- Published on
Schweiz und EU AI Act: Eigener Weg, EU-Bindung durch den Marktort
- Authors
- Name
- Tails Azimuth
Die Schweiz steht regulatorisch in einer besonderen Konstellation. Der Bundesrat hat sich klar gegen ein horizontales KI-Gesetz nach EU-Vorbild entschieden und stattdessen einen sektoralen, technologieneutralen Ansatz gewählt. Gleichzeitig leben über 60 Prozent der Schweizer Exportwirtschaft am EU-Binnenmarkt. Für Schweizer Unternehmen, die KI in Produkten, Plattformen oder Dienstleistungen mit EU-Bezug einsetzen, ist die Schweizer Regulierung damit nur ein Teil der Wirkungskette — der andere ist der EU AI Act, der über die Marktortregel auch Anbieter ohne EU-Sitz erfasst.
Dieser Beitrag ordnet, wie sich Schweizer KI-Regulierung und EU AI Act zueinander verhalten, an welchen Stellen sich die Pflichtenlage für CH-Unternehmen ergibt — und warum der Forcing Event am 02.12.2027 auch dann zählt, wenn der Sitz in Zürich, Bern oder Lugano liegt.
Wie die Schweiz KI reguliert
Die Schweiz verfolgt einen anderen Weg als die EU. Statt eines horizontalen KI-Gesetzes mit Risikoklassen setzt der Bund auf eine sektorale Regulierung: Bestehende Aufsichtsrahmen — Datenschutzgesetz (revDSG), Finanzmarktaufsicht (FINMA), Heilmittelaufsicht (Swissmedic), Produktsicherheits- und Haftungsrecht — werden auf KI-spezifische Risiken angewendet, ergänzt durch sektorspezifische Anpassungen. Diese Linie hat der Bundesrat in seinen KI-Berichten zuletzt bestätigt und damit den Verzicht auf ein eigenes „Schweizer KI-Gesetz" begründet.
Parallel dazu hat die Schweiz die Rahmenkonvention des Europarates über künstliche Intelligenz und Menschenrechte, Demokratie und Rechtsstaatlichkeit mitgetragen. Diese Konvention — das erste völkerrechtlich verbindliche Instrument zu KI — definiert grundlegende Anforderungen an Risikomanagement, Transparenz, Aufsicht und Rechenschaftspflichten, ohne in die Tiefe risikospezifischer Pflichten zu gehen, wie es der EU AI Act tut. Für die Schweiz wird die Konvention der Anker, an den sich die sektoralen Anpassungen ausrichten.
Praktisch bedeutet das: Wer in der Schweiz ein KI-System betreibt, bewegt sich im Geflecht aus revDSG (Datenbearbeitung, automatisierte Einzelentscheidung nach Art. 21), sektoralen FINMA-Rundschreiben für Finanzdienstleister, Swissmedic-Anforderungen für Medizinprodukte, OR-Haftung — und ab Inkrafttreten der Schweizer Umsetzung der Europaratskonvention zusätzlich deren Mindestanforderungen. Eine eigene Risikoklasse „Hochrisiko-KI" mit verbindlichen Pflichten nach EU-Logik existiert in der Schweiz nicht.
Wo der EU AI Act Schweizer Unternehmen erfasst
Hier endet die Schweizer Eigenständigkeit für viele Unternehmen abrupt. Artikel 2 der Verordnung (EU) 2024/1689 regelt den territorialen Anwendungsbereich des EU AI Act ausdrücklich extraterritorial. Der Act gilt für:
Anbieter (Provider), die KI-Systeme in der Union in Verkehr bringen oder in Betrieb nehmen — unabhängig davon, ob sie in der Union oder in einem Drittstaat niedergelassen sind. Betreiber (Deployer) von KI-Systemen, die ihren Sitz in der Union haben oder dort befindlich sind. Und — der Punkt, der für viele CH-Unternehmen entscheidend ist — Anbieter und Betreiber aus Drittstaaten, deren KI-System einen Output erzeugt, der in der Union verwendet wird.
Für ein Schweizer SaaS-Unternehmen, das eine KI-gestützte Plattform an Kunden in DE, FR oder NL verkauft, ist der EU AI Act damit nicht „EU-Recht für andere", sondern unmittelbar geltende Pflichtenlage. Für einen Schweizer Hersteller, der Medizinprodukte mit KI-Komponenten in den EU-Markt bringt, gilt das Gleiche — kumulativ zu Swissmedic, MDR und sektoraler Aufsicht. Der Sitz schützt nicht; der Marktort entscheidet.
Konkret heißt das: Sobald ein Schweizer Unternehmen ein KI-System, das in eine Hochrisiko-Klasse nach Anhang III fällt, an EU-Kunden ausliefert, greifen die vollen Provider-Pflichten — Risk Management nach Art. 9, Datenqualität nach Art. 10, technische Dokumentation nach Art. 11, Protokollierung nach Art. 12, Transparenz nach Art. 13, menschliche Aufsicht nach Art. 14, Genauigkeit und Robustheit nach Art. 15. Hinzu kommen die Konformitätsbewertung und die Pflicht, einen autorisierten Vertreter in der Union zu benennen (Art. 22), der gegenüber den Marktüberwachungsbehörden verantwortlich ist.
Die Europaratskonvention als Brücke
Die Rahmenkonvention des Europarates über KI ist für die Schweizer Position strategisch entscheidend. Sie schafft einen gemeinsamen Mindeststandard, an den sowohl EU als auch Schweiz gebunden sind, ohne dass die Schweiz den EU-Rechtsakt direkt übernehmen muss. In der Praxis ergeben sich daraus zwei Effekte: Erstens werden Schweizer KI-Pflichten — etwa in einem revidierten DSG-Kontext oder in sektoralen Aufsichtsrundschreiben — in eine Richtung tendieren, die mit der EU-Logik kompatibel ist. Zweitens bleibt für CH-Unternehmen mit EU-Marktbezug ein klarer Spalt: Die Konvention setzt Grundsätze, der EU AI Act setzt detaillierte Pflichten. Wer EU-Markt bedient, erfüllt die EU-Pflichten — die Konvention reicht dafür nicht aus.
Eine ausführliche Übersicht zur Schweizer Position findet sich auf ki-regulierung.ch.
Was Schweizer Unternehmen jetzt operativ tun
Für ein Schweizer Unternehmen mit EU-Marktbezug ist die Schlussfolgerung pragmatisch: Die operative Vorbereitung auf den 02.12.2027 richtet sich nicht nach Schweizer Recht, sondern nach dem schärferen Regime — und das ist der EU AI Act. Der sinnvolle Aufbau hat drei Schichten.
Erstens: Asset-Inventur und Risikoklassifizierung. Jedes KI-System wird gegen Anhang III geprüft. Wer Recruiting-KI, Credit Scoring, KI in kritischen Infrastrukturen, Bildungs-KI oder bestimmte Behörden-Anwendungen für EU-Kunden anbietet, betreibt ein Hochrisiko-System. Diese Systeme brauchen den vollen Pflichtenkanon — egal, ob der Server in Zürich oder Frankfurt steht.
Zweitens: Trust-Infrastructure aufbauen. Die Pflichten des EU AI Act sind keine Dokumentationspflichten im engeren Sinne, sondern Nachweispflichten. Risikomanagement-Prozesse, Datenherkunfts-Belege, Test- und Validierungsergebnisse, Logging der Betriebs-Telemetrie, Aufsichts-Schnittstellen für menschliche Eingriffe — all das muss prüffähig hinterlegt sein. Wer das auf Basis eines AI Management Systems nach ISO 42001 aufsetzt und den Reifegrad nach CMMI v3 misst (AIMS-Maturity), schafft die Evidenzbasis, die sowohl EU-Marktüberwachung als auch Schweizer Sektoraufsicht überzeugt — und entkoppelt die Compliance-Folge von der Ad-hoc-Dokumentation.
Drittens: Autorisierten Vertreter und Notified Bodies klären. Schweizer Provider von Hochrisiko-KI brauchen einen autorisierten Vertreter in der Union nach Art. 22. Bei Konformitätsbewertungen, die eine notifizierte Stelle erfordern, ist frühzeitig zu klären, welche Stelle für das jeweilige Produktsegment zuständig ist und welche Wartezeiten realistisch sind. Beides ist kein Last-Minute-Thema.
Forcing Event und Verzahnung
Der Forcing Event 02.12.2027 ist für Schweizer Unternehmen mit EU-Marktbezug das verbindliche Datum. Wer bis dahin keinen prüffähigen Trust-Stack für seine Hochrisiko-Systeme aufgesetzt hat, riskiert Marktzugangsverlust und Sanktionen nach Art. 99 — bis zu 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes bei Verstößen gegen das Verbot praktiken aus Art. 5, bis zu 15 Mio. EUR oder 3 Prozent bei den meisten anderen Pflichtverletzungen. Die Schweizer Sektoraufsicht wird parallel verschärfen, sobald die Europaratskonvention nationale Wirkung entfaltet.
Die strategische Botschaft für die Schweiz ist klar: Eigener regulatorischer Weg ja, aber für jeden, der am EU-Markt operiert, ist der EU AI Act der Bezugsrahmen. Trust-Infrastructure aufzubauen, ist deshalb keine optionale Vorbereitung — sondern die operative Voraussetzung dafür, ab Dezember 2027 weiter exportieren zu können.
Mehr zur AEGIRA Trust-Platform: aegira.ai.