Seit Monaten landet derselbe Satz in Schweizer Geschaeftsleitungen: “Wir muessen wegen dem EU AI Act etwas tun.” Meistens folgt darauf entweder Aktionismus oder Achselzucken - beides falsch. Die nuechterne Wahrheit: Fuer ein durchschnittliches Schweizer KMU mit Sitz in Reinach, Aarau oder Zug aendert der EU AI Act im Alltag oft wenig. Aber es gibt klar abgrenzbare Faelle, in denen er sehr wohl greift, und dann wird es ernst. Dieser Artikel zeigt Ihnen, wie Sie in zehn Minuten entscheiden, ob Sie betroffen sind, und was rechtlich in der Schweiz tatsaechlich Vorrang hat.
Die Kurzfassung: Was fuer Schweizer KMU wirklich gilt
- Der EU AI Act (Verordnung (EU) 2024/1689) ist seit 1. August 2024 in Kraft und gilt nicht direkt in der Schweiz, weil die Schweiz nicht EU-Mitglied ist.
- Er kann aber extraterritorial greifen: Sobald Ihr KI-System oder dessen Ergebnis in der EU genutzt oder dort angeboten wird, koennen Sie als Anbieter (“Provider”) oder Betreiber (“Deployer”) in die Pflicht kommen - unabhaengig vom Firmensitz.
- Fuer Schweizer Firmen ist und bleibt das revidierte Datenschutzgesetz (revDSG) primaer. Es ist seit 1. September 2023 in Kraft, technologieneutral und laut Eidgenoessischem Datenschutzbeauftragten (EDOEB) direkt auf KI-Anwendungen anwendbar.
- Die Schweiz uebernimmt den EU AI Act nicht. Der Bundesrat hat am 12. Februar 2025 einen sektoriellen Ansatz beschlossen und will die KI-Konvention des Europarats ratifizieren. Eine Vernehmlassungsvorlage soll bis Ende 2026 erarbeitet werden.
Wer nur in der Schweiz arbeitet, keine KI-Produkte in die EU verkauft und keine KI auf EU-Buerger anwendet, richtet sich also in erster Linie nach dem DSG - nicht nach Bruessel.
Entscheidungsbaum: Ist mein KMU betroffen?
Arbeiten Sie die folgenden Fragen der Reihe nach durch. Sobald Sie irgendwo bei “Ja” landen, ist eine genauere Pruefung faellig.
- Bieten Sie ein KI-System oder ein Produkt mit KI-Funktion in der EU an - verkaufen, vertreiben, als SaaS bereitstellen? Wenn ja: Sie gelten moeglicherweise als Anbieter und fallen unter den AI Act.
- Wird das Ergebnis Ihres KI-Systems in der EU genutzt - zum Beispiel Texte, Auswertungen oder Entscheidungen, die EU-Personen betreffen? Auch das loest die extraterritoriale Wirkung aus.
- Setzen Sie KI in einem heiklen Bereich ein - Personalauswahl, Bonitaet, Zugang zu Bildung oder Versicherung, biometrische Erkennung, kritische Infrastruktur? Solche Anwendungen koennen als Hochrisiko gelten.
- Nutzen Sie verbotene Praktiken, etwa manipulatives KI-Verhalten, Social Scoring oder unzulaessige biometrische Ueberwachung? Diese sind seit 2. Februar 2025 verboten und mit den hoechsten Bussen belegt.
Antworten Sie auf alle vier Fragen mit “Nein” und nutzen KI nur intern in der Schweiz (Textentwuerfe, Recherche, interne Automatisierung ohne EU-Bezug), dann ist der AI Act fuer Sie nachrangig. Ihr eigentliches Pflichtenheft heisst dann DSG: Transparenz gegenueber Betroffenen, Sicherheit der Daten, korrekte Bearbeitung. Das gilt unabhaengig vom AI Act.
Extraterritoriale Wirkung: Der Punkt, den viele unterschaetzen
Das Missverstaendnis ist verbreitet: “Wir sitzen in der Schweiz, also betrifft uns die EU-Regel nicht.” Falsch. Massgeblich ist nicht der Firmensitz, sondern wo das KI-System und sein Ergebnis wirken. Ein Schweizer Software-Anbieter, der seine KI-gestuetzte Plattform an Kunden in Deutschland oder Frankreich verkauft, ist Anbieter im Sinne des AI Act. Ein Schweizer Dienstleister, der mit einem KI-System Bewerbungen von EU-Buergern vorsortiert, ist Betreiber.
Praktisch heisst das: Jedes Schweizer Unternehmen mit EU-Kundschaft oder EU-Bezug sollte einmal sauber durchspielen, in welcher Rolle es steht - Anbieter, Betreiber, Importeur oder Haendler. Fuer Anbieter von Hochrisiko-Systemen aus Drittstaaten - und die Schweiz ist aus EU-Sicht ein Drittstaat - kann zudem die Pflicht entstehen, einen bevollmaechtigten Vertreter in der EU zu benennen. Das ist kein Detail, sondern eine handfeste organisatorische Anforderung.
Die gute Nachricht: Der Grossteil betrieblicher KI-Nutzung im KMU faellt nicht in die Hochrisiko-Kategorie. Ein KI-Agent, der Offerten vorbereitet oder Buchungen erfasst, ist in der Regel minimales oder begrenztes Risiko. Bei begrenztem Risiko greifen vor allem Transparenzpflichten (Art. 50): Wer mit einem Chatbot interagiert, muss erkennen koennen, dass er mit einer Maschine spricht; KI-generierte Inhalte muessen unter bestimmten Bedingungen als solche gekennzeichnet sein.
Schulungspflicht und Zeitplan: Was wann gilt
Die Pflichten des AI Act treten gestaffelt in Kraft. Hier die belegten Eckdaten - mit einer wichtigen Einschraenkung, auf die wir gleich zurueckkommen.
| Datum | Was gilt |
|---|---|
| 1. August 2024 | AI Act in Kraft getreten |
| 2. Februar 2025 | Verbotene Praktiken (Art. 5) und KI-Kompetenz-Pflicht (Art. 4) anwendbar |
| 2. August 2025 | Regeln fuer KI-Modelle mit allgemeinem Verwendungszweck (GPAI) |
| 2. August 2026 | Transparenzpflichten (Art. 50); urspruenglich auch Hochrisiko-Regeln |
Die Schulungspflicht (Art. 4) verlangte ab dem 2. Februar 2025, dass Anbieter und Betreiber fuer ein ausreichendes Mass an KI-Kompetenz ihres Personals sorgen - bei allen Mitarbeitenden, die mit KI arbeiten, nicht nur bei Technikern. Wichtig fuer Sie: Diese Pflicht steht im Umbruch. Mit dem Digital Omnibus (Kommissionsvorschlag vom 19. November 2025) soll Art. 4 abgeschwaecht werden - weg von einer harten Pflicht der Unternehmen, hin zu einer Foerderpflicht von EU und Mitgliedstaaten. Zu diesem Vorschlag gab es am 7. Mai 2026 eine vorlaeufige politische Einigung zwischen Rat und Parlament; formell verabschiedet und im Amtsblatt veroeffentlicht war die Aenderung im Juni 2026 noch nicht.
Auch die Hochrisiko-Fristen wurden im Digital Omnibus verschoben: Fuer eigenstaendige Hochrisiko-Systeme nach Annex III ist eine Verschiebung auf den 2. Dezember 2027 vorgesehen, fuer in Produkte eingebettete Systeme nach Annex I auf den 2. August 2028. Auch diese Daten waren im Juni 2026 noch nicht endgueltig in Kraft. Verlassen Sie sich also nicht blind auf ein Datum, sondern pruefen Sie vor wichtigen Entscheidungen den aktuellen Stand.
Unser nuechterner Rat: Unabhaengig vom genauen Schicksal von Art. 4 ist es ohnehin sinnvoll, dass Mitarbeitende verstehen, was ein KI-System kann und wo es Unsinn produziert. Das ist keine Bruesseler Schikane, sondern Teil normaler Sorgfalt - und das DSG verlangt verantwortungsvolle Datenbearbeitung ohnehin.
Die Bussen - und warum KMU anders behandelt werden
Die Sanktionen des AI Act sind real, aber gestaffelt. Als Rechtsfaktum (nicht als Drohkulisse) sind dies die im Gesetz verankerten Hoechstbetraege:
- Verbotene Praktiken (Art. 5): bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes - je nachdem, was hoeher ist.
- Verstoesse bei Hochrisiko-Systemen und Transparenzpflichten: bis zu 15 Millionen Euro oder 3 Prozent.
- Falsche oder irrefuehrende Angaben an Behoerden: bis zu 7,5 Millionen Euro oder 1 Prozent.
Fuer KMU und Start-ups gilt eine Erleichterung: Hier wird jeweils der niedrigere der beiden Betraege angewendet, nicht der hoehere (Art. 99 Abs. 6). Zusaetzlich sieht der AI Act fuer KMU - insbesondere kleine und Kleinstunternehmen - mit Sitz oder Niederlassung in der EU vereinfachte Dokumentationsformulare (Art. 11) und bevorzugten, kostenlosen Zugang zu regulatorischen Sandboxes vor. Letzteres setzt allerdings eine EU-Praesenz voraus - ein reiner Schweizer Sitz reicht dafuer nicht.
Schweizer Klartext: DSG zuerst, AI Act nach Bedarf
Fassen wir zusammen, was fuer ein Schweizer KMU sinnvoll ist:
- Bestandsaufnahme statt Panik. Listen Sie auf, wo Sie KI einsetzen und ob ein EU-Bezug besteht. Diese eine Liste beantwortet die wichtigste Frage.
- DSG sauber erfuellen. Transparenz, Datensicherheit, korrekte Bearbeitung - das gilt fuer jede KI-Anwendung in der Schweiz, mit oder ohne EU.
- EU-Bezug pruefen. Verkaufen Sie KI in die EU oder wirken Ihre Systeme auf EU-Personen, klaeren Sie Ihre Rolle und die konkreten Pflichten - im Zweifel mit juristischer Begleitung.
- Kompetenz aufbauen. Mitarbeitende, die KI nuechtern einschaetzen koennen, sind in jedem Szenario ein Vorteil.
Bei Vollmer Labs sehen wir das aus der Praxis: Unsere eigenen produktiven Bausteine - der RFQ-Assistent fuer LED-Beschilderung hinter rfqbuddy.com, die Schiesssport-Plattform ballistic.club oder Buchhaltungs-Agenten, die wir im taeglichen Treuhand-Betrieb anonymisiert produktiv einsetzen - sind fast durchgehend Anwendungen mit minimalem oder begrenztem Risiko. Genau dort, wo die meisten KMU-Anwendungsfaelle liegen. Hochrisiko-Faelle entstehen seltener, als die Schlagzeilen vermuten lassen.
Wichtig ist uns dabei ein Prinzip, das auch regulatorisch zaehlt: Freigabe statt Automatik. Unsere Workflow-Loesung jeffri.ch fuer Kuechenstudios etwa orchestriert den Prozess von Planung bis Rechnung, handelt bei finanziellen und vertraglichen Schritten aber nie eigenmaechtig - der Mensch gibt frei. Eine eigene Live-Referenz aus einer Branche heisst nicht automatisch, dass wir fuer jede Branche schon einen Vollbetrieb vorweisen koennen. Wo das nicht der Fall ist, sagen wir es ehrlich: Die Bausteine laufen produktiv, in der jeweiligen Branche eben noch nicht im Vollbetrieb.
Wenn Sie KI in Fertigung und Industrie einsetzen oder ueber KI-Automatisierung und KI-Agenten nachdenken, lohnt sich der nuechterne Blick zuerst: Welche Rolle, welcher Bezug, welches Risiko. Daraus ergibt sich Ihr tatsaechliches Pflichtenheft - nicht aus der allgemeinen Angst vor “dem AI Act”.