EU AI Act: Was Schweizer KMU jetzt wissen müssen.
Lesezeit ~8 Min · Stand: 18. Juli 2026
Die ehrliche Antwort zuerst: Für die meisten rein schweizerisch tätigen KMU gilt der EU AI Act nicht. Wer Ihnen pauschal AI-Act-Compliance verkaufen will, verkauft Angst.
Ein Malerbetrieb in Sarnen, eine Treuhandkanzlei in Luzern, ein Elektrobetrieb mit Kundschaft zwischen Zug und Altdorf: Sie alle können KI im Betrieb einsetzen, ohne dass die EU-Verordnung sie erfasst. Gelesen haben sollten Sie diesen Beitrag trotzdem — aus zwei Gründen. Erstens gibt es Schweizer Firmen, die sehr wohl betroffen sind, und die Abgrenzung lässt sich mit drei Fragen klären. Zweitens gilt für jedes Schweizer KMU, das mit KI Personendaten bearbeitet, bereits heute ein Gesetz. Nur eben ein anderes, als die Schlagzeilen vermuten lassen.
Betrifft es Sie? Drei Fragen.
Beantworten Sie diese drei Fragen für Ihren Betrieb:
Erstens: Bringen Sie KI-Systeme in der EU auf den Markt — als eigenes Produkt, als Software, als Funktion in einer Maschine, die Sie exportieren?
Zweitens: Wird der Output Ihrer KI-Systeme in der EU verwendet — etwa weil EU-Kunden KI-generierte Ergebnisse von Ihnen erhalten oder Ihre EU-Niederlassung damit arbeitet?
Drittens: Verlangen EU-Kunden von Ihnen vertraglich die Einhaltung des AI Act — als Bedingung in der Lieferkette?
Dreimal Nein: Der AI Act betrifft Sie nach heutigem Stand nicht. Springen Sie direkt zum Abschnitt «Was jedes Schweizer KMU betrifft» — er ist für Sie der wichtigste dieses Beitrags.
Mindestens einmal Ja: Die nächsten Abschnitte sind für Sie.
Falls betroffen: was seit wann gilt.
Der EU AI Act — Verordnung (EU) 2024/1689 — ist seit dem 1. August 2024 in Kraft und wird gestaffelt wirksam. Die Verbote inakzeptabler Praktiken gelten seit dem 2. Februar 2025. Die Pflichten für Anbieter von General-Purpose-AI-Modellen sowie das Sanktionsregime gelten seit dem 2. August 2025. Wer heute von «neuen EU-Regeln» spricht, meint also ein Gesetz, das in Teilen längst wirkt.
Ab dem 2. August 2026: die Transparenzpflichten.
Die Stufe, die typische KMU-Anwendungen tatsächlich betrifft, kommt am 2. August 2026: die Transparenzpflichten nach Artikel 50. Konkret heisst das: Chatbots müssen sich als KI zu erkennen geben. KI-erzeugte Audio-, Bild-, Video- und Textinhalte müssen maschinenlesbar als künstlich erzeugt gekennzeichnet werden. Deepfakes sind offenzulegen.
Wer einen Chatbot auf der Website betreibt oder KI-generierte Bilder und Videos in der Kommunikation einsetzt und dabei unter den AI Act fällt, muss ab diesem Datum sichtbar und maschinenlesbar deklarieren, dass KI im Spiel ist. Das ist keine Bürokratie-Übung, sondern in der Regel eine überschaubare technische Aufgabe — sie muss nur jemand einplanen.
Der «Digital Omnibus» — was er wirklich verschiebt.
Am 16. Juni 2026 hat das EU-Parlament den «Digital Omnibus on AI» angenommen, am 29. Juni 2026 der Rat. Er verschiebt die Pflichten für Hochrisiko-Systeme nach Annex III auf den 2. Dezember 2027 und für Hochrisiko-Systeme, die in regulierte Produkte eingebettet sind (Annex I), auf den 2. August 2028.
Stand 18. Juli 2026 ist die Änderungsverordnung noch nicht im EU-Amtsblatt publiziert und damit formell noch nicht in Kraft. Die Verschiebung ist politisch beschlossen; die Publikation wird noch im Juli 2026 erwartet.
Ehrlich gesagt: Die Schlagzeile «Die EU verschiebt den AI Act» ist für KMU irreführend. Verschoben wurde der Hochrisiko-Block — also genau der Teil, der die meisten KMU ohnehin nie betroffen hätte. Die Pflichten, die KMU wirklich treffen, bleiben unverändert: die Verbote, die GPAI-Regeln und die Transparenzpflichten nach Artikel 50 ab dem 2. August 2026. Wer Ihnen mit der Verschiebung Entwarnung verkauft, hat das Gesetz nicht gelesen. Wer Ihnen damit Dringlichkeit verkauft, auch nicht.
Die Grauzone: «Output in der EU verwendet».
Der AI Act erfasst auch Unternehmen aus Drittstaaten wie der Schweiz. Sicher ist das, wenn sie KI-Systeme in der EU in Verkehr bringen. Darüber hinaus greift die Verordnung, wenn der Output eines KI-Systems in der EU verwendet wird — und wie weit dieser zweite Anknüpfungspunkt reicht, ist juristisch umstritten und ungeklärt.
Ein Beispiel für die Grauzone: Ein Schweizer Büro liefert einem deutschen Kunden eine KI-erstellte Übersetzung. Greift der AI Act? Rechtsprechung dazu gibt es noch keine. Was sich sagen lässt: Ein reiner Schweizer Binnenbetrieb ohne EU-Bezug fällt nicht darunter. Wer regelmässig KI-Ergebnisse an EU-Kunden liefert, sollte die Frage nicht selbst beantworten, sondern juristisch klären lassen — einmal, sauber, statt jahrelang im Ungefähren.
Risikoklassen und Bussen — das Kurzraster.
Der AI Act kennt vier Stufen. Verbotene Praktiken, etwa manipulative Systeme. Hochrisiko-Systeme, zum Beispiel in der Rekrutierung und bei Personalentscheiden, in der Kreditvergabe oder in kritischer Infrastruktur. Systeme mit Transparenzpflichten nach Artikel 50. Und Systeme mit minimalem Risiko — dort liegen die meisten KMU-Anwendungen: interne Textassistenz, Belegerfassung, Terminplanung. Für sie bleiben höchstens Transparenz- und Kennzeichnungspflichten.
Die Bussen sind nach Verstoss gestaffelt: bis 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei verbotenen Praktiken; bei Verstössen gegen die Transparenzpflichten nach Artikel 50 bis 15 Millionen Euro oder 3 Prozent. Zahlen, die Respekt verdienen — aber eben nur dort, wo die Verordnung überhaupt gilt.
Was jedes Schweizer KMU betrifft — AI Act hin oder her.
Das Datenschutzgesetz gilt bereits heute.
Sobald Ihre KI-Anwendung Personendaten bearbeitet — Kundendaten, Mitarbeiterdaten, Bewerberdaten —, greift das revidierte Schweizer Datenschutzgesetz. Es gilt seit dem 1. September 2023, unabhängig von jeder EU-Regel. Informationspflicht, Datensicherheit, Auskunftsrecht: alles schon heute Pflicht. Ein Rapport-Tool, das Arbeitsstunden von Monteuren verarbeitet, ist ein Datenschutzthema — nicht erst ein AI-Act-Thema.
Die Schweizer KI-Regulierung ist angekündigt.
Der Bundesrat hat am 12. Februar 2025 entschieden, die KI-Konvention des Europarats zu ratifizieren; unterzeichnet wurde sie am 27. März 2025. Reguliert werden soll sektoriell statt mit einem grossen Horizontalgesetz. Eine Vernehmlassungsvorlage ist bis Ende 2026 angekündigt; einen publizierten Gesetzesentwurf gibt es Stand heute nicht. Wer sein KI-Inventar jetzt aufbaut, ist vorbereitet, wenn die Schweizer Regeln kommen — statt dann unter Zeitdruck aufzuholen.
Vier Schritte, die sich in jedem Fall lohnen.
1. Inventar machen.
Welche KI steckt heute in Ihren Prozessen? Nicht nur der offene ChatGPT-Tab — auch die KI-Funktionen in Microsoft 365, im Buchhaltungstool, im Bewerbermanagement, versteckt in eingekaufter Software. Eine Liste, eine Seite. Ohne dieses Inventar ist jede Compliance-Diskussion Spekulation.
2. EU-Bezug klären.
Für jede Anwendung auf der Liste: Erreichen Output oder Produkte EU-Kunden? Diese eine Frage entscheidet, ob der AI Act für Sie überhaupt ein Thema ist.
3. Risikoklasse einordnen.
Die meisten Anwendungen landen bei «minimal» — dann sind Transparenz und Kennzeichnung das einzige Thema. Wer bei der Einordnung auf «Hochrisiko» stösst, etwa bei Rekrutierungs- oder Kreditentscheidungen, holt sich anwaltliche Unterstützung. Diese Einstufung ist zu folgenreich für eine Selbsteinschätzung.
4. Zuständigkeit und Dokumentation festlegen.
Eine verantwortliche Person benennen. Ein einfaches Verzeichnis führen: Anwendung, Zweck, Daten, Anbieter, Risikoklasse. Und Softwarelieferanten aktiv nach AI-Act-Konformität fragen — auch wer selbst nicht betroffen ist, hängt an deren Kette.
Klarheit über Ihre eigene Lage.
Im kostenlosen Audit-Gespräch klären wir den EU-Bezug und die Risikoklassen Ihrer Anwendungen gleich mit — 90 Minuten, unverbindlich, mit ehrlicher Antwort, auch wenn sie «betrifft Sie nicht» lautet.
Kostenloses AI-Audit sichern →