Erst Befugnis, dann Autonomie in Enterprise AI
Enterprise AI wird nicht durch einen einzigen Autonomie-Schalter sicher oder nützlich. Befugnis muss für jede Aktion einzeln verdient werden: beobachten, empfehlen, simulieren, nach Freigabe schreiben und schließlich innerhalb messbarer Grenzen selbstständig handeln. Mit dieser Stufung verbinden wir technische Fähigkeit und operative Verantwortung.
Die falsche Frage über Agenten
Die Frage „Soll der Agent autonom sein?“ ist zu grob. Ein System kann Bestand gefahrlos lesen, aber keine Nachbestellgrenze verändern dürfen. Es kann eine Kundenantwort gut formulieren, ohne Sendebefugnis zu besitzen, oder bekannte Zahlungsfälle abstimmen und unbekannte Gebühren eskalieren.
Autonomie ist keine Eigenschaft eines Modells. Sie ist eine Berechtigung für eine bestimmte Aktion unter bestimmten Bedingungen. Dieselbe Lösung kann unterschiedliche Autoritätsstufen für Retrieval, Analyse, Kommunikation und Mutation haben. Ein globaler Schalter blockiert entweder sinnvolle Automatisierung oder vergibt mehr Macht, als die Evidenz rechtfertigt.
Der im Juni 2026 veröffentlichte Report von BCG und Consumer Goods Forum beschreibt die Lücke zwischen Experimenten und Wertschöpfung in der Breite und betont Governance sowie Operating Model. Für uns ist das eine Umsetzungsfrage: Unternehmen brauchen einen wiederholbaren Weg, Modellleistung in begrenzte operative Befugnis zu übersetzen.
Fähigkeit, Berechtigung und Verantwortung
Fähigkeit fragt, ob das System ein akzeptables Resultat erzeugen kann. Berechtigung fragt, ob es diese Aktion in diesem Kontext ausführen darf. Verantwortung bestimmt, wer das Ergebnis trägt, welche Evidenz protokolliert wird und wer bei einem falschen Write reagiert.
Ein Benchmark beantwortet nur einen Teil der Fähigkeitsfrage. Er vergibt keine Berechtigung und schafft keine Verantwortung. Unser Ansatz für Agent Harness und Model Routing beginnt deshalb mit Privacy- und Residency-Gates: Erst steht der zulässige Ausführungspfad fest, dann werden Qualität, Latenz und Kosten verglichen.
Eine Autoritätsleiter für jede Aktion
1. Read-only
Das System darf genehmigte Daten abrufen und Ereignisse beobachten, aber noch keine operative Entscheidung über einen Produktionskanal vorschlagen. Hier werden Identität, Scope, Logging und Datenbehandlung belegt. Auch Lesen kann riskant sein; Kunden-, Personal-, Preis- und Security-Daten brauchen feldgenaue Kontrollen.
2. Recommend
Das System erstellt einen Vorschlag für eine autorisierte Person. Dazu gehören Inputs, Policy-Grundlage, Unsicherheit, relevante Alternativen und erwartete Wirkung. Eine nackte Empfehlung „freigeben“ oder „ablehnen“ verlagert Arbeit, ohne Verständnis zu schaffen. Neben Vorschlagsqualität messen wir deshalb Reviewer-Korrekturen und spätere Outcomes, nicht nur Acceptance Rate.
3. Dry-run
Das System konstruiert den exakten Write und validiert ihn, ohne Produktionszustand zu verändern. Das kann ein API-Validierungsendpunkt, eine Shadow Table mit deterministischem Diff oder eine versandfertige Nachricht mit deaktiviertem Versand sein.
Dry-runs decken Fehler auf, die Offline-Evaluation nicht sieht: ungültige IDs, veralteten Zustand, falsche Rechte, Rate Limits und unerwarteten Fan-out. Das validate_only-Muster in unserem Google-Ads-API-Leitfaden ist ein konkretes Beispiel.
4. Freigegebener Write
Nach Freigabe darf das System eine konkrete Änderung ausführen. Die Freigabe muss an den geprüften Payload gebunden sein. Ändern sich Preis, Empfänger, Menge oder Ausgangszustand, verfällt sie. Der Pfad braucht Idempotenz, Preconditions, Least-Privilege-Credentials, Audit Record und Recovery.
„Human in the loop“ ist nur dann eine Kontrolle, wenn der Mensch die relevanten Felder sieht, Zeit und Kompetenz zur Prüfung hat und die Ausführung stoppen kann.
5. Begrenzte Autonomie
Innerhalb eines expliziten Korridors darf das System ohne Einzelfreigabe schreiben. Grenzen können Aktionstyp, Konten, Zeitfenster, Wert, Volumen, Confidence, Datenalter und Exception-Klasse umfassen. Außerhalb wird abgelehnt oder eskaliert. Diese Befugnis entsteht aus Produktionsevidenz und bleibt widerrufbar.
Den Action Contract definieren
Vor der Evaluation schreiben wir einen Action Contract, den Business Owner, Risk Owner und Builder gemeinsam verstehen.
| Vertragsfeld | Leitfrage |
|---|---|
| Zweck | Welches Geschäftsergebnis soll die Aktion fördern? |
| Ziel | Welches System, Objekt und Feld darf sich ändern? |
| Eignung | Welche Konten, Fälle und Datenklassen sind zulässig? |
| Voraussetzungen | Was muss zum Ausführungszeitpunkt wahr und aktuell sein? |
| Grenzen | Welche Wert-, Mengen-, Zeit- und Confidence-Limits gelten? |
| Evidenz | Welche Inputs, Regeln, Modelle und Freigaben werden gespeichert? |
| Wiederherstellung | Ist die Aktion reversibel, kompensierbar oder begrenzbar? |
| Owner | Wer trägt das Ergebnis und reagiert bei Fehlern? |
Der Contract verhindert, dass ein breit evaluierter Chat-Use-Case ein technisch viel mächtigeres Credential erhält. Er macht außerdem Portfolios vergleichbar: Leadership erkennt, weshalb eine Aktion bei Recommend bleibt und eine andere zur begrenzten Autonomie aufsteigt.
Welche Evidenz Autorität verdient
Wir kombinieren vier Evidenzgruppen:
- Entscheidungsqualität: Accuracy auf geprüften Fällen, schweregewichtete Fehler, Kalibrierung und Policy-Treue.
- Ausführungsqualität: valide Payloads, Precondition-Fehler, Duplikatvermeidung, Latenz und Recovery-Erfolg.
- Betriebsqualität: Eskalationen, Reviewer-Korrekturen, Exception-Alter, Downstream-Outcomes und Incident Response.
- Kontrollqualität: Zugriffsverstöße, fehlende Provenienz, veraltete Inputs und Audit-Vollständigkeit.
Kennzahlen brauchen Nenner, Kohorten und Schweregrade. Zehn Fehler ohne Aktionsvolumen sind bedeutungslos; gute Durchschnittsgenauigkeit kann eine gefährliche Minderheitsklasse verdecken. Bei vertraulicher interner Größenordnung berichten wir Indizes: Ist das schweregewichtete Interventionsvolumen zu Trial-Beginn Baseline = 100, zeigen Folgeperioden die Richtung, aber keine automatische Modellkausalität.
Auf- und Rückstufung müssen symmetrisch sein
Viele Teams definieren, wie Automation mehr Befugnis erhält, aber nicht, wie sie diese verliert. Promotion kann eine Mindeststichprobe, repräsentative Kohorten, keine offenen kritischen Fehler, getesteten Rollback und Owner-Freigabe verlangen. Zeit und hohe Acceptance Rate allein reichen nicht.
Demotion sollte bei fehlenden oder veralteten Daten, falscher Policy-Version, anomalem Aktionsvolumen, gescheiterter Abstimmung, nicht verfügbarem Rollback, Distribution Shift oder abgelaufenen Credentials automatisch greifen. Der sinnvolle Rückfall führt etwa von Autonomy zu Approved Write, Recommend oder Read-only und muss nicht das ganze System abschalten.
Modelle von deterministischen Kontrollen trennen
Befugnis gehört an das Action Gateway, nicht an das Modell. Modelle interpretieren unstrukturierte Inputs, suchen Evidenz, klassifizieren Fälle und formulieren Vorschläge. Deterministische Services erzwingen Identitäten, Schemas, Schwellen, erlaubte Felder, Preconditions und Idempotenz.
Model Output bleibt nicht vertrauenswürdiger Input: Er wird in einen typisierten Vorschlag geparst, gegen aktuelle Systeme aufgelöst, bei materiellen Werten nachgerechnet, auf unbekannte Felder geprüft und zum Ausführungszeitpunkt erneut gegen Policy validiert. Unser Leitfaden zu domänenspezifischen Agent Skills beschreibt die Kapselung begrenzter Workflows; die Autoritätsschicht ergänzt die Produktionskontrolle.
Die menschliche Rolle verändert sich
Bei Recommend prüft der Mensch den Einzelfall. Beim freigegebenen Write bestätigt er zusätzlich die exakte Konsequenz. Bei begrenzter Autonomie verlagert sich Aufmerksamkeit auf Korridor-Design, Stichproben, Exceptions und Systemgesundheit. Verantwortung verschwindet nicht; sie wandelt sich von repetitiver Fallarbeit zu Control Ownership.
Wiederholte Overrides durch Operatoren sind ein Lernsignal, kein Akzeptanzproblem. Sie können fehlenden Kontext früher sichtbar machen als Durchschnittsmetriken.
Ein praktischer Rollout
- Action Contract und accountable Owner definieren.
- Privacy-, Residency-, Identity- und Data-Readiness-Gates anwenden.
- Geprüftes Evaluationsset mit seltenen und adversen Fällen aufbauen.
- Read-only und Recommend mit vollständiger Provenienz betreiben.
- Reale Integration per Dry-run und deterministischem Diff testen.
- Payload-gebundene Freigaben mit Rollback und Incident Process aktivieren.
- Einer repräsentativen Kohorte einen engen autonomen Korridor geben.
- Outcomes, Exceptions und Kontrollgesundheit prüfen und regelbasiert auf- oder rückstufen.
Nicht jede Aktion muss autonom werden. Seltene, irreversible oder stark kontextabhängige Writes können dauerhaft eine Einzelfreigabe brauchen. Die Leiter schafft trotzdem Wert, indem sie Vorschläge und freigegebene Ausführung zuverlässiger macht.
Die Executive-Entscheidung
Governance wird konkret, wenn Leadership nicht „Agenten“, sondern Action Contracts freigibt. Budget kann messbaren Outcomes folgen, Risiko wird über Scope, Reversibilität und Evidenz diskutiert, und Technology kann Modelle innerhalb eines zulässigen Pools vergleichen, ohne Autorität neu zu entwerfen.
Das Prinzip lautet: Fähigkeit verdient Prüfung, Evidenz verdient Berechtigung, Ownership erhält Autorität.