KI-KMU-Schweiz.ch
← Alle Artikel
EU AI Act Compliance Regulierung KMU

EU AI Act und Schweizer KMU: Was 2026 und 2027 wirklich auf Sie zukommt

Der EU AI Act betrifft Schweizer KMU stärker als die meisten denken. Welche Pflichten gelten, wann sie greifen, wie sie sich vom nDSG unterscheiden — und was Sie konkret tun sollten, um vorbereitet zu sein.

Jannick Oberbeck · 21. April 2026 · 12 Minuten

Der EU AI Act ist am 1. August 2024 in Kraft getreten. Die Umsetzung erfolgt gestaffelt: die ersten Pflichten gelten seit Februar 2025, weitere kommen im August 2025 und August 2026 hinzu. Die Schweiz ist kein EU-Mitglied — aber das bedeutet nicht, dass der AI Act Schweizer KMU nicht betrifft. Im Gegenteil: für jedes Schweizer Unternehmen, das Kunden, Partner oder Lieferanten in der EU hat, kann der AI Act direkt bindend sein.

Dieser Artikel erklärt, was der AI Act regelt, wie er sich vom Schweizer nDSG unterscheidet, welche konkreten Pflichten für KMU relevant sind und was Sie als Geschäftsführer eines Schweizer KMU mit 10 bis 150 Mitarbeitenden jetzt tun sollten — ohne Panik und ohne juristisches Beiwerk, das Sie nicht brauchen.

Disclaimer. Dieser Artikel ist keine Rechtsberatung. Er vermittelt eine Orientierung für KMU-Entscheider. Bei konkreten Rechtsfragen — insbesondere zur Einstufung Ihres spezifischen Systems — konsultieren Sie einen spezialisierten Anwalt.

Was der EU AI Act regelt (und was nicht)

Der AI Act ist die weltweit erste umfassende KI-Regulierung. Er regelt nicht den Datenschutz (das macht die DSGVO), sondern die Sicherheit und Transparenz von KI-Systemen selbst. Die zentrale Logik: je höher das Risiko, das ein KI-System für Menschen und Gesellschaft darstellt, desto strenger die Auflagen.

Die Risiko-Pyramide

Der AI Act teilt KI-Systeme in vier Risikostufen ein:

Stufe 1 — Unannehmbares Risiko (verboten) KI-Systeme für Social Scoring, manipulative Techniken, biometrische Echtzeit-Identifikation im öffentlichen Raum. Für Schweizer KMU irrelevant — niemand baut Social-Scoring-Systeme für Treuhandbüros.

Stufe 2 — Hohes Risiko (streng reguliert) KI-Systeme, die in sensiblen Bereichen eingesetzt werden: Personalentscheidungen (Bewerbungs-Screening), Kreditwürdigkeitsprüfung, kritische Infrastruktur, Bildung, Strafverfolgung. Hier gelten umfangreiche Dokumentations-, Überwachungs- und Transparenzpflichten.

Stufe 3 — Begrenztes Risiko (Transparenzpflichten) KI-Systeme, die direkt mit Menschen interagieren — Chatbots, Voice-Agents, KI-generierte Inhalte. Hier gilt: der Nutzer muss wissen, dass er mit einer KI spricht, nicht mit einem Menschen. Und KI-generierte Inhalte müssen als solche gekennzeichnet sein.

Stufe 4 — Minimales Risiko (keine besonderen Pflichten) Die grosse Mehrheit aller KI-Anwendungen: Spam-Filter, Empfehlungs-Algorithmen, interne Automatisierungen, Dokumentenklassifikation. Keine besonderen Pflichten über die allgemeine Produkthaftung hinaus.

Was das für Schweizer KMU heisst

Die meisten KI-Anwendungen, die wir bei Schweizer KMU implementieren, fallen in Stufe 3 oder 4:

  • Dokumentenverarbeitung, Belegklassifikation: Stufe 4 (minimales Risiko)
  • Offertenerstellung, Prozessautomatisierung: Stufe 4
  • Chatbot auf der Website, Voice-Agent am Telefon: Stufe 3 (Transparenzpflicht: “Sie sprechen mit einer KI”)
  • Interne Wissensbasis, RAG-Systeme: Stufe 4
  • Marketing-Content-Generierung: Stufe 3 (KI-generierte Inhalte kennzeichnen, wenn sie nicht offensichtlich sind)

Stufe 2 (Hochrisiko) ist für Standard-KMU nur dann relevant, wenn Sie:

  • KI für Personalentscheidungen einsetzen (z.B. automatisches Bewerbungs-Screening)
  • KI für Kreditwürdigkeitsbewertungen nutzen
  • KI in sicherheitskritischen Bereichen einsetzen

Falls keiner dieser Punkte auf Sie zutrifft — und für die meisten Treuhandbüros, Handwerksbetriebe, Immobilienverwaltungen und Dienstleister trifft keiner zu — bewegen Sie sich in Stufe 3 oder 4.

Warum der AI Act Schweizer KMU trotzdem betrifft

Das Marktort-Prinzip

Der AI Act gilt für alle KI-Systeme, die in der EU auf den Markt gebracht oder genutzt werden — unabhängig davon, wo der Anbieter oder Betreiber sitzt. Das ist das gleiche Prinzip wie bei der DSGVO: nicht der Firmensitz zählt, sondern wo die Wirkung eintritt.

Für ein Schweizer KMU heisst das konkret:

  • Wenn Sie EU-Kunden bedienen, die Ergebnisse Ihres KI-Systems nutzen (z.B. KI-generierte Offerten, Berichte, Empfehlungen an EU-Mandanten), kann der AI Act Sie betreffen.
  • Wenn Sie KI-Systeme nutzen, deren Anbieter in der EU reguliert sind (Mistral, Aleph Alpha, bestimmte Cloud-Dienste), unterliegen Teile der Wertschöpfungskette dem AI Act — und die Pflichten können an Sie als Betreiber (“Deployer”) weitergereicht werden.
  • Wenn Ihre Mitarbeitenden EU-Bürger sind, die von KI-gestützten Personalentscheidungen betroffen sein könnten, gilt die Hochrisiko-Regulierung direkt.

Die praktische Relevanz für verschiedene KMU-Typen

KMU-TypEU-ExposureAI-Act-Relevanz
Treuhandbüro mit rein CH-MandantenNiedrigMinimal — Stufe 4, kaum Pflichten
Treuhandbüro mit D/A-MandantenMittelStufe 3–4, Transparenzpflichten bei KI-generierten Berichten
Handwerksbetrieb, rein lokalNiedrigMinimal
E-Commerce mit EU-KundenHochStufe 3, KI-generierte Produktbeschreibungen/Chatbots kennzeichnen
Personalvermittlung mit EU-MarktHochStufe 2 (Hochrisiko), volle Compliance nötig
Softwarefirma mit EU-KundenHochHängt vom Produkt ab — kann Stufe 2, 3 oder 4 sein

AI Act vs. nDSG: die zwei Gesetze verstehen

Viele Schweizer KMU-Chefs verwechseln den AI Act mit dem nDSG oder fragen sich: “Brauche ich jetzt zwei Compliance-Frameworks?” Die Antwort: ja, aber sie regeln unterschiedliche Dinge und überlappen nur teilweise.

nDSG = Datenschutz

Das Schweizer Datenschutzgesetz regelt, wie mit personenbezogenen Daten umgegangen wird: Erhebung, Verarbeitung, Speicherung, Weitergabe. Es gilt unabhängig davon, ob KI im Spiel ist oder nicht. Sein EU-Pendant ist die DSGVO.

AI Act = KI-Sicherheit und -Transparenz

Der AI Act regelt, wie KI-Systeme selbst funktionieren dürfen: Risikoeinstufung, Dokumentation, menschliche Aufsicht, Transparenz gegenüber Nutzern. Er gilt unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nicht.

Wo sie sich überschneiden

Bei KI-Systemen, die personenbezogene Daten verarbeiten (also bei fast allen KMU-Anwendungen), gelten beide Regelwerke gleichzeitig. Die Datenschutz-Compliance (nDSG/DSGVO) muss erfüllt sein UND die KI-spezifischen Pflichten des AI Acts.

In der Praxis bedeutet das: wenn Sie bereits eine saubere nDSG-Compliance haben (wie im nDSG-Artikel beschrieben), haben Sie einen grossen Teil der Arbeit schon geleistet. Die zusätzlichen AI-Act-Pflichten beschränken sich für die meisten KMU auf Transparenz (Stufe 3) und Dokumentation.

Die konkreten Pflichten für 2026/2027

Seit Februar 2025: Verbote

Die KI-Systeme mit “unannehmbarem Risiko” sind verboten. Für Standard-KMU nicht relevant — es sei denn, Sie haben Social-Scoring oder biometrische Massenüberwachung im Einsatz (was bei einem Treuhandbüro unwahrscheinlich ist).

Seit August 2025: GPAI-Regeln

Anbieter von “General Purpose AI” (ChatGPT, Claude, Gemini etc.) müssen bestimmte Dokumentations- und Transparenzpflichten erfüllen. Das betrifft Sie als KMU nicht direkt — Sie sind Nutzer/Betreiber, nicht Anbieter. Aber: die grossen Anbieter sind dadurch verpflichtet, Ihnen als Betreiber bestimmte Informationen zur Verfügung zu stellen (z.B. wie das Modell trainiert wurde, welche Einschränkungen es hat).

Ab August 2026: Hochrisiko-Systeme

Die strengsten Pflichten für Stufe-2-Systeme treten in Kraft. Falls Sie KI für Personalentscheidungen, Kreditbewertung oder ähnliche Hochrisiko-Anwendungen einsetzen: ab August 2026 müssen Sie ein vollständiges Risikomanagement-System, menschliche Aufsicht, technische Dokumentation und Konformitätsbewertungen nachweisen können.

Falls Sie — wie die meisten KMU — in Stufe 3 oder 4 operieren: keine neuen Pflichten über die Transparenz-Anforderungen hinaus.

Was Sie als Schweizer KMU jetzt tun sollten

Schritt 1: Inventar Ihrer KI-Nutzung

Listen Sie auf, welche KI-Systeme in Ihrem Betrieb genutzt werden — auch inoffiziell:

  • Nutzen Mitarbeitende ChatGPT oder Claude privat für Arbeitszwecke?
  • Haben Sie einen Chatbot auf der Website?
  • Nutzen Sie KI-generierte Texte oder Bilder für Marketing?
  • Läuft ein KI-basiertes Tool für Dokumentenverarbeitung, Offerten oder Support?
  • Verwenden Sie KI für Personalentscheidungen?

Schritt 2: Risikostufe bestimmen

Für jedes identifizierte System: in welche Risikostufe fällt es? Die meisten KMU-Anwendungen landen bei Stufe 3 oder 4. Falls ein System möglicherweise in Stufe 2 fällt — holen Sie eine rechtliche Einschätzung ein.

Schritt 3: Transparenzpflichten umsetzen

Für Stufe-3-Systeme (Chatbots, Voice-Agents, KI-generierte Inhalte):

  • Chatbot/Voice-Agent: am Anfang der Interaktion klar kommunizieren, dass der Nutzer mit einer KI spricht
  • KI-generierte Inhalte: wenn nicht offensichtlich KI-generiert, als solche kennzeichnen (z.B. “Dieser Text wurde mit KI-Unterstützung erstellt”)
  • KI-generierte Bilder: als solche kennzeichnen

Schritt 4: Dokumentation aufbauen

Auch für Stufe-3/4-Systeme ist es sinnvoll, eine leichte Dokumentation zu führen:

  • Welches System wird für welchen Zweck eingesetzt?
  • Welches Modell steckt dahinter (Claude, GPT, Mistral, AlpineAI)?
  • Wer ist der interne Verantwortliche?
  • Welche Daten werden verarbeitet?
  • Wie ist die Auftragsdatenverarbeitung geregelt (ADV)?

Diese Dokumentation ist unter dem nDSG ohnehin Pflicht — der AI Act verstärkt nur die Erwartung, dass sie existiert und aktuell ist.

Schritt 5: Bei Bedarf juristisch klären

Falls Sie in einer Branche mit EU-Kunden operieren oder KI für Personalentscheidungen nutzen, lohnt sich eine einmalige juristische Einschätzung. Kosten: CHF 1’000–3’000 bei einem spezialisierten Anwalt. Günstig im Vergleich zum Risiko einer Nicht-Compliance.

Die Schweizer Antwort: wo steht der Bund?

Die Schweiz hat bis April 2026 keinen eigenen “AI Act” verabschiedet. Der Bundesrat hat allerdings mehrere Berichte und Positionspapiere publiziert, die eine Prinzipien-basierte Regulierung ohne eigenes KI-Gesetz bevorzugen — also Anpassung bestehender Gesetze (nDSG, Produkthaftung, Arbeitsrecht) statt eines neuen Rahmengesetzes.

Für Schweizer KMU heisst das:

  • Kurzfristig (2026): das nDSG bleibt der primäre Rechtsrahmen für KI-Compliance in der Schweiz
  • Mittelfristig (2027–2028): der EU AI Act wird über die bilateralen Beziehungen und den Marktzugang de facto zum Standard — ähnlich wie die DSGVO, die trotz fehlender formaler Übernahme zum Referenzrahmen für Schweizer Datenschutz wurde
  • Langfristig: eine gewisse Harmonisierung ist wahrscheinlich, aber der Zeitrahmen ist offen

Die pragmatische Konsequenz: wenn Sie heute nDSG-konform arbeiten und die Transparenzpflichten des AI Acts für Ihre Stufe-3-Systeme umsetzen, sind Sie für beide Rechtskreise gut aufgestellt — Schweiz und EU.

Was das für Ihre KI-Strategie bedeutet

Kein Grund zur Panik

Der AI Act betrifft die meisten Schweizer KMU mit Standard-KI-Anwendungen nur marginal. Die Transparenzpflichten (Chatbot muss sich als KI vorstellen, KI-Content muss gekennzeichnet sein) sind einfach umzusetzen und sollten aus ethischen Gründen ohnehin Standard sein.

Kein Grund zur Sorglosigkeit

Wenn Ihr Geschäftsmodell EU-Exposure hat — und bei vielen Schweizer Dienstleistern und Händlern ist das der Fall — sollten Sie die Entwicklung im Auge behalten. Die Pflichten verschärfen sich bis 2027 schrittweise, und die Sanktionen bei Nicht-Compliance können bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes betragen. Für KMU gelten reduzierte Bussgelder, aber das Risiko ist nicht trivial.

Regulierung als Wettbewerbsvorteil

Betriebe, die jetzt proaktiv eine saubere KI-Governance aufbauen — Dokumentation, Transparenz, Verantwortlichkeiten — werden in zwei Jahren einen Vorsprung haben. Nicht weil sie schneller reguliert wurden, sondern weil sie das Vertrauen ihrer Kunden und Geschäftspartner systematisch gestärkt haben. Gerade im Schweizer KMU-Kontext, wo Vertrauen und Berechenbarkeit Kernwerte der Geschäftsbeziehung sind, ist das ein echter Differenzierungsfaktor.

Häufige Fragen

Muss ich als Schweizer KMU den AI Act aktiv umsetzen? Nur wenn Sie KI-Systeme einsetzen, die in der EU wirken (EU-Kunden, EU-Mitarbeitende, EU-Markt). Für rein Schweizer Betriebe mit rein Schweizer Kunden gilt primär das nDSG.

Was passiert, wenn ich nichts tue? Kurzfristig: wahrscheinlich nichts. Die Durchsetzung des AI Acts startet bei den grossen Anbietern, nicht bei einem 15-Personen-Treuhandbüro in Kreuzlingen. Mittelfristig: die Regulierung wird strenger, die Erwartungen der Kunden steigen, und der Nachholbedarf wird teurer.

Brauche ich einen AI-Act-Beauftragten? Nein. Für KMU mit Stufe-3/4-Systemen reicht eine dokumentierte interne Richtlinie und ein benannter Verantwortlicher. Das ist oft dieselbe Person, die auch für den Datenschutz zuständig ist.

Wie hängt das mit dem Innosuisse-Innovationsscheck zusammen? Gar nicht direkt. Der Innovationsscheck ist ein Förderinstrument, der AI Act eine Regulierung. Aber: ein Innosuisse-gefördertes Projekt, das von Anfang an AI-Act-konforme Dokumentation mitliefert, hat einen strategischen Vorteil bei der späteren Kommerzialisierung.

Der nächste Schritt

Wenn Sie unsicher sind, ob Ihre aktuelle KI-Nutzung unter den AI Act fällt oder welche Massnahmen sinnvoll sind, klären wir das gerne in einem Erstgespräch. Dreissig Minuten, kostenlos, konkret — mit einer ersten Einschätzung Ihrer Risikostufe und den drei wichtigsten Sofortmassnahmen für Ihren Betrieb.

Erstgespräch vereinbaren →

Weiterführend: Die nDSG-Compliance-Fibel für den Schweizer Datenschutz-Rahmen, der KMU-Leitfaden zum KI-Einstieg für die strategische Perspektive, und der Modell-Vergleich für die technische Anbieter-Auswahl.

→ KI-Beratung für Schweizer KMU — zurück zur Startseite

Erstgespräch

Bereit, die Theorie in einem Projekt zu prüfen?

Dreissig Minuten, konkret, kostenlos. Wir schauen gemeinsam, wo in Ihrem Betrieb der grösste Hebel liegt — und wie ein realistischer Pilot aussehen könnte.

Erstgespräch vereinbaren →