5 Min. Lesezeit

EU AI Act: Was Schweizer Unternehmen bis August 2026 tun müssen

Der EU AI Act tritt am 2. August 2026 vollständig in Kraft. Was das für Schweizer Unternehmen bedeutet, welche Pflichten gelten und wie Sie sich in 18 Wochen vorbereiten.

EU AI ActComplianceKI-RegulierungSchweizDSG

EU AI Act: Was Schweizer Unternehmen bis August 2026 tun müssen

Noch 126 Tage. Am 2. August 2026 treten die Anforderungen für hochriskante KI-Systeme unter der EU-Verordnung 2024/1689 vollständig in Kraft. Schweizer Unternehmen, die KI-Systeme im EU-Markt einsetzen oder deren Ergebnisse in der EU genutzt werden, sind direkt betroffen.

Dieser Artikel erklärt, welche Bestimmungen für Schweizer Firmen gelten, wie man die eigene Betroffenheit prüft und welche Schritte jetzt nötig sind.

Die Schweiz ist nicht in der EU. Warum betrifft uns das?

Der EU AI Act hat extraterritoriale Wirkung. Art. 2 der Verordnung erfasst drei Szenarien, die Schweizer Unternehmen einschliessen:

Art. 2(1)(a): KI-System wird im EU-Markt bereitgestellt. Ein Schweizer Softwareunternehmen, das ein KI-gestütztes Produkt an EU-Kunden verkauft, ist als “Anbieter” im Sinne von Art. 3(3) erfasst. Es spielt keine Rolle, wo das Unternehmen seinen Sitz hat.

Art. 2(1)(c): Die Ergebnisse des KI-Systems werden in der EU genutzt. Selbst wenn ein Schweizer Unternehmen keine direkten EU-Kunden hat: Wenn die Ausgabe seines KI-Systems innerhalb der EU verwendet wird, greift die Verordnung. Beispiel: Eine Schweizer Firma erstellt Kreditscores, die eine österreichische Bank verwendet.

Art. 2(1)(d): Import oder Vertrieb. EU-basierte Unternehmen, die Schweizer KI-Systeme importieren oder vertreiben, unterliegen ebenfalls der Verordnung und werden die Compliance vertraglich von ihren Schweizer Lieferanten einfordern.

Konkret: Jedes Schweizer Unternehmen, das KI-gestützte Software oder Dienstleistungen an EU-Kunden verkauft, ein KI-System betreibt, das EU-Nutzer bedient, oder KI-generierte Ergebnisse liefert, die in der EU Wirkung entfalten, fällt in den Anwendungsbereich.

Was bereits gilt

Nicht alle Bestimmungen treten erst im August in Kraft. Seit dem 2. Februar 2025 gelten bereits:

  • Verbotene Praktiken (Art. 5): Soziales Scoring durch Behörden, unterschwellige Manipulation, Ausnutzung von Vulnerabilitäten, ungezieltes Scraping biometrischer Daten, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen. Unternehmen, die solche Systeme betreiben, verstossen bereits heute gegen geltendes EU-Recht.

  • KI-Kompetenz (Art. 4): Alle Unternehmen, die KI-Systeme einsetzen, müssen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Diese Pflicht gilt bereits.

Die Risikoklassifikation: In welche Kategorie fällt Ihr System?

Der EU AI Act klassifiziert KI-Systeme in vier Stufen. Die Pflichten hängen direkt von dieser Einstufung ab.

Stufe 1: Verbotene Systeme (Art. 5)

Systeme, die durch Art. 5 verboten sind, dürfen nicht betrieben werden. Punkt. Keine Ausnahmen für Schweizer Unternehmen. Die Bussgelddrohung: bis EUR 35 Millionen oder 7% des weltweiten Jahresumsatzes.

Stufe 2: Hochrisiko-Systeme (Art. 6 + Anhang III)

Diese Kategorie betrifft die meisten Schweizer Unternehmen mit KI-Einsatz. Anhang III definiert acht Bereiche:

  1. Biometrie: Fernidentifikation, Emotionserkennung (nicht-verbotene Anwendungen)
  2. Kritische Infrastruktur: Sicherheitskomponenten in Verkehr, Wasser, Gas, Strom
  3. Bildung: Zulassungsentscheide, Prüfungsbewertung, Lernverhaltens-Monitoring
  4. Beschäftigung: CV-Screening, Interview-Bewertung, Beförderungs-/Kündigungsentscheide, Aufgabenverteilung, Leistungsüberwachung
  5. Zugang zu wesentlichen Dienstleistungen: Kreditscoring, Versicherungs-Risikobewertung, Sozialhilfe-Berechtigung
  6. Strafverfolgung: Rückfallrisiko-Bewertung, Beweismittel-Analyse
  7. Migration: Risikobewertung, Dokumentenprüfung
  8. Rechtspflege: KI-Unterstützung für Gerichte

Zusätzlich: Jedes KI-System, das natürliche Personen profiliert (Art. 6(2)), gilt automatisch als Hochrisiko.

Ausnahme nach Art. 6(3)

Auch wenn ein System in den Anhang-III-Bereich fällt, kann es von der Hochrisiko-Einstufung ausgenommen sein, wenn es keine signifikante Schadensrisiko darstellt und die Entscheidungsfindung nicht wesentlich beeinflusst. Vier Bedingungen:

  • (a) Es führt eine eng begrenzte Verfahrensaufgabe aus (z.B. Dokumentensortierung)
  • (b) Es verbessert das Ergebnis einer bereits erledigten menschlichen Tätigkeit
  • (c) Es erkennt Muster, ohne menschliche Bewertungen zu ersetzen
  • (d) Es führt eine vorbereitende Aufgabe aus (z.B. Rechtsrecherche, Indexierung)

Diese Ausnahme gilt nie, wenn das System Profiling natürlicher Personen durchführt. Und: Auch bei Inanspruchnahme der Ausnahme muss das System in der EU-Datenbank registriert und die Begründung dokumentiert werden (Art. 49(2)).

Stufe 3: Begrenztes Risiko (Art. 50)

Transparenzpflichten für:

  • Chatbots: Müssen offenlegen, dass der Nutzer mit einem KI-System interagiert
  • KI-generierte Inhalte: Müssen maschinenlesbar gekennzeichnet werden
  • Deepfakes: Müssen klar als künstlich erzeugt erkennbar sein

Stufe 4: Minimales Risiko

Keine spezifischen Pflichten. Freiwillige Verhaltenskodizes empfohlen.

Was Hochrisiko-Systeme erfüllen müssen

Für jedes Hochrisiko-System sind diese Anforderungen zu erfüllen, bevor es im EU-Markt bereitgestellt wird:

Anforderung Artikel Aufwand (geschätzt)
Risikomanagementsystem Art. 9 2-4 Wochen Aufbau, laufend
Daten-Governance Art. 10 2-3 Wochen
Technische Dokumentation Art. 11 + Anhang IV 3-6 Wochen
Protokollierung Art. 12 1-2 Wochen
Transparenz und Nutzungsanleitung Art. 13 1-2 Wochen
Menschliche Aufsicht Art. 14 1-2 Wochen
Genauigkeit, Robustheit, Cybersecurity Art. 15 2-4 Wochen
Qualitätsmanagementsystem Art. 17 2-3 Wochen
Konformitätsbewertung Art. 43 1-4 Wochen
EU-Konformitätserklärung Art. 47 1 Tag (nach Abschluss aller anderen)
CE-Kennzeichnung Art. 48 1 Tag
Registrierung in EU-Datenbank Art. 49 1 Tag

Zusätzlich für Schweizer Unternehmen: Ein bevollmächtigter Vertreter in der EU muss benannt werden (Art. 22). Ohne diesen Vertreter darf kein Hochrisiko-System im EU-Markt bereitgestellt werden.

Die Bussgelder

Verstossart Maximale Busse Alternative
Verbotene Praktiken (Art. 5) EUR 35'000'000 7% des weltweiten Jahresumsatzes
Hochrisiko-Anforderungen (Art. 9-17) EUR 15'000'000 3% des Jahresumsatzes
Falsche Angaben gegenüber Behörden EUR 7'500'000 1% des Jahresumsatzes

Für KMU gilt der jeweils niedrigere Betrag (Art. 99(6)). Ein Schweizer KMU mit EUR 5 Mio. Umsatz riskiert bei Verstoss gegen Hochrisiko-Anforderungen maximal EUR 150'000 (3% von EUR 5 Mio.).

DSG und EU AI Act: Doppelte Compliance

Schweizer Unternehmen, die KI einsetzen und personenbezogene Daten verarbeiten, müssen beide Regelwerke gleichzeitig erfüllen. Die wichtigsten Überschneidungen:

  • Automatisierte Einzelentscheide: DSG Art. 21 verlangt Information und Recht auf menschliche Überprüfung. EU AI Act Art. 14 verlangt menschliche Aufsicht by Design. Beide gelten.
  • Datenschutz-Folgenabschätzung: DSG Art. 22 (DSFA) und EU AI Act Art. 27 (Grundrechte-Folgenabschätzung) sind beide erforderlich, aber nicht identisch. Sie ersetzen sich nicht gegenseitig.
  • Transparenz: DSG Art. 19 (Informationspflicht) und Art. 13 EU AI Act (Nutzungsanleitung) haben unterschiedliche Anforderungen. Beide müssen erfüllt werden.

Der 18-Wochen-Fahrplan

Wer heute beginnt, hat 18 Wochen bis zum 2. August 2026. Das ist eng, aber machbar.

Wochen 1-4: Bestandsaufnahme. Alle KI-Systeme inventarisieren. Für jedes System die Risikoklassifikation durchführen. Gap-Analyse gegen die Anforderungen.

Wochen 5-10: Dokumentation. Technische Dokumentation nach Anhang IV erstellen. Daten-Governance-Dokumentation. Risikomanagementsystem aufbauen.

Wochen 11-14: Bewertung. Interne Tests (Genauigkeit, Robustheit, Bias). Qualitätsmanagementsystem. Konformitätsbewertung.

Wochen 15-18: Abschluss. CE-Kennzeichnung. EU-Datenbankregistrierung. Post-Market-Monitoring aktivieren. Schulungen abschliessen.

Unternehmen, die erst im Mai beginnen, haben ein echtes Problem. 12 Wochen reichen für die Dokumentation allein kaum aus.

Was Mont Virtua anbietet

Wir liefern eine strukturierte Compliance-Analyse: Risikoklassifikation Ihrer KI-Systeme, Gap-Analyse gegen alle relevanten Anforderungen und einen priorisierten Massnahmenplan. Basierend auf dem Verordnungstext, nicht auf Vermutungen. Lieferung in 10 Arbeitstagen.

Dies ist eine technische Compliance-Analyse. Keine Rechtsberatung.

CTA: [Newsletter abonnieren: Regulatorische Updates zum EU AI Act direkt in Ihr Postfach.]

Zurück zum Blog

Verwandte Artikel

29 March 2026

DSG/FADP Compliance-Leitfaden für Schweizer Unternehmen

Umfassender Leitfaden zum Schweizer Datenschutzgesetz (DSG/FADP). Alle Pflichten, Definitionen, Checklisten und praktische Umsetzungshinweise. März 2026 Edition.
28 March 2026

EU AI Act: Was Schweizer Unternehmen jetzt wissen müssen

Der EU AI Act wird ab August 2026 vollständig durchgesetzt. Schweizer Unternehmen mit EU-Geschäft müssen sich vorbereiten. Fristen, Pflichten und konkrete Schritte für die Compliance.
19 March 2026

Schweizer Datensouveränität im Zeitalter der KI: Warum es für Ihre Firma zählt

Schweizer Datensouveränität ist kein Marketing-Feature für KI-Tools. Es ist eine rechtliche Anforderung für Anwaltskanzleien, Banken und Compliance-Fachleute. Warum es zählt, wo Ihre KI läuft.