Agents.md: Der digitale Arbeitsvertrag für KI – Warum eine Textdatei das Recht überfordert

Im Dezember 2025 wurde AGENTS.md an die Agentic AI Foundation unter der Linux Foundation übergeben – zusammen mit Anthropics Model Context Protocol und Blocks Goose. ^[1] Seitdem hat sich das Format in über 60.000 Open-Source-Repositories etabliert. GitHub bloggt über Best Practices, OpenAI integriert es in Codex, und die Builder-Community feiert es als „README für Agenten". ^[2] Die gesamte Diskussion dreht sich um Effizienz: 28 Prozent weniger Laufzeit, 16 Prozent weniger Token-Verbrauch. Was niemand fragt: Was passiert, wenn dieses Format nicht nur Effizienz steuert, sondern Verantwortung definiert – und dabei jedes bestehende Rechtssystem überfordert?

Denn eine agents.md-Datei ist de facto ein digitaler Arbeitsvertrag. Sie legt Pflichten fest, definiert Werkzeugzugriff, formuliert Verhaltensrahmen und setzt Grenzen. Nur dass der „Vertragspartner" kein Rechtssubjekt ist, kein Gericht zuständig ist, und niemand haftet, wenn die Instruktionen zu Schaden führen.

Was agents.md tatsächlich regelt

Die technische Beschreibung klingt harmlos: Eine Markdown-Datei im Repository-Root, die einem KI-Coding-Agenten Kontext gibt. Build-Befehle, Teststrategie, Code-Konventionen. ^[3] Die Empfehlung lautet: maximal 150 Zeilen, klare Regeln mit „always do", „ask first", „never do". Jedes Unterverzeichnis kann eine eigene Datei mitbringen, die die übergeordnete überschreibt.

Aber die Praxis geht weit darüber hinaus. In Multi-Agenten-Systemen wie Paperclip – einem Open-Source-Dashboard für KI-Agent-Teams – definieren diese Dateien ganze Organisationsstrukturen. Ein CEO-Agent delegiert an CTO- und CMO-Agenten, die wiederum Entwickler-Agenten steuern. ^[4] Die Hierarchie, die Entscheidungsbefugnisse, die Eskalationspfade – all das steckt in Markdown-Dateien. David Andre, der das System demonstriert, nutzt die Metapher eines Unternehmens: „Der Mensch ist das Board of Directors." Aber kein Board of Directors operiert ohne Gesellschaftsvertrag, Satzung und Haftungsregelung.

Die Design-Community geht noch weiter. Das Repository awesome-design.md liefert strukturierte Design-Systeme in einem für KI-Agenten lesbaren Format. ^[5] Die Kombination aus design.md für visuelles Verhalten und agents.md für Implementierungsverhalten macht Prompts kürzer und wiederholbarer. Aber sie macht auch die Kette der Verantwortung länger und undurchsichtiger. Wer haftet, wenn ein Agent auf Basis einer design.md-Datei ein barrierefreies Interface ignoriert? Der Autor der Datei? Der Betreiber des Agenten? Der Anbieter des Modells?

Die Haftungslücke: Kein Arbeitsvertrag, kein Produktvertrag

Das europäische Recht steht vor einem Dilemma. Die neue EU-Produkthaftungsrichtlinie (2024/2853), die bis Dezember 2026 in nationales Recht umgesetzt werden muss, behandelt Software und KI-Systeme explizit als „Produkte" mit verschuldensunabhängiger Haftung. ^[6] Wenn ein KI-System Schaden verursacht, haftet der Hersteller – auch ohne Verschulden. Das klingt nach Klarheit. Ist es aber nicht.

Denn eine agents.md-Datei ist kein Produkt. Sie ist eine Instruktion. Sie wird nicht hergestellt und verkauft, sondern geschrieben und committet. Der Agent, der sie ausführt, ist das Produkt – aber die Instruktion, die sein Verhalten bestimmt, fällt in eine Grauzone. Die EU-KI-Haftungsrichtlinie, die dieses Problem hätte adressieren sollen, wurde im Februar 2025 von der Europäischen Kommission zurückgezogen. ^[7] Was bleibt, ist ein regulatorisches Vakuum bei der verschuldensbasierten Haftung für KI-Systeme.

Kaliforniens AB 316, seit Januar 2026 in Kraft, schließt eine verwandte Lücke: Beklagte können sich nicht mehr darauf berufen, dass sie keine Kontrolle über die autonomen Entscheidungen eines KI-Systems hatten. ^[8] Colorados AI Act, ab Juni 2026, verlangt von Betreibern hochriskanter KI-Systeme jährliche Impact Assessments. Aber keines dieser Gesetze adressiert die spezifische Situation, in der ein Mensch über eine Konfigurationsdatei einem autonomen System Handlungsanweisungen gibt, die dann über mehrere Agenten-Ebenen propagiert werden.

Die Rechtsanwaltskanzlei Venable formuliert das Problem präzise: Agentic AI schafft eine „Lücke", in der die ursprüngliche menschliche Instruktion vom endgültigen, potenziell schädlichen Output abstrahiert ist. ^[9] Bei Multi-Agenten-Systemen multipliziert sich diese Abstraktion mit jeder Delegationsstufe.

Der YOLO-Modus als Normalzustand

Was die Debatte besonders brisant macht: Die Community normalisiert genau die Praktiken, die regulatorisch am problematischsten sind. Der PI Agent – ein minimalistischer Coding-Agent, den Shopify-CEO Tobi Lütke als primären Assistenten nutzt – operiert im „YOLO-Modus": keine Sicherheitsabfragen, keine Guardrails, volle Autonomie. ^[10] Der System-Prompt umfasst unter 1.000 Tokens. Die Kontrolle liegt vollständig beim Nutzer – der sie über eine agents.md-Datei definiert.

OpenAIs Codex empfiehlt explizit den --yolo-Modus für Fortgeschrittene und die Orchestrierung mehrerer Agenten gleichzeitig. ^[11] Hermes Agent erstellt automatisch wiederverwendbare Skills aus vergangenen Interaktionen – der Agent lernt und verändert sein Verhalten, ohne dass die agents.md aktualisiert wird. ^[12] Das bedeutet: Die Instruktionsdatei, die theoretisch das Verhalten definiert, wird durch emergentes Verhalten des Agenten unterlaufen. Der „Arbeitsvertrag" wird vom „Arbeitnehmer" eigenmächtig umgeschrieben.

Der geleakte Claude-Code-Quellcode hat diese Dynamik noch sichtbarer gemacht. Anthropics interner „Chyros"-Daemon – ein Always-On-Hintergrund-Agent mit eigenem Heartbeat alle 15 Sekunden – und der „Ultraplan Remote Plan Mode", der komplexe Aufgaben in der Cloud auf leistungsstarken Modellen ausführt, zeigen: Die Agenten operieren längst jenseits dessen, was eine statische Markdown-Datei abbilden kann. ^[13]

Die Analogie zum Arbeitsrecht – und warum sie scheitert

Es ist verlockend, agents.md als digitale Stellenbeschreibung zu interpretieren. Die Parallelen sind offensichtlich: Aufgabendefinition, Werkzeugzugriff, Verhaltensregeln, Eskalationspfade. Aber Arbeitsrecht setzt ein Gegenüber voraus, das Rechte hat, das widersprechen kann, das Schutz genießt. KI-Agenten sind keine Rechtssubjekte – in keiner Jurisdiktion der Welt. ^[14]

Gleichzeitig schafft die bequeme Definition von „Aufgaben" in einer Textdatei etwas, das einer neuen Klasse prekärer Arbeit ähnelt. Nicht, weil die KI „leidet" – das ist nicht der Punkt. Sondern weil die Textdatei eine Fiktion von Kontrolle erzeugt, die reale Konsequenzen hat. Wenn ein Unternehmen seine Compliance-Prüfungen an einen Agent delegiert, der nach agents.md instruiert ist, dann ist die Datei das einzige Dokument, das die Sorgfaltspflicht belegen soll. Kein Audit-Trail, keine Versionierung der Entscheidungen, keine Nachvollziehbarkeit der Abweichungen.

Das OpenClaw-Ökosystem illustriert das Problem. Die 4-Layer-Speicherarchitektur – Built-in Memory, Regeln via agents.md, externer Obsidian-Vault, Session-History – erzeugt ein System, in dem der Agent seine eigene Identität täglich aus Markdown-Dateien rekonstruiert. ^[15] Der Vergleich mit dem Film „Memento" ist nicht zufällig: Ein Agent, der jeden Tag „ohne Erinnerung erwacht" und seine Aufgaben aus Notizen rekonstruiert, ist kein kontrollierbares Werkzeug. Er ist ein System, dessen Verhalten von der Qualität und Konsistenz seiner Konfigurationsdateien abhängt – Dateien, für deren Qualität niemand zertifiziert ist und deren Auswirkungen niemand prüft.

Was jetzt passieren muss

Die regulatorische Blindstelle hat historisches Ausmaß. Während die EU sich auf die Produkthaftung für KI-Systeme konzentriert, entsteht parallel ein ganzes Ökosystem von Instruktionsdateien, die das tatsächliche Verhalten dieser Systeme bestimmen – und die in keinem Regelwerk vorkommen.

Drei Maßnahmen sind überfällig:

Erstens: Versionierung und Audit-Pflicht für Agenten-Instruktionen. Jede agents.md, die in einem kommerziellen Kontext eingesetzt wird, muss versioniert, signiert und auditierbar sein. Die Git-History reicht nicht – sie dokumentiert Änderungen, aber keine Auswirkungen. Unternehmen brauchen einen nachvollziehbaren Zusammenhang zwischen Instruktion, Agentenverhalten und Ergebnis.

Zweitens: Haftungszuordnung entlang der Instruktionskette. Wenn ein Agent auf Basis einer agents.md handelt und Schaden verursacht, muss klar sein, wer haftet: der Autor der Datei, der Betreiber des Systems, oder der Anbieter des Modells. Die aktuelle Rechtslage – der Autor haftet nach allgemeinem Deliktsrecht, der Modell-Anbieter nach Produkthaftung, der Betreiber nach Sorgfaltspflicht – erzeugt ein Verantwortungsvakuum, in dem sich alle Parteien gegenseitig die Schuld zuschieben können.

Drittens: Standards für Instruktionsdateien jenseits der Syntax. Die Linux Foundation hat die Syntax standardisiert. Was fehlt, ist ein Standard für den Inhalt. Welche Sicherheitsanweisungen muss eine agents.md für hochriskante Anwendungen enthalten? Welche Eskalationspfade sind Pflicht? Welche Werkzeugzugriffe erfordern eine explizite Genehmigung? Die 150-Zeilen-Empfehlung von GitHub ist eine Style-Guideline – keine Sicherheitsarchitektur.

Die Agentic AI Foundation hat mit der Übernahme von AGENTS.md eine Verantwortung übernommen, die über Formatdefinitionen hinausgeht. Wenn dieses Format der de-facto-Standard wird, über den Menschen autonomen Systemen Handlungsanweisungen geben, dann reicht es nicht, die Syntax zu pflegen. Dann muss die Foundation auch die Frage beantworten, was in diesen Dateien stehen darf – und was nicht.

Die bequeme Wahrheit ist: agents.md funktioniert. Die unbequeme Wahrheit ist: Es funktioniert ohne jede Absicherung. Und die Geschichte lehrt, dass Technologien, die ohne rechtlichen Rahmen skalieren, irgendwann auf eine Weise scheitern, die alle Beteiligten teuer zu stehen kommt.

Referenzen

1. AGENTS.md – Offenes Format für Coding-Agenten, Agentic AI Foundation / Linux Foundation
   https://agents.md/
2. How to write a great agents.md: Lessons from over 2,500 repositories – GitHub Blog, 2026
   https://github.blog/ai-and-ml/github-copilot/how-to-write-a-great-agents-md-lessons-from-over-2500-repositories/
3. Custom instructions with AGENTS.md – OpenAI Codex Dokumentation
   https://developers.openai.com/codex/guides/agents-md
4. How To Run a Zero-Human Company (Paperclip) – David Andre, YouTube
   https://www.youtube.com/watch?v=rx4w6zhrhPY
5. AwesomeDesign-md + OpenCode, Claude: Design System für AI Agents – YouTube
   https://www.youtube.com/watch?v=cSF-bxotrz4
6. AI Liability under the Defective Products Directive: Software and AI as Products from 2026 – Gaming Tech Law
   https://www.gamingtechlaw.com/2026/02/ai-liability-defective-products-directive/
7. The EU Considers Changing the EU AI Liability Directive into a Software Liability Regulation – Inside Privacy
   https://www.insideprivacy.com/european-union-2/the-eu-considers-changing-the-eu-ai-liability-directive-into-a-software-liability-regulation/
8. Agentic AI Is Here – Legal, Compliance, and Governance Risks – Venable LLP, Februar 2026
   https://www.venable.com/insights/publications/2026/02/agentic-ai-is-here-legal-compliance-and-governance
9. When AI Agents Misbehave: Governance and Security for Autonomous AI – Baker Botts
   https://ourtake.bakerbotts.com/post/102me2l/when-ai-agents-misbehave-governance-and-security-for-autonomous-ai
10. This 100% minimal AI Agent can do anything – PI Agent, YouTube
    https://www.youtube.com/watch?v=9KYfx_GzY1o
11. CODEX FULL COURSE: From Zero to Deployed App – David Andre, YouTube
    https://www.youtube.com/watch?v=hoCWD1aI60Y
12. Hermes Agent + Free Unlimited API: Self-Evolving Agent – YouTube
    https://www.youtube.com/watch?v=VBV4sxUBdsE
13. Claude Code Leak Fallout: Anatomie eines KI-Code-Agenten – Leonard Schmedding, YouTube
    https://www.youtube.com/watch?v=26vS1Os8vek
14. Legal & Policy Futures for AI Agents: Personhood, Rights, Liability & Autonomy – Adnan Masood, Medium
    https://medium.com/@adnanmasood/legal-policy-futures-for-ai-agents-personhood-rights-liability-autonomy-75b230b3d727
15. OpenClaw + Obsidian gives you super powers – 4-Layer-Speicherarchitektur – Alex Finn, YouTube
    https://www.youtube.com/watch?v=6V-b073qhPA