Compliant: KI-Agenten für reguliertes Business Central

Die Diskussion über KI in Business Central hat sich verschoben. Es geht nicht mehr um einen Copilot, der Vorschläge macht — es geht um Agenten, die handeln: Belege erstellen und buchen, Zahlungen anstoßen, Konfiguration anwenden, Tests ausführen und Daten abgleichen, direkt gegen Ihr ERP.

In einer regulierten Umgebung verändert das den Einsatz. Ein Agent, der ein validiertes System ändert, nimmt eine Änderung an einem validierten System vor — mit aller Governance, die das bedeutet. Die Frage ist nicht, ob man Agenten einsetzt. Sie lautet: unter welchen Kontrollen.

Vom Copilot zu Agenten, die handeln

Agenten erreichen Business Central über dieselben Schnittstellen wie Ihre Integrationen — die APIs, AL-Erweiterungen und, seit Microsofts AL-Model-Context-Protocol-Server 2026 allgemein verfügbar wurde, eine direkte agentische Schnittstelle in BC-Entwicklung und -Daten.

Diese Fähigkeit ist real und nützlich. Das Risiko ist nicht der Agent — es ist Autonomie ohne Kontrollen. Die Designfrage für regulierte Betreiber lautet, wie viel ein Agent allein tun darf und was passieren muss, bevor eine folgenreiche Aktion wirksam wird.

Governance-Muster für agentische Abläufe

Dies sind die Designmuster, die wir in agentische Systeme einbauen, die folgenreiche Prozesse berühren — hier als Governance-Muster beschrieben, nicht als interne Architektur:

  • Freigabe-Gates — keine folgenreiche Aktion (Zahlungsanstoß, Buchung, Stammdaten- oder Konfigurationsänderung) wird ohne expliziten menschlichen Freigabeschritt ausgeführt. Aktionen mit hoher Auswirkung nutzen eine zweistufige Bestätigung.
  • Human-in-the-Loop als Standard — der Agent schlägt vor oder erstellt einen Entwurf; ein Mensch entscheidet, und die Entscheidung wird festgehalten. Agenten handeln bei folgenreichen Schritten nicht autonom; beratende und lesende Agenten liefern Empfehlungen, keine Änderungen.
  • Dry-Run und Simulation — ein Agent zeigt die Wirkung einer Aktion, bevor etwas festgeschrieben wird, sodass der Betreiber das Ergebnis prüft, nicht nur die Absicht.
  • Audit-Trails (ALCOA+) — jede Agentenaktion ist zurechenbar: wer oder was gehandelt hat, wann, sowie alter und neuer Wert, manipulationssicher, genau wie Annex 11 §9 es für jeden GxP-relevanten Datensatz verlangt.
  • Watchdog-Monitoring — unabhängige Monitore, die anomales Agentenverhalten erkennen und stoppen können, damit der Agent nie das Einzige ist, das den Agenten überwacht.
  • Änderungskontrolle für agentengetriebene Änderungen — ein Agent, der Konfiguration oder AL-Logik ändert, löst dieselbe Impact-Bewertung und Re-Validierung aus wie eine menschliche Änderung (Annex 11 §10), einschließlich der GAMP-5-Kategorie-Implikationen von Eingriffen in Custom-Code.

Warum Annex 22 die Diskussion verändert

Der regulatorische Rahmen holt schnell auf. Der neue EU-GMP-Annex 22 bringt KI und maschinelles Lernen unter das GMP-Dach, und die Annex-11-Entwurfsrevision verschärft die Erwartungen an Audit-Trail, Datenintegrität und Änderungskontrolle — mit KI in Chargenfreigabe-Entscheidungen ausdrücklich im Geltungsbereich.

Die Konsequenz ist einfach: Eine agentische Änderung an einem validierten System muss den validierten Zustand erhalten. Das ist kein Grund, Agenten zu vermeiden — es ist der Grund, sie unter Governance zu betreiben. Für einen regulierten Betreiber ist diese Governance der Unterschied zwischen einer KI-Geschichte und einem KI-System, das ein Auditor akzeptiert.

Das basiert auf derselben GAMP-5-basierten Methodik, nach der wir umsetzen — siehe wie wir implementieren, oder starten Sie mit einem Architecture & Compliance Assessment.