Der Proof Layer für autonome Software
Warum die nächste Schicht des Enterprise-Stacks nicht mehr Intelligenz braucht, sondern Beweisbarkeit. Über Logging, Manipulationssicherheit und externe Verifizierbarkeit für autonom agierende Software.
Warum die nächste Schicht des Enterprise-Stacks nicht mehr Intelligenz braucht, sondern Beweisbarkeit.
In den letzten zwölf Monaten hat sich in den Vorstandsetagen ein leiser Konsens etabliert: Autonom agierende Software wird Teil der Wertschöpfung. Copilots, Reasoning-Engines, digitale Kollegen — die Marktbegriffe variieren, das Versprechen ist überall ähnlich: Tickets schließen, Bestellungen auslösen, Verträge prüfen, Liquidität bewegen.
Eine Frage wird in den Pitches selten ausgesprochen: Wer haftet, wenn ein autonomes System falsch entscheidet?
Nicht abstrakt. Konkret: Wenn ein digitaler Kollege im Einkauf eine Charge freigibt, die später zurückgerufen wird — wer beweist, auf welcher Datengrundlage er entschieden hat? Wenn eine Compliance-Funktion eine Transaktion durchwinkt, die später als verdächtig eingestuft wird — wer rekonstruiert die Entscheidungskette? Wenn zwei autonome Systeme miteinander verhandeln — welches Logfile zählt im Streitfall?
Die Antwort, die heute typischerweise gegeben wird, lautet: „Wir loggen alles.” Das ist keine Antwort. Das ist eine Bitte um Vertrauen in eine Aufzeichnung, die der Anbieter selbst schreibt, selbst speichert und selbst auswertet. Im Streitfall ist das ungefähr so belastbar wie ein Tagebuch, das der Beklagte selbst geführt hat.
Drei Schichten, die jetzt entstehen
Wenn man den Stack der nächsten zehn Jahre nüchtern anschaut, zeichnen sich drei Schichten ab:
Data Layer. Wo Daten zuverlässig zwischen unterschiedlichen Systemen und gegebenenfalls zwischen On- und Offchain-Welten übertragen werden. Hier ist in den letzten Jahren eine Kategorie entstanden — mit Oracles, Cross-Chain-Protokollen und entsprechenden Compliance-Logiken. Im Mai 2026 hat SAP diese Schicht durch die Übernahmen von Dremio (Apache-Iceberg-natives Lakehouse) und Reltio (Master Data Management) konsolidiert.
Application Layer. Wo autonome Systeme Entscheidungen treffen. Hier bauen die großen Plattformen — und das ist auch die Schicht, die im Markt heute die meiste Aufmerksamkeit bekommt. SAP Joule, Microsoft Copilot, Google Gemini Enterprise, Salesforce Einstein — alle adressieren genau diese Schicht.
Proof Layer. Wo Entscheidungen kryptographisch nachweisbar werden. Hash-Ketten, Sidecar-Attestationen, Beweis-Punkte für jede Aktion. Diese Schicht ist heute strukturell unterbesetzt. Genau dort arbeitet HEINI.
Warum Logging nicht reicht
Logging ist eine interne Bequemlichkeit. Es beantwortet: „Was haben wir aufgezeichnet?” Es beantwortet nicht: „Was kann ich vor Gericht oder vor einer Aufsichtsbehörde beweisen?”
Beweisbarkeit hat drei Eigenschaften, die klassisches Logging nicht liefert:
- Manipulationssicherheit. Eine Hash-Kette ist nur dann wertvoll, wenn jedes Glied das vorherige siegelt. Ein nachträglich editiertes Logfile ist keins.
- Externe Verifizierbarkeit. Wer prüft, darf nicht der Anbieter selbst sein. Sonst entsteht das Mark-to-Self-Problem, das wir aus der Finanzkrise kennen — eine Bewertung, die nur der Bewertende selbst nachvollziehen kann, ist im Konflikt wertlos.
- Selektive Offenlegung. Eine Aufsicht will nicht das ganze Unternehmens-Logfile sehen. Sie will nachweisen, dass diese eine Entscheidung zu diesem Zeitpunkt auf diesen Daten basierte. Datenschutzrechtliche Vorgaben und Geschäftsgeheimnisse erlauben nichts anderes.
Drei Eigenschaften, die in der klassischen Beobachtungs-Welt nicht existieren — weil diese Werkzeuge nie für regulatorische Beweisführung gebaut wurden, sondern für Performance-Monitoring.
Was sich in 13 Wochen ändert
Am 2. August 2026 wird der EU AI Act in seinen Kernteilen für Hochrisiko-Systeme vollwirksam. Lückenlose Nachvollziehbarkeit ist dann keine freiwillige Compliance-Übung mehr, sondern Tatbestand. Bußgelder bis 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes.
Wer bis dahin keine externe, manipulationssichere Beweisspur für seine autonomen Systeme aufgebaut hat, wird die erste juristische Auseinandersetzung mit einer Schwachstelle in der eigenen Logfile-Architektur austragen müssen. Das ist eine harte Lernkurve mit teurem Lehrgeld.
Was HEINI tut
HEINI ist keine weitere Plattform für autonome Software. Wir bauen keine Konkurrenz zu den großen Anbietern, die heute digitale Kollegen in Unternehmen ausrollen. Wir bauen die Schicht darunter: die Sidecar-Attestation, die jede Aktion mit einem Hash siegelt, die Beweis-Punkte erzeugt, die selektiv offenlegbar sind, die in regulierten Einzelmandanten-Kontexten funktioniert — also dort, wo Banken, Kanzleien und kritische Industrien arbeiten müssen.
Die Architektur arbeitet nach einem klaren Freigabeprinzip: Jede Aktion eines digitalen Kollegen durchläuft eine Pre-Flight-Erlaubnisprüfung gegen ein hinterlegtes Kompetenzprofil, bevor sie ausgeführt wird. Eine dreistufige Löschkaskade nach DSGVO-Artikel 17 belegt das Vergessen nicht durch behauptetes Löschen, sondern durch eine unwiderlegliche Differenz-Aufzeichnung. Ein externer Attestations-Anker hält die Reihenfolge der Entscheidungen fest, justiziabel im deutschen Recht.
Worum es uns geht
Die Kategorie „Proof Layer” wird in den nächsten Monaten besetzt — entweder mit einem präzisen, juristisch belastbaren Begriff, der dem Markt einen klaren Standard gibt, oder mit einem Marketing-Etikett, das die eigentliche Lücke verdeckt.
Wir setzen auf die erste Variante. Wer mit uns ins Gespräch kommen möchte — ob als regulierte Industrie, als Kanzlei mit Compliance-Mandaten oder als Plattform, die ihre Anwendungsschicht audit-fähig machen will — erreicht uns über die Kanäle auf dieser Seite.
HEINI Operations UG. Questions and feedback are explicitly welcome.