25. Mai 2026
EU AI Act für Schweizer Unternehmen: Was der Digital Omnibus vom Mai 2026 ändert
Der EU AI Act gilt via Marktortprinzip auch für Schweizer Unternehmen. Der Omnibus vom 7. Mai 2026 hat Fristen verschoben — aber nicht die Verbote, die seit Februar 2025 gelten.
Am 7. Mai 2026 einigten sich EU-Rat und Europäisches Parlament auf den sogenannten „Digital Omnibus on AI" — eine Vereinfachung der KI-Verordnung, die zentrale Fristen für Hochrisiko-Systeme um 16 bis 24 Monate verschiebt. Der Omnibus entstand auf Druck europäischer Technologiekonzerne wie SAP, Airbus und Siemens, die argumentierten, die ursprünglichen Fristen seien für komplexe Produktlandschaften nicht realistisch. Für Schweizer Unternehmen klingt das nach Atempause. Die Realität ist differenzierter: Was bereits in Kraft ist, bleibt in Kraft — und ob der AI Act für ein konkretes Unternehmen gilt, wird durch den Omnibus nicht einfacher.
Gilt der EU AI Act für Schweizer Unternehmen?
Das Marktortprinzip entscheidet: Wer KI-Systeme in der EU in Verkehr bringt oder KI-Outputs an Nutzer in der EU liefert, fällt unter die Verordnung — unabhängig vom Firmensitz in Zürich, Zug oder Basel. Zwei Auslöser sind relevant: Erstens der Anbieter, der ein KI-System auf dem EU-Markt platziert. Zweitens der Fall, in dem Outputs eines KI-Systems in der EU genutzt werden, auch wenn das System technisch auf Schweizer Servern läuft. Ein Schweizer SaaS-Anbieter, der eine KI-gestützte HR-Software an ein deutsches Unternehmen verkauft, ist Anbieter im Sinne des AI Acts. Eine Schweizer Kanzlei, die GPT-basierte Vertragsanalyse als Dienstleistung an EU-Kunden weitergibt, ist Betreiberin. Schätzungen zufolge bedienen 60–70 Prozent der grösseren Schweizer KI-Anbieter EU-Kunden. Diese Unternehmen brauchen einen schriftlich benannten EU-Vertreter — eine Pflicht, die der Omnibus nicht verschoben hat.
Was seit 2025 bereits in Kraft ist:
Verbotene KI-Praktiken sind seit dem 2. Februar 2025 untersagt: Social Scoring durch staatliche Stellen, biometrisches Echtzeit-Monitoring in öffentlichen Räumen sowie KI-Systeme, die menschliche Entscheidungen durch unterschwellige Techniken manipulieren. Seit dem 2. August 2025 gelten Transparenzpflichten für GPAI-Modelle: Anbieter grosser Sprachmodelle müssen technische Dokumentation, Urheberrechtsrichtlinien und Zusammenfassungen der Trainingsdaten bereitstellen. Diese Pflichten waren nie Teil des Omnibus-Pakets — sie gelten auch für Schweizer Anbieter, die solche Modelle in der EU einsetzen oder anbieten.
Was der Digital Omnibus vom 7. Mai 2026 konkret verschoben hat:
Eigenständige Hochrisiko-KI-Systeme (Anhang III) — darunter Systeme für Stellenbewerbungs-Screening, Mitarbeitenden-Beurteilung, Kreditbewertung sowie Systeme zur Priorisierung von Rettungsdiensten — müssen erst ab dem 2. Dezember 2027 compliant sein. Ursprünglich galt der 2. August 2026 als Frist, der Aufschub beträgt 16 Monate. Für produktintegrierte Hochrisiko-KI (Anhang I), also KI in regulierten Produkten wie Medizingeräten oder Industriemaschinen, verschiebt sich die Frist auf den 2. August 2028 (+24 Monate). Für KMU und neu auch „kleine Midcap-Unternehmen" (bis 750 Mitarbeitende, bis 150 Millionen Euro Jahresumsatz) gelten vereinfachte Dokumentationsanforderungen, Zugang zu Regulatory Sandboxes und standardisierte Templates. Bei Bussgeldern gilt für diese Gruppe neu der niedrigere statt der höhere Betrag zwischen Prozentwert des Jahresumsatzes und der fixen Maximalsumme aus Art. 99 AI Act. (Quelle: EU-Rat, 7. Mai 2026)
Was der Omnibus nicht angefasst hat:
Vier Punkte gelten unverändert oder treten planmässig in Kraft: - Verbotene KI-Praktiken (seit Februar 2025): kein Aufschub, keine Ausnahme - GPAI-Transparenzpflichten (seit August 2025): ebenfalls unverändert - KI-generierte Inhalte müssen ab dem 2. Dezember 2026 maschinenlesbar als solche gekennzeichnet sein - Zwei neue Verbote ab dem 2. Dezember 2026: KI zur Erstellung von nicht-konsentierten Intimmaterialien sowie CSAM Wer heute einen KI-Chatbot ohne Kennzeichnung auf der Website betreibt, ist in den Bereichen, die seit 2025 gelten, bereits im Rückstand — nicht erst ab Dezember 2027.
Was die Schweiz selbst reguliert — und wann:
Die Schweiz folgt dem DSGVO-Muster: beobachten, dann harmonisieren. Der Bundesrat hat das Eidgenössische Justiz- und Polizeidepartement (EJPD) beauftragt, bis Ende 2026 eine Vernehmlassungsvorlage zur KI-Regulierung auszuarbeiten. Im März 2025 hat die Schweiz die KI-Konvention des Europarats unterzeichnet; die Ratifikation ist in Vorbereitung. Der politische Trend geht klar zu einem Hybridmodell: Ratifikation der Europarats-Konvention plus sektorspezifische Anpassungen bestehender Gesetze — kein eigenständiges Schweizer KI-Gesetz ist geplant. Ergänzend gilt: Das Eidgenössische Datenschutzgesetz (nDSG) deckt bereits heute KI-Anwendungen ab, bei denen personenbezogene Daten verarbeitet werden — eine Datenschutz-Folgenabschätzung nach nDSG ist bei hohem Risiko Pflicht. Für Schweizer KMU bedeutet das heute: Die EU-Verordnung ist das massgebliche Regelwerk für alle, die EU-Kunden bedienen. Schweizer KI-Regulierung wird folgen, aber frühestens 2027–2028.
Wie wir das in der Praxis angehen:
In Beratungsgesprächen — und bei der Entwicklung eigener Produkte wie Mingly (Multi-LLM Desktop App) oder DocMind (RAG-Frontend für Privat-Daten) — starten wir mit einem KI-Inventory: Welche Systeme sind im Einsatz, welche Risikoklasse haben sie, wer ist Anbieter und wer Betreiber? In den meisten Fällen landen Schweizer KMU bei minimalem oder beschränktem Risiko: keine Hochrisiko-Pflichten, aber Transparenzpflichten für KI-generierte Inhalte und die geltenden Verbote. Das Inventory ist in der Regel in einem halben Tag erledigt. Der häufigste Fehler: abwarten, weil der Omnibus Fristen verlängert hat. Die Verbote und GPAI-Pflichten gelten längst.
Vier Schritte, die Sie jetzt angehen sollten:
- KI-Inventory: Liste aller eingesetzten KI-Systeme — intern und kundenseitig, inkl. eingebettete Modelle in SaaS-Produkten - Risikoklassifikation: Verbotene Praktiken ausschliessen, Hochrisiko-Systeme identifizieren (EU-Kommissions-Leitfäden sind kostenlos unter digital-strategy.ec.europa.eu verfügbar) - Rollen klären: Anbieter (das System entwickelt oder wesentlich modifiziert) oder Betreiber (das System eingesetzt)? Mischformen sind möglich - EU-Vertreter benennen: Wer als Anbieter EU-Kunden bedient und ausserhalb der EU sitzt, braucht einen schriftlich benannten EU-Vertreter — diese Pflicht wurde vom Omnibus nicht berührt
Der EU AI Act gilt für Schweizer Unternehmen — der Digital Omnibus ändert das nicht grundsätzlich. Er gibt Hochrisiko-Anbietern mehr Vorbereitungszeit, aber die Verbote gelten seit Februar 2025 und die GPAI-Pflichten seit August 2025. Wer jetzt wartet, weil „der Omnibus Zeit geschenkt hat", riskiert Compliance-Lücken in Bereichen, die nie zur Disposition standen. *Quellen: EU-Rat, Pressemitteilung, 7. Mai 2026 (consilium.europa.eu) — Steiger Legal, „EU verschiebt Pflichten für Hochrisiko-KI und vereinfacht KI-Verordnung", 8. Mai 2026 (steigerlegal.ch)*