Gilt der EU AI Act auch für Schweizer Unternehmen?

Ja. Durch das Marktortprinzip gilt der EU AI Act für jedes Unternehmen, das KI-Systeme oder -Outputs in der EU einsetzt oder an EU-Kunden richtet – unabhängig davon, wo es seinen Sitz hat. Schweizer KMU mit EU-Kunden, EU-Partnern oder EU-Niederlassungen sind betroffen.

Was hat sich am 7. Mai 2026 geändert?

EU-Parlament und Rat haben sich im Rahmen des Digital Omnibus auf eine Verschiebung der Hochrisiko-KI-Fristen geeinigt: Standalone-Hochrisiko-Systeme (Anhang III) haben nun bis zum 2. Dezember 2027 Zeit, eingebettete Systeme (Anhang I) bis zum 2. August 2028. Das Abkommen muss noch formal ratifiziert werden.

Was ist schon heute Pflicht?

Seit Februar 2025 sind verbotene KI-Praktiken (Social Scoring, Echtzeit-Biometrie im öffentlichen Raum) untersagt. Seit August 2025 gelten die Pflichten für Anbieter sogenannter General-Purpose AI Modelle wie GPT-4 oder Claude, einschliesslich der Transparenzpflicht gegenüber Nutzern.

Was ist der Unterschied zwischen Anbieter und Betreiber?

Anbieter (Provider) entwickeln und vermarkten KI-Systeme. Betreiber (Deployer) setzen bestehende Systeme im eigenen Unternehmen ein. Die meisten Schweizer KMU sind Betreiber – sie nutzen z.B. ChatGPT, Copilot oder KI-fähige Buchhaltungssoftware, ohne diese selbst zu entwickeln. Betreiber haben geringere Pflichten als Anbieter.

Welche KI-Anwendungen gelten als hochriskant für KMU?

Typische Hochrisiko-Anwendungen, die KMU einsetzen könnten: KI-gestütztes HR-Screening (automatisches Filtern von Bewerbungen), automatisierte Kreditwürdigkeitsprüfung, KI in der Personalbeurteilung und bestimmte biometrische Zugangssysteme. Normale Büro-KI wie Texterstellung oder E-Mail-Zusammenfassungen ist in der Regel nicht hochriskant.

Was droht bei Verstössen gegen den EU AI Act?

Für verbotene KI-Praktiken drohen Bussen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes (der höhere Betrag gilt). Für Hochrisiko-Verstösse beträgt die Maximalbusse 15 Millionen Euro oder 3 % des Umsatzes. KMU profitieren vom Verhältnismässigkeitsprinzip und erhalten tendenziell tiefere Bussen.

Muss ich als KMU einen KI-Beauftragten ernennen?

Der EU AI Act schreibt für Betreiber keinen dedizierten KI-Beauftragten vor. Es empfiehlt sich jedoch, intern eine verantwortliche Person für KI-Compliance zu bestimmen. Das muss kein Vollzeitjob sein – aber jemand muss die Entwicklungen verfolgen und im Ernstfall handeln können.

8. Mai 2026|7 min read|Manuel Hedinger

EU AI Act 2026: Was Schweizer KMU jetzt wissen müssen

Am 7. Mai 2026 einigten sich EU-Parlament und Rat auf neue KI-Fristen. Was das für Ihr Schweizer KMU bedeutet – konkret, ohne Fachjargon.

KIDatenschutzKMU

Gestern, am 7. Mai 2026, einigten sich EU-Parlament und Europäischer Rat auf ein provisorisches Abkommen im Rahmen des sogenannten Digital Omnibus – und damit auf eine deutliche Verschiebung der Hochrisiko-Fristen des EU AI Acts. Für viele Schweizer KMU, die seit Wochen auf das ursprüngliche Datum im August 2026 zugesteuert waren, klingt das nach Entlastung. Und das ist es auch – teilweise. Denn die Verschiebung betrifft nur einen Teil der Pflichten, und wer die nächsten Monate ungenutzt lässt, hat lediglich die Deadline nach hinten geschoben, nicht das Problem gelöst.

Über 55 Prozent der Schweizer KMU investieren bereits in KI-Technologien (Sotomo, 2025). Das bedeutet: Die Mehrheit ist betroffen – sie weiss es nur nicht immer. ChatGPT im Kundendienst, Copilot in der Tabellenkalkulation, KI-gestütztes Recruiting, automatisierte Rechnungsverarbeitung – das alles fällt unter den Anwendungsbereich des EU AI Acts, sobald Ihr Unternehmen EU-Kunden bedient oder in der EU tätig ist.

Dieser Beitrag verschafft Ihnen Klarheit: Was gilt bereits heute, was hat sich soeben geändert – und welche konkreten Schritte zahlen sich jetzt aus.

Was ist der EU AI Act und gilt er für Schweizer KMU?

Der EU AI Act (Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft – das weltweit erste umfassende Gesetz für Künstliche Intelligenz. Es unterscheidet KI-Systeme nach ihrem Risikopotenzial und legt je nach Risikoklasse unterschiedliche Pflichten für Anbieter und Betreiber fest.

Die entscheidende Frage für Schweizer KMU lautet: Gilt das überhaupt für uns? Die Antwort ist klar und folgt dem Marktortprinzip: Entscheidend ist nicht, wo Ihr Unternehmen sitzt, sondern wo Ihre Kunden und Nutzer sind. Das kennen Sie bereits von der DSGVO. Der EU AI Act funktioniert nach demselben Prinzip.

Betroffen sind Sie konkret, wenn:

Ihre Kunden, Partner oder Mitarbeitenden in einem EU-Land ansässig sind
Sie Software oder digitale Dienstleistungen mit KI-Funktionen in die EU exportieren
Ihr Unternehmen eine Niederlassung oder Repräsentanz in der EU unterhält

Wer ausschliesslich in der Schweiz tätig ist und keinerlei EU-Bezug hat, ist formal nicht direkt betroffen – sollte aber die eigene Schweizer Regulierung im Auge behalten (dazu später mehr). In der Praxis hat jedoch die grosse Mehrheit der aktiven Schweizer KMU irgendeinen EU-Bezug.

Die vier Risikostufen: Wo stehen Sie?

Bevor wir den Zeitplan anschauen, ist es wichtig zu verstehen, in welche Risikoklasse Ihre KI-Anwendungen fallen. Der EU AI Act kennt vier Stufen.

Unvertretbares Risiko – verboten seit Februar 2025

Diese Systeme sind seit dem 2. Februar 2025 vollständig verboten. Dazu zählen: Social Scoring durch staatliche oder private Stellen, Echtzeit-biometrische Fernidentifikation im öffentlichen Raum sowie manipulative KI-Systeme, die menschliche Schwächen oder Schutzlosigkeit ausnutzen. Für die grosse Mehrheit der Schweizer KMU ist dieser Bereich nicht relevant.

Hochrisiko – strenge Anforderungen ab Ende 2027

Hochrisiko-KI-Systeme unterliegen den umfangreichsten Pflichten: Risikomanagementsystem, detaillierte technische Dokumentation, Daten-Governance, menschliche Aufsicht und Konformitätsbewertung vor der Inbetriebnahme.

Typische Hochrisiko-Anwendungen, die Schweizer KMU einsetzen könnten:

KI-gestütztes HR-Screening: Software, die Bewerbungen automatisch bewertet oder filtert
Kreditwürdigkeitsprüfung: Automatisierte Bonitätsbeurteilung von Kundinnen und Kunden
Personalbeurteilung: KI-Systeme zur Leistungsbewertung von Mitarbeitenden
Biometrische Zugangssysteme: Je nach Ausgestaltung und Einsatzzweck

Begrenztes Risiko – Transparenzpflichten gelten bereits

Chatbots und andere KI-Systeme, bei denen Nutzer nicht sofort erkennen, dass sie mit einer Maschine interagieren, unterliegen Transparenzpflichten. Nutzer müssen informiert werden. KI-generierte Inhalte – Texte, Bilder, Audio – müssen entsprechend gekennzeichnet sein. Diese Pflichten sind seit August 2025 in Kraft.

Minimales Risiko – keine spezifischen Anforderungen

Spam-Filter, KI-gestützte Übersetzungen, Empfehlungsalgorithmen in internen Tools: Hier gelten keine besonderen Anforderungen des AI Acts. Der Grossteil der heute im Büroalltag genutzten KI-Tools fällt in diese Kategorie.

Zeitplan 2026: Was gilt und was sich soeben geändert hat

Hier ist der aktuelle Stand – nach dem provisorischen Abkommen vom 7. Mai 2026:

Bereits vollständig in Kraft:

Datum	Was gilt
1. August 2024	EU AI Act tritt in Kraft
2. Februar 2025	Verbote für unvertretbares Risiko
2. August 2025	GPAI-Pflichten und KI-Kompetenzpflicht für Unternehmen

Neue Fristen nach Digital Omnibus Abkommen:

Datum	Was gilt
2. Dezember 2027	Hochrisiko-KI nach Anhang III (standalone-Systeme)
2. August 2028	Hochrisiko-KI nach Anhang I (in regulierten Produkten eingebettet)

Wichtiger Hinweis: Das provisorische Abkommen vom 7. Mai 2026 muss noch formal durch EU-Parlament und Rat ratifiziert werden. Bis zur formalen Annahme gilt technisch gesehen noch die ursprüngliche Hochrisiko-Frist vom 2. August 2026. Die Ratifizierung wird in den kommenden Wochen erwartet – die Verzögerung ist jedoch politisch gesichert.

Das Digital Omnibus Abkommen bringt ausserdem eine Erweiterung der KMU-Erleichterungen: Vereinfachte Dokumentationsanforderungen gelten neu auch für sogenannte «Small Mid-Caps» – Unternehmen mit bis zu 500 Mitarbeitenden. Das entlastet einen grossen Teil der mittelständischen Schweizer Unternehmen.

Betreiber vs. Anbieter – Die entscheidende Unterscheidung für KMU

Für die Frage, welche Pflichten Sie konkret treffen, ist eine Unterscheidung zentral: Sind Sie Anbieter (Provider) oder Betreiber (Deployer)?

Anbieter entwickeln, trainieren und vermarkten KI-Systeme. Das sind in der Regel grosse Technologieunternehmen – OpenAI, Microsoft, Anthropic, Google – oder Unternehmen, die eigene KI-Produkte entwickeln und an Dritte verkaufen.

Betreiber setzen bestehende KI-Systeme in ihrem Unternehmen ein. Das ist die Rolle der grossen Mehrheit der Schweizer KMU. Sie nutzen ChatGPT, Microsoft Copilot, KI-fähige Buchhaltungssoftware oder automatisierte CRM-Systeme – ohne diese selbst zu entwickeln.

Die Konsequenz ist bedeutsam: Als Betreiber im Bereich minimales oder begrenztes Risiko genügt es in vielen Fällen,

Nutzer transparent über den KI-Einsatz zu informieren
die Gebrauchsanweisungen des Anbieters zu befolgen und keine zweckfremde Nutzung vorzunehmen
menschliche Aufsicht über automatisierte Entscheide sicherzustellen

Bei Hochrisiko-Systemen kommen auch für Betreiber weitere Pflichten dazu: Sie müssen ein Risikomanagementsystem vorweisen, Vorfälle melden und den Betrieb dokumentieren. Diese Pflichten greifen jedoch erst ab den neuen Hochrisiko-Fristen (ab Dezember 2027).

Schweizer Regulierung: Was die Schweiz selbst plant

Der EU AI Act ist kein Schweizer Gesetz – aber die Schweiz ist dabei, eigene Weichen zu stellen.

Im März 2025 unterzeichnete die Schweiz die KI-Konvention des Europarates (Rahmenübereinkommen über KI und Menschenrechte, Demokratie und Rechtsstaat). Diese Konvention ist rechtsverbindlich für Unterzeichnerstaaten und legt grundlegende Prinzipien für den staatlichen und privaten KI-Einsatz fest.

Das Eidgenössische Justiz- und Polizeidepartement (EJPD) erarbeitet bis Ende 2026 eine Vernehmlassungsvorlage für eine eigenständige Schweizer KI-Regulierung. Diese wird sich inhaltlich stark am EU AI Act orientieren – was bedeutet: Was Sie heute für den EU AI Act vorbereiten, bereitet Sie gleichzeitig auf die Schweizer Regelung vor.

Wer heute ausschliesslich in der Schweiz tätig ist, wird spätestens dann mit vergleichbaren Anforderungen konfrontiert. Die Frage ist nicht ob, sondern wann – und wie gut vorbereitet.

Konkrete Schritte für Ihr KMU

Bevor wir zum Fazit kommen: Fünf pragmatische Schritte, die sich heute schon auszahlen.

Schritt 1: KI-Inventar erstellen Listen Sie alle KI-Systeme und -Tools auf, die in Ihrem Unternehmen eingesetzt werden – von ChatGPT über HR-Software bis hin zu automatisierten E-Mail-Filtern. Notieren Sie Anbieter, Einsatzzweck und betroffene Personengruppen (Kunden, Mitarbeitende).

Schritt 2: Risikostufe einschätzen Prüfen Sie für jeden Eintrag, in welche Risikoklasse das System fällt. Für Standard-Bürotools gilt in der Regel minimales Risiko. Kritischer wird es bei HR, Kredit und biometrischen Systemen – hier lohnt eine vertiefte Prüfung.

Schritt 3: Transparenz sicherstellen Setzen Sie KI-Chatbots oder KI-generierte Inhalte gegenüber Kunden oder Mitarbeitenden ein? Dann stellen Sie sicher, dass diese als KI-generiert gekennzeichnet sind. Das ist seit August 2025 Pflicht und in der Umsetzung meist einfach zu erledigen.

Schritt 4: Anbieter-Dokumentation beschaffen Verlangen Sie von Ihren KI-Anbietern die relevante Dokumentation: Benutzerhandbücher, Konformitätserklärungen, Risikoklassifizierungen. Grosse Anbieter wie Microsoft und Anthropic stellen diese in der Regel bereit – oft über dedizierte Trust-Center-Seiten.

Schritt 5: Interne Zuständigkeit klären Benennen Sie eine interne Person, die das Thema KI-Compliance verantwortet. Das muss kein Vollzeitjob sein – aber jemand muss die Entwicklungen verfolgen, die Dokumentation führen und im Ernstfall handlungsfähig sein.

Der EU AI Act schränkt den KI-Einsatz für Schweizer KMU nicht grundsätzlich ein – er schafft einen Rahmen, der Vertrauen gegenüber Kunden und Partnern in der EU aufbaut. Wer frühzeitig Transparenz zeigt und KI verantwortungsvoll einsetzt, stärkt seine Position als verlässlicher Geschäftspartner.

Für eine strukturierte Einschätzung Ihrer Situation – welche Tools betroffen sind, welche Fristen für Sie relevant sind und welche Schritte Priorität haben – bietet Hedinger-Digital konkrete Digitalberatung für KMU. Wer KI bereits einsetzt oder einführen will und Compliance gleich mitdenken möchte, findet bei der KI-Beratung & Integration für KMU den passenden Rahmen. Für ein erstes Gespräch genügt eine kurze Nachricht über das Kontaktformular.