Du sitzt in der Schweiz. Ein EU-Gesetz. Betrifft dich nicht.

Falsch.

Wenn dein Unternehmen KI-Systeme nutzt, deren Ergebnisse in der EU ankommen — sei es ein CV-Screening-Tool fuer eure EU-Niederlassung, ein Kreditscoring-Modell fuer EU-Kunden, oder ein Chatbot auf eurer Website, der EU-Besucher bedient — dann bist du drin. Artikel 2 des EU AI Act ist glasklar: Die Verordnung gilt fuer jeden Anbieter und Betreiber, dessen KI-Output in der EU verwendet wird. Sitz des Unternehmens? Egal.

Wir sehen das bei unseren Schweizer Kunden staendig: Die Awareness fehlt. Und die Uhr laeuft.

Warum der EU AI Act auch dich betrifft

Die extraterritoriale Wirkung ist kein Nebensatz — sie ist Kernbestandteil der Verordnung. Aehnlich wie die DSGVO, die Schweizer Firmen mit EU-Kundendaten betrifft, greift der EU AI Act (Regulation EU 2024/1689) ueber Landesgrenzen hinweg.

Konkret faellst du unter den EU AI Act, wenn du:

• KI-Systeme entwickelst oder anbietest, die in der EU eingesetzt werden

• KI-Tools nutzt, deren Output EU-Buerger betrifft (HR-Screening, Kreditentscheidungen, Versicherungsbewertungen)

• KI-basierte Produkte oder Services an EU-Kunden verkaufst

• Tochtergesellschaften oder Niederlassungen in der EU hast, die KI einsetzen

Das trifft mehr Schweizer Unternehmen, als die meisten denken. Finanzdienstleister mit KI-gestuetztem Kreditscoring, Pharma- und Medtech-Unternehmen mit KI in klinischen Studien, Industrieunternehmen mit predictive Maintenance, HR-Tech-Anbieter mit automatisiertem Bewerbungs-Screening, Versicherungen mit KI-Risikobewertung — ueberall wird KI eingesetzt. Und ueberall gibt es EU-Bezuege.

(Und nein, die Schweiz hat kein eigenes KI-Gesetz. Der Bundesrat prueft noch, ob bestehende Gesetze ausreichen. Bis dahin gilt: Wer EU-Geschaeft hat, haelt sich an den EU AI Act.)

Die vier Risikokategorien — und warum sie entscheidend sind

Der EU AI Act folgt einem risikobasierten Ansatz. Nicht jedes KI-System wird gleich behandelt. Die Kategorie bestimmt deine Pflichten:

Inakzeptables Risiko — verboten. Seit Februar 2025 sind bestimmte KI-Praktiken komplett untersagt. Social Scoring durch Behoerden, manipulative KI, die unterschwellige Beeinflussung nutzt, biometrische Massenuberwachung in Echtzeit, Emotionserkennung am Arbeitsplatz. Wer solche Systeme einsetzt, riskiert Bussgelder bis 35 Mio. EUR oder 7% des globalen Jahresumsatzes.

Hohes Risiko — streng reguliert. Das ist die Kategorie, die die meisten Schweizer Unternehmen betrifft. Und die meisten unterschaetzen den Umfang. Hochrisiko-KI-Systeme umfassen unter anderem: biometrische Identifikation, KI in kritischer Infrastruktur, Bildungs- und Pruefungssysteme, CV-Screening und Personalentscheidungen, Kreditwuerdigkeitspruefung, Versicherungsrisiko-Bewertung. Die Pflichten sind umfangreich — Risikomanagementsystem, technische Dokumentation, Logging, menschliche Aufsicht, Conformity Assessment, EU-Datenbank-Registrierung und Post-Market-Monitoring. Klingt nach viel? Ist es auch. Aber es ist machbar, wenn du frueh genug anfaengst.

Begrenztes Risiko — Transparenzpflichten. Chatbots muessen offenlegen, dass der Nutzer mit KI interagiert. Deepfakes muessen gekennzeichnet werden. Emojis und nette Worte reichen nicht — die Information muss klar und unuebersehbar sein.

Minimales Risiko — keine Pflichten. Spamfilter, KI in Videospielen, einfache Empfehlungssysteme. Hier empfiehlt die EU freiwillige Verhaltenskodizes, aber es gibt keine bindenden Auflagen.

Die Frage, die du dir stellen solltest: In welche Kategorie fallen deine KI-Systeme? Und hast du ueberhaupt einen Ueberblick, wo ueberall KI in deinem Unternehmen laeuft?

Die Timeline: Was wann gilt

Die Verordnung tritt gestaffelt in Kraft. Das ist gleichzeitig hilfreich und gefaehrlich — hilfreich, weil du nicht alles gleichzeitig umsetzen musst. Gefaehrlich, weil die gestaffelte Einfuehrung ein falsches Sicherheitsgefuehl erzeugt.

Februar 2025 (bereits in Kraft): Verbotene KI-Praktiken gelten. Social Scoring, manipulative KI, biometrische Massenuberwachung — wer das noch einsetzt, ist bereits im Verstoss.

August 2025: Regeln fuer General-Purpose AI (GPAI) Modelle treten in Kraft. Transparenzpflichten fuer GPAI-Anbieter, technische Dokumentation, Einhaltung des EU-Urheberrechts. Fuer GPAI mit systemischem Risiko (Trainingsrechenleistung ueber 10^25 FLOPs) gelten zusaetzliche Pflichten. Das EU AI Office und die nationalen Aufsichtsbehoerden nehmen ihre Arbeit auf.

August 2026: Die volle Anwendung. Alle Hochrisiko-KI-Systeme muessen saemtliche Anforderungen erfuellen. Conformity Assessments, EU-Datenbank-Registrierung, Post-Market-Monitoring — alles muss stehen.

August 2027: Hochrisiko-KI in regulierten Produkten (Medizinprodukte, Maschinen, Aufzuege) wird integriert in die bestehende sektorale Regulierung.

Fuer Schweizer Unternehmen heisst das: Bis August 2026 sind es weniger als sechs Monate. Wer ein Hochrisiko-KI-System betreibt, braucht 6-12 Monate Vorbereitungszeit. Die Rechnung ist einfach — und sie geht nicht auf, wenn du erst jetzt anfaengst zu planen.

Die Bussgelder: Kein Kavaliersdelikt

Kurze Durchsage zu den Konsequenzen:

• Verstoss gegen verbotene KI-Praktiken: bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes (der hoehere Betrag gilt)

• Verstoss gegen Hochrisiko-Anforderungen: bis zu 15 Mio. EUR oder 3% des weltweiten Jahresumsatzes

• Falsche Angaben gegenueber Behoerden: bis zu 7,5 Mio. EUR oder 1% des weltweiten Jahresumsatzes

Fuer KMU und Startups gibt es proportional niedrigere Bussgelder — der jeweils niedrigere Betrag gilt. Trotzdem: Das sind existenzbedrohende Summen, selbst in der reduzierten Variante.

(Zur Einordnung: Die DSGVO-Bussgelder waren anfangs auch "nur" theoretisch. Meta hat mittlerweile ueber 2 Mrd. EUR an DSGVO-Strafen gezahlt. Die EU meint es ernst.)

Was du jetzt konkret tun kannst

Hier wird es praktisch. Sechs Schritte, die wir unseren Kunden empfehlen:

1. KI-Inventar erstellen. Klingt banal? Wir haben noch nie ein Unternehmen gesehen, das auf Anhieb alle seine KI-Systeme kannte. Nicht nur die offensichtlichen (ChatGPT, Copilot), sondern auch die eingebettete KI in zugekauften Tools — dein CRM, dein HR-System, dein ERP. Die hat oft KI-Funktionen, die niemand aktiv eingeschaltet hat, aber die trotzdem laufen.

2. Risikokategorisierung durchfuehren. Jedes identifizierte KI-System anhand der EU AI Act Kriterien einer Kategorie zuordnen. Hochrisiko? Begrenzt? Minimal? Diese Einordnung bestimmt alles, was danach kommt.

3. EU-Nexus pruefen. Klaere, ob und wie dein Unternehmen unter den extraterritorialen Geltungsbereich faellt. EU-Kunden, EU-Niederlassungen, EU-Nutzer — die Verbindung kann ueberraschend direkt sein.

4. Gap-Analyse gegen bestehende Compliance. Wenn du bereits DSGVO-konform bist, ISO 27001 hast, oder NIS2-Anforderungen erfuellst — dann hast du eine Grundlage. Ein integrierter Compliance-Ansatz reduziert den Aufwand um 40-60% gegenueber isolierter Umsetzung. Datenschutz-Folgenabschaetzungen, Risikomanagement-Prozesse, Dokumentationspflichten — vieles ueberlappt sich.

5. Compliance-Roadmap erstellen. Priorisiere: Hochrisiko-Systeme zuerst. Definiere Meilensteine, Verantwortlichkeiten und Budget. August 2026 ist deine Deadline fuer Hochrisiko-Compliance.

6. Governance-Strukturen aufbauen. Wer ist verantwortlich fuer KI-Compliance? Welche Prozesse stellen sicher, dass neue KI-Systeme vor dem Einsatz klassifiziert werden? Monitoring ist kein einmaliges Projekt — es ist ein fortlaufender Prozess.

Der integrierte Ansatz: Nicht noch ein Compliance-Silo

Hier ist die Sache... die meisten Unternehmen haben bereits DSGVO-Programme, ISO-Zertifizierungen, vielleicht NIS2-Vorbereitungen laufen. Jetzt kommt der EU AI Act obendrauf.

Der Fehler, den wir sehen: Jede Regulierung wird als separates Projekt behandelt. Separate Teams, separate Dokumentation, separate Audits. Das Resultat? Doppelte Arbeit, dreifache Kosten, null Ueberblick.

Wir empfehlen einen integrierten Compliance-Ansatz. EU AI Act, DSGVO, NIS2, ISO 27001 — in einem Framework. Die Ueberschneidungen sind erheblich: Risikomanagement, Datenschutz-Folgenabschaetzung, technische Dokumentation, Incident Response, Monitoring. Wer das zusammenfuehrt statt isoliert abarbeitet, spart nicht nur Aufwand, sondern gewinnt tatsaechlich Ueberblick ueber seine Compliance-Landschaft.

Praktisches Beispiel: Eine Datenschutz-Folgenabschaetzung, die du fuer die DSGVO ohnehin brauchst, deckt einen Grossteil der Risikobewertung ab, die der EU AI Act fuer Hochrisiko-Systeme fordert. Dein ISO 27001-Dokumentationsrahmen? Kann direkt fuer die technische Dokumentation der KI-Systeme erweitert werden. Das sind keine theoretischen Synergien — das ist messbar weniger Arbeit.

Der naechste Schritt

Vergiss die Panik. Vergiss die 200-seitigen Rechtstexte. Mach morgen frueh eines: Erstelle eine Liste aller KI-Systeme in deinem Unternehmen. Alle. Auch die, von denen du "glaubst", dass sie nur minimal sind.

Diese Liste ist der Anfang. Alles andere baut darauf auf.

(Wir helfen Schweizer Unternehmen, den EU AI Act pragmatisch umzusetzen — mit einem integrierten Compliance-Framework, das EU AI Act, DSGVO, NIS2 und ISO 27001 zusammenfuehrt. Vendor-neutral, ohne Panik, mit klarem Fahrplan. Compliance-Beratung ansehen oder KI-Advisory entdecken)