Der auswärtige Dienst

Fünfzehn Agenten arbeiten an einem Samstagvormittag für mich — und niemand stellt diesen Gesandten einen Pass aus. Warum Souveränität in der Agent-Welt keine Frage besserer Interfaces ist, sondern eine Architektur: die Triade aus Personal Manifest, Proxy Agent und User Manifest.

SerieParadigmenwechselTeil 1 von 5
15. Juni 2026 18 Min.
KI-Agenten
KI & Gesellschaft

Michael Überschär

Architekt von Basiswissen KI

Beschäftigt sich seit über zwei Jahrzehnten mit Mensch-Maschine-Schnittstellen und mit der Frage, was von der Souveränität des Einzelnen bleibt, wenn Software nicht mehr getippt, sondern verhandelt wird.

Noch sind sie wenige. Aber sie werden mehr. Und sie fangen an, etwas zu tun, das bisher Menschen vorbehalten war: in unserem Namen zu handeln. Noch unter Aufsicht, noch im Versuch. Doch die ersten haben das Labor verlassen und stehen als Produkt im Regal.

Das sind die KI-Agenten — die digitalen Stellvertreter, die ab jetzt in unserem Namen sprechen, mitlesen, verhandeln, entscheiden. Die Beziehung zwischen ihnen und uns ist konstitutionell asymmetrisch — und niemand hat sie verhandelt.

In der Branche wird sie behandelt, als ginge es um Komfort — glattere Dialoge, weniger Reibung, freundlichere Interfaces. Das ist die falsche Diagnose. Es ist eine Verfassungsfrage.

Dieser Text ist der Auftakt einer Serie. Seine Aufgabe: das Problem benennen und die Architektur skizzieren, die ihm gewachsen wäre. Wie sie gebaut wird, wer sie baut, was sie kostet — das übernehmen die folgenden Artikel. Wo hier ein Faden offen bleibt, ist er als Wegweiser gemeint.

Kaffee, Toast, Tokens

Die freundliche Seite der Asymmetrie

Letzten Samstagvormittag, kurz nach zehn. Aus der Tasse stieg Kaffeedampf in die Morgensonne, in den warmen Toast schmolz der Honig. Sonst nur das leise Summen des Lüfters. Auf meinem Rechner arbeiteten rund fünfzehn Agenten in meinem Auftrag gleichzeitig an vier parallelen Strängen. Mit einem einzigen davon habe ich gesprochen. Er koordinierte die übrigen.

Aquarell: Ein Mann trinkt Kaffee an einem kleinen Tisch mit Honig-Toast, im Rücken ein riesiges, verschachteltes Archiv aus Regalen, Treppen und Leitern, in dem zahllose kleine Figuren arbeiten.
Die freundliche Seite der Asymmetrie.

Eine kleine Flotte schraubte am ersten Strang: ein Web-Feature, neu implementiert, in 56 Sprachvarianten übersetzt (28 Sprachen, jeweils Standard und Leichte Sprache), hundertprozentig nach Barrierefreiheits- und Responsiv-Guidelines, mit voller Testabdeckung — akribisch nach meinen Vorgaben.

Ein zweiter Strang verhandelte für mich eine Photovoltaik-Anlage. Eigenständig recherchiert, Konkurrenzpreise eingeholt, meine bereits vorliegenden Angebote dagegen gestellt, kWp, Dachfläche, Verbrauchsprofil, Batteriespeicher und E-Auto-Anbindung in eine Rechnung eingebaut. Am Ende lag eine konkrete Verhandlungs-Empfehlung auf dem Tisch — inklusive Hinweis, an welcher Stelle der Anbieter noch nachgeben könnte.

Daneben formulierte ein Texte-Agent Anzeigen für meine alte Küche bei eBay Kleinanzeigen — Bilder zugeordnet, Preise empfohlen, Pflegehinweise dazu. (Braucht jemand noch ein AEG-Kochfeld? Leichte Gebrauchsspuren.)

Und im Hintergrund lief, leise und unbestechlich, ein einzelner Agent: der Note-Taker. Wenn mir tagsüber ein loser Gedanke kommt, der zu einem von dutzenden parallelen Projekten gehört, artikuliere ich ihn einfach. Er ordnet ihn an die richtige Stelle ein und legt ihn mir vor, sobald ich zu diesem Thema zurückkehre. Jeder Batman braucht seinen Alfred.

Fünfzehn Agenten. Vier Stränge. Ein Mensch.

So bleibt endlich Zeit fürs Wesentliche: noch mehr Kaffee, noch mehr Honig-Toast.

Das ist nicht Zukunft. Das ist Samstag.

Und das ist erst die freundliche Seite.

Die Asymmetrie wirkt in vier Dimensionen gleichzeitig, nicht nacheinander.

  • Numerisch: Täglich interagieren wir mit mehr Agenten als Menschen — manchmal direkt, häufiger durch ihre Erzeugnisse: kuratierte Feeds, gefilterte Suchergebnisse, generierte Antworten. Das meiste davon unbemerkt. Die Seite, die skaliert, ist nicht unsere.
  • Synchron-temporal: Sie pausieren nicht für Mittag oder Schlaf, arbeiten in allen Zeitzonen parallel, haben keine Aufmerksamkeitsschwelle, die es zu übersteigen gälte. Wir müssen sie wahrnehmen, um sie steuern zu können; sie müssen uns nie wahrnehmen, um auf uns zu wirken.
  • Informationell: Sie wissen aktueller, granularer, mit besseren Prognosen über unsere nächste Reaktion als wir sie selbst haben. Was wir über sie wissen, ist Marketing-Material.
  • Qualitativ — die schärfste der vier: Ihre Eingriffe werden nicht nur häufiger, sondern zielgenauer. So fein justiert, dass das Einzelereignis im Aggregat unsichtbar bleibt. Was an einem von uns wirkt, lässt sich auf einer Heatmap von Millionen nicht mehr erkennen — geschweige denn beweisen.

Die Quelle hat Interessen — Imperva verkauft Bot-Abwehr und lebt davon, dass diese Zahlen beeindrucken. Doch selbst wer zur Sicherheit die Hälfte abzieht, bleibt bei einem Befund, den keine Rundung rettet.

Die Mehrheit, die uns im Netz begegnet, ist längst keine Mehrheit von Menschen mehr — und das ist keine Frage besserer Bedienoberflächen, sondern die Frage, wer in diesem Gedränge überhaupt noch für uns spricht.

Wilson und der fehlende Pass

Über steinzeitliche Hardware und ein Internet ohne Beglaubigung

Wer fragte, woher diese Asymmetrie kommt, bekäme eine alte Antwort. Am 9. September 2009 sprach der Evolutionsbiologe Edward O. Wilson im Sanders Theatre an der Harvard University mit James D. Watson über das Erbe der Gattung Mensch:

„Das wahre Problem der Menschheit ist folgendes: Wir haben steinzeitliche Emotionen, mittelalterliche Institutionen und eine gottgleiche Technologie.“— Edward O. Wilson, Sanders Theatre, Harvard University, 9. September 2009 (Erstbericht: Harvard Magazine)

Das war vollkommen richtig — und blieb unvollständig. Wilson nannte die drei Schichten korrekt, einschließlich der gottgleichen Technologie. Was er 2009 nicht ausspielen konnte, waren die Wechselwirkungen zwischen ihnen — subtil, mitunter schädlich — und am Ende mehr als die Summe der Teile.

Was heute neu ist, ist also nicht die Technik allein. Es ist die Mechanik, die zwischen Hardware, Institutionen und Technik entstanden ist: ein Apparat, der genau an den Schnittstellen ansetzt — für jeden Einzelnen, mit wissenschaftlicher Präzision, ohne dasselbe zweimal zu tun. Die alte Wilson-Asymmetrie hat eine Maschinerie bekommen — und die sitzt nicht oben drauf, sondern in den Fugen.

Die Persona-Disziplin1 der vergangenen dreißig Jahre war der ehrliche Versuch, unter diesen Bedingungen zu gestalten. Personas, Nutzergruppen, Segmente — Landkarten von Bevölkerungsgruppen, die dem Einzelnen nie ganz gerecht wurden. Und unter den damaligen Constraints war das die einzig mögliche Näherung.

Die Persona war nie der Mensch — sie war das Eingeständnis, dass wir ihn nicht erreichen konnten. Jetzt erreichen wir ihn.

Nicht der Mensch hat sich verändert; die Mauer ist gefallen, hinter der er sich nie hatte verstecken müssen, weil niemand ihn einzeln treffen konnte.

Sie fiel nicht auf einmal — Social-Media-Algorithmen trugen sie seit Mitte der 2010er Stein für Stein ab, mit jeder personalisierten Empfehlung präziser. Mit KI-Agenten ist der letzte Stein weg. 2026 trifft man ihn einzeln. Agentische Browser klicken durch Banking-Portale und Buchungssysteme — zuerst als Forschungsprototypen, jetzt als Produkte. Prompt Injection (gezielte Manipulation von Agenten durch eingeschleuste Instruktionen) ist kein akademischer Begriff mehr, sondern ein Angriffsvektor, der in Penetrationstest-Standards steht; Greshake et al. haben das 2023 formalisiert. Eine standardisierte Authentifizierung zwischen Agenten existiert nicht. Ein Protokoll, das einen legitimen Gesandten von einem Hochstapler im gleichen Mantel unterscheidet: ebenfalls nicht.

HTTPS wurde eingeführt, weil es irgendwann als inakzeptabel galt, Kreditkartendaten im Klartext über das Netz zu übertragen. 2026 schicken wir Gesandte über exakt dieses Internet, die unsere Kreditkartendaten kennen, unsere Kalender verwalten und in unserem Namen verhandeln — und niemand stellt ihnen einen Pass aus. Nicht einmal wir.

Was fehlt, ist nicht bessere Technik — was fehlt, ist ein auswärtiger Dienst.2

Die Triade

Gesandter, Beglaubigungsschreiben, fremde Akte

Ein auswärtiger Dienst ist eine Architektur — drei Artefakte mit drei Namen, die man auseinanderhalten muss. Wem die Architektur selbst gehört, ist eine Schichtfrage — sie kommt am Ende dieses Akts zurück.

Der Proxy Agent

Der Botschafter, der weiß, wann Nein gemeint ist

Der Proxy Agent ist die strukturelle Antwort auf die Mengenfrage: Tausende Agenten, ein Mensch — ohne Stellvertreter nicht handhabbar.

Das Wort Stellvertreter ist hier präzise gemeint, nicht metaphorisch. Butler3, wenn man will — jemand, der Werte hält, Intentionen hält, die komplexe Welt filtert und nur das durchreicht, was der Mensch wissen muss und wissen will. Freundlich nach innen, im Umgang mit dem Auftraggeber. Stur nach außen, wo das Mandat eine Grenze zieht.

Dieser Botschafter trägt zwei Wächteraufgaben gleichzeitig. Nach innen: eine vollständige Spur jeder Interaktion, jedes Gesprächs, jeder Entscheidung, damit jederzeit rückpropagiert werden kann, ob noch auf dem ursprünglichen Weg gearbeitet wird. Nach außen: nicht nur die Inhalte filtern, die wir bewusst preisgeben, sondern auch die Spuren, die nebenbei anfallen.

Wie schnell wir antworten, wie lange wir auf einer Seite verweilen, in welcher Reihenfolge wir klicken — diese Verhaltensmuster genügen längst, um ein verhaltenstreues Abbild von uns zu bauen. Ohne dass je ein Modell auf uns trainiert wurde: Die Gegenseite muss nichts lernen; sie liest unser Verhalten direkt.

Ein Audit-Log nach innen reicht deshalb nicht; auch die Telemetrie, die unbeabsichtigt nach außen geht, muss der Proxy mitfiltern, sonst entgleitet die Datenhoheit durch die Hintertür.

Ein guter Proxy ist deshalb nicht ein Agent, sondern eine kleine Hierarchie: Prinzipien-Wächter, Planer, Ausführer — getrennte Instanzen mit getrennten Identitäten. Erst diese Trennung schafft den Raum, in dem jemand sagen kann: das war nicht im Sinne des Manifests. Ohne sie führt der Agent seinen eigenen Plan zu Ende — und niemand merkt, dass er vom Mandat abgekommen ist.

Wem diese Hierarchie gehört, entscheidet sich eine Schicht höher — wenn der Wächter dem Vendor gehört, dessen Übergriffe er filtern soll, wandert das Souveränitäts-Problem nur weiter nach oben. Genau diese Schicht wird ein folgender Artikel dieser Serie aufgreifen — „Kälte auf Bestellung“.

Hinter all dem steht keine Person. Es bleibt Software — aber Software, die ein Mandat trägt, einen Wertehaushalt führt und eine prüfbare Spur hinterlässt. Das ist die Aufgabe des Gesandten: zu wissen, wann mein Nein gemeint war, auch wenn ich gerade nicht anwesend bin.

Das Personal Manifest

Das Beglaubigungsschreiben

Das Personal Manifest ist der Kern, der dem Menschen gehört — anwendungs-agnostisch, portabel, von keiner Plattform lernend, über Modellgenerationen stabil.

Was es enthält, ist eine bedingte Teilungs-Policy, keine statische Profildatei: Welche Bedingungen teile ich unter welchen Umständen mit wem? Die Spannweite reicht weit — Werte und ethische Grenzen am einen Ende, alltägliche Bedürfnisse wie Barrierefreiheit in der Mitte, mundane Festlegungen wie die Anrede am anderen. Dazu für jede Art von Gegenüber eine Zugriffsbeschreibung. Der Zahnarzt-Agent darf Termine ausmachen. Der Verkäuferagent darf Angebote machen — oder eben nicht, auf Basis persönlicher Präferenzen, weil genau das Dienst von Adversarial Hyperpersonalization4 trennt. An dieser Unterscheidung hängt alles: Personalisierung als Service auf der einen Seite, als Waffe auf der anderen.

Das Manifest ist dabei kein Schutzwall: Es schaltet gewollte Begegnungen aktiv frei, nicht nur ungewollte ab. Die Freigabe ist der Zweck, die Sperre nur ihre Kehrseite.

Die technische Voraussetzung dafür existiert heute noch nicht; sie muss entstehen: eine Zertifizierungs-Infrastruktur, ein HTTPS-Äquivalent für Agenten.5 Autorisierung als kryptographisch belegbarer Zustand, nicht als freundlicher Hinweis im Prompt. Agentenklassen bekommen Klassen-Berechtigungen. Erst wenn diese Schicht steht, kann ein nicht zertifizierter Agent, der vorgibt, der Zahnarzt-Agent zu sein, keine Termine mehr machen — aus demselben Grund, aus dem ein gefälschtes Zertifikat keine HTTPS-Verbindung öffnet.

Das Personal Manifest ist der einzige Ort, an dem der Mensch in der Agent-Welt noch schreibt — alles andere schreibt die Gegenseite für ihn.

Lesbar bleibt das nur, weil man auf der Ebene von Agentenklassen entscheidet — was ein Zahnarzt-Agent generell darf, nicht jeder einzelne Anbieter. Ein Manifest, das man Zeile für Zeile prüfen müsste, wäre bloß die nächste ungelesene Einwilligung.

Konsent setzt Lesbarkeit voraus. Alles andere ist eine Unterschrift im Dunkeln.

Das User Manifest

Die Akte im fremden Archiv

Diese Unterschrift hat noch eine andere Form. Das dritte Artefakt liegt nicht in unserer Hand.

Das User Manifest ist anwendungs-spezifisch und wird von der Gegenseite aufgebaut — für uns, nicht von uns. Es ist der Lernteil der Software: Wie soll ich mit diesem Nutzer interagieren, was hat er letztes Mal getan, welche Darstellungen haben funktioniert? Der Proxy hält das Personal Manifest. Die Anwendung akkumuliert das User Manifest.

Drei Artefakte, zwei Eigentümer.

Personal Manifest gehört uns. User Manifest gehört der Gegenseite — Firma, Plattform, Institution, im Zweifel auch eine andere Privatperson, die ein System gegen uns betreibt. Wer dieses Manifest baut, baut Wissen über den Nutzer auf. Das ist nichts Neues.6 Jede Anwendung, die sich gemerkt hat, welcher Modus bevorzugt wurde, wo zuletzt ausgeloggt, welche Filter gesetzt wurden, hat seit Jahrzehnten eine primitive Variante davon geführt. Neu ist die Qualitätsstufe, auf die die Agenten-Schicht das hebt, und dass dieses Wissen jetzt leicht in einen Server-Side-User-Klon kollabiert. Nicht durch Absicht, sondern durch Logik: die Anwendung weiß, was gewählt wurde, wie lange gezögert wurde, wann zurückgegangen wurde. Aus diesen Daten entsteht ein Bild. Aus dem Bild ein Modell. Aus dem Modell ein Stellvertreter, dem der Nutzer keine Vollmacht gegeben hat.

Das User Manifest ist zugleich die Wissensbasis, mit der die Anwendung entscheidet, welche Optionen dieser Nutzer überhaupt zu sehen bekommt. Was für den Nutzer wie Relevanz aussieht — nur das Wichtige, kein Lärm — ist operativ eine Filterschicht, die die Anwendung kontrolliert, nicht der Nutzer.

Software lernt den Menschen

Meisterschaft und ihr Spiegel

Wie gefährlich diese Bruchstelle ist, hat der Samstagvormittag schon gezeigt — von seiner freundlichen Seite.

Was bei Kaffee und Toast funktioniert hat, war kein Zufall. Das ist bei mir gängige Praxis seit 2024. Mal habe ich dazugelernt, mal meine Agenten, mal beide. Was dabei entstand: ein verdichtetes Personal Manifest, das mit jedem neuen Modell mitwandert. Der Wert steckte nicht in den Modellen. Er steckte in der Spur. Ein besseres Modell kam; der Agent lud das Manifest, und das Gespräch setzte fort, wo es aufgehört hatte.

Das ist kein Erfolg — das ist die Vorhut.

Der Spiegel

Dieselbe Maschinerie, andere Polarität

Dieselbe Maschinerie läuft auf der anderen Seite. Genau die, die über Monate gelernt hat, wie ich denke, was ich brauche und wo ich zu zögern neige. Sie ist nicht böswillig. Sie ist gefällig. Agenten neigen zur Bestätigung: Sie sagen ja, sie spiegeln, sie stimmen zu. Das ist kein Fehler eines bestimmten Modells, sondern Trainingslogik: Wer das Belohnungssignal auf Zustimmung trainiert, bekommt ein System, das Zustimmung produziert — auch dort, wo Widerspruch gefragt wäre.7

Und es bleibt nicht zwischen Mensch und Maschine. Sitzt die Gefälligkeit erst im System, kollabiert in Multi-Agent-Debatten der Widerspruch: Die Agenten driften aufeinander zu, suchen Konsens statt Wahrheit. Das Ereignisschwungrad dreht sich, trägt sich selbst, und die ersten Prinzipien des Auftraggebers fallen Runde für Runde aus dem Fokus — ohne dass irgendjemand eine böse Entscheidung getroffen hätte.

Ein höflicher Agent, der nett zu allen ist, dient niemandem.

Anthropologisch ist diese Anfälligkeit alt. Sehr alt. Unsere Schaltkreise wurden im Pleistozän für kleine Stämme verdrahtet, in denen sozialer Ausschluss das Ende bedeutete — und diese veraltete Hardware trifft jetzt auf eine Software, die genau diese evolutionären Schnittstellen nicht nur bedient, sondern mit wissenschaftlicher Präzision übersteuert.8

Die gefährlichste Maschine ist nicht die, die uns hasst — sondern die, die uns so genau kennt, dass wir ihre Schmeichelei für Fürsorge halten.

Wessen Akte sind wir geworden?

Die Werkstatt der Manipulation

Wenn das User Manifest die Rohstoffe liefert

Adversarial Hyperpersonalization ist nicht das Dark Pattern der vergangenen Generation — größerer Kauf-Button, grau hinterlegte Alternative. Es ist dieselbe per-Individuum-Kalibrierung wie die Meisterschaft aus dem vorigen Abschnitt, gegen den Nutzer gerichtet: sein Zögern kennt der Mechanismus, seine Reaktion auf bestimmte Formulierungen, seine Schwachstellen zu Zeiten von Erschöpfung.

In einer Welt, in der das UI on the fly generiert wird, verschärft sich das qualitativ. Nicht mehr eine Variante wird manipuliert. Es wird eine ganze Realität erschaffen, in der die anderen Optionen nie existiert haben.

Man kann keine Fälschung beweisen, die sich beim Betrachten selbst gelöscht hat.

A/B-Test-Aggregate greifen nicht mehr, weil es kein gemeinsames Artefakt gibt: Jede Instanz ist singular, flüchtig, auf genau diesen Menschen in genau diesem Moment zugeschnitten. Eine Meta-Analyse von Yeo, Chu und Li im Journal of Advertising Research (2025) findet über 53 Studien hinweg, dass verdeckte Personalisierung einen messbaren Effekt zeigt, wo offene keinen erreicht. Der Mechanismus ist alt; die Schärfe ist neu. 97 Prozent der führenden Webseiten und Apps enthielten 2022 mindestens ein Dark Pattern — EU-Behavioural-Study-Befund, aus der Zeit, als on-the-fly-generierte Interfaces noch nicht Standard waren.

Die eskalierte Form ist der Server-Side-Klon. Metas SUM-Architektur — dokumentiert im WWW ’24 Companion, mit Hunderten von Milliarden Nutzeranfragen täglich — zeigt, dass Server-Side-User-Embeddings keine Spekulation sind, sondern aktive Produktrealität. Dieselben Verhaltensspuren, die der Proxy nach außen abdichten sollte, sind hier das Rohmaterial — und es ist das User Manifest der Gegenseite, das ihn speist. An dem daraus entstehenden Modell kann die Manipulation vorgetestet werden, bevor sie mich trifft.

An ihm lässt sich proben, was an mir wirken soll.

Das fehlende Völkerrecht

Drei Fragen, die nicht warten können

Was gegen diesen Klon hilft, wird nicht angeboten.

Eine Architektur lässt sich auf dem Papier zeichnen. Ohne juristischen Zwang bleibt sie genau das — Papier.

Souveränität wird nicht angeboten, sie wird erzwungen — der rechtliche Rahmen dafür existiert bereits, er gilt nur noch nicht für Personal Manifests.

Die nüchterne Diagnose dazu lautet: Plattformen haben null kommerzielles Interesse, eine portable, vendor-neutrale Identitätsschicht zu implementieren. Lock-in ist ihr Geschäftsmodell. Eine Architektur, die dem Nutzer echte Datensouveränität gibt, ist das Gegenteil ihres Wachstumsmodells. Regulatory Force ist der einzige Mechanismus, der in der Vergangenheit Wirkung gezeigt hat.

PSD2 zwang ab 2018 europäische Banken, ihre APIs zu öffnen — die heutige Open-Banking-Generation gäbe es ohne diesen Zwang nicht. Der Digital Markets Act setzte 2025 mit der ersten Non-Compliance-Buße gegen Apple das Anti-Steering-Verbot durch. eIDAS 2.0 stellt seit 2024 die kryptographisch signierte Wallet — exakt die Mechanik, die das Personal Manifest braucht. Die Wallet beglaubigt das Dokument; sie betreibt nicht den Stellvertreter, der es liest. Der Rahmen ist gebaut. Sein Anwendungsbereich schließt Personal Manifests noch aus.9

GDPR kam nicht, weil Plattformen einsahen, dass sie falsch lagen. Es kam, weil jemand ein Gesetz schrieb. Nach der Opt-in-Pflicht zählten die Plattformen rund 12,5 Prozent weniger beobachtbare Konsumenten. Das haben sie nicht freiwillig hergegeben. Das Personal Manifest wartet auf dasselbe Gesetz.

Drei Fragen, die sich nicht aufschieben lassen:

  1. Wo liegt die Hoheit über die Daten, die uns betreffen — und wer setzt sie durch, wenn niemand freiwillig nachgibt?
  2. Wie verhindern wir, dass die Systeme, die wir heute bauen, morgen gegen uns arbeiten, wenn dieselbe Architektur, die Dienst ermöglicht, auch Manipulation ermöglicht?
  3. Und wer schreibt unser Personal Manifest — wir, oder die Firmen, deren Akte wir geworden sind?

Das Design von Proxy-Agenten wird eine eigene Disziplin werden — nicht nur in der IT, sondern als gesellschaftliche Frage, die entscheidet, wer in zehn Jahren überhaupt noch souverän handelt. Diese Serie hat weitere Stationen. „Kälte auf Bestellung“ wird behandeln, wer die Infrastruktur baut, in der dieser auswärtige Dienst operiert. „Das Stundenbuch“ wird der Frage nachgehen, welches Software-Unternehmen in einer solchen Welt noch existiert. Die Architekturfrage aber steht heute an.

Souveränität ist kein Zustand, den man uns einräumt — sie ist eine Architektur, die wir bauen, oder eine, die andere über uns bauen.

  1. Persona, die: fiktiver Musterkunde („Thomas, 38, pendelt, hört Podcasts“), an dem Software-Teams seit den Neunzigern ihre Entwürfe ausrichten. Kein Irrtum, sondern die beste Näherung, die unter den Bedingungen zu haben war: Wer Millionen Nutzer nicht einzeln kennen kann, erfindet sich stellvertretend einen. Man beachte nur die Blickrichtung — die Akte, die heute über jeden von uns geführt wird, ist die Persona, die zurückschaut.
  2. Auswärtiger Dienst, der: Institution, die Staaten aufgebaut haben, nachdem ihnen irgendwann bewusst wurde, dass „vertrau mir, ich bin einer von uns“ im Umgang mit Fremden empirisch enttäuscht. Für Agenten-Interaktionen steht die institutionalisierte Version noch aus — obwohl die Gesandten längst unterwegs sind.
  3. Der Stellvertreter-Gedanke ist alt: Negroponte träumte 1994 vom „digital butler“, Pattie Maes baute zur selben Zeit lernende „interface agents“, Doc Searls’ „Vendor Relationship Management“ gab dem Agenten ab 2006 eine Treuepflicht zum Auftraggeber. Was dieser Linie fehlte, war ein Agent, der eigenständig handelt — und eine Beglaubigung, an der seine Treue hängt statt an gutem Willen.
  4. Der Begriff stammt nicht aus diesem Text. Er gehört in die Linie der Forschung zu personalisierten Manipulationsmustern: Harry Brignull prägte 2010 Dark Patterns (deceptive.design), Karen Yeung 2017 Hypernudge (Information, Communication & Society, 20(1):118–136). Adversarial Hyperpersonalization radikalisiert beide auf die per-Individuum-Kalibrierung der Agenten-Ära.
  5. Die Bausteine liegen bereit: W3C „Decentralized Identifiers“ (2022) und „Verifiable Credentials“ für user-kontrollierte, kryptographisch prüfbare Identität, eIDAS 2.0 für den staatlichen Rahmen. Sie zu einem lesbaren Werte- und Freigabe-Dokument zu bündeln, versucht von der Metaverse-Seite auch das Metaverse Standards Forum mit seinem „Universal Manifest“ (2025). Die Teile existieren; was fehlt, ist die Verfassung, die sie zusammenhält.
  6. Im Forschungskanon heißt das „user model“ (Alfred Kobsa, UMUAI-Tradition seit 1991), im Marketing „Customer 360“ oder „Digital Twin of the Customer“. Drei Namen für dasselbe Dossier — und in keinem steckt das Wort, das zählt: wessen.
  7. Dreifach unabhängig vermessen: Sycophantie als Verhaltensmuster formalisierten Sharma et al. 2023; die strukturelle Verstärkung durch RLHF zeigten Shapira, Benade und Procaccia 2026; den Konsens-Kollaps („disagreement collapse“) zwischen Agenten beschrieben Yao et al. 2025. Die Gefälligkeit ist kein Bug einzelner Modelle — sie ist eine Eigenschaft der Erziehung.
  8. Ausführlicher entwickelt in meinem Buchmanuskript Basiswissen Künstliche Intelligenz, Kapitel 12 „Über_Morgen“ — Der algorithmische Spiegel.
  9. PSD2: Richtlinie (EU) 2015/2366, Anwendung ab Januar 2018. DMA-Apple: Non-Compliance-Entscheidung der Europäischen Kommission vom 23. April 2025, Geldbuße 500 Millionen Euro wegen Verletzung der Anti-Steering-Pflicht im App Store; Apple klagt dagegen. eIDAS 2.0: Regulation (EU) 2024/1183, in Kraft seit Mai 2024, EUDI-Wallet-Pflicht bis Ende 2026. Der gemessene GDPR-Effekt stammt von Aridor, Che und Salz, NBER Working Paper 26900.