Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Er betrifft nicht nur Unternehmen mit Sitz in der EU. Schweizer Unternehmen, die Produkte oder Dienstleistungen in den europäischen Markt liefern, KI-Systeme einsetzen, die EU-Bürger betreffen, oder Daten aus der EU verarbeiten, fallen unter den Geltungsbereich. Die Durchsetzung der wichtigsten Bestimmungen beginnt am 2. August 2026. Zeit zum Handeln ist jetzt.
Der EU AI Act im Überblick
Das Gesetz wurde im Juni 2024 vom Europäischen Parlament verabschiedet und trat am 1. August 2024 in Kraft. Es folgt einem risikobasierten Ansatz: Je höher das Risiko eines KI-Systems, desto strenger die Anforderungen.
Die vier Risikostufen im Überblick:
Unannehmbares Risiko. Diese KI-Systeme sind verboten. Dazu gehören Social Scoring durch Regierungen, biometrische Echtzeit-Überwachung in öffentlichen Räumen und KI, die menschliches Verhalten manipuliert. Für die meisten Schweizer Unternehmen ist diese Kategorie nicht relevant.
Hochrisiko. KI-Systeme, die in sicherheitskritischen Bereichen oder bei Entscheidungen über fundamentale Rechte eingesetzt werden. Dazu zählen KI in der Personalauswahl, Kreditwürdigkeitsprüfung, Versicherungsbewertung, Rechtsanwendung, Bildungszulassung und Strafverfolgung. Diese Systeme unterliegen strengen Anforderungen an Dokumentation, Transparenz, menschliche Aufsicht und Qualitätsmanagement.
Begrenztes Risiko. Chatbots, KI-generierte Inhalte und Emotionserkennung. Hier gelten Transparenzpflichten: Nutzer müssen wissen, dass sie mit einer KI interagieren.
Minimales Risiko. Spamfilter, Empfehlungsalgorithmen und ähnliche Systeme. Keine spezifischen Pflichten über bestehendes Recht hinaus.
Die Fristen und was sie bedeuten
Die Umsetzung erfolgt in drei Phasen:
Februar 2025 (bereits in Kraft). Verbotene KI-Praktiken sind untersagt. Unternehmen, die Social-Scoring-Systeme oder manipulative KI einsetzen, müssen diese abgeschaltet haben.
August 2026 (die kritische Frist). Alle Anforderungen für Hochrisiko-KI-Systeme treten in Kraft. Anbieter müssen Konformitätsbewertungen abgeschlossen haben, technische Dokumentation vorweisen, Qualitätsmanagementsysteme betreiben und Post-Market-Monitoring-Pläne umsetzen. Betreiber von Hochrisikosystemen müssen menschliche Aufsicht sicherstellen und Nutzer transparent informieren.
August 2027. Anforderungen für allgemeine KI-Modelle (General Purpose AI) werden durchgesetzt. Betrifft vor allem Anbieter von Foundation Models.
Für Schweizer Unternehmen ist August 2026 der entscheidende Stichtag.
Warum Schweizer Unternehmen betroffen sind
Die Schweiz hat den EU AI Act nicht ins nationale Recht übernommen. Dennoch sind Schweizer Unternehmen aus mehreren Gründen direkt betroffen.
Extraterritoriale Wirkung. Der EU AI Act gilt für jeden Anbieter oder Betreiber von KI-Systemen, deren Output in der EU verwendet wird. Eine Schweizer Anwaltskanzlei, die KI-gestützte Rechtsanalysen für EU-Kunden erstellt, fällt genauso unter das Gesetz wie ein Schweizer Fintech, dessen Algorithmus Kreditentscheidungen für EU-Bürger beeinflusst. Das Modell ist identisch mit der DSGVO, die seit 2018 für Schweizer Unternehmen mit EU-Geschäft gilt.
Kundenerwartungen. EU-Unternehmen werden zunehmend AI-Act-Compliance von ihren Schweizer Lieferanten und Partnern verlangen. Wer keine Compliance nachweisen kann, verliert Aufträge. Das betrifft besonders Branchen wie Finanzdienstleistungen, Pharma, Rechtsberatung und Unternehmensberatung.
Schweizer Regulierung folgt. Der Bundesrat hat im November 2023 einen Bericht zu KI und Regulierung veröffentlicht. Eine eigenständige Schweizer KI-Regulierung ist absehbar, und sie wird sich am EU AI Act orientieren, wie es beim DSG und der DSGVO der Fall war. Unternehmen, die sich jetzt vorbereiten, sparen sich die doppelte Arbeit.
Marktzugang. Die Schweizer Wirtschaft ist stark in den EU-Binnenmarkt integriert. Bilaterale Abkommen und gegenseitige Anerkennungen hängen davon ab, dass Schweizer Standards mit EU-Standards kompatibel bleiben. KI-Systeme, die EU-Anforderungen nicht erfüllen, gefährden den Marktzugang in regulierten Sektoren.
Welche Pflichten konkret auf Sie zukommen
Die Pflichten hängen davon ab, ob Sie Anbieter (Provider) oder Betreiber (Deployer) eines KI-Systems sind.
Als Anbieter eines KI-Systems, das Sie selbst entwickelt haben oder unter Ihrem Namen vertreiben, müssen Sie ein umfassendes Qualitätsmanagementsystem einrichten. Das umfasst eine technische Dokumentation, die beschreibt, wie das System funktioniert, mit welchen Daten es trainiert wurde und welche Leistungskennzahlen es erreicht. Sie müssen eine Konformitätsbewertung durchführen und das System in der EU-Datenbank registrieren. Post-Market-Monitoring ist Pflicht: Sie müssen die Leistung des Systems nach dem Einsatz kontinuierlich überwachen.
Als Betreiber eines KI-Systems, das Sie von einem Drittanbieter beziehen und in Ihrem Unternehmen einsetzen, müssen Sie sicherstellen, dass das System gemäss den Anweisungen des Anbieters verwendet wird. Sie müssen die menschliche Aufsicht organisieren, Eingabedaten auf Relevanz und Qualität prüfen und Vorfälle an den Anbieter und die zuständige Behörde melden. Wenn Sie ein Hochrisikosystem für Entscheidungen über natürliche Personen einsetzen, müssen betroffene Personen das Recht haben, eine Erklärung der Entscheidung zu verlangen.
Bussen und Sanktionen
Die Sanktionen sind erheblich und abgestuft nach Schwere des Verstosses:
- Einsatz verbotener KI-Praktiken: bis zu 35 Millionen Euro oder 7% des globalen Jahresumsatzes
- Verstoss gegen Hochrisiko-Anforderungen: bis zu 15 Millionen Euro oder 3% des Umsatzes
- Falsche Angaben gegenüber Behörden: bis zu 7,5 Millionen Euro oder 1,5% des Umsatzes
Für KMU und Startups gelten reduzierte Obergrenzen, aber die Bussen bleiben substanziell.
Praktischer Fahrplan für die Vorbereitung
Die folgenden Schritte helfen Schweizer Unternehmen, sich systematisch auf den August 2026 vorzubereiten.
KI-Inventar erstellen. Listen Sie sämtliche KI-Systeme in Ihrem Unternehmen auf. Dazu gehören nicht nur selbstentwickelte Systeme, sondern auch eingekaufte Tools, SaaS-Lösungen mit KI-Funktionen und APIs externer Anbieter. Viele Unternehmen unterschätzen die Zahl der KI-Systeme, die sie im Einsatz haben.
Risikoklassifizierung durchführen. Ordnen Sie jedes System einer der vier Risikostufen zu. Achten Sie besonders auf KI, die bei Entscheidungen über Personen eingesetzt wird: Bewerbungsverfahren, Bonitätsprüfung, Versicherungsanträge, Rechtsberatung, medizinische Triage.
Lückenanalyse für Hochrisikosysteme. Prüfen Sie für jedes Hochrisikosystem, ob die Anforderungen des Gesetzes erfüllt sind: technische Dokumentation, Data Governance, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit.
Lieferantenverträge prüfen. Wenn Sie KI-Tools von Drittanbietern nutzen, stellen Sie sicher, dass Ihre Verträge die nötige Transparenz und Mitwirkungspflichten enthalten. Können Ihre Anbieter die Dokumentation liefern, die Sie für Ihre eigene Compliance brauchen?
Dokumentation aufbauen. Der EU AI Act ist dokumentationsintensiv. Beginnen Sie frühzeitig mit dem Aufbau der geforderten Unterlagen: Risikoanalysen, Qualitätsmanagement-Aufzeichnungen, Monitoring-Berichte, Vorfallprotokolle.
Schulung und Sensibilisierung. Alle Mitarbeitenden, die KI-Systeme bedienen oder deren Outputs verwenden, müssen ein ausreichendes Verständnis der Technologie und ihrer Grenzen haben. Der EU AI Act verlangt explizit «AI Literacy» bei Betreibern.
Die richtige Infrastruktur als Grundlage
Compliance beginnt bei der Wahl der richtigen KI-Infrastruktur. Allgemeine KI-Tools wie ChatGPT oder Gemini sind für viele Anwendungsfälle nützlich, aber sie erfüllen die Anforderungen des EU AI Acts an Transparenz, Prüfbarkeit und Datenhoheit nicht. Für regulierte Anwendungen brauchen Unternehmen KI-Systeme, bei denen jeder Output auf seine Quelle zurückgeführt werden kann, bei denen die Daten dokumentiert und verifiziert sind und bei denen die Infrastruktur den Anforderungen an Datenschutz und Souveränität entspricht.
Enclava wurde genau für diese Anforderungen entwickelt. Als Schweizer KI-Plattform für regulierte Branchen bietet Enclava quellenattribuierte Wissensdatenbanken, vollständig in der Schweiz gehostet, mit lückenloser Dokumentation und Prüfbarkeit. Jeder Output lässt sich zum Quelldokument zurückverfolgen. Jede Datenquelle ist dokumentiert und verifiziert.
Wenn Sie Ihr Unternehmen auf die Anforderungen des EU AI Acts vorbereiten wollen, ist die richtige Infrastruktur der erste Schritt. Erfahren Sie mehr auf enclava.ch oder kontaktieren Sie uns unter [email protected].