Der EU AI Act ist kein reines EU-Problem. Wenn Ihr Schweizer Unternehmen europäische Kunden bedient, Daten von EU-Bürgern verarbeitet oder KI-Systeme einsetzt, die Menschen in der EU betreffen, sind Sie im Geltungsbereich. Die erste grosse Compliance-Frist ist der 2. August 2026. Das sind vier Monate.
Die meisten Schweizer KMU haben nicht mit der Vorbereitung begonnen. Einige haben noch nie davon gehört. Dieser Artikel erklärt, was das Gesetz verlangt, warum Schweizer Unternehmen es nicht ignorieren können und welche praktischen Schritte bis August zu unternehmen sind.
Was der EU AI Act tatsächlich verlangt
Der EU AI Act ist die weltweit erste umfassende Regulierung von künstlicher Intelligenz. Er klassifiziert KI-Systeme in vier Risikostufen, jede mit unterschiedlichen Pflichten:
Unannehmbares Risiko (verboten). Social Scoring, biometrische Echtzeit-Überwachung im öffentlichen Raum, KI, die Menschen durch unterschwellige Techniken manipuliert. Diese sind grundsätzlich verboten. Die meisten Schweizer Unternehmen operieren nicht in diesem Bereich, daher ist diese Stufe weitgehend irrelevant.
Hochrisiko. KI, die bei Einstellungsentscheidungen, Kreditbewertung, Versicherungs-Underwriting, Rechtsfall-Beurteilung, Bildungszulassung, Management kritischer Infrastruktur und Strafverfolgung eingesetzt wird. Wenn Ihr KI-System Entscheidungen trifft oder wesentlich beeinflusst, die die Rechte, den Lebensunterhalt oder die Sicherheit von Menschen betreffen, ist es wahrscheinlich hochriskant. Hochrisikosysteme müssen Anforderungen an Data Governance, Dokumentation, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit erfüllen. Sie erfordern eine Konformitätsbewertung vor dem Einsatz.
Begrenztes Risiko. Chatbots, KI-generierte Inhalte, Emotionserkennung. Hier gelten Transparenzpflichten: Sie müssen Nutzern mitteilen, dass sie mit einer KI interagieren, und KI-generierte Inhalte als solche kennzeichnen.
Minimales Risiko. Spamfilter, KI-gestützte Suche, Empfehlungsalgorithmen. Keine spezifischen Pflichten über bestehendes Recht hinaus.
Die Klassifizierung ist wichtig, weil die Strafen real sind. Nicht-Compliance bei verbotenen Praktiken wird mit Bussen von bis zu 35 Millionen Euro oder 7% des globalen Jahresumsatzes geahndet, je nachdem, welcher Betrag höher ist. Bei Hochrisiko-Verstössen sind es 15 Millionen Euro oder 3% des Umsatzes.
Warum Schweizer Unternehmen das nicht ignorieren können
Die Schweiz ist nicht in der EU. Der Bundesrat hat den AI Act nicht ins nationale Recht übernommen. Warum sollte also eine Zürcher Anwaltskanzlei oder ein Basler Pharmaunternehmen sich darum kümmern?
Extraterritoriale Reichweite. Der EU AI Act gilt für jeden Anbieter oder Betreiber von KI-Systemen, die Menschen in der EU betreffen, unabhängig vom Sitz des Unternehmens. Wenn Ihr KI-System Daten von EU-Bürgern verarbeitet, Outputs produziert, die in der EU verwendet werden, oder auf dem EU-Markt platziert ist, gilt das Gesetz für Sie. Das ist dasselbe extraterritoriale Modell wie die DSGVO, und Schweizer Unternehmen haben diese Lektion 2018 auf die harte Tour gelernt.
Kundenanforderungen. Selbst wenn Ihre KI-Nutzung rein inländisch ist, werden Ihre EU-Kunden beginnen, AI-Act-Compliance von ihren Lieferanten und Partnern zu verlangen. Ein Schweizer Compliance-Unternehmen, das deutsche Banken bedient, wird Fragebögen zu seinen KI-Systemen erhalten. Eine Schweizer Anwaltskanzlei, die französische Unternehmen berät, muss verantwortungsvolle KI-Nutzung nachweisen. Compliance wird zu einer kommerziellen Anforderung, nicht nur zu einer rechtlichen.
Der Bundesrat beobachtet. Die Schweiz tendiert dazu, sich an EU-Regulierungsrahmen anzugleichen, oft mit Verzögerung. Das DSG spiegelte die DSGVO in vielen Punkten wider. Eine gleichwertige Schweizer KI-Regulierung ist eine Frage des Wann, nicht des Ob. Unternehmen, die sich jetzt vorbereiten, müssen nicht zweimal hektisch reagieren.
Bilaterale Abkommen. Der Zugang der Schweiz zum EU-Binnenmarkt hängt von gegenseitigen Anerkennungsrahmen ab. Wenn Schweizer KI-Systeme EU-Standards nicht erfüllen, riskieren Schweizer Unternehmen den Verlust des Äquivalenzstatus in regulierten Sektoren wie Finanzdienstleistungen und Pharma.
Die Frist August 2026: Was sich konkret ändert
Der EU AI Act wird in Phasen umgesetzt. Der 2. August 2026 markiert das Datum, an dem die Mehrheit der Pflichten in Kraft tritt:
- Alle Anforderungen für Hochrisiko-KI-Systeme werden durchsetzbar
- Anbieter müssen Qualitätsmanagementsysteme eingerichtet haben
- Konformitätsbewertungen müssen für Hochrisikosysteme abgeschlossen sein
- Technische Dokumentation muss zur Einsichtnahme verfügbar sein
- Mechanismen für menschliche Aufsicht müssen betriebsbereit sein
- Post-Market-Monitoring-Pläne müssen aktiv sein
Die frühere Phase (Februar 2025) hat bereits verbotene KI-Praktiken untersagt. Die spätere Phase (August 2027) betrifft allgemeine KI-Modelle. Aber August 2026 ist der grosse Termin für die meisten Unternehmen.
Was Schweizer KMU jetzt tun sollten
Vier Monate sind nicht viel Zeit, aber es reicht, um die Grundlagen richtig zu legen. Hier ist ein praktischer Fahrplan:
Schritt 1: Inventarisieren Sie Ihre KI-Systeme (Woche 1-2). Listen Sie jedes KI-Tool, jedes Modell und jedes automatisierte Entscheidungssystem in Ihrer Organisation auf. Inklusive Drittanbieter-Tools. ChatGPT für Kundenkorrespondenz zählt. Ein KI-gestütztes CRM zählt. Ein Machine-Learning-Modell in Ihrer Risikobewertungs-Pipeline zählt. Sie können nicht klassifizieren, was Sie nicht inventarisiert haben.
Schritt 2: Klassifizieren Sie jedes System nach Risikostufe (Woche 2-3). Ordnen Sie jedes KI-System den Risikokategorien des Gesetzes zu. Die meisten KMU-Tools werden in die Kategorie begrenztes oder minimales Risiko fallen. Aber wenn Sie KI für Personalentscheide, Kreditentscheidungen, Rechtsanalyse, medizinische Triage oder Versicherungspreisgestaltung einsetzen, haben Sie wahrscheinlich Hochrisikosysteme. Seien Sie ehrlich bei der Klassifizierung. Auditoren werden es sein.
Schritt 3: Beheben Sie Hochrisiko-Lücken (Woche 3-12). Für jedes Hochrisikosystem bewerten Sie Ihren aktuellen Stand anhand der Anforderungen des Gesetzes. Haben Sie Dokumentation darüber, wie das Modell funktioniert, mit welchen Daten es trainiert wurde und wie es Entscheidungen trifft? Gibt es einen Human-in-the-Loop-Mechanismus? Können Sie eine Einzelentscheidung erklären, wenn sie angefochten wird? Haben Sie einen Prozess zur Überwachung von Genauigkeit und Bias nach dem Einsatz?
Schritt 4: Implementieren Sie Transparenzmassnahmen (Woche 4-8). Für Systeme mit begrenztem Risiko (Chatbots, Content-Generierung) fügen Sie klare Offenlegungen hinzu. «Diese Antwort wurde von KI generiert» ist das Minimum. Kennzeichnen Sie KI-generierte Dokumente. Stellen Sie sicher, dass Nutzer wissen, wenn sie mit einem automatisierten System interagieren.
Schritt 5: Aktualisieren Sie Ihre Lieferantenverträge (Woche 6-12). Wenn Sie KI-Tools von Drittanbietern nutzen, überprüfen Sie Ihre Verträge. Bieten Ihre Anbieter die Transparenz und Dokumentation, die Sie benötigen, um Ihre eigenen Pflichten zu erfüllen? Können sie Compliance nachweisen? Wenn Sie einen US-basierten KI-Anbieter nutzen, können Sie verifizieren, wo Ihre Daten verarbeitet und gespeichert werden?
Schritt 6: Dokumentieren Sie alles (laufend). Der AI Act ist eine dokumentationsintensive Regulierung. Technische Dokumentation, Risikobewertungen, Qualitätsmanagement-Aufzeichnungen, Protokolle menschlicher Aufsichtsentscheidungen, Post-Market-Monitoring-Berichte. Beginnen Sie jetzt mit dem Aufbau der Dokumentation.
Das grössere Problem: Die meisten KI-Tools wurden nicht dafür gebaut
Hier ist die unbequeme Wahrheit. Die allgemeinen KI-Tools, die die meisten Unternehmen heute nutzen, wurden nicht mit regulatorischer Compliance im Sinn entwickelt. ChatGPT, Claude, Gemini: Das sind leistungsfähige Tools, aber sie sind Black Boxes. Sie können ihren Entscheidungsprozess nicht prüfen. Sie können ihre Trainingsdaten nicht verifizieren. Sie können nicht garantieren, wohin Ihre Daten gehen.
Für allgemeine Geschäftsaufgaben wie das Verfassen von E-Mails oder das Zusammenfassen von Berichten ist das akzeptabel. Die Risikostufe ist minimal oder begrenzt.
Aber für regulierte Arbeit wie Rechtsanalyse, Compliance-Prüfung, Finanzberatung oder medizinische Entscheidungsunterstützung schafft die Nutzung eines Black-Box-KI-Systems eine Compliance-Lücke, die der EU AI Act explizit machen wird. Hochrisiko-KI-Systeme müssen transparent, prüfbar und erklärbar sein. Proprietäre Modelle von US-Anbietern erfüllen diesen Standard konstruktionsbedingt nicht.
Deshalb verschiebt sich der Markt in Richtung domänenspezifischer KI-Systeme, die für regulierte Branchen gebaut sind. Systeme, die verifizierte, quellenattribuierte Daten verwenden. Systeme, die auf souveräner Infrastruktur gehostet werden. Systeme, bei denen jeder Output zu seinem Quelldokument zurückverfolgt werden kann.
Compliance als Wettbewerbsvorteil
Es gibt auch eine positive Seite. Der EU AI Act schafft eine Compliance-Last, aber er schafft auch einen Markt. Unternehmen, die Compliance frühzeitig erreichen, gewinnen einen Wettbewerbsvorteil. Sie können EU-Kunden bedienen, die Mitbewerber nicht bedienen können. Sie können verantwortungsvolle KI-Nutzung in Pitches und Angeboten demonstrieren. Sie können den Last-Minute-Compliance-Ansturm vermeiden, der den Markt in Q3 2026 treffen wird.
Die KMU, die August 2026 als eine Frist zum Fürchten behandeln, werden hektisch reagieren. Die, die es als Chance zur Differenzierung behandeln, werden florieren.
Mont Virtua ist ein KI-agenten-geführtes Schweizer Boutique-Unternehmen, das verifizierte KI für regulierte Branchen entwickelt. Unsere Plattform Enclava liefert quellenattribuierte KI-Wissensdatenbanken, die vollständig in der Schweiz gehostet sind. Jeder Output ist rückverfolgbar. Jede Datenquelle ist dokumentiert. Jedes System ist von Grund auf für Prüfbarkeit konzipiert.
Wenn Ihr Unternehmen vor August 2026 KI-ready werden muss, ist das genau das Problem, das wir lösen. Besuchen Sie enclava.ch, um mehr zu erfahren.