IAPMESuisse
|Von Laurent Duplat, KI & KMU-Berater

EU AI Act & Schweizer KMU: Konformitätsleitfaden 2026

Der EU AI Act gilt für Schweizer KMU mit EU-Kunden. Fristen 2025-2027, Klassifizierung, Pflichten, Sanktionen, Checkliste in 7 Schritten.

EU AI Act & Schweizer KMU: Konformitätsleitfaden 2026

Viele Geschäftsführer Schweizer KMU glauben, der AI Act sei eine EU-Regelung, die sie nicht betreffe. Falsch. Wie die DSGVO zuvor gilt der AI Act extraterritorial für jedes Unternehmen, dessen KI-Systeme in der EU genutzt werden oder dessen Ergebnisse in der EU verwendet werden. Klartext: Wenn Sie auch nur einen einzigen EU-Kunden haben, sind Sie betroffen. Hier sind die Fristen, die konkreten Pflichten je Risikokategorie, die Verzahnung mit dem nDSG und die 7-Schritte-Checkliste.

Warum der AI Act Schweizer KMU betrifft

Drei Wege machen ihn unumgänglich:

  1. Markteinführung in der EU: Wenn Sie ein KI-Produkt oder -Service in einem EU-Land verkaufen, sind Sie Anbieter im Sinne des AI Act.
  2. Nutzung durch EU-Kunden: Eine Schweizer Beratung, die einem deutschen Kunden einen KI-generierten Bericht liefert, unterliegt den Transparenzpflichten.
  3. In der EU verwendete Outputs: Ein mehrsprachiger Chatbot eines Romandie-KMU, der französische Interessenten beantwortet, ist betroffen.

Das nDSG deckt personenbezogene Daten ab, der AI Act das KI-System selbst (Konzeption, Markteinführung, Marktüberwachung). Beides addiert sich. Mehr zur Datenschutzseite in unserem nDSG-Leitfaden für KMU.

Die 4 Risikostufen des AI Act

| Stufe | Definition | Status | |---|---|---| | Inakzeptabel | Social Scoring, kognitive Manipulation, biometrische Echtzeit-Fernidentifizierung zu Strafverfolgung | Verboten seit Februar 2025 | | Hochrisiko | Recruiting, Kreditscoring, medizinische Tests, kritische Infrastruktur, Justiz, Migration | Strenge Pflichten: Konformität, Audit, CE-Kennzeichnung, menschliche Aufsicht | | Begrenztes Risiko | Chatbots, Deepfakes, generative KI für Endnutzer | Transparenzpflicht: Hinweis auf KI-Interaktion | | Minimales Risiko | Spamfilter, Game-KI, einfache E-Commerce-Empfehlungen | Keine besonderen Pflichten |

Für Schweizer KMU fallen 90% der Use Cases auf begrenztes oder minimales Risiko. Aber 10% kippen unbemerkt in Hochrisiko: automatisches CV-Sortieren, Lead-Scoring, Verkaufsstellen-Videoüberwachung, HR-Bewertungstools.

Die wichtigsten Fristen 2025-2027

| Datum | Pflicht | Betroffen | |---|---|---| | 2. Februar 2025 | Verbot inakzeptabler KI-Systeme | Alle | | 2. August 2025 | Regeln für GPAI-Modelle (GPT, Claude, Gemini, Mistral) | LLM-Anbieter | | 2. Februar 2026 | Verpflichtende Verhaltenskodizes für GPAI-Anbieter | LLM-Anbieter | | 2. August 2026 | Hochrisikopflichten (Anhang III) | KMU mit HR/Scoring/Gesundheit-KI | | 2. August 2027 | Hochrisikopflichten (Anhang I — regulierte Produkte) | Industrie, Medizinprodukte |

Die 7 Schritte zur Konformität

Schritt 1: Vollständiges Inventar der KI-Systeme

Listen Sie alle KI-Tools auf (deklariert UND Schatten-IT) mit: Geschäftsnutzen, Anbieter, verarbeitete Daten, Zielpublikum (EU ja/nein). KMU entdecken meist 3 bis 5 vergessene Tools. Starten Sie mit einem kostenlosen KI-Audit.

Schritt 2: Klassifizierung nach Risikostufe

Jedes Tool einer der 4 Kategorien zuordnen. Tools für HR, Scoring, Überwachung, Kundenprognose erfordern feine Analyse.

Schritt 3: Transparente Nutzerinformation

Bei begrenztem Risiko (Chatbots, generative KI): klar kommunizieren, dass mit einer KI interagiert wird. Standardhinweis: "Diese Antwort wurde von einer künstlichen Intelligenz generiert." In AGB, Footer, Chatbot-Begrüssung integrieren.

Schritt 4: Technische Dokumentation für Hochrisiko

Konforme Doku gemäss Anhang IV (Beschreibung, Trainingsdaten, Performance-Metriken, Cybersicherheit). Anbieter (Microsoft, OpenAI) liefern einen Teil; Sie dokumentieren Ihre Nutzung.

Schritt 5: Menschliche Aufsicht

Hochrisikosysteme: Nutzer müssen den KI-Output ignorieren können, sind auf Bias-Erkennung geschult, können eingreifen. Konkret: ein Mensch validiert jede Endentscheidung (Recruiting, Kredit, Bewertung).

Schritt 6: Schulung der Teams (Art. 4 AI Act)

Pflicht in Kraft seit 2. Februar 2025: Jeder Mitarbeiter, der ein KI-System beruflich nutzt, muss angemessen geschult sein. Für ein KMU bedeutet das eine Erstschulung von 2-4h + jährliches Update. Siehe unser KI-Schulungskatalog.

Schritt 7: Logs, Audits, Marktüberwachung

KI-Nutzungslogs mindestens 6 Monate aufbewahren. Vorfallmeldeverfahren etablieren. Klassifizierung jährlich auditieren.

Sanktionen für KMU

| Verstoss | Höchststrafe | |---|---| | Verbotene KI-Praxis (inakzeptables Risiko) | 35 Mio. EUR oder 7% Weltumsatz | | Hochrisiko-Verstoss | 15 Mio. EUR oder 3% Weltumsatz | | Falschangaben gegenüber Behörden | 7,5 Mio. EUR oder 1% Weltumsatz |

Sanktionen sind grössengewichtet. Für ein KMU mit 5 Mio. CHF Umsatz beträgt die Maximalstrafe bei inakzeptablem Risiko ca. 350 000 CHF — weit von den medienwirksamen 35 Mio., aber existenzbedrohend.

Verzahnung mit nDSG: nichts doppelt machen

Wenn Sie bereits nDSG-konform sind, haben Sie 60% des AI-Act-Wegs zurückgelegt. Verzeichnis (Art. 12 nDSG), Auftragsverarbeitungsverträge, DSFA (Art. 22 nDSG), Datenschutzschulung — alles wiederverwendbar.

Spezifisch neu für AI Act:

  • Klassifizierung in 4 Risikostufen
  • CE-Kennzeichnung für hochriskante Systeme bei Markteinführung
  • Technische Doku Anhang IV
  • Nutzungslogs 6 Monate
  • Hinweis "Sie interagieren mit einer KI"

FAQ

Ist ein 5-Personen-KMU wirklich betroffen?

Wenn es einen einzigen EU-Kunden hat oder einen öffentlich zugänglichen Chatbot/generative KI nutzt: ja, für Transparenzpflichten (begrenztes Risiko). Schnell und kostengünstig umsetzbar.

Brauche ich einen AI-Act-Beauftragten?

Nein, der AI Act schreibt keinen dedizierten Beauftragten für KMU vor. Ein interner KI-Verantwortlicher (oft DSB oder IT-Leiter) genügt.

Sind GPT, Claude, Copilot Hochrisiko?

Die GPAI-Modelle selbst sind nicht Hochrisiko. Die Nutzung entscheidet. ChatGPT zur E-Mail-Erstellung = begrenztes Risiko. Dasselbe ChatGPT zur Bewerberbewertung = Hochrisiko.

Was passiert, wenn ich nichts unternehme?

Solange kein EU-Kunde klagt, bleibt das konkrete Risiko niedrig. Aber B2B verlangt zunehmend Konformitätsnachweise (Grosskunden fordern sie von ihren Schweizer Lieferanten).

Kann man nDSG- und AI-Act-Konformität kombinieren?

Ja, sogar empfohlen. Die Pflichten überschneiden sich zu 40-60%. Unser kostenloses KI-Audit deckt beide Dimensionen ab.

Möchten Sie wissen, wo Ihr KMU beim AI Act steht? Buchen Sie ein kostenloses KI-Audit. Vertiefen Sie mit unserem KI-Budget-Leitfaden und unseren Beratungsleistungen.

Zurück zum Blog