Am 1. August 2024 trat die Verordnung (EU) 2024/1689 – der EU AI Act – in Kraft. Seither gilt er schrittweise: Seit Februar 2025 sind verbotene KI-Praktiken untersagt, seit August 2025 gelten die Regeln für General-Purpose AI (GPAI) und das Sanktionsregime. Ab August 2026 treten die Anforderungen für Hochrisiko-KI-Systeme in Kraft. Für Schweizer Unternehmen ist entscheidend: Der EU AI Act hat extraterritoriale Wirkung. Wer KI-Systeme im EU-Markt anbietet oder dessen Output in der EU genutzt wird, fällt unter die Verordnung – unabhängig vom Firmensitz.
Achtung
Wichtig für Schweizer Unternehmen: Der EU AI Act gilt auch ausserhalb der EU. Schweizer Firmen, die KI-Systeme oder GPAI-Modelle im EU-Markt anbieten, oder deren KI-Output in der EU genutzt wird (auch wenn die Server in der Schweiz stehen), können direkt dem EU AI Act unterliegen. Eine physische Präsenz in der EU ist nicht erforderlich. (Quelle: Lenz & Staehelin, August 2025)
Das Risikoklassensystem: Vier Stufen, unterschiedliche Pflichten
Der EU AI Act klassifiziert KI-Systeme nach ihrem Risikopotenzial. Je höher die Risikoklasse, desto strenger die Anforderungen. Das Modell orientiert sich am Vorbild des EU-Produktsicherheitsrechts.
| Risikoklasse | Beispiele | Konsequenz |
|---|---|---|
| Unvertretbares Risiko (verboten) | Social Scoring, manipulative KI, Echtzeit-Biometrie im öffentlichen Raum, Emotionserkennung am Arbeitsplatz | Vollständiges Verbot seit Februar 2025 |
| Hohes Risiko | KI in kritischer Infrastruktur, Bildung, Personalentscheidungen, Kreditvergabe, Strafverfolgung, Medizinprodukte | Konformitätsbewertung, Dokumentation, menschliche Aufsicht – ab August 2026 verpflichtend |
| Begrenztes Risiko | Chatbots, Deepfakes, KI-generierte Inhalte | Transparenzpflichten: Nutzer müssen wissen, dass sie mit KI interagieren |
| Minimales Risiko | KI-Spamfilter, KI-Empfehlungsalgorithmen, KI-gestützte Videospiele | Keine spezifischen Pflichten; freiwillige Verhaltenskodizes empfohlen |
Zeitplan: Was gilt wann?
| Datum | Massnahme |
|---|---|
| 1. August 2024 | EU AI Act tritt in Kraft (Verordnung (EU) 2024/1689) |
| 2. Februar 2025 | Verbotene KI-Praktiken sind untersagt (Art. 5 AI Act) |
| 2. August 2025 | GPAI-Regeln, Governance-Rahmen, Sanktionsregime in Kraft |
| 2. August 2026 | Anforderungen für Hochrisiko-KI-Systeme (Konformitätsbewertung, Dokumentation, menschliche Aufsicht) |
| 2. August 2027 | Erweiterter Geltungsbereich Hochrisiko-KI; Grandfathering-Regeln für Legacy-GPAI laufen aus |
Bussen: Bis zu EUR 35 Mio. oder 7% des Jahresumsatzes
Das Sanktionsregime des EU AI Act ist seit August 2025 in Kraft und sieht empfindliche Bussen vor. Die Höhe richtet sich nach der Schwere des Verstosses und der Unternehmensgrösse:
- Verstoss gegen verbotene Praktiken (Art. 5): bis zu EUR 35 Mio. oder 7% des weltweiten Jahresumsatzes (der höhere Betrag gilt)
- Verstoss gegen Hochrisiko-Anforderungen oder GPAI-Pflichten: bis zu EUR 15 Mio. oder 3% des weltweiten Jahresumsatzes
- Falsche oder irreführende Informationen gegenüber Behörden: bis zu EUR 7.5 Mio. oder 1.5% des weltweiten Jahresumsatzes
- Für KMU und Start-ups gelten niedrigere Obergrenzen (der jeweils niedrigere Betrag)
Achtung
Die Bussen berechnen sich auf Basis des weltweiten Jahresumsatzes – nicht nur des EU-Geschäfts. Ein Schweizer Unternehmen mit CHF 100 Mio. Jahresumsatz, das verbotene KI-Praktiken einsetzt und diese im EU-Markt anbietet, riskiert theoretisch Bussen bis zu EUR 7 Mio. (7% von CHF 100 Mio.). Die Durchsetzung erfolgt durch nationale Behörden der EU-Mitgliedstaaten.
Der Schweizer Sonderweg: Kein eigenes KI-Gesetz
Am 12. Februar 2025 veröffentlichte der Schweizer Bundesrat seine KI-Regulierungsstrategie. Das Ergebnis: Die Schweiz wird keinen eigenen horizontalen KI-Act nach EU-Vorbild einführen. Stattdessen setzt der Bundesrat auf drei Säulen:
- Ratifizierung der KI-Konvention des Europarats (Framework Convention on AI, Human Rights, Democracy and the Rule of Law) als Hauptpriorität
- Sektorspezifische Anpassungen bestehender Gesetze (Haftungsrecht, Datenschutz, Arbeitsrecht, Immaterialgüterrecht) nur dort, wo Grundrechte betroffen sind
- Förderung freiwilliger Massnahmen und Selbstdeklaration durch die Industrie
Der Zeitplan ist grosszügig: Das Gesetzgebungspaket soll bis Ende 2026 dem Bundesrat vorgelegt werden. Unmittelbare Gesetzessänderungen in der Schweiz sind in naher Zukunft nicht zu erwarten. (Quelle: Pestalozzi Attorneys at Law, März 2025)
Hinweis
Schweizer Sonderweg im Vergleich: Während die EU auf ein horizontales, risikobasiertes Regelwerk setzt, bevorzugt die Schweiz den sektorspezifischen, technologieneutralen Ansatz – ähnlich wie Grossbritannien und Israel. Das stärkt den Innovationsstandort, schafft aber Rechtsunsicherheit für Unternehmen mit EU-Geschäft.
Verhältnis zum nDSG: Ergänzung, kein Ersatz
Das Schweizer Datenschutzgesetz (nDSG, in Kraft seit September 2023) und der EU AI Act ergänzen sich, überschneiden sich aber auch. Der EDOBÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) hat im Mai 2025 klargestellt, dass das nDSG direkt auf KI-Systeme anwendbar ist, insbesondere bei automatisierten Einzelentscheidungen.
| Aspekt | nDSG (Schweiz) | EU AI Act |
|---|---|---|
| Geltungsbereich | Alle Verarbeitungen von Personendaten in der Schweiz | KI-Systeme im EU-Markt oder mit EU-Output |
| Automatisierte Entscheidungen | Informationspflicht, Widerspruchsrecht (Art. 21 nDSG) | Transparenzpflichten, menschliche Aufsicht bei Hochrisiko |
| Sanktionen | Bis CHF 250'000 (Personenbussen) | Bis EUR 35 Mio. oder 7% Jahresumsatz |
| Fokus | Datenschutz und Privatsphäre | KI-Sicherheit, Grundrechte, Marktregulierung |
| Status | In Kraft seit September 2023 | Schrittweise seit August 2024 |
Konkrete Auswirkungen für Schweizer Unternehmen
Welche Schweizer Unternehmen sind betroffen? Die Antwort hängt davon ab, ob und wie das Unternehmen KI im EU-Markt einsetzt:
| Unternehmenstyp | EU AI Act-Relevanz | Empfohlene Massnahmen |
|---|---|---|
| Schweizer SaaS-Anbieter mit EU-Kunden | Hoch: KI-Features werden im EU-Markt angeboten | KI-Inventar erstellen, Risikoklassifizierung, ggf. EU-Bevollmächtigten bestellen |
| Schweizer Finanzinstitut mit EU-Aktivitäten | Hoch: Kreditscoring, Betrugserkennungs-KI = Hochrisiko | Konformitätsbewertung vorbereiten (ab August 2026 verpflichtend) |
| Schweizer KMU, nur Schweizer Markt | Gering: Kein EU-Marktbezug | nDSG-Compliance sicherstellen; EU AI Act beobachten |
| Schweizer GPAI-Anbieter (LLM-Entwickler) | Sehr hoch: GPAI-Regeln seit August 2025 in Kraft | EU-Bevollmächtigten bestellen, technische Dokumentation, Transparenz-Pflichten |
| Schweizer Unternehmen nutzt EU-KI-Tools | Mittel: Als Betreiber (Operator) möglicherweise betroffen | Verträge mit KI-Anbietern prüfen, Nutzungsdokumentation |
| Schweizer Startup, Expansion in EU geplant | Mittel bis hoch: Abhängig von KI-Nutzung | EU AI Act frühzeitig in Produktentwicklung einplanen (Privacy by Design → AI by Design) |
Handlungsempfehlungen: Was jetzt zu tun ist
Unabhängig davon, ob ein Unternehmen direkt unter den EU AI Act fällt oder nicht: Eine proaktive Auseinandersetzung mit dem Thema ist sinnvoll. Die folgenden Schritte helfen, die Compliance-Basis zu schaffen:
- KI-Inventar erstellen: Welche KI-Systeme werden intern genutzt oder angeboten? Welche Daten verarbeiten sie? Welche Entscheidungen treffen sie?
- Risikoklassifizierung durchführen: Fällt ein System in die Hochrisiko-Kategorie (Annex III EU AI Act)? Betrifft es Personalentscheidungen, Kreditvergabe, kritische Infrastruktur?
- EU-Marktbezug prüfen: Werden KI-Systeme oder deren Output im EU-Markt angeboten oder genutzt? Gibt es EU-Kunden, EU-Nutzer oder EU-Datenverarbeitung?
- Verträge mit KI-Anbietern prüfen: Wer ist Provider, wer Operator? Welche Compliance-Pflichten übernimmt der Anbieter, welche verbleiben beim Unternehmen?
- GPAI-Anbieter: EU-Bevollmächtigten bestellen (seit August 2025 Pflicht), technische Dokumentation erstellen, Transparenz über Trainingsdaten sicherstellen.
- nDSG-Compliance als Basis: Das nDSG ist bereits in Kraft. Automatisierte Entscheidungen, Profiling und Datenschutz-Folgeabschätzungen sind Pflicht – unabhängig vom EU AI Act.
- Rechtliche Beratung: Für Hochrisiko-Systeme und GPAI-Anbieter ist spezialisierte Rechtsberatung empfehlenswert. Die Rechtsanwälte Lenz & Staehelin, Pestalozzi und CMS haben sich auf dieses Thema spezialisiert.
Tipp
Praktischer Tipp für Schweizer KMU: Beginnen Sie mit einem einfachen KI-Inventar in einer Excel-Tabelle: Welche KI-Tools nutzen Sie (ChatGPT, Copilot, Salesforce Einstein, etc.)? Für welche Zwecke? Verarbeiten sie Personendaten? Werden Ergebnisse an EU-Kunden geliefert? Dieses Inventar ist die Grundlage für jede weitere Compliance-Massnahme und zeigt Ihnen, ob und wie stark Sie vom EU AI Act betroffen sind.
Fazit: Handeln, bevor die Pflichten in Kraft treten
Der EU AI Act ist kein fernes Zukunftsprojekt mehr. Das Sanktionsregime gilt bereits seit August 2025, die Hochrisiko-Anforderungen treten im August 2026 in Kraft. Für Schweizer Unternehmen mit EU-Geschäft ist die Zeit zum Handeln jetzt – nicht erst, wenn die erste Busse droht.
Gleichzeitig bietet der Schweizer Sonderweg eine Chance: Wer das nDSG korrekt umsetzt, eine saubere KI-Governance etabliert und den EU AI Act als Qualitätsmassstab nutzt, positioniert sich als vertrauenswürdiger Partner für europäische Kunden. In einer Zeit, in der KI-Vertrauen zum Wettbewerbsfaktor wird, ist Compliance nicht nur Pflicht – sie ist Differenzierungsmerkmal.
Quellen: Lenz & Staehelin 'EU AI Act: Update on the application timeline and implications for Swiss companies' (August 2025), Pestalozzi Attorneys at Law 'Switzerland Sets Its Course on AI Legislation' (März 2025), EU AI Act (Verordnung (EU) 2024/1689), EDOBÖB 'Geltendes Datenschutzgesetz ist auf KI direkt anwendbar' (Mai 2025), CMS Law 'AI laws and regulations in Switzerland' (Februar 2026), Bundesrat Medienmitteilung 'KI-Regulierung' (12. Februar 2025) (Stand: März 2026)
Artikel teilen