MCP8 Min Lesezeit
Was vor dem Live-Setup geklärt sein muss
Redaktion brandneo
MCP-Setups sind in 30 Minuten aufgebaut. Was nicht in 30 Minuten geklärt ist, sind die Risiken. Datenflüsse durch mehrere Akteure, Auth-Vererbung, Rate-Limits in Stoßzeiten, Halluzinationen in Agent-Workflows, DSGVO-Implikationen pro Tool, Vendor-Lock-in auf Stack-Ebene. Wer einen produktiven MCP-Setup aufsetzt, klärt diese sieben Risiken vorher.
Risiko 1: Datenflüsse durch drei Akteure
Bei jedem MCP-Setup fließen Daten zwischen drei Akteuren: dem Marketing-Tool, dem Sprachmodell-Anbieter, dem Endgerät der nutzenden Person. Jeder dieser Akteure speichert, verarbeitet oder zumindest cached Teile der Anfrage. Wer in DACH operiert, dokumentiert diese Kette pro Tool und pro Anbieter.
Konkrete Fragen, die geklärt sein müssen:
- Wo läuft der Sprachmodell-Anbieter (US-Cloud, EU-Endpoint, On-Prem)?
- Wo speichert der Tool-MCP-Server Anfragen, wie lange?
- Welche Anfrage-Inhalte werden im Modell-Anbieter-Log archiviert?
- Werden Anfragen für Modell-Training verwendet?
Pro Sprachmodell-Anbieter sind diese Antworten unterschiedlich. Claude Enterprise und Claude for Work bieten EU-Hosting und Zero-Retention-Options. ChatGPT Team und Enterprise bieten Daten-Schutz-Mode. Gemini Workspace folgt Google-Workspace-DPA-Logik.
Risiko 2: Auth-Vererbung in Teams
Wenn eine einzelne Person ihren MCP-Setup mit OAuth aufsetzt, sind die Daten-Zugriffe an ihre persönlichen Tool-Berechtigungen gebunden. Verlässt diese Person das Unternehmen, bricht der Setup. Schlimmer: wenn die Berechtigungen breit waren, hatte das Sprachmodell zwischenzeitlich Zugang zu Daten, die es nicht hätte haben sollen.
- Service-Accounts für MCP-Setups verwenden, wo möglich.
- Berechtigungen pro Server explizit begrenzen (Read-Only wo möglich).
- Audit-Trails aktivieren, sodass jeder MCP-Aufruf dokumentiert wird.
- Off-Boarding-Prozesse erweitern: bei Personal-Wechsel werden auch MCP-Setups deaktiviert.
Risiko 3: Rate-Limits in Stoßzeiten
MCP-Server haben Rate-Limits. In ruhigen Zeiten unauffällig, in Stoßzeiten ein operatives Problem. Wer am Monatsende für 15 Kunden Reportings ziehen will, läuft je nach Anbieter in Limits.
| Anbieter | Rate-Limit Stand Mai 2026 |
|---|---|
| Google Ads MCP | 10.000 Anfragen pro Tag pro MCC-Account |
| Meta Ads MCP (Open Beta) | 5.000 Anfragen pro Tag pro Business-Account |
| HubSpot MCP | Anbieter-abhängig, Hub-Tier-basiert |
| GA4 MCP | 50.000 Anfragen pro Tag pro Property |
Strategie: parallelisierbare Anfragen über mehrere Tage verteilen. Bei produktiven Workflows Rate-Limit-Monitoring einbauen.
Risiko 4: Halluzinationen in Agent-Workflows
Wenn ein Sprachmodell mehrere MCP-Tools in einem Workflow kombiniert, multipliziert sich das Halluzinations-Risiko. Beispiel: das Modell liest einen Brief aus Notion, leitet daraus eine Kampagnen-Hypothese ab, baut über Meta Ads MCP eine Kampagne, schreibt das Ergebnis in Slack. Jeder Schritt kann Fehler einbringen. Wenn der erste Schritt falsch interpretiert, propagiert sich der Fehler durch die Kette.
- Bestätigungs-Schritte vor jedem Schreib-Aufruf (Pre-Publication-Gate).
- Schreib-Zugriffe nur auf Tools, deren Fehler reversibel sind. Kampagnen-Builds als „Draft", nicht als „Live".
- Audit-Logs aller MCP-Aufrufe.
Risiko 5: DSGVO-Implikationen pro Tool
DSGVO ist kein einheitliches Risiko, sondern pro Tool unterschiedlich. Vier Stellen sind zentral.
- AVV (Auftragsverarbeitungs-Vertrag): wo gibt es ihn, wo nicht? Sprachmodell-Anbieter müssen einen separaten AVV haben, der die MCP-Nutzung abdeckt.
- Daten-Region: läuft das Tool und der Sprachmodell-Anbieter auf EU-Servern?
- Daten-Retention: wie lange speichert wer welche Anfragen?
- Pseudonymisierung: werden personenbezogene Daten (Kunden-Namen, E-Mails) vor MCP-Aufrufen pseudonymisiert?
Risiko 6: Vendor-Lock-in auf Stack-Ebene
Wer seinen gesamten Marketing-Workflow auf MCP-Anbindungen baut, wird abhängig von zwei Akteuren: dem Sprachmodell-Anbieter und den Tool-Herstellern. Was passiert, wenn Anthropic die MCP-Roadmap ändert? Was, wenn Meta seinen MCP wieder hinter Paywall schiebt? Was, wenn ein zentraler Community-Bridge-Maintainer das Projekt einstellt?
- MCP als Workflow-Layer behandeln, nicht als Workflow-Fundament.
- Daten-Exporte aus den Marketing-Tools regelmäßig sichern.
- Klassische API-Integrationen für kritische Workflows behalten.
- Alternative Sprachmodell-Anbieter im Stack haben (Modell-Routing).
Risiko 7: Schatten-MCP im Team
Mitarbeiter:innen können MCP-Setups privat aufsetzen, mit ihren persönlichen Tool-Berechtigungen. Wenn das Marketingteam keine offizielle MCP-Policy hat, entstehen Schatten-Setups, die das IT-Audit nicht erfasst.
Lösung: klare Policy, welche MCP-Setups im Team erlaubt sind, welche nicht. Whitelist sinnvoller als Blacklist, weil sie schneller veraltet.
Übersicht
| Risiko | Lösungs-Tendenz | Aufwand |
|---|---|---|
| Datenflüsse durch drei Akteure | Datenschutz-Folgenabschätzung pro Setup | Mittel, einmalig |
| Auth-Vererbung | Service-Accounts plus Off-Boarding-Prozess | Mittel, einmalig |
| Rate-Limits | Monitoring plus zeitliche Verteilung | Gering, laufend |
| Halluzinationen in Workflows | Bestätigungs-Schritte plus Audit-Logs | Mittel, laufend |
| DSGVO pro Tool | AVV-Klärung plus Pseudonymisierung | Hoch, einmalig pro Tool |
| Vendor-Lock-in | MCP als Layer, nicht Fundament | Mittel, strategisch |
| Schatten-MCP | Policy plus Whitelist | Gering, einmalig |
Take
MCP-Risiken sind klärbar. Sie sind nicht trivial. Was sie kritisch macht, ist die Geschwindigkeit, mit der MCP-Setups in Teams entstehen, ohne dass die Risiken vorher dokumentiert sind. Sieben Stellen, sieben kleine Klärungen vor dem Live-Gang, dann ist der Setup tragfähig.
Was offen bleibt
Industrie-Standard für MCP-Server-Sicherheit ist nicht etabliert. Erste Audits laufen, kein einheitliches Zertifikat. Wer Community-Server einsetzt, übernimmt das Risiko vollständig. Standardisierung erwartbar in Q4 2026, Form unklar.
Eine zweite offene Frage: wie reagieren Datenschutz-Behörden auf MCP-Setups, in denen mehrere Drittländer-Akteure beteiligt sind. Erste informelle Stellungnahmen liegen vor, formale Leitlinien noch nicht.
Verwandt