Wenn KI bezahlt: Was AP2 für KMU-Shops und Services verändert

KI-Agenten rücken an eine heikle Stelle im Geschäftsalltag: Sie sollen nicht mehr nur recherchieren, vergleichen oder Vorschläge schreiben, sondern auch Kaufentscheidungen vorbereiten. Sobald ein Agent ein Hotelzimmer bucht, Büromaterial bestellt, Ersatzteile nachkauft oder ein Angebot für Kundinnen zusammenstellt, reicht ein netter Chatverlauf nicht mehr. Dann braucht es einen prüfbaren Nachweis, wer die Aktion erlaubt hat, wofür Geld ausgegeben werden durfte und welche Grenzen galten.

Genau deshalb ist das Agent Payments Protocol, kurz AP2, für österreichische KMU interessanter als der Name vermuten lässt. Google hat am 28. April 2026 angekündigt, AP2 an die FIDO Alliance zu übergeben und die Version 0.2 mit neuen Funktionen für Zahlungen ohne anwesenden Menschen zu veröffentlichen. Am 26. Mai 2026 startete die FIDO Alliance dazu eine Initiative für vertrauenswürdige Interaktionen mit KI-Agenten. Das klingt nach Standardisierungsgremium, betrifft aber sehr praktische Fragen: Darf ein Agent kaufen? Wie viel? Bei wem? Mit welchem Nachweis?

Was an AP2 neu ist

AP2 ist kein neuer Zahlungsanbieter und auch kein Ersatz für Stripe, PayPal, Kreditkarten oder Banküberweisungen. Der interessante Punkt ist die Schicht davor: AP2 beschreibt, wie Absicht, Zustimmung und Zahlungsauftrag zwischen Mensch, Agent, Händler und Zahlungsnetz nachvollziehbar weitergegeben werden können. Im Zentrum stehen sogenannte Mandate. Vereinfacht gesagt hält ein Mandat fest, dass eine Person einem Agenten eine bestimmte Handlung erlaubt hat.

Wichtig ist die Unterscheidung zwischen zwei Situationen. Bei „Human Present“ ist der Mensch im Moment der Zahlung noch dabei und bestätigt die Aktion. Bei „Human Not Present“ darf der Agent innerhalb vorher festgelegter Grenzen handeln, auch wenn die Person gerade nicht aktiv vor dem Bildschirm sitzt. Für Unternehmen ist diese zweite Variante die spannendere und riskantere. Sie könnte wiederkehrende Bestellungen, Preisüberwachungen oder Buchungen automatisieren. Gleichzeitig braucht sie besonders klare Regeln, weil niemand im letzten Moment noch einmal auf den Warenkorb schaut.

Dass AP2 unter dem Dach der FIDO Alliance weiterentwickelt wird, ist deshalb relevant. FIDO steht bereits für Authentifizierungsstandards wie Passkeys. Bei agentischen Zahlungen geht es um ein ähnliches Grundproblem: Systeme müssen nicht nur wissen, dass ein Nutzer existiert, sondern auch, ob eine konkrete Aktion wirklich autorisiert war. Für KI-Projekte verschiebt sich damit die Frage von „Kann der Agent das technisch?“ zu „Kann der Agent das beweisbar, begrenzt und nachvollziehbar?“

Warum das österreichische KMU betrifft

Für viele Betriebe klingt agentisches Bezahlen noch weit weg. In der Praxis beginnt es aber früher als die eigentliche Zahlung. Wenn Kundinnen einen KI-Assistenten fragen, welches Ersatzteil zu einer Maschine passt, welches Seminar in Wien im Herbst frei ist oder welcher regionale Anbieter einen bestimmten Service mit schneller Lieferung anbietet, entscheidet der Agent zuerst über Auswahl und Vertrauen. Erst danach kommt der Checkout.

Das bedeutet: Produktdaten, Leistungen, Preise, Lieferzeiten, Verfügbarkeit, Rückgaberegeln und Kontaktwege müssen so klar sein, dass ein Agent sie zuverlässig interpretieren kann. Ein Onlineshop mit veralteten Produktinformationen oder uneindeutigen Versandbedingungen verliert nicht erst bei AP2. Er verliert schon in der Auswahlphase. Deshalb passt AP2 nicht nur zu Payment, sondern auch zu Online-Marketing, Produktdaten und Conversion-Optimierung. Der frühere Beitrag zu KI als Einkaufskanal erklärt diese Verschiebung bereits aus Sicht von Suche und Commerce; AP2 ergänzt die Ebene der Autorisierung.

Auf der Unternehmensseite entsteht ein zweiter Anwendungsfall. Ein KMU könnte einem internen Agenten erlauben, Verbrauchsmaterial bis zu 150 Euro pro Monat bei freigegebenen Lieferanten nachzubestellen, Support-Tickets mit bezahlten Zusatzleistungen vorzubereiten oder Reiseoptionen bis zu einem Budgetrahmen zu reservieren. Das spart nur dann Zeit, wenn Regeln, Belege und Freigaben sauber gestaltet sind. Sonst verschiebt man Arbeit nur vom Einkauf in die Fehlerkorrektur.

Chancen: weniger Reibung, bessere Daten, neue Kaufwege

Die größte Chance liegt nicht darin, dass ein Agent „magisch“ bezahlt. Sie liegt darin, dass Einkaufs- und Verkaufsprozesse präziser beschrieben werden müssen. Wer einem Agenten ein Budget geben will, muss vorher klären, welche Lieferanten, Produktgruppen, Schwellenwerte, Rückfragen und Ausnahmen gelten. Diese Arbeit ist mühsam, macht Prozesse aber auch ohne KI besser.

Für Shops und serviceorientierte Unternehmen kann agentisches Kaufen drei Effekte haben. Erstens können wiederkehrende Käufe einfacher werden, etwa Verbrauchsmaterial, Ersatzteile oder Standardpakete. Zweitens können komplexe Angebote verständlicher werden, weil ein Agent Kundendaten, Budget und Anforderungen vorstrukturiert. Drittens entsteht ein neuer Wettbewerb um maschinenlesbare Vertrauenssignale: klare Leistungsbeschreibungen, transparente Preise, vollständige Produktdaten, saubere Rechnungsinformationen und zuverlässige Verfügbarkeiten.

Für WooCommerce- und E-Commerce-Projekte heißt das nicht, sofort einen AP2-Button einzubauen. Sinnvoller ist ein Readiness-Audit: Sind Produkte eindeutig? Sind Steuern, Versand, Lieferzeiten und Varianten maschinenlesbar? Gibt es klare Bestell- und Stornoregeln? Werden Bestellungen, Freigaben und Änderungen so protokolliert, dass man später nachvollziehen kann, was passiert ist?

Grenzen: Agenten brauchen Stoppschilder

AP2 löst nicht automatisch die Frage, ob ein Agent die richtige Entscheidung trifft. Ein Mandat kann belegen, dass eine Aktion erlaubt war. Es beweist aber nicht, dass die Quelle vertrauenswürdig war, dass der Agent keine irreführende Produktbeschreibung gelesen hat oder dass ein Prompt-Injection-Angriff ausgeschlossen ist. Gerade Web-Agenten, die Seiten lesen und Aktionen ausführen, bleiben anfällig für manipulierte Inhalte, versteckte Anweisungen oder schlecht abgegrenzte Berechtigungen.

Forschung zu finanziellen KI-Agenten zeigt bereits, wie ernst man diese Angriffsfläche nehmen muss. In der Arbeit „Whispers of Wealth“ vom 30. Januar 2026 untersuchen Forschende indirekte Prompt-Injection-Angriffe gegen Web-Finanzagenten. Der konkrete Forschungsaufbau ist nicht eins zu eins ein KMU-Shop, aber die Lektion ist klar: Sobald ein Agent externe Inhalte liest und Geld bewegen kann, müssen Eingaben, Freigaben und Ausgaben getrennt geprüft werden.

Für KMU ergibt sich daraus eine einfache Regel: Kein Agent sollte beim Start frei bezahlen dürfen. Zuerst kommen Leserechte, dann Vorschläge, dann vorbereitete Warenkörbe, dann manuelle Freigaben. Erst wenn Logs, Budgetgrenzen, Lieferantenlisten und Notfallstopps funktionieren, kann man über kleine automatische Zahlungen nachdenken. Besonders sensible Bereiche wie laufende Abos, Rückerstattungen, Kreditkartendaten, personenbezogene Kundendaten oder hohe Einzelbeträge gehören in eine strengere Freigabestufe.

Was Ostheimer praktisch daraus machen kann

AP2 ist ein gutes Beispiel dafür, warum Künstliche Intelligenz im Unternehmen nicht als einzelnes Tool-Projekt behandelt werden sollte. Die Technik berührt Website, Shop, Datenmodell, Berechtigungen, Prozesse, Tracking und rechtliche Dokumentation. Ostheimer kann hier nicht nur einen Agenten bauen, sondern zuerst die Arbeitslogik sichtbar machen: Welche Entscheidung soll automatisiert werden? Welche Daten darf der Agent lesen? Welche Aktion darf er vorbereiten? Wo muss ein Mensch freigeben?

Für konkrete Projekte ist die Seite AI Agent Entwicklung der naheliegende nächste Schritt. Dort geht es um Agenten, die nicht nur antworten, sondern Aufgaben in bestehenden Abläufen übernehmen. Bei agentischen Zahlungen sollte ein erster Prototyp aber bewusst ohne echtes Geld starten. Ein Agent kann Produktdaten prüfen, Bestellvorschläge erstellen, Lieferanten vergleichen oder interne Freigaben vorbereiten. Erst danach wird entschieden, ob und wie ein Zahlungs- oder Buchungsprozess angeschlossen wird.

Ostheimer kann außerdem die Außenperspektive prüfen. Wenn Kundenagenten künftig Angebote vergleichen, muss die Website klarer antworten: Was wird angeboten? Für wen ist es geeignet? Was kostet es? Welche Bedingungen gelten? Welche Daten sind aktuell? Das verbindet KI-Automatisierung mit Webdesign, Content und Online-Marketing. Ein Agenten-fähiger Kaufprozess beginnt selten beim Payment. Er beginnt bei verständlichen Informationen.

Ein realistischer Startplan für KMU

Der beste Einstieg ist kein Großprojekt, sondern eine begrenzte Prozesslandkarte. Welche Einkaufs- oder Verkaufsprozesse sind häufig, wiederholbar und finanziell überschaubar? Welche davon verursachen heute Wartezeiten oder Rückfragen? Welche Daten liegen bereits strukturiert vor?

Danach folgt ein Mandatsmodell. Ein Unternehmen sollte festlegen, wer einem Agenten welche Rechte geben darf. Beispiele: bis 100 Euro nur Vorschläge, bis 300 Euro vorbereitete Bestellung mit Freigabe, darüber immer persönliche Bestätigung. Dazu kommen Lieferantenlisten, Ausschlussregeln, Protokolle und Zuständigkeiten für Fehlerfälle.

Im dritten Schritt wird getestet. Ein Agent sollte mit echten Produkt- und Prozessdaten arbeiten, aber zunächst ohne Zahlungsfunktion. Das Team prüft, ob Vorschläge plausibel sind, ob Belege stimmen, ob Umlaute, Preise, Steuern, Lieferzeiten und Varianten korrekt verarbeitet werden und ob der Agent bei Unsicherheit anhält. Diese Tests sind nicht Bürokratie. Sie entscheiden, ob Automatisierung später Vertrauen gewinnt oder Vertrauen verbraucht.

Fazit

AP2 macht sichtbar, wohin KI im Unternehmenskontext geht: vom Antwortsystem zum handelnden System. Für KMU ist das weder ein Grund zur Panik noch ein Grund für blinden Optimismus. Die eigentliche Aufgabe ist nüchtern: Kauf- und Zahlungsprozesse so beschreiben, dass ein Agent sie nur innerhalb klarer Grenzen nutzen kann.

Wer heute Produktdaten, Freigaben, Budgets und Protokolle ordnet, bereitet sich nicht nur auf AP2 vor. Er verbessert auch klassische Shops, interne Einkaufsprozesse und die Qualität von KI-Automatisierung. Agentische Zahlungen werden nicht dadurch sicher, dass ein Standard existiert. Sie werden sicherer, wenn Unternehmen den Standard mit guter Prozessarbeit verbinden.