vorliegend
    • Logging und Audit-Trail aktiviert
    • Verantwortliche Person im Unternehmen für KI-Datenzugriff intern benannt
    • Überprüfungsintervall festgelegt (Empfehlung: quartalsweise)
    • Eintrag im Verarbeitungsverzeichnis (Art. 30 DSGVO) aktualisiert
    • Risikoklasse nach EU AI Act eingeschätzt und dokumentiert

    Kostenrealität — Was Zugriffskontrollen für KMU wirklich kosten

    Die direkte Antwort: In den meisten Fällen keine zusätzlichen Lizenzkosten, sondern primär Zeitaufwand.

    Szenario A — Microsoft 365 / Copilot Studio: Die Bordmittel von Microsoft 365 decken RBAC, Service Accounts und Logging vollständig ab. Der Einrichtungsaufwand liegt realistisch bei 2–4 Stunden für einen einzelnen Agenten, wenn die Berechtigungsstruktur vorher klar definiert wurde. Zusatzkosten: keine.

    Szenario B — No-Code-Automatisierung (Make, n8n, Zapier): Diese Plattformen erlauben granulare Berechtigungskonfiguration auf Ebene der API-Verbindungen. Wer weiß, welche Scopes er vergeben will, richtet das in unter einer Stunde ein. Zusatzkosten: keine.

    Szenario C — Eigenes KI-Tool mit API-Anbindung oder Mehrfach-Agenten-Architektur: Hier kann externer Beratungsbedarf entstehen — nicht weil die Konzepte komplizierter sind, sondern weil die Fehlerquellen bei mehreren interagierenden Systemen schwerer zu überblicken sind. Eine einmalige strukturierte Durchsicht durch eine Fachkraft rentiert sich, bevor die Komplexität weiter wächst.

    Das ROI-Argument ist eindeutig: Ein ungeplanter Datenschutzvorfall kostet ein Vielfaches jeder Präventionsmaßnahme. Der Bußgeldrahmen nach DSGVO Art. 83 fängt bei ernsteren Verstößen bei 4 % des weltweiten Jahresumsatzes an — ganz abgesehen von Reputationsschäden und Betriebsunterbrechungen.

    Typische Fehler — was KMU beim KI-Agenten-Datenzugriff häufig falsch machen

    Diese Fehler entstehen nicht aus Nachlässigkeit, sondern weil klare Anleitungen fehlen. Umso wichtiger, sie zu kennen.

    Fehler 1: Admin-Rechte vergeben „weil es einfacher ist“ Der schnellste Weg zum laufenden Agenten ist oft gleichzeitig der unsicherste. Admin-Zugriff auf Vorrat ist das Gegenteil von Least Privilege — und in Verbindung mit KI-Agenten besonders riskant, weil der Agent autonom agiert.

    Fehler 2: Zugriff einmal konfigurieren, nie wieder prüfen Berechtigungen veralten. Neue Integrationen, neue Mitarbeitende, neue Aufgaben — was beim Setup sinnvoll war, passt sechs Monate später vielleicht nicht mehr. Ohne Überprüfungsintervall schleicht sich Berechtigungs-Wildwuchs ein.

    Fehler 3: Logging deaktiviert lassen Häufig begründet mit Performance-Bedenken — in modernen SaaS-Umgebungen aber kaum mehr gerechtfertigt. Ohne Logs gibt es bei einem Vorfall keinen Nachweis, und DSGVO-Rechenschaftspflichten lassen sich nicht erfüllen.

    Fehler 4: Persönliche Benutzerkonten statt Service Accounts Wenn ein KI-Agent unter dem Account eines Mitarbeitenden läuft, verliert man die Trennung zwischen menschlichen und automatisierten Aktionen im Log. Außerdem: Verlässt der Mitarbeitende das Unternehmen, kann der Agent zusammen mit dem Konto deaktiviert werden — ohne dass jemand es merkt (oder umgekehrt: mit dem Konto weiter aktiv bleiben, wenn die Deaktivierung vergessen wird).

    Fehler 5: Indirekte Datenzugriffe übersehen Ein Agent mit Zugriff auf das CRM „sieht“ womöglich auch alle verknüpften Dokumente, E-Mails und Aktivitätshistorien — je nachdem, wie das CRM strukturiert ist. Wer nur die direkte Datenbankverbindung prüft, verpasst die Hälfte des tatsächlichen Zugriffs.

    Praxis-Tipp — So gehen Sie die Absicherung in Ihrem Unternehmen an

    Der häufigste Fehler ist nicht, die falsche Entscheidung zu treffen — sondern gar keine zu treffen, weil das Thema zu komplex wirkt.

    Der richtige Einstieg: Nehmen Sie einen einzigen KI-Agenten und eine einzige Datenquelle. Arbeiten Sie die fünf Schritte oben für genau diese Kombination durch. Was Sie dabei lernen, lässt sich auf weitere Agenten übertragen — und das Ergebnis ist bereits ein dokumentierter, DSGVO-kompatibler Zustand.

    Die Reihenfolge bleibt immer gleich: erst Inventar, dann Rollen, dann Logging — nicht alles auf einmal. Zugriffskontrollen, die überstürzt eingerichtet werden, erzeugen genauso Probleme wie keine Kontrollen.

    Wer mehrere KI-Agenten betreibt oder plant, externe APIs anzubinden, steht vor einer Komplexität, die es sich lohnt, einmal strukturiert durchzudenken — bevor Probleme entstehen, nicht danach. In diesem Punkt ist proaktives Handeln fast immer günstiger als reaktives.

    FAQ — Häufige Fragen zum KI-Agenten-Datenzugriff

    Darf ein KI-Agent auf personenbezogene Daten meiner Kunden zugreifen? Ja, unter bestimmten Voraussetzungen. Es braucht eine Rechtsgrundlage (z. B. berechtigtes Interesse oder Vertragserfüllung), einen AVV mit dem Anbieter, und der Zugriff muss auf das tatsächlich Notwendige begrenzt und dokumentiert sein. Ohne diese Voraussetzungen ist der Zugriff nach aktueller Rechtslage nicht zulässig.

    Was ist der Unterschied zwischen einem KI-Agenten und einem Chatbot in Bezug auf Datenzugriff? Ein Chatbot beantwortet Fragen — er greift in der Regel nur auf vordefinierte Inhalte zu. Ein KI-Agent handelt autonom, kombiniert Datenquellen und führt Aktionen aus. Das macht unkontrollierten Zugriff bei Agenten folgenreicher: Die potenziellen Auswirkungen eines Fehlers oder einer Fehlkonfiguration sind größer.

    Brauche ich eine IT-Abteilung, um Zugriffskontrollen für KI-Agenten einzurichten? Nein — für gängige No-Code-Plattformen wie Make oder n8n und für Microsoft 365 / Google Workspace reicht ein grundlegendes Verständnis der eigenen Systemlandschaft und die richtige Anleitung. Komplex wird es erst bei mehreren interagierenden Agenten oder eigenen API-Anbindungen.

    Was fordert der EU AI Act konkret zum Thema Datenzugriff? Das hängt von der Risikoklasse des Agenten ab. Bei „minimalen“ Risikoklassen entstehen kaum zusätzliche Pflichten. Bei „begrenztem“ Risiko (z. B. Systeme, die mit Menschen interagieren) gelten Transparenzanforderungen. Bei höheren Risikoklassen — die für die meisten KMU-Anwendungsfälle nach aktueller Einschätzung nicht zutreffen — sind Dokumentation und menschliche Aufsicht Pflicht.

    Wie oft sollte ich die Berechtigungen meines KI-Agenten überprüfen? Empfehlung: quartalsweise als Standardintervall, zusätzlich bei jeder größeren Änderung am Agenten (neue Anbindung, neue Aufgabe) oder bei personellen Veränderungen im Team.

    Nächste Schritte

    KI-Agenten ohne kontrollierten Datenzugriff sind kein technisches Detail — sie sind ein Compliance-Risiko. Das Least-Privilege-Prinzip ist der richtige Einstieg, weil es ohne Zusatzkosten umsetzbar ist und gleichzeitig die Grundlage für DSGVO-Konformität und EU AI Act legt. Beides ist nach aktueller Rechtslage keine Option, sondern Pflicht.

    Wenn Sie unsicher sind, welche Berechtigungen Ihre bestehenden KI-Agenten tatsächlich haben — oder welche Architektur für Ihren konkreten Use Case die richtige ist — lohnt sich ein kurzes Gespräch, bevor Sie weiter ausbauen. Im kostenlosen 30-Minuten-Beratungsgespräch von Strukturaflow schauen wir gemeinsam auf Ihre konkrete Situation: welche Agenten im Einsatz sind, welche Daten sie erreichen, und wo der dringendste Handlungsbedarf liegt.