KI-Regulierung in der Schweiz 2026: Was KMU jetzt tun sollten, um sicher zu wachsen

von belmedia Redaktion

2026 ist für Schweizer Unternehmen ein besonderes Jahr in Sachen Künstliche Intelligenz (KI). Viele Teams haben längst erste Tools ausprobiert, oft still und nebenbei. Gleichzeitig wächst der Druck, KI sauber zu steuern, nicht erst wegen Gesetzen, sondern weil Kunden, Partner und Mitarbeitende klare Antworten erwarten: Woher kommen die Daten, wer haftet bei Fehlern, und wie bleibt es fair?

Die Schweiz verfolgt dabei einen „Swiss Style“: innovationsfreundlich, aber mit Leitplanken für Grundrechte und Vertrauen. Kein grosser KI-Gesamterlass über Nacht, sondern eine risikobasierte, sektorspezifische Linie und Anpassungen im bestehenden Recht.

Für KMU ist das besonders relevant. Sie haben weniger Ressourcen für Rechtsabklärungen und Kontrollen, können aber mit KI spürbar Zeit sparen und Qualität erhöhen. Der folgende Artikel ordnet den Schweizer Ansatz ein, zeigt den EU AI Act in einfachen Worten und endet mit einem 6-Schritte-Plan, der nächste Woche starten kann.

Der „Swiss Style“ der KI-Regulierung: Freiraum, aber keine Narrenfreiheit

Der Schweizer Ansatz lässt sich wie ein gut markierter Wanderweg beschreiben: Es gibt Raum, um zügig voranzukommen, aber an den Abhängen stehen Geländer. Statt ein einziges, neues KI-Gesetz für alles zu schaffen, setzt die Schweiz vor allem auf drei Ideen: Risiko statt Hype, Branche statt Giesskanne, bestehendes Recht statt Doppelspur.

Risikobasiert heisst: Je grösser die Wirkung eines KI-Systems auf Menschen, desto mehr Sorgfalt wird erwartet. Ein Tool, das interne E-Mails zusammenfasst, ist etwas anderes als ein System, das Bewerbungen vorsortiert oder Kreditlimiten vorschlägt. Sektorspezifisch heisst: In stark regulierten Bereichen greifen Regeln schon heute enger (zum Beispiel im Finanzmarkt), während andere Branchen mehr Spielraum behalten. Und Anpassungen im bestehenden Recht heisst: Viele Pflichten entstehen nicht aus „KI-Regeln“, sondern aus Regeln, die es bereits gibt.

Konkrete Beispiele, wo heute schon Leitplanken greifen:

  • revDSG (revidiertes Datenschutzgesetz): Sobald Personendaten in einer KI-Anwendung landen, gelten Datenschutzpflichten, unabhängig davon, ob es „nur“ ein Chatbot ist.
  • Produktsicherheit und Haftung: Wenn KI Teil eines Produkts oder einer Dienstleistung ist (zum Beispiel in einer Qualitätskontrolle oder in einem Töff-ähnlichen Sensor-Setup in der Industrie), zählen Sorgfalt, Tests und sichere Updates.
  • Finanzmarktregeln je nach Rolle: Wer in der Finanzbranche tätig ist, muss auch bei KI-Themen mit erhöhten Erwartungen an Kontrollen, Nachvollziehbarkeit und Risikomanagement rechnen.

Wichtig sind dabei Leitplanken, die in der Praxis immer wieder auftauchen: Grundrechte, Transparenz, Nicht-Diskriminierung, Nachvollziehbarkeit und Sicherheit. Vertrauen ist kein weiches Thema. Es ist ein Standortfaktor. Kunden kaufen eher, Partner teilen eher Daten, und Mitarbeitende akzeptieren KI eher, wenn klar ist, wie Entscheidungen entstehen und wie Fehler korrigiert werden.

Was Schweizer Firmen heute schon müssen: revDSG, Zweckbindung und sichere Datenflüsse

Für die Praxis gilt ein einfacher Satz: Personendaten in KI sind weiterhin Personendaten. Wer das vergisst, tappt schnell in typische KMU-Fallen.

Im revDSG zählen besonders diese Punkte:

  • Rechtsgrundlage und Transparenz: Betroffene müssen angemessen informiert werden, wenn Personendaten bearbeitet werden.
  • Zweckbindung: Daten dürfen nicht einfach für neue Zwecke „mitlaufen“, nur weil ein KI-Tool es könnte.
  • Datenminimierung: Nur das nutzen, was wirklich nötig ist.
  • Auftragsbearbeitung: Wenn ein SaaS-Anbieter oder Cloud-Dienst Daten verarbeitet, braucht es passende Verträge und klare Rollen.
  • Sichere Datenflüsse: Zugriffskonzepte, Protokollierung, und saubere Regeln für Exporte und Speicherorte.

Typische Fallen, die in vielen KMU bereits passieren: Kundendaten werden in öffentliche Chatbots kopiert, Verträge mit KI- oder SaaS-Anbietern sind zu dünn, der Speicherort ist unklar, oder es gibt kein sauberes Berechtigungskonzept. Die Folge ist selten ein sofortiges Drama, aber oft ein schleichender Vertrauensverlust, wenn Fragen auftauchen und niemand antworten kann.

Wo das Risiko steigt: Profiling, HR-Entscheide, Kredit und Versicherung

Bestimmte KI-Anwendungen werden schnell heikel, auch ohne Schweizer KI-Gesamterlass. Das gilt immer dann, wenn ein System Menschen bewertet oder Entscheidungen stark beeinflusst.

Beispiele aus dem Alltag:

  • Bewerbungs-Screening und HR-Scoring: Wer wird eingeladen, wer aussortiert?
  • Leistungsbewertung: Welche Kennzahlen zählen, und sind sie fair?
  • Dynamische Preise: Zahlen gewisse Gruppen systematisch mehr?
  • Bonität, Kredit, Versicherung: Wird ein Risiko korrekt eingeschätzt, oder werden Muster aus der Vergangenheit blind kopiert?
  • Schadenprüfung: Wie gut ist die Begründung, wenn es um Geld und Vertrauen geht?

Das Risiko steigt, weil Bias, fehlende Erklärbarkeit und grosse Wirkung auf einzelne Personen zusammenkommen. In solchen Fällen braucht es in der Praxis menschliche Kontrolle, Tests gegen Diskriminierung, klare Dokumentation, und eine Möglichkeit, Entscheidungen zu prüfen oder zu korrigieren. Das ist nicht Bürokratie um der Bürokratie willen, sondern eine Absicherung, die spätere Konflikte verhindert.

EU AI Act ab 2025/2026: Warum Schweizer KMU trotz Schweizer Weg betroffen sind

Viele Schweizer KMU fragen sich: „Wenn die Schweiz ihren eigenen Weg geht, betrifft uns der EU AI Act überhaupt?“ Oft lautet die Antwort: Ja, zumindest indirekt.

Der EU AI Act wird schrittweise wirksam und greift, wenn ein Unternehmen KI-Systeme in der EU anbietet, EU-Kunden bedient, eine EU-Tochter hat, Teil einer EU-Lieferkette ist oder wenn die Datenverarbeitung faktisch in der EU stattfindet (zum Beispiel durch Hosting oder Dienstleister). Es geht nicht nur um grosse Konzerne. Auch ein kleiner Anbieter mit einem starken Online-Shop kann schnell im Fokus stehen.

Die Grundlogik ist einfach: Der EU AI Act arbeitet mit Risikoklassen. Einige Anwendungen sind verboten, andere gelten als hochriskant, viele sind begrenzt riskant, und einiges ist minimal riskant. Mit dem Risiko steigen Pflichten, etwa für Dokumentation, Tests, Transparenz und laufende Kontrolle. Wer die DSGVO erlebt hat, kennt den Effekt: Ein EU-Regelwerk wird zum Standard, weil Kunden und Partner es verlangen, selbst wenn das Unternehmen ausserhalb der EU sitzt.

Die klare Botschaft für 2026: Wer „EU-ready“ arbeitet, senkt Reibung im Verkauf, in Audits und in Partnerschaften. Und es stärkt das Vertrauen, auch im Schweizer Markt.

Typische EU-Berührungspunkte: Online-Shop, SaaS, Cloud-Hosting, Lieferkette

Häufige Situationen, in denen Schweizer KMU EU-Pflichten spüren:

  • Verkauf von Produkten oder Services in EU-Länder (B2C oder B2B)
  • Support und Kundenservice für EU-Kunden
  • Nutzung von EU-Tools oder Plattformen, auch im Marketing
  • Cloud-Hosting oder Serverstandorte in der EU
  • Gemeinsame Projekte mit EU-Partnern, die Compliance-Fragen stellen

Wichtig ist auch die Rollenfrage: Wer ein KI-Produkt verkauft, ist eher „Anbieter“. Wer KI in den eigenen Prozessen nutzt, ist eher „Betreiber“. Beide Rollen können Pflichten auslösen, aber die Art der Nachweise unterscheidet sich.

Der Vorteil von „EU-ready“: weniger Risiko, bessere Deals, mehr Vertrauen

„EU-ready“ ist nicht nur Abwehr. Es kann ein Verkaufsargument sein, vor allem im B2B. Grosskunden wollen schnelle Security- und Compliance-Freigaben, klare Antworten in Ausschreibungen und saubere Verträge. Wer hier vorbereitet ist, bekommt weniger Rückfragen, verliert weniger Zeit und reduziert Vertragsrisiken.

Für regulierte Branchen zählt das doppelt. Eine freiwillige Orientierung am EU AI Act kann als Qualitätsmerkmal dienen, ähnlich wie ein sauberer Hygiene-Standard in einer Küche: Es fällt erst auf, wenn er fehlt.

KI 2026 strategisch nutzen: Ein einfacher 6-Schritte-Plan für KMU

KI bringt nur dann Nutzen, wenn sie im Alltag funktioniert, ohne Vertrauen zu zerstören. Der folgende Plan ist bewusst pragmatisch. Er passt für ein 15-Personen-Büro genauso wie für einen Produktionsbetrieb mit mehreren Standorten.

Schritt 1 bis 3: KI-Inventar, klare KI-Policy, passende Use Cases auswählen

Schritt 1: KI-Inventar erstellen. Viele Firmen nutzen KI bereits, versteckt in CRM, Buchhaltung, Marketing-Tools, HR-Software oder Support-Systemen. Ergebnis: eine Liste, was im Einsatz ist, welche Daten hineinfliessen, und ob EU-Bezug besteht. Beispiel: Ein CRM schreibt automatisch Gesprächsnotizen, dabei landen Personendaten in einem Cloud-Dienst.

Schritt 2: Eine kurze KI-Policy festlegen. Sie soll alltagstauglich sein, nicht juristisch. Ergebnis: einfache Regeln, die jede Person versteht. Beispiel: keine Geschäftsgeheimnisse in offene Tools, KI-Texte im externen Kanal kennzeichnen, Freigaben für heikle Inhalte.

Schritt 3: Use Cases nach Nutzen und Risiko sortieren. Zuerst „low risk, high value“. Ergebnis: ein klarer Startpunkt, statt 20 Experimente. Beispiel: Offerten-Entwürfe, Zusammenfassungen von Sitzungsprotokollen, interne Wissenssuche im Intranet.

Schritt 4 bis 6: Risiken prüfen, Anbieter sauber wählen, Mitarbeitende fit machen

Schritt 4: Kurz-Risiko-Check pro Use Case. Drei Fragen reichen oft: Sind Personendaten drin? Trifft es Menschen direkt (HR, Preise, Kredit)? Gibt es EU-Bezug? Ergebnis: Ampel-Einstufung und passende Schutzmassnahmen. Beispiel: Ein Chatbot für Kundenanfragen bekommt klare Sperrregeln für sensible Daten.

Schritt 5: Anbieter-Check und Verträge aufräumen. Ergebnis: Klarheit zu Datenstandort, Unterauftragnehmern, Logging, Opt-out fürs Training, Support und Exit. Beispiel: Ein SaaS-Anbieter bietet zwar KI-Funktionen, aber ohne vertragliche Zusage zur Datenverwendung, das ist ein rotes Tuch.

Schritt 6: Teams schulen und Qualität sichern. Nicht alle müssen Prompt-Profis werden, aber jede Rolle braucht Basics. Ergebnis: weniger Fehler, bessere Resultate. Beispiel: HR nutzt Vorlagen für Stelleninserate, arbeitet mit Vier-Augen-Prinzip, und prüft Formulierungen auf Fairness. Im Verkauf werden Quellen geprüft, bevor Aussagen an Kunden gehen.

Fazit: 2026 ist das Jahr für saubere KI, nicht für blinden Aktionismus

Der Schweizer „Swiss Style“ schafft Spielraum, aber die Verantwortung bleibt bei den Firmen. Der EU AI Act macht „EU-ready“ für viele KMU zur sinnvollen Basis, selbst wenn der Hauptmarkt in der Schweiz liegt. Wer in den nächsten 30 Tagen Inventar, Policy und einen Pilot umsetzt, baut Routine auf, statt nur Tools zu testen. Mit Datenschutz, Fairness und klaren Rollen wächst auch das Vertrauen. Wer sauber startet, kann später schneller skalieren und schläft ruhiger.

 

Quelle: Businessaktuell.ch-Redaktion
Bildquellen: Symbolbild 1: => Symbolbild © Zulfugar Graphics/Shutterstock.com; Symbolbild 2: => © Vrezh Gyozalyan/Shutterstock.com


    So sparen Sie Steuern!

    Erfahren Sie mehr über die Seminare der Steuersparakademie und nehmen Sie Kontakt mit Steuerexperte Philipp Stadelmann auf!

    Loading...


    Ihre Daten werden sorgsam behandelt und für die Kontaktaufnahme mit Ihnen verwendet.

    Publireportagen

    Steuersparakademie: Seminare zu Vorsorge, Steuererklärung & Finanzen

    Empfehlungen

    MEHR LESEN