„Der AI Act wurde doch verschoben" — und genau hier beginnt das Missverständnis
In den letzten Wochen lief eine Schlagzeile durch viele Postfächer: Die EU habe den AI Act entschärft, die Fristen seien gefallen. Wer das liest, atmet auf und legt das Thema zur Seite.
Das ist der teuerste Trugschluss, den Sie gerade machen können.
Verschoben wurde im EU-Vereinfachungspaket vom Mai 2026 nur ein Teil:
die Pflichten für sogenannte Hochrisiko-Systeme.
Die Regeln, die ein ganz normales Unternehmen treffen — Transparenz beim KI-Einsatz und der Schutz von Personendaten — bleiben bestehen und greifen weiter ab August 2026. Parallel arbeitet auch die Schweiz an einer eigenen Vorlage.
Reguliert wird nicht weniger — sondern gestaffelt mehr.
Was ein inhabergeführtes Unternehmen jetzt braucht, ist weder Panik noch Verdrängung. Sondern ein nüchterner Überblick: Was gilt heute, was kommt als Nächstes, und was bedeutet das konkret für Ihren Alltag.
Was heute schon gilt — und vielen nicht bewusst ist
Drei Dinge sind längst Realität, nicht erst Zukunftsmusik.
1. Ab dem 2. August 2026 gilt die Transparenzpflicht des EU AI Act.
Wer generative KI nutzt, um Inhalte zu erzeugen, muss diese kennzeichnen. Chatbots müssen sich als KI zu erkennen geben, künstlich erzeugte Bild-, Ton- und Videoinhalte sind als solche auszuweisen. Diese Pflicht trifft nicht nur Hochrisiko-Anwendungen, sondern im Grundsatz jedes Unternehmen, das mit KI Inhalte produziert — auch eine Schweizer Firma, sobald ihre KI-Ausgaben Adressaten in der EU erreichen.
2. Das revidierte Datenschutzgesetz bindet Sie seit September 2023.
Sobald Sie KI-Werkzeuge mit Personendaten füttern — Kundenanfragen, Offerten, Bewerbungen, Adressen — greift in der Schweiz das revidierte Datenschutzgesetz. Nicht ab August, sondern seit über zwei Jahren. Das ist die unspektakuläre, aber direkt bindende Realität.
3. KI klingt überzeugend, auch wenn sie falsch liegt.
Das grösste operative Risiko ist nicht die Behörde, sondern der ungeprüfte Output. Ein Modell formuliert eine Zahl, eine Auskunft, eine Kundenantwort sauber und selbstsicher — und liegt daneben. Wer das blind weitergibt, hat ein Qualitätsproblem, bevor er ein Rechtsproblem hat.
Was Sie heute schon einsetzen, untersteht heute schon Regeln.
Was als Nächstes kommt — der Fahrplan der Verschärfung
Hier lohnt der Blick nach vorn, denn die Staffelung ist absehbar.
Ab 2. Dezember 2026: Auch bereits im Markt befindliche generative KI-Systeme müssen ihre Ausgaben maschinenlesbar als KI-erzeugt markieren. Die Schonfrist läuft aus.
Laufend: Die EU-Kommission konkretisiert die Transparenzpflichten über Leitlinien und einen Verhaltenskodex zur Kennzeichnung KI-erzeugter Inhalte. Was heute Auslegung ist, wird damit zur überprüfbaren Anforderung.
2027 und 2028: Die Pflichten für Hochrisiko-KI greifen — nach der EU-Einigung vom Mai 2026 voraussichtlich gestaffelt ab Ende 2027 beziehungsweise Mitte 2028. Relevant, sobald KI bei Ihnen über Bewerbungen, Kreditwürdigkeit oder den Zugang zu Leistungen mitentscheidet.
Schweiz, bis Ende 2026: Der Bund erarbeitet eine Vernehmlassungsvorlage zur Umsetzung der KI-Konvention des Europarats — mit Schwerpunkt auf Transparenz, Datenschutz, Nichtdiskriminierung und Aufsicht, möglichst sektoriell. Auch die Schweiz reguliert. Nur etwas später und gezielter.
Was heute eine Empfehlung ist, ist morgen eine Pflicht.
Was das für Ihren KMU-Alltag bedeutet
Übersetzt in den Betrieb heisst das nichts Dramatisches, aber Konkretes:
Texte, Bilder oder Audio, die Sie mit KI erzeugen und nach aussen geben, gehören gekennzeichnet.
Ein Chatbot auf Ihrer Website muss erkennbar als KI auftreten.
Personendaten — Bewerbungen, Kundenlisten, Verträge — gehören nicht in ein beliebiges Tool, dessen Datenweg Sie nicht kennen.
Bei jedem KI-Dienst sollten Sie wissen, wo verarbeitet wird und ob ein Auftragsverarbeitungsvertrag vorliegt.
Und es braucht eine Person, die für den KI-Einsatz verantwortlich ist — damit Entscheidungen einen Ort haben.
Nicht jede Vorschrift trifft Sie gleich hart. Aber jede Unklarheit kostet Sie.
Die gute Nachricht: Diese Anforderungen sind kein Rechtsthema, das Sie an eine Kanzlei delegieren. Sie sind eine Frage der inneren Ordnung — und die lässt sich in drei Schritten herstellen. Unabhängig davon, welche Frist als Nächstes greift.
Schritt 1 — Inventur: Wissen, wo Sie KI bereits einsetzen
Die häufigste Lücke ist nicht fehlende Compliance. Es ist fehlende Übersicht.
KI ist in den meisten Unternehmen längst im Einsatz, nur unkoordiniert: ein Mitarbeiter textet Angebote mit ChatGPT, das Marketing erzeugt Bilder, jemand im Verkauf lässt Kundenanfragen zusammenfassen. Niemand hat das je erfasst. Und was nicht erfasst ist, lässt sich weder absichern noch kennzeichnen.
Wer nicht weiss, wo er KI einsetzt, kann sie nicht absichern.
Drei Fragen, die Sie jetzt beantworten müssen:
An welchen Stellen Ihres Betriebs ist heute KI im Spiel — auch inoffiziell, auch auf privaten Accounts Ihrer Mitarbeitenden?
Welche dieser Anwendungen verarbeiten Personen- oder Kundendaten?
Welche erzeugen Inhalte, die nach aussen gehen — und damit unter die Kennzeichnungspflicht fallen?
Schritt 2 — Datenhoheit: Was das Haus nicht verlassen darf
Sobald die Inventur steht, folgt die entscheidende Sortierung: Welche Daten dürfen in eine fremde Cloud — und welche nicht.
Viele KI-Werkzeuge schicken jede Eingabe an Server ausserhalb der Schweiz, oft ausserhalb Europas. Bei einer Marketing-Headline ist das unkritisch. Bei einer Kundenliste, einem Vertragsentwurf oder Gesundheitsdaten ist es ein Problem — rechtlich und strategisch.
Datensicherheit ist kein Juristenthema. Sie ist eine Architekturfrage.
Datenhoheit bedeutet nicht Verzicht auf KI. Es bedeutet, bewusst zu entscheiden, welche Komponente bei Ihnen läuft und welche Sie auslagern. Sensible Verarbeitung lässt sich heute auf eigener Infrastruktur betreiben, während Sie für unkritische Aufgaben weiter die schnellen Cloud-Dienste nutzen. Entscheidend ist, dass die Grenze bei Ihnen liegt und nicht beim Anbieter.
Drei Fragen, die Sie jetzt beantworten müssen:
Welche Daten dürfen Ihr Unternehmen rechtlich oder strategisch nicht verlassen?
Wissen Sie bei jedem eingesetzten KI-Dienst, wo die Daten verarbeitet werden — und ob ein Auftragsverarbeitungsvertrag vorliegt?
Welche sensible Verarbeitung würden Sie lieber auf eigener Infrastruktur halten, sobald der Aufwand vertretbar ist?
Schritt 3 — Transparenz und Verantwortung: Sichtbar machen, was KI tut
Der dritte Schritt ist der, den der AI Act ab August einfordert — und den gute Unternehmen ohnehin gehen sollten: offenlegen und festhalten.
Das heisst nicht, jede E-Mail mit einem KI-Hinweis zu pflastern. Es heisst, dort transparent zu sein, wo es zählt: beim Chatbot auf der Website, bei künstlich erzeugten Bildern in der Kommunikation, bei automatisierten Antworten an Kundinnen. Und es heisst, eine Person zu benennen, die für den KI-Einsatz verantwortlich ist — nicht als Bürokratie, sondern damit Entscheidungen einen Ort haben.
Compliance entsteht nicht aus Panik, sondern aus Struktur.
Drei Fragen, die Sie jetzt beantworten müssen:
Wo interagieren Ihre Kundinnen und Kunden mit KI, ohne es zu wissen — und wo wäre Transparenz angebracht?
Halten Sie irgendwo fest, welche KI-Werkzeuge Sie wofür einsetzen?
Wer in Ihrem Unternehmen ist verantwortlich, wenn morgen jemand fragt, wie Sie KI nutzen?
Unser Fazit
Die Regeln werden weiter anziehen. Der nächste Termin wird auf den Tisch kommen, die nächste Leitlinie, die nächste Vernehmlassung — in Brüssel wie in Bern. Manches betrifft Sie direkt, manches noch nicht.
Das ändert nichts an der einzigen Frage, die für Sie zählt: Wissen Sie, wo Ihr Unternehmen KI einsetzt, welche Daten dabei im Spiel sind, und wer dafür verantwortlich ist?
Wer die drei Schritte geht — Inventur, Datenhoheit, Transparenz — ist nicht nur auf den 2. August 2026 vorbereitet. Er hat seinen KI-Einsatz von einem diffusen Risiko in eine geführte Architektur verwandelt, die jede künftige Verschärfung mühelos aufnimmt.
Sicherheit entsteht nicht durch die lauteste Warnung. Sondern durch die Klarheit, mit der Sie wissen, was bei Ihnen läuft.
Wenn Sie wissen wollen, wo Ihr Unternehmen beim Thema Daten und KI heute steht, ist die KI-Reifegrad-Analyse von THAIC ein guter Einstieg:
18 Fragen, 5 Dimensionen, in rund 10 Minuten Klarheit über Ihren aktuellen Reifegrad und den grössten Hebel für die nächsten zwölf Monate.
Die Dimension „Wissen & Daten" trifft genau den Kern dieses Beitrags.
Kein Verkaufsgespräch. Kein Haken. Einfach ein erster Spiegel für Ihre eigene Position.