Das Wichtigste in Kürze
- Der EU AI Act gilt für Schweizer Unternehmen, sobald ihre KI-Systeme oder deren Output den EU-Markt erreichen
- Seit Februar 2025 sind verbotene Praktiken untersagt, seit August 2025 gelten Pflichten für General-Purpose-Modelle
- August 2026 ist die entscheidende Frist, ab dann greifen die Pflichten für Hochrisiko-Systeme und Transparenzregeln
- Für die meisten Schweizer Anwendungen genügt ein sauberes KI-Inventar, Transparenz und dokumentierte menschliche Aufsicht
Der EU AI Act ist das erste umfassende KI-Gesetz der Welt, und er macht an der Schweizer Grenze nicht halt. Wer KI-Systeme anbietet, deren Output in der EU genutzt wird, oder wer Kunden im EU-Raum bedient, fällt über das Marktortprinzip in den Anwendungsbereich. Dieser Beitrag ordnet ein, welche Pflichten wen treffen und was bis August 2026 tatsächlich umgesetzt sein muss.
Warum das Gesetz Schweizer Unternehmen betrifft
Der AI Act folgt derselben Logik wie die DSGVO, denn entscheidend ist nicht der Firmensitz, sondern der Markt. Ein Schweizer Softwareanbieter, dessen KI-Funktion von EU-Kunden genutzt wird, ist Anbieter im Sinne des Gesetzes. Ein Treuhandbüro in Zürich, das mit einem KI-System Dokumente von EU-Mandanten verarbeitet und die Ergebnisse dorthin zurückliefert, kann ebenfalls erfasst sein. Wer ausschliesslich in der Schweiz für Schweizer Kunden arbeitet, bleibt formal aussen vor, sollte die Systematik aber trotzdem kennen, denn die Schweiz orientiert ihre eigene Regulierung erkennbar an der EU-Linie.
Die vier Risikoklassen in der Praxis
- 1Verbotene Praktiken sind Social Scoring, manipulative Systeme und biometrische Echtzeit-Fernidentifikation im öffentlichen Raum. Seit Februar 2025 untersagt. Für seriöse Geschäftsanwendungen irrelevant.
- 2Hochrisiko umfasst KI in Personalentscheiden (Bewerber-Screening), Kreditwürdigkeitsprüfung, kritischer Infrastruktur und Bildungszugang. Hier greifen ab August 2026 harte Pflichten, von Risikomanagement über Datenqualität, technische Dokumentation und menschliche Aufsicht bis zur Konformitätsbewertung.
- 3Zum begrenzten Risiko zählen Chatbots, KI-generierte Inhalte und Deepfakes. Die Pflicht hier heisst Transparenz. Nutzer müssen erkennen können, dass sie mit KI interagieren oder KI-generierte Inhalte sehen.
- 4Minimales Risiko gilt für die grosse Mehrheit der Geschäftsanwendungen, von der Belegverarbeitung bis zur E-Mail-Sortierung. Keine besonderen Pflichten, freiwillige Verhaltenskodizes.
Der Zeitplan bis 2027
Feb 2025
Verbotene Praktiken untersagt, KI-Kompetenz-Pflicht
Aug 2025
Pflichten für General-Purpose-Modelle (GPAI)
Aug 2026
Hochrisiko-Pflichten und Transparenzregeln greifen
Aug 2027
Übergangsfristen für regulierte Produkte laufen aus
Was Sie jetzt konkret umsetzen sollten
- Ein KI-Inventar erstellen, das festhält, welche Systeme wo laufen, mit welchen Daten und für welche Entscheidungen. Ohne Inventar keine Einstufung.
- Risikoklasse je System dokumentieren, mit kurzer Begründung. Bei den meisten Systemen ist das eine Zeile.
- Transparenz nachrüsten, also Chatbots und KI-generierte Kommunikation kennzeichnen, bevor es Pflicht wird.
- Menschliche Aufsicht dokumentieren, also festhalten, wer welchen Output prüft, bevor er wirksam wird. Genau das verlangt das Gesetz bei kritischen Anwendungen.
- Bei EU-Marktbezug mit Hochrisiko-Verdacht eine rechtliche Einschätzung einholen, bevor Sie in Konformitätsbewertungen investieren.
Unsere Einordnung
Wir haben die Systeme unserer Kunden gegen die Risikoklassen geprüft. Kein einziges fiel in die Hochrisiko-Klasse, alle Anforderungen an Transparenz und menschliche Aufsicht waren durch das Design bereits erfüllt, weil wir Freigabe-Schritte von Anfang an einbauen. Wer Automatisierung sauber entwickelt, hat den AI Act zu grossen Teilen schon umgesetzt. Wer dagegen KI-Entscheide ungeprüft wirksam werden lässt, hat ein Problem, das älter ist als das Gesetz.
Fazit von Marcel

Als wir die Systeme unserer Kunden gegen die Risikoklassen geprüft haben, fiel kein einziges in die Hochrisiko-Klasse, und das ist kein Zufall. Wer Freigabe-Schritte und Transparenz von Anfang an in die Architektur einplant, hat den AI Act zu grossen Teilen schon umgesetzt. Mein Rat ist, jetzt ein KI-Inventar zu erstellen. Das ist eine Fleissarbeit von wenigen Stunden und die Grundlage für alles Weitere.
Marcel Kaschner · Founder & Managing Director, ZAVION
Häufige Fragen
Gilt der EU AI Act für Schweizer Unternehmen?
Ja, sobald ein Marktbezug zur EU besteht. Entscheidend ist wie bei der DSGVO nicht der Firmensitz, sondern der Markt. Wer KI-Systeme anbietet, deren Output in der EU genutzt wird, oder Kunden im EU-Raum bedient, fällt über das Marktortprinzip in den Anwendungsbereich. Wer ausschliesslich in der Schweiz für Schweizer Kunden arbeitet, bleibt formal aussen vor.
Welche Fristen des EU AI Act muss man kennen?
Seit Februar 2025 sind verbotene Praktiken untersagt, seit August 2025 gelten Pflichten für General-Purpose-Modelle. Die entscheidende Frist ist der August 2026, denn ab dann greifen die Pflichten für Hochrisiko-Systeme und die Transparenzregeln. Übergangsfristen für regulierte Produkte laufen bis August 2027.
In welche Risikoklasse fallen typische Automatisierungs-Projekte?
Fast immer in die Klasse mit minimalem Risiko, denn Belegverarbeitung, Posteingang-Sortierung, CRM-Pflege und interne Wissensassistenten lösen keine besonderen Pflichten aus. Hochrisiko sind dagegen KI in Personalentscheiden, Kreditwürdigkeitsprüfung oder kritischer Infrastruktur. Chatbots und KI-generierte Inhalte brauchen Transparenz-Kennzeichnung.
Wie hoch sind die Bussgelder des EU AI Act?
Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes bei verbotenen Praktiken, bis zu 15 Millionen bei Verstössen gegen Hochrisiko-Pflichten. Der eigentliche Schaden entsteht aber früher, denn wer EU-Kunden die saubere Einstufung seiner Systeme nicht belegen kann, verliert Ausschreibungen, bevor eine Behörde hinschaut.

Das Wichtigste in Kürze

