Warum der EU AI Act Schweizer KMU betrifft
Der EU AI Act folgt dem Marktortprinzip — wie schon DSGVO. Konkret: sobald Ihre KI-Anwendung in der EU Wirkung entfaltet (EU-Bürger als Nutzer, EU-Output, EU-Datensubjekt), greift die Verordnung — unabhängig davon, wo Ihr Unternehmen sitzt. Schweizer KMU mit EU-Kunden oder EU-grenzüberschreitendem Geschäft sind betroffen. Das gilt für E-Commerce mit EU-Versand, B2B-Software mit EU-Anwenderbasis, Dienstleister, die EU-Mandanten bedienen, und Hersteller, deren Produkte EU-CE-Märkte erreichen. Reine Inland-CH-KMU ohne EU-Kontakte sind formal ausgenommen — aber: viele Compliance-Anforderungen werden in Schweizer Sektoraufsicht ohnehin nachgezogen werden.
Die vier Risiko-Klassen
Der EU AI Act teilt KI-Systeme in vier Klassen. (1) Verbotene Praktiken — z.B. soziale Scorings, manipulative Manipulationen, unzulässige biometrische Klassifikation. Anwendbar seit Februar 2025. (2) Hochrisiko-Systeme — z.B. KI in HR (Bewerber-Screening), Bonität, Bildung, Strafverfolgung, kritischer Infrastruktur. Strenge Pflichten: Risikomanagement, Datengovernance, technische Dokumentation, Aufzeichnungen, Transparenz, menschliche Aufsicht, Genauigkeits- und Robustheitsanforderungen. Verschoben durch Omnibus-Verordnung Mai 2026 auf 2027 und teilweise 2028. (3) Limited-Risk-Systeme — Transparenzpflichten (Chatbots, Deepfakes, generierte Inhalte). Anwendbar August 2026. (4) Minimal-Risk — keine spezifischen Pflichten.
Die Omnibus-Verordnung Mai 2026
Am 6. Mai 2026 hat die EU-Kommission die Omnibus-Verordnung zum AI Act verabschiedet, die folgende Erleichterungen brachte: (1) Hochrisiko-Pflichten für eigenständige Systeme um 16 Monate verschoben. (2) Hochrisiko-Pflichten für produkt-integrierte Systeme um 12 Monate verschoben. (3) Vereinfachte technische Dokumentation für KMU. (4) Reduzierte Gebühren für Konformitätsbewertungen proportional zur Unternehmensgrösse. (5) Priorisierter Zugang zu regulatorischen Sandboxes für KMU. Diese Anpassungen geben Schweizer KMU bis ca. Frühjahr 2027 Zeit, sich auf Hochrisiko-Anforderungen vorzubereiten — das verändert die Roadmap signifikant.
Was die Schweiz selbst macht
Der Bundesrat hat im Q1 2025 entschieden: kein eigenes umfassendes KI-Gesetz, sondern gezielte Anpassungen bestehender Gesetze und branchenspezifische Regelungen. Im März 2025 hat die Schweiz die KI-Konvention des Europarates unterzeichnet — der erste völkerrechtliche Vertrag zu Künstlicher Intelligenz. Bis Ende 2026 wird eine Vernehmlassungsvorlage erarbeitet, die notwendige gesetzliche Anpassungen ausweist. Für KMU heisst das: das Schweizer Aufsichts-Konzept folgt dem EU-Modell in den Kernpunkten, aber mit weniger formellen Konformitäts-Bewertungen und mehr Auf-Aufsichts-Ebene. revDSG bleibt der wichtigste rechtliche Hebel.
Was ein KMU 2026 konkret tun sollte
Pragmatische Schritte für ein Schweizer KMU 2026. Schritt 1: AI-Inventar. Welche KI-Tools sind im Unternehmen im Einsatz (auch SaaS-Tools wie M365 Copilot, ChatGPT-Business, Jasper)? Schritt 2: Pro Tool eine Risiko-Einordnung. Ist es verbotene Praxis (vermutlich nein, aber prüfen)? Ist es Hochrisiko (z.B. HR-Screening, Kreditbewertung)? Ist es Limited Risk (z.B. Chatbot)? Schritt 3: Transparenz umsetzen — Limited-Risk-Tools brauchen klare Hinweise (Chatbot-Kennzeichnung, Deepfake-Markierung). Schritt 4: KI-Kompetenz im Team — Schulungen für betroffene Mitarbeitende. Schritt 5: Bei Hochrisiko-Tools: technische Dokumentation, Genauigkeitsmessung, Aufzeichnungspflicht, menschliche Aufsicht definieren.
Häufige Missverständnisse
Missverständnis 1: 'Wir sind ein CH-KMU, der AI Act betrifft uns nicht.' — Falsch, sobald EU-Bezug besteht. Missverständnis 2: 'Wir nutzen nur ChatGPT, das ist nicht Hochrisiko.' — Korrekt für die meisten Anwendungen, aber wenn ChatGPT z.B. für Bewerber-Screening verwendet wird, wechselt die Klassifikation. Missverständnis 3: 'GPAI-Anbieter (OpenAI, Anthropic) sind verantwortlich, nicht wir.' — Anbieter haben eigene Pflichten, ABER der Betreiber (also Sie) hat separate Pflichten je nach Einsatz. Missverständnis 4: 'Wir warten ab, bis es Klarheit gibt.' — Genau das hat die Omnibus-Verordnung erlaubt — aber Warten heisst nicht Nichts-Tun. Inventar und Kompetenzaufbau sollten jetzt starten.
Sanktionen bei Verstössen
Der EU AI Act sieht abgestufte Sanktionen vor. Bei verbotenen Praktiken: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes — je höher. Bei Hochrisiko-Pflichten oder Verstössen gegen Transparenz: bis zu 15 Mio. € oder 3 %. Bei falschen Angaben gegenüber Behörden: bis zu 7.5 Mio. € oder 1.5 %. Für KMU gelten reduzierte Höchstgrenzen — der niedrigere der beiden Werte greift. Trotzdem sind die Bussen substantiell. Für Schweizer KMU heisst das: pragmatisch, aber ernsthaft umsetzen. Nicht weil die EU sofort prüft — sondern weil Compliance-Schulden in 2–3 Jahren teuer werden.
Wie TYTOS unterstützt
TYTOS unterstützt Schweizer KMU bei drei Aspekten der EU-AI-Act-Compliance. (1) AI-Inventar und Risiko-Einordnung — wir gehen mit Ihnen durch alle eingesetzten Tools und klassifizieren. (2) Architektur-Anpassung — wir bauen Audit-Trail, Transparenz-Layer, Human-in-the-Loop-Mechanismen in Ihre Pipelines. (3) Dokumentations-Pakete für Hochrisiko-Anwendungen — falls relevant. Wichtig: TYTOS ist keine Rechtsberatung — wir arbeiten ergänzend zur Rechts-/Compliance-Funktion. Für die juristische Beurteilung empfehlen wir Schweizer Kanzleien mit AI-Spezialisierung (z.B. Steiger Legal, MLL Legal, VISCHER, Hindshaw).