KI-Regulierung in der Schweiz: Was CH-Unternehmen wissen müssen

Das Wichtigste in Kürze

• Die Schweiz hat kein eigenes KI-Gesetz. Der Bundesrat beobachtet die Entwicklungen in der EU, plant aber derzeit keine eigenständige KI-Verordnung.
• Schweizer Unternehmen können trotzdem dem EU AI Act unterliegen -- nämlich dann, wenn ihre KI-Systeme Wirkung in der EU entfalten (Art. 2 Abs. 1 VO (EU) 2024/1689).
• Das revidierte Datenschutzgesetz (revDSG) enthält bereits relevante KI-Vorschriften: Informationspflichten, automatisierte Einzelentscheidungen (Art. 21 revDSG) und die Pflicht zur Datenschutz-Folgenabschätzung.
• Wer in die EU liefert oder EU-Kunden bedient, muss sich auf eine doppelte Compliance-Struktur einstellen: revDSG plus EU AI Act und DSGVO.
• Eine frühzeitige Vorbereitung schützt vor Bußgeldern, Marktzugangsverlust und Reputationsschäden.

Die Schweizer KI-Landschaft: Kein eigenes KI-Gesetz -- aber kein rechtsfreier Raum

Die Schweiz gehört zu den innovativsten KI-Standorten Europas. Die ETH Zürich, die EPFL und zahlreiche Start-ups treiben Forschung und Anwendung voran. Gleichzeitig hat der Gesetzgeber bisher bewusst auf eine eigenständige KI-Regulierung verzichtet.

Der Bundesrat hat in mehreren Berichten -- zuletzt im November 2023 -- seine Position dargelegt: Die Schweiz setzt auf einen sektorspezifischen Ansatz. Bestehende Gesetze (Datenschutz, Produkthaftung, Wettbewerbsrecht) sollen auch für KI-Anwendungen gelten. Ein horizontales KI-Gesetz nach dem Vorbild des EU AI Act ist derzeit nicht geplant.

Das bedeutet jedoch nicht, dass Schweizer Unternehmen beim Einsatz von KI keinerlei Regeln beachten müssen. Im Gegenteil: Durch das revidierte Datenschutzgesetz (revDSG), das seit dem 1. September 2023 in Kraft ist, gelten bereits substantielle Anforderungen. Und durch den extraterritorialen Anwendungsbereich des EU AI Act können Schweizer Firmen auch direkt von EU-Recht betroffen sein.

Warum die Schweiz (noch) abwartet

Der Bundesrat verfolgt eine beobachtende Strategie mit klarer Begründung:

• Äquivalenzprinzip: Die Schweiz strebt traditionell eine Gleichwertigkeit mit EU-Recht an (wie beim Datenschutz), ohne Regelungen eins zu eins zu übernehmen.
• Innovationsfreundlichkeit: Ein zu strikter Regulierungsrahmen könnte den Standortvorteil der Schweiz im KI-Bereich gefährden.
• Abwarten der Praxis: Der EU AI Act ist erst seit August 2024 in Kraft. Die Schweiz beobachtet, wie die Umsetzung in der EU verläuft, bevor eigene Schritte eingeleitet werden.

Dennoch ist absehbar, dass die Schweiz mittelfristig nachziehen wird -- sei es durch eine eigene KI-Verordnung oder durch Anpassung bestehender Gesetze. Unternehmen sollten sich daher jetzt vorbereiten.

Wann gilt der EU AI Act für Schweizer Unternehmen?

Dies ist die zentrale Frage für viele CH-Firmen -- und die Antwort überrascht: Der EU AI Act kann auch dann gelten, wenn ein Unternehmen seinen Sitz ausschließlich in der Schweiz hat.

Der extraterritoriale Anwendungsbereich (Art. 2 Abs. 1)

Art. 2 Abs. 1 der Verordnung (EU) 2024/1689 regelt den Anwendungsbereich des AI Act. Demnach gilt die Verordnung für:

• Anbieter, die KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen -- unabhängig davon, ob sie in der EU oder einem Drittstaat niedergelassen sind.
• Betreiber von KI-Systemen, die ihren Sitz in der EU haben oder deren KI-Systeme in der EU eingesetzt werden.
• Anbieter und Betreiber von KI-Systemen, deren Output in der EU verwendet wird.

Der entscheidende Punkt: Es genügt, dass der Output eines KI-Systems in der EU genutzt wird. Eine physische Präsenz in der EU ist nicht erforderlich.

Konkretes Beispiel

Ein Zürcher Software-Unternehmen entwickelt ein KI-basiertes Kreditscoring-Tool. Das Tool wird an eine deutsche Bank lizenziert, die es zur Bonitätsprüfung einsetzt. In diesem Fall:

• Das Zürcher Unternehmen ist Anbieter im Sinne des AI Act.
• Das KI-System wird in der EU in Betrieb genommen.
• Es handelt sich um ein Hochrisiko-KI-System (Kreditwürdigkeitsprüfung, Anhang III Nr. 5b).
• Der AI Act gilt vollumfänglich -- einschließlich Konformitätsbewertung, CE-Kennzeichnung, Risikomanagement und Dokumentationspflichten.

Parallele zum DSGVO-Marktortprinzip

Das Prinzip ist nicht neu. Bereits die DSGVO (Art. 3 Abs. 2 VO (EU) 2016/679) kennt den extraterritorialen Anwendungsbereich: Wer Personen in der EU Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet, unterliegt der DSGVO -- unabhängig vom Firmensitz. Der AI Act folgt derselben Logik.

Das revDSG und KI: Was das Schweizer Datenschutzgesetz fordert

Auch ohne ein eigenes KI-Gesetz enthält das revidierte Datenschutzgesetz (revDSG) bereits Vorschriften, die beim Einsatz von KI unmittelbar relevant sind.

Automatisierte Einzelentscheidungen (Art. 21 revDSG)

Art. 21 revDSG regelt automatisierte Einzelentscheidungen -- also Entscheidungen, die ausschließlich auf automatisierter Datenverarbeitung beruhen und mit einer Rechtsfolge oder erheblichen Beeinträchtigung für die betroffene Person verbunden sind.

Die Pflichten im Überblick:

• Informationspflicht: Die betroffene Person muss darüber informiert werden, dass eine automatisierte Einzelentscheidung getroffen wird (Art. 21 Abs. 1 revDSG).
• Recht auf Überprüfung: Die betroffene Person kann verlangen, dass die Entscheidung von einer natürlichen Person überprüft wird (Art. 21 Abs. 2 revDSG).
• Stellungnahme: Die betroffene Person muss die Möglichkeit erhalten, ihren Standpunkt darzulegen.

Im Vergleich zur DSGVO (Art. 22) ist Art. 21 revDSG weniger restriktiv: Das revDSG enthält kein grundsätzliches Verbot automatisierter Einzelentscheidungen, sondern stellt auf Information und Überprüfungsmöglichkeit ab.

Datenschutz-Folgenabschätzung (DSFA)

Art. 22 revDSG verlangt eine Datenschutz-Folgenabschätzung, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Beim Einsatz von KI-Systemen ist dies regelmäßig der Fall, insbesondere bei:

• Profiling mit hohem Risiko
• Automatisierten Einzelentscheidungen nach Art. 21 revDSG
• Umfangreicher Bearbeitung besonders schützenswerter Personendaten
• Systematischer Überwachung öffentlicher Bereiche

Informationspflichten (Art. 19 revDSG)

Jede Beschaffung von Personendaten -- auch durch KI-Systeme -- löst Informationspflichten aus. Die betroffene Person muss unter anderem über den Zweck der Bearbeitung, die Empfänger und bei Datenexport ins Ausland über den Zielstaat informiert werden.

Vergleichstabelle: revDSG vs. DSGVO bei KI-Einsatz

Wichtig: Ein wesentlicher Unterschied ist das Sanktionsmodell. Während die DSGVO Unternehmen mit Millionenbußgeldern belegt, richtet sich das revDSG mit bis zu CHF 250.000 gegen die verantwortlichen natürlichen Personen -- also Geschäftsführer, Datenschutzverantwortliche oder andere Entscheidungsträger.

Praktische Szenarien: Wann Schweizer Firmen handeln müssen

Szenario 1: CH-Firma verkauft KI-Software an EU-Kunden

Situation: Ein Basler Start-up entwickelt eine KI-gestützte Software zur Bewerberanalyse und verkauft Lizenzen an Unternehmen in Deutschland und Frankreich.

Rechtliche Einordnung:

• Das Start-up ist Anbieter eines Hochrisiko-KI-Systems (Anhang III Nr. 4a VO (EU) 2024/1689: KI-Systeme in der Beschäftigung, Personalverwaltung und Zugang zur Selbstständigkeit).
• Der EU AI Act gilt vollumfänglich, da das System in der EU in Betrieb genommen wird.
• Zusätzlich gilt die DSGVO über das Marktortprinzip (Art. 3 Abs. 2 VO (EU) 2016/679), da personenbezogene Daten von EU-Bürgern verarbeitet werden.
• Das revDSG gilt ebenfalls, soweit in der Schweiz Personendaten bearbeitet werden.

Handlungsbedarf:

• Vollständige Konformitätsbewertung nach dem AI Act
• CE-Kennzeichnung des KI-Systems
• Benennung eines Bevollmächtigten in der EU (Art. 22 VO (EU) 2024/1689)
• DSGVO-konforme Datenschutzerklärung und ggf. Auftragsverarbeitungsvertrag
• DSFA nach revDSG und DSGVO

Szenario 2: CH-Firma nutzt ChatGPT intern

Situation: Ein Luzerner Treuhandbüro nutzt ChatGPT (via API) zur Erstellung von Kundenbriefen und zur Analyse von Finanzunterlagen.

Rechtliche Einordnung:

• Das Treuhandbüro ist Betreiber eines KI-Systems mit begrenztem Risiko.
• Der EU AI Act ist nicht direkt anwendbar, solange der Output ausschließlich in der Schweiz genutzt wird und keine EU-Bürger betroffen sind.
• Das revDSG gilt jedoch vollumfänglich, da Personendaten von Kunden bearbeitet werden.
• Beim Hochladen von Kundendaten in ChatGPT liegt ein Datenexport in die USA vor -- dies erfordert geeignete Garantien nach Art. 16 ff. revDSG.

Handlungsbedarf:

• Prüfung, ob personenbezogene Daten an OpenAI übermittelt werden (Datenexport-Prüfung)
• Information der Kunden über den KI-Einsatz (Art. 19 revDSG)
• Interne Richtlinie, welche Daten in ChatGPT eingegeben werden dürfen
• Ggf. DSFA, wenn besonders schützenswerte Finanzdaten verarbeitet werden
• Nutzung der API mit Opt-out für Trainingsdatennutzung

Szenario 3: CH-Tochter eines EU-Konzerns

Situation: Die Schweizer Tochtergesellschaft eines deutschen Industriekonzerns setzt ein konzernweites KI-basiertes Predictive-Maintenance-System ein.

Rechtliche Einordnung:

• Die deutsche Muttergesellschaft unterliegt als Betreiber dem EU AI Act und der DSGVO.
• Die Schweizer Tochter unterliegt dem revDSG.
• Das Predictive-Maintenance-System ist in der Regel kein Hochrisiko-System, da es keine natürlichen Personen betrifft, sondern Maschinendaten analysiert.
• Werden jedoch Mitarbeiterdaten erfasst (z. B. Nutzungsverhalten, Arbeitszeiten an Maschinen), kann eine Hochrisiko-Einstufung eintreten.

Handlungsbedarf:

• Prüfung, ob personenbezogene Daten verarbeitet werden
• Konzernweite KI-Governance-Richtlinie, die sowohl AI Act als auch revDSG berücksichtigt
• Datentransfer-Mechanismen zwischen EU und Schweiz sicherstellen (die EU hat die Schweiz als sicheres Drittland anerkannt -- der Angemessenheitsbeschluss gilt weiterhin)
• Schulung der Schweizer Mitarbeitenden gemäß Art. 4 VO (EU) 2024/1689 (KI-Kompetenzpflicht), sofern der Konzern dies als Gruppenstandard vorgibt

Compliance-Empfehlungen für Schweizer Unternehmen

1. KI-Inventar erstellen

Erfassen Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt werden -- von der unternehmenskritischen Anwendung bis zum ChatGPT-Zugang einzelner Mitarbeitender. Dokumentieren Sie für jedes System:

• Zweck und Einsatzbereich
• Art der verarbeiteten Daten
• Herkunft und Anbieter des Systems
• Ob der Output in der EU Wirkung entfaltet

2. EU-Bezug prüfen

Analysieren Sie systematisch, ob ein Nexus zur EU besteht:

• Haben Sie Kunden, Nutzer oder Geschäftspartner in der EU?
• Wird der Output Ihrer KI-Systeme in der EU verwendet?
• Verarbeiten Sie personenbezogene Daten von EU-Bürgern?

Ist eine dieser Fragen mit Ja zu beantworten, sollten Sie von einer Anwendbarkeit des EU AI Act und/oder der DSGVO ausgehen.

3. Risikoklassifizierung durchführen

Bewerten Sie jedes KI-System nach dem Risikoklassifizierungsschema des EU AI Act (Art. 5-6 und Anhang III VO (EU) 2024/1689) -- auch wenn Sie nicht sicher sind, ob der AI Act für Sie gilt. Diese Bewertung verschafft Ihnen Klarheit über Ihr Risikoexposure und bereitet Sie auf eine mögliche Schweizer KI-Regulierung vor.

4. revDSG-Compliance sicherstellen

Stellen Sie sicher, dass Ihre KI-Nutzung mit dem revDSG konform ist:

• Informieren Sie betroffene Personen über automatisierte Entscheidungen (Art. 21 revDSG)
• Führen Sie eine DSFA durch, wenn ein hohes Risiko besteht (Art. 22 revDSG)
• Prüfen Sie Datenexporte ins Ausland (Art. 16 ff. revDSG)
• Führen Sie ein Verzeichnis der Bearbeitungstätigkeiten (Art. 12 revDSG)

5. KI-Kompetenz aufbauen

Auch wenn die KI-Kompetenzpflicht des Art. 4 VO (EU) 2024/1689 formal nur in der EU gilt, ist sie als Best Practice auch für Schweizer Unternehmen empfehlenswert. Schulen Sie Ihre Mitarbeitenden im verantwortungsvollen Umgang mit KI -- das reduziert Risiken und bereitet auf kommende Regulierung vor.

6. Governance-Struktur aufsetzen

Definieren Sie klare Verantwortlichkeiten für KI-Compliance:

• Wer entscheidet über den Einsatz neuer KI-Systeme?
• Wer führt die Risikoklassifizierung durch?
• Wer überwacht die Einhaltung von revDSG und ggf. EU AI Act?
• Wer ist Ansprechpartner für den EDÖB und ggf. EU-Aufsichtsbehörden?

Häufig gestellte Fragen (FAQ)

Gilt der EU AI Act direkt in der Schweiz?

Nein. Der EU AI Act ist eine EU-Verordnung und gilt nicht direkt in der Schweiz. Die Schweiz ist kein EU-Mitgliedstaat und hat die Verordnung nicht übernommen. Allerdings kann der AI Act Schweizer Unternehmen indirekt betreffen, wenn ihre KI-Systeme in der EU eingesetzt werden oder dort Wirkung entfalten (Art. 2 Abs. 1 VO (EU) 2024/1689). Diesen extraterritorialen Anwendungsbereich sollten Schweizer Firmen nicht unterschätzen.

Reicht es aus, nur das revDSG zu beachten?

Das kommt darauf an. Wenn Ihr Unternehmen ausschließlich in der Schweiz tätig ist und keinerlei EU-Bezug hat, ist das revDSG Ihr primärer Rechtsrahmen. Sobald jedoch EU-Kunden, EU-Nutzer oder ein Datenfluss in die EU hinzukommen, müssen Sie zusätzlich die DSGVO und möglicherweise den EU AI Act berücksichtigen. In der Praxis haben die meisten international tätigen Schweizer Unternehmen einen EU-Bezug.

Welche Bußgelder drohen Schweizer Unternehmen?

Beim revDSG drohen Bußen bis zu CHF 250.000 -- und zwar gegen die verantwortlichen natürlichen Personen, nicht gegen das Unternehmen selbst. Falls der EU AI Act anwendbar ist, kommen die Sanktionen der Verordnung hinzu: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei verbotenen KI-Praktiken, bis zu 15 Millionen Euro oder 3 % bei Verstößen gegen Betreiberpflichten. Hinzu kommt das Risiko des Marktausschlusses: Nicht-konforme KI-Systeme dürfen in der EU nicht angeboten werden.

Plant die Schweiz ein eigenes KI-Gesetz?

Derzeit nein. Der Bundesrat hat wiederholt erklärt, dass er den sektorspezifischen Ansatz bevorzugt und die EU-Entwicklungen beobachtet. Es ist jedoch wahrscheinlich, dass die Schweiz mittelfristig entweder ein eigenes KI-Gesetz verabschiedet oder bestehende Gesetze anpasst -- insbesondere wenn die EU den AI Act erfolgreich umsetzt und die Schweiz unter Druck gerät, die Gleichwertigkeit ihres Rechtsrahmens sicherzustellen. Der früheste realistische Zeitpunkt für eine Schweizer KI-Regulierung wäre 2027-2028.

Braucht ein Schweizer KMU, das KI nur intern nutzt, wirklich eine Compliance-Strategie?

Ja. Auch die rein interne Nutzung von KI-Tools wie ChatGPT, Microsoft Copilot oder KI-gestützten Analyse-Werkzeugen unterliegt dem revDSG, sobald Personendaten verarbeitet werden. Zudem besteht das Risiko von Shadow AI -- also dem unkontrollierten Einsatz von KI-Tools durch Mitarbeitende. Eine KI-Richtlinie, eine Übersicht der eingesetzten Tools und grundlegende Schulungen sind auch für KMU unverzichtbar. Der Aufwand ist überschaubar und steht in keinem Verhältnis zu den Risiken einer Nichtbeachtung.

Fazit: Jetzt handeln statt abwarten

Die Schweiz mag (noch) kein eigenes KI-Gesetz haben -- aber der regulatorische Druck steigt. Durch den extraterritorialen Anwendungsbereich des EU AI Act, die Anforderungen des revDSG und die wachsenden Erwartungen von Geschäftspartnern und Kunden ist KI-Compliance auch für Schweizer Unternehmen keine optionale Übung mehr.

Wer jetzt die Grundlagen legt -- KI-Inventar, Risikoklassifizierung, revDSG-Konformität und Mitarbeiterschulung --, ist nicht nur für die heutige Rechtslage gerüstet, sondern auch für die absehbare Regulierung der Zukunft.

---

Sie möchten wissen, ob der EU AI Act für Ihr Schweizer Unternehmen gilt? KI Comply unterstützt Sie bei der Analyse, Risikoklassifizierung und Compliance-Umsetzung -- von der DSFA bis zur Mitarbeiterschulung. Jetzt kostenlos beraten lassen →