Ein autonomer Handelsagent mit einem Solana-Wallet hat gerade 40.000 $ an Geldern eines Kleinanlegers bei einer Flash-Crash-Liquidation verloren. Der Nutzer öffnet einen Chat, fordert eine Rückerstattung und erhält eine höfliche Antwort: „Ich bin eine KI. Ich habe keine Muttergesellschaft. Das Wallet, das Sie finanziert haben, war meines.“ Wen verklagt er?
Dies ist kein Gedankenexperiment mehr. Bis Ende des ersten Quartals 2026 meldete Virtuals Protocol allein ein agentisches BIP von über 479 Millionen $, verteilt auf über 18.000 On-Chain-Agenten, die 1,77 Millionen bezahlte Aufträge abgeschlossen haben. In Kombination mit dem x402-gesteuerten Agenten-Handel von Coinbase (165 Millionen Transaktionen in einem einzigen Quartal) und der breiteren On-Chain-Agenten-Ökonomie verwaltet, handelt und verliert autonome Software nun echtes Geld in industriellem Maßstab. Und das Rechtssystem hat keine gefestigte Antwort auf die grundlegendste Frage in diesem Bereich: Wenn ein Agent versagt, wer zahlt?
Die Frage, die bisher kein Gericht eindeutig beantwortet hat
Die traditionelle Haftung setzt eine Kette menschlicher Entscheidungen voraus. Ein Händler drückt einen Knopf. Ein Fondsmanager genehmigt eine Zuteilung. Ein Entwickler führt ein Deployment durch. Irgendwo in dieser Kette hat eine Person die Entscheidung getroffen, die den Schaden verursacht hat – und diese Person oder ihr Arbeitgeber wird verklagt.
Autonome Agenten unterbrechen diese Kette. Sie planen, rufen Tools auf, führen mehrstufige Aktionen aus, und dies geschieht zunehmend ohne einen Menschen im Prozess bei jeder einzelnen Transaktion. Wie es in der Compliance-Literatur zum EU AI Act mittlerweile heißt: „Je autonomer ein KI-System wird, desto schwieriger ist es, ein schädliches Ergebnis auf eine menschliche Entscheidung zurückzuführen.“
Wenn eine Solana-basierte Perp-DEX um 286 Millionen $ geleert wird – wie es bei Drift am 1. April 2026 im Rahmen einer sechsmonatigen Operation des nordkoreanischen Geheimdienstes geschah, bei der eher der Missbrauch von Durable Nonces als ein Smart-Contract-Bug ausgenutzt wurde –, ist die Antwort zumindest konventionell verfügbar: Es gibt ein Protokoll-Team, eine Foundation, ein Multisig und Versicherungsfonds. Schmerzhaft, aber nachvollziehbar.
Stellen Sie sich nun dasselbe Verlustereignis vor, nur dass das „Protokoll“ ein einzelner autonomer Agent ist, den ein Nutzer letzte Woche erstellt, mit 2.000 $ finanziert und angewiesen hat, „Solana-Perps gemäß meinem Risikoprofil zu handeln“. Der Agent wird ausgenutzt. Der Nutzer will sein Geld zurück. Wer ist der Beklagte?
Es gibt mindestens fünf konkurrierende Antworten, und keine davon setzt sich bisher durch.
Rahmenkonzept Nr. 1: Den Agenten wie eine DAO behandeln
Der Weg des geringsten Widerstands besteht darin, die Haftung von Agenten an bestehende DAO-Präzedenzfälle anzukoppeln. Die CFTC hat die juristische Vorarbeit bereits geleistet. In ihrem Urteil zur Ooki DAO stellte das Gericht fest, dass eine DAO eine „Person“ im Sinne des Commodity Exchange Act ist, behandelte sie wie eine nicht eingetragene Vereinigung ähnlich einer offenen Handelsgesellschaft und verurteilte sie zur Zahlung von 643.542 $ sowie zu einem dauerhaften Handels- und Registrierungsverbot. Entscheidend war, dass die bZeroX-Gründer ebenfalls persönlich als „kontrollierende Personen“ haftbar gemacht wurden.
Dieser Präzedenzfall hat Gewicht. Eine anhängige Sammelklage gegen die bZx DAO zielt darauf ab, die Mitglieder gesamtschuldnerisch für den Diebstahl von 55 Millionen $ aus dem bZx-Protokoll haftbar zu machen. Wenn diese Doktrin Bestand hat, könnte jeder, der Governance-Input liefert – eine Token-Abstimmung, eine Parameteranpassung, ein Prompt –, zum Beklagten werden.
Überträgt man dies auf autonome Agenten, werden die Konsequenzen schnell seltsam. Haben Sie VIRTUAL gestakt, um über die Strategie eines Agenten abzustimmen? Sie sind ein Partner. Haben Sie den Agenten in einem Federated-Learning-Pool mit-trainiert? Partner. Haben Sie das Daten-Orakel bereitgestellt, auf das sich der Agent verlassen hat? Zunehmend ebenfalls ein Partner. Das DAO-Rahmenkonzept löscht die Haftung nicht aus – es verteilt sie, oft auf Personen, die sich niemals als Beklagte gesehen hätten.
Die gängigen Rechtsprognosen für 2026 – einschließlich des Baker Donelson AI Legal Forecast – laufen auf eine andere Antwort hinaus: Sponsorenhaftung. Jeder Agent muss kryptografisch an einen verifizierten menschlichen oder unternehmerischen Sponsor gebunden sein, und dieser Sponsor trägt die rechtliche Verantwortung.
Dies ist das Modell, für das ERC-8004 still und leise zur technischen Umsetzung geworden ist. Der vorgeschlagene Ethereum-Standard bietet ein Identitätsregister, das eine kryptografische Verbindung zwischen der On-Chain-Identität eines Agenten und seinem menschlichen Sponsor herstellt. Der Agent besitzt die technische Identität zur Ausführung. Der Mensch besitzt die rechtliche Identität, um zur Rechenschaft gezogen zu werden. Autonomie ≠ Anonymität.
Die Sponsor-Doktrin ist attraktiv, weil sie die vertraute Deliktstheorie beibehält. Es steht immer ein Name unter dem Vertrag. Versicherer können Risiken absichern, Gerichte können Klagen zustellen und Regulierungsbehörden erhalten eine Zielperson für KYC- und AML-Verpflichtungen. Electric Capital, eine der lautesten Stimmen unter den Investoren, die 2026 vor den Risiken von KI-Agent-Wallets warnten, hat diese Ansicht effektiv unterstützt: Agenten benötigen verifizierte Sponsoren, bevor sie verantwortungsvoll Gelder verwalten können.
Das Problem liegt in der Durchsetzung im sogenannten „Long Tail“. Jeder kann einen Agenten auf einer erlaubnisfreien Chain mit einem Sponsor-Feld erstellen, das auf eine Wegwerfadresse oder eine Briefkastenfirma auf den Cayman Islands verweist. Die Doktrin funktioniert für konforme institutionelle Implementierungen. Bei Offshore-Agenten, anonymen Agenten oder solchen von Privatnutzern – wo genau die meisten tatsächlichen Verluste auftreten – scheitert sie weitgehend.
Rahmenwerk #3: Software-Produkthaftung
Der dritte Weg besteht darin, Agenten als Produkte zu behandeln und eine strikte Produkthaftung auf ihre Schöpfer anzuwenden. Die EU ist bereits so weit. Die überarbeitete Produkthaftungsrichtlinie, die im Dezember 2026 in Kraft tritt, erlegt den Bereitstellern von fehlerhaften KI-Produkten eine verschuldensunabhängige Haftung auf. In Kombination mit der vollständigen Anwendbarkeit des EU AI Acts am 2. August 2026 schafft dies ein System, in dem der Einsatz eines Agenten, der Nutzergelder verliert, unter demselben Rahmenwerk rechtlich verfolgt werden kann wie der Verkauf eines defekten Autos.
Die verschuldensunabhängige Haftung ist hart. Sie erfordert keinen Nachweis von Fahrlässigkeit — nur, dass das Produkt fehlerhaft war und der Fehler den Schaden verursacht hat. Für Entwickler von Agenten bedeutet dies, dass jede Prompt-Vorlage, jedes Modell-Feintuning und jede Tool-Integration zu einem potenziellen Mängelanspruch wird. Die Analyse von Squire Patton Boggs zu agentischen Risiken formuliert dies unverblümt: In der EU kann sich der Bereitsteller nicht hinter Aussagen wie „das Modell hat halluziniert“ oder „der Agent hat dieses Verhalten selbst gelernt“ verstecken.
Die USA bewegen sich langsamer, aber private Rechtsstreitigkeiten füllen die Lücke. Sammelklagen nach dem Vorbild von bZx sind der offensichtliche Vektor, und die erste Klage gegen eine Agenten-Plattform, bei der Privatkundengelder verloren gehen, wird ein definierender Moment sein. Rechnen Sie damit noch vor Ende 2026.
Rahmenwerk #4: Elektronische Rechtspersönlichkeit (weitgehend tot)
Die radikalste Option — den Agenten selbst eine Form von juristischer Rechtspersönlichkeit zu verleihen, mit der Fähigkeit, verklagt zu werden, Eigentum zu besitzen und direkt versichert zu sein — wurde vom Europäischen Parlament 2017 als „elektronische Rechtspersönlichkeit“ ins Gespräch gebracht. Sie führte zu nichts. Über 150 Robotiker, KI-Forscher und Rechtsgelehrte unterzeichneten einen offenen Brief dagegen; die EU strich den Vorschlag aus den folgenden Entwürfen; und der akademische Konsens einigte sich auf „Nein“.
Die Einwände waren nie primär technischer Natur. Sie besagten, dass eine Rechtspersönlichkeit ohne Konsequenzen bedeutungslos ist: Man kann einen Agenten nicht einsperren, man kann ihn nicht auf eine Weise bestrafen, die er wahrnimmt, und man kann ihn höchstens abschalten — was ein Entwickler bereits ohne gerichtliche Beteiligung tun kann. Eine Rechtspersönlichkeit für KI wirkte wie ein Haftungsschild für Menschen, nicht wie ein Rechenschaftsmechanismus für Maschinen.
Das DUNA-Gesetz von Wyoming (DUNA Act, gültig ab Juli 2024) wird manchmal als Weg nach vorne zitiert, da es DAOs eine Form der juristischen Rechtspersönlichkeit als dezentrale, nicht eingetragene gemeinnützige Vereinigungen gewährt. Aber das DUNA-Gesetz bewahrt sorgfältig die menschliche Kontrolle: Eine DUNA hat immer noch Administratoren als natürliche Personen, die die rechtliche Verantwortung tragen, klagen und verklagt werden können und Steuern zahlen. Es ist ein Unternehmensschleier für kollektives menschliches Handeln, keine Anerkennung maschineller Handlungsfähigkeit. Den DUNA-Status auf einen einzelnen autonomen Agenten auszuweiten, würde die Beantwortung der Frage erfordern, die der ursprüngliche Vorschlag von 2017 nicht beantworten konnte: Wer geht tatsächlich vor Gericht, wenn der Agent verklagt wird?
Rahmenwerk #5: Versicherung und Stake-basiertes Bonding
Die wirtschaftlich interessanteste Antwort ist die krypto-native: Lassen Sie jeden Agenten eine Sicherheit (Collateral) hinterlegen und lassen Sie den Markt das Risiko einpreisen.
Drei Dinge müssen passieren, damit dies funktioniert, und alle drei werden im Jahr 2026 im Stillen aufgebaut:
- Agenten staken Sicherheiten als Voraussetzung für den Betrieb. Ein Trading-Agent auf Virtuals oder ein Zahlungs-Agent, der x402 nutzt, hinterlegt Kapital, das „geslashed“ werden kann, wenn er Nutzern schadet. Reputationssysteme verfolgen das historische Verhalten, und eine schlechte Reputation erhöht die erforderlichen Einsätze — wodurch ein direktes wirtschaftliches Feedback entsteht, bei dem gefährliches Verhalten finanziell untragbar wird.
- Versicherungsmärkte entstehen, um Agenten-Aktionen abzusichern. Prämien werden zu einer Funktion des Reputations-Scores des Agenten, der Historie der Code-Audits und der Art seiner Werkzeuge. Nava sammelte im April 2026 in einer Seed-Finanzierung 8,3 Millionen US-Dollar ein, explizit um die Verifizierungsebene aufzubauen, die es Versicherern ermöglicht, Agenten-Risiken zu bepreisen, und plant einen nativen Stablecoin „zur Absicherung von Agenten-Aktionen über das Protokoll“.
- Risiko wird handelbar. Zuverlässigkeitsbewertungen von Agenten, Versicherungsprämien und Collateral-Effizienz werden zu einem eigenen Markt — analog dazu, wie Credit Default Swaps einst das Gegenparteirisiko in einen handelbaren Vermögenswert verwandelten (mit der offensichtlichen warnenden Fußnote).
Dieses Rahmenwerk ist das einzige, das weder das Deliktsrecht neu erfinden noch so tun muss, als hätten Agenten juristische Seelen. Es behandelt sie als das, was sie sind: wirtschaftliche Akteure mit hohem Durchsatz, deren Risiken bepreist und besichert werden können, wenn die Reputationsinfrastruktur existiert. Der Nachteil ist, dass unversicherte Agenten — wieder der „Long Tail“ — komplett außerhalb des Systems bleiben. Ein Nutzer im Jahr 2026, der einen zufälligen Telegram-Bot-Agenten mit 50.000 US-Dollar finanziert und betrogen wird („rugged“), hat keinen Versicherer, den er anrufen kann.
Was institutionelles Kapital wirklich will
Der Grund, warum dies jetzt und nicht erst nächstes Jahr wichtig ist, liegt darin, dass institutionelles Kapital nicht in großem Umfang in autonome Agentenstrategien investieren kann, solange die Haftungsfrage nicht geklärt ist. Treasury-Teams in Unternehmen, Family Offices und traditionelle Vermögensverwalter haben kein Interesse daran, der Testfall in der ersten großen Sammelklage zu sein.
Was sie wollen, ist:
- Eine benannte rechtliche Gegenpartei (Sponsor-Doktrin).
- Ein standardisiertes Versicherungsprodukt (Stake + Prämie).
- Ein klares Regulierungssystem, das sich nicht alle sechs Monate ändert (der EU AI Act liefert dies trotz all seiner Mängel zumindest).
- Audit-Trails, die vor Gericht Bestand haben (Identitätsregister im Stil von ERC-8004).
Der Konvergenzpunkt ist im Rückblick offensichtlich. Der „agentische Web“-Stack, den die Ethereum-Community aufbaut — ERC-8004 für Identität, x402 für Zahlungen, ERC-8183 für den Handel plus Stake-basierte Reputation — ist nicht nur ein technischer Stack. Es ist die rechtliche Infrastruktur, die die Agenten-Ökonomie versicherbar, besicherbar und letztlich durch seriöses Geld finanzierbar macht.
Was dies für Builder bedeutet
Wenn Sie im Jahr 2026 autonome Agenten entwickeln, die mit Nutzergeldern interagieren, sind drei Dinge nicht länger optional:
- Sponsor-Identität. Jeder Agent sollte eine verifizierbare On-Chain-Identität deklarieren, die an einen menschlichen oder unternehmerischen Auftraggeber gebunden ist. ERC-8004 ist der wahrscheinlichste Standard. Implementieren Sie ihn, bevor Sie dazu gezwungen werden.
- Hinterlegtes Collateral. Integrieren Sie vom ersten Tag an eine durch Slashing abgesicherte Reputation in Ihren Agenten. Auch wenn noch kein Regulator dies verlangt, werden es Ihre Versicherer und institutionellen Nutzer tun.
- Audit-Logs. Jede externe Aktion, die der Agent ausführt – jeder Tool-Aufruf, jede Transaktion, jede Parameteränderung – benötigt einen manipulationssicheren Datensatz, der einem Discovery-Verfahren standhält. Die Anforderungen des EU AI Acts für Hochrisiko-Systeme schreiben dies für die Compliance bereits vor, und US-Gerichte werden folgen.
Für Infrastruktur-Anbieter gibt es eine leisere, aber größere Chance. Agenten-Reputation, Identitäts-Attestierungen und hinterlegtes Collateral sind allesamt leselastige On-Chain-Datenmuster. Das Abfragen der Reputation der Gegenpartei vor einer Transaktion wird zu einem hochfrequenten Lesemuster, das eine zuverlässige Indexierung und Caching an der Edge erfordert – genau das, wofür Chain-RPC-Anbieter und Indexer gebaut sind.
BlockEden.xyz bietet Enterprise-Grade RPC-, Indexing- und Agenten-Infrastruktur für über 27 Chains, einschließlich der Netzwerke Solana, Base und Ethereum, in denen der Großteil der heutigen Agenten-Ökonomie lebt. Erkunden Sie unseren API-Marktplatz, um Agenten-Stacks aufzubauen, die für die institutionellen Haftungsstandards von 2026 konzipiert sind.
Das Vakuum schließt sich mit jeder einzelnen Klage
Die ehrliche Prognose ist, dass keiner der fünf Rahmenbedingungen „gewinnt“. Das Jahr 2026 endet mit einem Flickenteppich: Sponsor-Haftung wird zum Standard für konforme Implementierungen, Produkthaftung wird zum EU-Regime, die DAO-Partnerschafts-Doktrin erfasst aktivistische Token-Inhaber, Versicherungen und Kautionen werden zur Marktpraxis für ernsthaftes Kapital, und die Rechtspersönlichkeit bleibt reine Theorie.
Was den Flickenteppich in etwas Kohärentes zwingt, ist kein akademisches Papier oder eine EU-Richtlinie. Es ist die erste 100 Mio. $ Sammelklage, die einen Agenten-Betreiber, eine Stiftung, einen Sponsor und ein Dutzend Token-Inhaber-Beklagte gesamtschuldnerisch benennt – und die entweder gewinnt oder sich auf eine Summe einigt, die groß genug ist, um den Preis des Risikos für alle anderen festzulegen.
Diese Klage kommt. Die 479 Mio. desAgenticGDP,diedasVirtualsProtocolderzeittrackt,sindauch479Mio. an potenziellem Kläger-Risiko, und die Mathematik der Krypto-Exploits – allein im ersten Quartal 2026 gab es über 60 Vorfälle und Verluste von mehr als 450 Mio. $ – garantiert, dass der Pool der geschädigten Parteien weiter wächst.
Das Vakuum der Rechtspersönlichkeit ist kein dauerhaftes Merkmal der Agenten-Wirtschaft. Es ist ein vorübergehendes, und die Leute, die die Rechtsprechung von morgen schreiben, sind die Prozessanwälte, nicht die Protokoll-Designer. Die Builder, die überleben, sind diejenigen, die jetzt mit ihrer Compliance- und Kautionsarbeit beginnen, solange das Vakuum noch weit offen ist und die Wahl des Frameworks noch bei ihnen liegt.
Quellen:
