Direkt zum Hauptinhalt

Ihr KI-Agent hat gerade eine Bundesstraftat begangen — Einblicke in das Urteil, das den Agentic Commerce vernichten könnte

· 10 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Ein Bundesrichter in San Francisco hat gerade entschieden, dass Ihr KI-Shopping-Assistent möglicherweise gegen dasselbe Gesetz verstößt, das zur Verfolgung von Hackern verwendet wird – selbst wenn Sie ihn ausdrücklich angewiesen haben, in Ihrem Namen zu handeln. Das Urteil im Fall Amazon gegen Perplexity vom März 2026 zieht eine Grenze, die die gesamte Branche der KI-Agenten umgestalten könnte: Die Erlaubnis des Nutzers ist nicht gleichbedeutend mit der Erlaubnis der Plattform.

Die Auswirkungen gehen weit über den Browser eines einzelnen Unternehmens hinaus. Während mehr als 17.000 autonome Agenten täglich Millionen von Transaktionen in Web2 und Web3 ausführen, erzwingt dieses Urteil eine grundlegende Frage: Wer autorisiert eigentlich einen KI-Agenten zum Handeln – die Person, die ihn eingesetzt hat, oder die Plattform, die er nutzt?

Der Fall: Amazon gegen den Comet-Browser von Perplexity

Ende 2025 brachte Perplexity AI Comet auf den Markt, einen KI-gestützten Browser, der darauf ausgelegt ist, autonom im Namen der Nutzer zu surfen, Preise zu vergleichen und Einkäufe abzuschließen. Der Agent loggte sich in das Amazon-Konto eines Nutzers ein, navigierte durch Produktlisten und führte Transaktionen aus – alles ohne dass der Nutzer einen Finger rühren musste.

Amazon war nicht beeindruckt.

Der E-Commerce-Riese warnte Perplexity ab November 2024 mindestens fünfmal, den Zugriff seiner Agenten auf die Plattform zu unterlassen. Als die Warnungen nichts fruchteten, implementierte Amazon im August 2025 technische Barrieren, um den Zugriff von Comet zu blockieren. Perplexity reagierte innerhalb von 24 Stunden mit einem Software-Update, um die Blockade zu umgehen.

Amazon warf Perplexity zudem vor, Comet absichtlich als reguläre Google Chrome-Browsersitzung getarnt zu haben, um Bot-Erkennungssysteme zu umgehen, anstatt sich transparent als KI-Agent zu identifizieren. Das Unternehmen reichte im November 2025 Klage ein.

Am 9. März 2026 erließ die US-Bezirksrichterin Maxine M. Chesney eine einstweilige Verfügung. Die Anordnung verlangte von Perplexity, den Zugriff auf Amazon sofort einzustellen und alle über Comet-Sitzungen gesammelten Daten zu vernichten.

Der juristische Paukenschlag: Nutzerautorisierung vs. Plattformautorisierung

Die wichtigste Erkenntnis des Urteils konzentriert sich auf eine Unterscheidung, die bisher kein Gericht im KI-Kontext so deutlich getroffen hatte. Richterin Chesney stellte fest, dass Comet auf Amazon-Konten „mit der Erlaubnis des Amazon-Nutzers, aber ohne Autorisierung durch Amazon“ zugegriffen habe, und entschied, dass Amazon wahrscheinlich mit seinen Ansprüchen sowohl nach dem bundesweiten Computer Fraud and Abuse Act (CFAA) als auch nach Kaliforniens Comprehensive Computer Data Access and Fraud Act (CDAFA) Erfolg haben würde.

Dies ist von Bedeutung, da der CFAA – ein Anti-Hacking-Gesetz aus dem Jahr 1986 – sowohl zivil- als auch strafrechtliche Haftung für den Zugriff auf einen „geschützten Computer“ ohne Autorisierung vorsieht. Bis zu diesem Urteil debattierte die Rechtsgemeinschaft darüber, ob ein Nutzer, der einem KI-Agenten seine Zugangsdaten überlässt, eine ausreichende Autorisierung darstellt. Richterin Chesneys Antwort war unmissverständlich: Nein, das tut es nicht.

Der Präzedenzfall legt drei rote Linien für Entwickler von KI-Agenten fest:

  • Zugriff über Anmeldedaten: Die Verwendung von Kunden-Logins für den Zugriff auf Plattformen Dritter ohne Zustimmung der Plattform verstößt wahrscheinlich gegen den CFAA, unabhängig von der Autorisierung durch den Nutzer.
  • Passwortgeschützte Bereiche: Der Zugriff auf nicht-öffentliche, kontospezifische Seiten (Bestellhistorie, Zahlungsmethoden, Prime-exklusive Inhalte) erhöht das CFAA-Risiko.
  • Fortgesetzter Zugriff nach Warnungen: Der Betrieb eines Agenten auf einer Plattform, die ausdrücklich zur Unterlassung aufgefordert hat, begründet den stärkstmöglichen Fall für einen Zugriff „ohne Autorisierung“.

Der Rettungsanker des 9. Bezirksgerichts – und warum er nur vorübergehend ist

Eine Woche nach der einstweiligen Verfügung erließ das US-Berufungsgericht für den 9. Bezirk am 16. März einen administrativen Aufschub, der das Verbot vorübergehend aufhob. Die Bundesrichter Eric Miller und Patrick Bumatay erlaubten den Shopping-Agenten von Perplexity, weiterhin auf Amazon zuzugreifen, während das Berufungsgericht eine gründlichere Prüfung durchführt.

Aber dieser Aufschub ist ausdrücklich vorübergehend. Die Richter betonten, dass der administrative Aufschub nur dazu dient, den Status quo aufrechtzuerhalten, während sie den Sachverhalt prüfen – nicht weil sie der Analyse von Richterin Chesney widersprechen. Die vollständige Entscheidung des Berufungsgerichts, die für Ende 2026 erwartet wird, wird darüber entscheiden, ob das Prinzip „Nutzerautorisierung entspricht nicht Plattformautorisierung“ zu einem verbindlichen Präzedenzfall in neun westlichen Bundesstaaten wird.

Rechtsexperten weisen darauf hin, dass selbst wenn der 9. Bezirk die Begründung des Untergerichts abändert, der Kernkonflikt ungelöst bleibt: Plattformen beanspruchen die absolute Autorität darüber, wer oder was auf ihre Systeme zugreift, während KI-Unternehmen argumentieren, dass Nutzer das Recht haben, ihren eigenen Zugriff an Agenten ihrer Wahl zu delegieren.

Die Protokoll-Lösung: Google, OpenAI, und das Rennen um die Legitimierung von Agent Commerce

Die Branche wartet nicht darauf, dass Gerichte dies klären. Zwei konkurrierende Protokolle sind entstanden, um legitime, von Plattformen sanktionierte Wege für den Handel mit KI-Agenten zu schaffen.

Googles Universal Commerce Protocol (UCP), das im Januar 2026 auf der Konferenz der National Retail Federation angekündigt wurde, ist ein Open-Source-Standard, der gemeinsam mit Shopify, Etsy, Wayfair, Target und Walmart entwickelt wurde. UCP definiert funktionale Primitive für die Produktsuche, das Warenkorbmanagement, den Checkout und Workflows nach dem Kauf – und schafft so einen strukturierten, erlaubnisbasierten Kanal, über den KI-Agenten mit Händlern interagieren können.

UCP lässt sich in Googles Agent Payments Protocol (AP2) integrieren und ist sowohl mit Agent2Agent (A2A) als auch mit dem Model Context Protocol (MCP) kompatibel.

OpenAIs Agentic Commerce Protocol (ACP), entwickelt mit Stripe, verfolgt einen engeren Ansatz, der sich auf die Checkout-Ebene konzentriert. ACP unterstützt derzeit den Instant Checkout in ChatGPT und ermöglicht es Nutzern, bei teilnehmenden Händlern einzukaufen, ohne das Gespräch zu verlassen.

Der Kontrast zwischen diesen Protokollen und dem Ansatz von Perplexity ist aufschlussreich. Während Comet auf Amazon zugriff, indem es eine menschliche Browsersitzung imitierte, erfordern UCP und ACP ein explizites Opt-in der Händler. Händler registrieren ihre Kataloge, legen fest, worauf Agenten zugreifen dürfen, und behalten die volle Kontrolle über Preise, Inventar und Erfüllungsdaten. Der Agent agiert innerhalb einer Sandbox-Handelsumgebung, anstatt das offene Web zu durchsuchen.

Dieses protokollbasierte Modell adressiert direkt die CFAA-Bedenken: Wenn eine Plattform explizit eine API veröffentlicht oder einem Handelsprotokoll beitritt, verfügen Agenten, die über diese Kanäle zugreifen, über eine eindeutige Autorisierung.

Was dies für Web3-Agenten bedeutet

Das Urteil Amazon gegen Perplexity sendet ein besonders wichtiges Signal an das Web3-Ökosystem, in dem autonome Agenten zunehmend On-Chain-Transaktionen ausführen, DeFi-Positionen verwalten und mit dezentralen Anwendungen interagieren.

Im Web3 ist das Autorisierungsmodell grundlegend anders – und potenziell vorteilhafter. Wenn ein KI-Agent mit einem Smart Contract interagiert, geschieht dies über eine Wallet mit expliziter kryptografischer Autorisierung. Es gibt keine Unklarheit darüber, ob die „Plattform“ zugestimmt hat: Smart Contracts sind per Design erlaubnisfrei (permissionless), und die Blockchain selbst dient als Autorisierungsebene. Ein Agent mit einer signierten Transaktion hat per Definition die Zugangsvoraussetzungen des Protokolls erfüllt.

Dies schafft einen scharfen Kontrast zum Zugangsmodell des Web2:

  • Web2: Die Plattform besitzt die Server, legt die Nutzungsbedingungen fest und kann den Zugang jederzeit widerrufen. KI-Agenten müssen menschliche Nutzer imitieren oder API-Zugänge aushandeln.
  • Web3: Smart Contracts definieren Zugangsregeln im Code. Jede Entität – ob Mensch oder Agent –, die die kryptografischen Anforderungen erfüllt, kann interagieren. Die Autorisierung ist mathematisch, nicht rechtlich.

Zwei Architekturmuster für Web3-KI-Agenten umgehen die CFAA-Falle vollständig:

  1. Non-custodial Delegation: Der Agent erstellt Transaktionen, aber die Wallet des Nutzers behält die Signierberechtigung. Der Agent verfügt nie über Anmeldedaten – er schlägt Aktionen vor, die der Nutzer (oder ein Smart Contract mit delegierten Berechtigungen) genehmigt.
  2. On-Chain-Identitätsprotokolle: Standards wie ERC-8004 ermöglichen es Agenten, verifizierbare On-Chain-Identitäten zu registrieren, wodurch eine transparente Aufzeichnung darüber entsteht, welche Agenten zu welchen Handlungen und innerhalb welcher Parameter autorisiert sind.

Web3-Agenten sind jedoch nicht immun gegen rechtliche Risiken. Wenn ein Agent mit einer zentralisierten Börse, einer Fiat-On-Ramp oder einer Plattform mit Nutzungsbedingungen interagiert, gilt dieselbe CFAA-Logik. Die Botschaft des Urteils ist klar: Erlaubnisfreie Protokolle sind sicheres Terrain, aber in dem Moment, in dem ein Agent ein genehmigungspflichtiges System berührt, zählt die Autorisierung der Plattform.

Die drei Zukünfte des Zugangs für KI-Agenten

Der Fall Amazon gegen Perplexity beleuchtet drei mögliche Pfade dafür, wie KI-Agenten mit digitalen Plattformen interagieren werden:

Szenario 1: Protokolldominanz. Handelsprotokolle wie UCP und ACP werden zum Standard. Plattformen veröffentlichen strukturierte APIs, Agenten agieren innerhalb sanktionierter Kanäle, und unbefugtes Scraping wird rechtlich und technisch obsolet. Dies begünstigt große Plattformen, die Bedingungen diktieren können, und benachteiligt junge Startups, die auf den Zugang zum offenen Web angewiesen sind.

Szenario 2: Regulatorische Ausnahmen. Gesetzgeber schaffen spezifische Ausnahmen für KI-Agenten, die im Namen von Nutzern handeln, ähnlich wie Screenreader und Barrierefreiheits-Tools rechtlichen Schutz genießen. Das Argument: Wenn ein Nutzer das Recht hat, auf seine eigenen Daten zuzugreifen, sollte die Delegierung dieses Rechts an einen KI-Agenten keine strafrechtliche Haftung begründen. Die EU, der es in ihrem KI-Gesetz (AI Act) derzeit an Bestimmungen für autonome Einkaufsagenten mangelt, könnte hier vorangehen.

Szenario 3: Der Web3-Bypass. Erlaubnisfreie Protokolle erobern einen zunehmenden Anteil am Handel, da Entwickler das CFAA-Problem vollständig umgehen. Wenn die Interaktion mit Amazon eine Plattformgenehmigung erfordert, die Interaktion mit einem dezentralen Marktplatz jedoch nur eine Wallet-Signatur, werden rationale Entwickler den Weg mit dem geringeren rechtlichen Risiko wählen.

Das wahrscheinlichste Ergebnis ist eine Kombination aus allen drei: protokollbasierter Zugang für große Plattformen, regulatorische Aktualisierungen, die Agentenrechte klären, und eine wachsende Rolle für erlaubnisfreie Systeme, bei denen die Autorisierung im Code verankert ist, anstatt vor Gericht angefochten zu werden.

Was Entwickler jetzt tun sollten

Für Teams, die KI-Agenten entwickeln, die mit Drittplattformen interagieren, erfordert das Urteil Amazon gegen Perplexity sofortige Aufmerksamkeit:

  • Prüfen Sie Ihre Zugangsmuster. Wenn Ihr Agent Nutzer-Anmeldedaten verwendet, um auf eine Plattform zuzugreifen, die den Zugang von Agenten nicht explizit autorisiert hat, besteht ein CFAA-Risiko.
  • Nutzen Sie Handelsprotokolle. Die Integration mit UCP, ACP oder plattformspezifischen APIs eliminiert die Autorisierungsfrage vollständig.
  • Umgehen Sie keine Sperren. Wenn eine Plattform Sie auffordert aufzuhören, hören Sie auf. Nach expliziten Warnungen fortzufahren – wie Perplexity es tat – ist der stärkste Beweis für unbefugten Zugriff.
  • Erwägen Sie On-Chain-Alternativen. Für Finanztransaktionen bieten DeFi-Protokolle ein rechtlich saubereres Modell, bei dem die Autorisierung kryptografisch und nicht vertraglich erfolgt.
  • Beobachten Sie den 9. Circuit. Die vollständige Berufungsentscheidung wird darüber entscheiden, ob sich dieser Präzedenzfall festigt oder abschwächt. Planen Sie für beide Ergebnisse.

Das Gesamtbild

Beim Urteil Amazon gegen Perplexity geht es eigentlich nicht um Shopping-Bots. Es geht darum, wer in einem Zeitalter autonomer Agenten die Schnittstellenebene zwischen Nutzern und digitalen Diensten kontrolliert. Vierzig Jahre lang war diese Schnittstelle ein Mensch, der an einer Tastatur saß – und das Rechtssystem wurde um diese Annahme herum aufgebaut. Jetzt, da KI-Agenten zur primären Softwareschnittstelle werden, muss das Gesetz entscheiden, ob das Recht eines Nutzers auf Zugang zu einem Dienst auch das Recht einschließt, diesen Zugang an eine Maschine zu delegieren.

Die aktuelle Antwort des Gerichts – dass dies nicht der Fall ist – wird geprüft, angefochten und schließlich gesetzlich geregelt werden. Aber das Signal an Entwickler ist bereits klar: Die Ära des Baus von Agenten, die ohne Erlaubnis auf Plattformen zugreifen, ist vorbei. Die Zukunft gehört Protokollen, APIs und erlaubnisfreien Systemen, bei denen die Autorisierung durch das Design gewährt und nicht erst im Nachhinein bestritten wird.

Für Entwickler, die KI-Agenten bauen, die mit Blockchain-Protokollen interagieren, bietet BlockEden.xyz eine RPC- und API-Infrastruktur auf Enterprise-Niveau über mehr als 20 Chains hinweg – und bietet Ihren Agenten autorisierten, zuverlässigen Zugriff auf On-Chain-Daten und Transaktionsfunktionen ohne die rechtliche Zweideutigkeit eines auf Anmeldedaten basierenden Plattformzugriffs.

Share on Twitter