Der EU AI Act, offiziell die Verordnung (EU) 2024/1689 und auf Deutsch als KI-Verordnung bezeichnet, ist das erste umfassende Gesetz weltweit, das künstliche Intelligenz horizontal über alle Branchen hinweg reguliert. Er wurde im August 2024 in Kraft gesetzt und wird in mehreren Stufen bis 2027 durchgesetzt, wobei die zentralen Pflichten für Hochrisiko-Systeme ab August 2026 greifen. Sein Ziel ist es, vertrauenswürdige KI in der EU zu fördern und gleichzeitig Grundrechte, Sicherheit und demokratische Werte zu schützen.
Der risikobasierte Ansatz
Das prägende Konzept des EU AI Act ist sein risikobasierter Ansatz. Statt alle KI-Systeme gleich zu behandeln, stuft die Verordnung sie nach ihrem potenziellen Schaden für Menschen und Gesellschaft ein und knüpft die Pflichten an diese Einstufung. Es gibt vier Stufen. An der Spitze stehen die verbotenen Praktiken nach Artikel 5 — KI-Anwendungen, die als so gefährlich gelten, dass sie in der EU untersagt sind, etwa Social Scoring durch staatliche Stellen oder manipulative Systeme, die die Schwächen vulnerabler Gruppen ausnutzen. Darunter liegen die Hochrisiko-Systeme, die den umfangreichsten Pflichtenkatalog tragen. Die dritte Stufe umfasst Systeme mit begrenztem Risiko, die vor allem Transparenzpflichten erfüllen müssen — ein Chatbot muss sich etwa als KI zu erkennen geben. Die vierte Stufe, minimales Risiko, umfasst die grosse Mehrheit der KI-Anwendungen wie Spamfilter und unterliegt praktisch keinen besonderen Pflichten.
Diese Abstufung ist der Schlüssel zum Verständnis des gesamten Gesetzes: Die erste und wichtigste Aufgabe für jedes Unternehmen ist die korrekte Klassifizierung seiner KI-Systeme, denn sie bestimmt, welche Pflichten überhaupt entstehen.
Wer ist betroffen?
Der EU AI Act unterscheidet verschiedene Rollen, vor allem Anbieter (Provider), die KI-Systeme entwickeln und in Verkehr bringen, und Betreiber (Deployer), die KI-Systeme einsetzen. Beide tragen Pflichten, die sich nach Rolle und Risikoklasse unterscheiden. Entscheidend ist der extraterritoriale Geltungsbereich: Der AI Act gilt nicht nur für Unternehmen mit Sitz in der EU, sondern für alle, deren KI-Systeme im EU-Markt angeboten werden oder deren Output in der EU genutzt wird. Damit fallen auch zahlreiche Schweizer, britische und US-amerikanische Unternehmen unter die Verordnung, sobald sie europäische Kunden bedienen. Für die Schweiz als Drittstaat bedeutet das: Wer KI-Produkte in der EU vertreibt oder als Zulieferer in EU-Wertschöpfungsketten eingebunden ist, muss den AI Act beachten, obwohl er ausserhalb der EU sitzt.
Die Pflichten für Hochrisiko-Systeme
Der Kern des Gesetzes liegt bei den Hochrisiko-Systemen. Fällt ein KI-System in diese Kategorie — etwa weil es in den Bereichen Personalauswahl, Kreditwürdigkeitsprüfung, kritische Infrastruktur, Bildung oder Strafverfolgung eingesetzt wird — entsteht ein umfangreiches Pflichtenpaket. Dazu gehören ein Risikomanagementsystem über den gesamten Lebenszyklus, eine Daten-Governance, die Trainings- und Eingabedaten auf Qualität und Verzerrungen prüft, eine umfassende technische Dokumentation, die automatische Protokollierung von Ereignissen, Transparenz gegenüber den Betreibern, eine wirksame menschliche Aufsicht sowie ein angemessenes Mass an Genauigkeit, Robustheit und Cybersicherheit. Vor dem Inverkehrbringen ist in der Regel eine Konformitätsbewertung erforderlich.
Bussgelder und Durchsetzung
Die Sanktionen des EU AI Act sind erheblich und an der DSGVO orientiert, aber höher angesetzt. Für die Nutzung verbotener Praktiken drohen Bussgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für Verstösse gegen die Pflichten bei Hochrisiko-Systemen sind es bis zu 15 Millionen Euro oder drei Prozent des Umsatzes, und für die Bereitstellung falscher Informationen bis zu 7,5 Millionen Euro oder ein Prozent. Durchgesetzt wird die Verordnung durch nationale Marktüberwachungsbehörden in den Mitgliedstaaten sowie das neu geschaffene AI Office auf EU-Ebene, das insbesondere für die Aufsicht über grosse KI-Modelle zuständig ist.
Der Zeitplan der Durchsetzung
Der EU AI Act wird gestaffelt wirksam. Sechs Monate nach Inkrafttreten, also seit Februar 2025, gelten die Verbote der schädlichsten Praktiken. Zwölf Monate danach, ab August 2025, greifen die Pflichten für Anbieter von General-Purpose-AI-Modellen. Die umfangreichen Anforderungen an Hochrisiko-Systeme werden ab August 2026 durchgesetzt, und für bestimmte Hochrisiko-Systeme, die in regulierte Produkte eingebettet sind, gilt eine verlängerte Frist bis 2027. Dieser gestaffelte Zeitplan bedeutet, dass Unternehmen jetzt handeln müssen: Die Klassifizierung und Dokumentation eines KI-Portfolios braucht Monate, und wer erst zur Frist beginnt, ist zu spät.
Der Bezug zur DSGVO
Der EU AI Act steht nicht allein, sondern ergänzt die bestehende Datenschutz-Grundverordnung. Sobald ein KI-System personenbezogene Daten verarbeitet — was fast immer der Fall ist — gelten beide Regelwerke parallel. Die Daten-Governance-Pflichten des AI Act überschneiden sich mit den DSGVO-Grundsätzen, automatisierte Einzelentscheidungen berühren Artikel 22 DSGVO, und die Dokumentationspflichten beider Verordnungen ergänzen sich. Sinnvolle Compliance behandelt AI Act und Datenschutz daher als ein zusammenhängendes Feld, nicht als getrennte Projekte.
Was Unternehmen jetzt tun sollten
Häufige Missverständnisse
Rund um den EU AI Act kursieren mehrere Missverständnisse, die zu falschen Schlüssen führen. Das erste ist die Annahme, der AI Act betreffe nur grosse Technologiekonzerne — tatsächlich trifft er jedes Unternehmen, das KI einsetzt oder anbietet, vom Konzern bis zum Kleinbetrieb. Das zweite ist die Vorstellung, dass Unternehmen ausserhalb der EU verschont bleiben; der extraterritoriale Geltungsbereich erfasst auch sie, sobald ihre Systeme den EU-Markt berühren. Das dritte ist die Gleichsetzung von KI-Einsatz mit Hochrisiko: Die grosse Mehrheit der KI-Anwendungen fällt in die Kategorien mit minimalem oder begrenztem Risiko und trägt nur geringe oder keine Pflichten. Das vierte Missverständnis ist, Compliance sei ein einmaliges Projekt — sie ist ein dauerhafter Betriebszustand, der mit jeder Änderung der eingesetzten KI mitwachsen muss.
Der AI Act im internationalen Vergleich
Der EU AI Act ist der erste umfassende Rechtsrahmen seiner Art und wirkt damit über die EU hinaus als Massstab — ein Phänomen, das in Anlehnung an die Datenschutz-Grundverordnung gelegentlich als Brüssel-Effekt bezeichnet wird. Andere Rechtsräume verfolgen unterschiedliche Ansätze: Die Vereinigten Staaten setzen bislang stärker auf sektorale Regeln und freiwillige Rahmenwerke, das Vereinigte Königreich auf einen prinzipienbasierten, dezentralen Ansatz. Für international tätige Unternehmen bedeutet das, dass der EU AI Act faktisch oft zum strengsten gemeinsamen Nenner wird: Wer seine Systeme nach dem AI Act ausrichtet, erfüllt in vielen Fällen auch die weniger strengen Anforderungen anderer Märkte. Das macht eine frühe Orientierung am AI Act auch strategisch sinnvoll.
Die Bedeutung für die Schweiz
Obwohl die Schweiz nicht Mitglied der EU ist und keinen eigenen, dem AI Act vergleichbaren Rechtsrahmen hat, ist die Verordnung für Schweizer Unternehmen hochrelevant. Der Marktzugang zur EU bindet sie faktisch ein: Wer KI-Produkte in der EU vertreibt oder als Zulieferer in EU-Wertschöpfungsketten eingebunden ist, muss die Anforderungen erfüllen. Hinzu kommt, dass EU-Kunden zunehmend Compliance-Nachweise von ihren Schweizer Lieferanten verlangen, sodass AI-Act-Konformität zum Wettbewerbsfaktor im B2B-Geschäft wird. Schweizer Unternehmen sollten den AI Act daher nicht als fremdes Recht abtun, sondern als geltende Anforderung für ihr EU-Geschäft behandeln. Innopulse, mit Sitz in Zug, berät genau an dieser Schnittstelle zwischen Schweizer Unternehmen und EU-Anforderungen.
Der erste konkrete Schritt ist ein vollständiges Inventar aller eingesetzten und geplanten KI-Systeme, gefolgt von ihrer Klassifizierung nach den vier Risikostufen. Daraus ergibt sich, welche Pflichten überhaupt entstehen. Parallel ist die Artikel-4-Pflicht zur KI-Kompetenz des Personals eine der ersten greifbaren Anforderungen, die ein dokumentiertes Schulungsprogramm verlangt. Für Hochrisiko-Systeme folgt der Aufbau der technischen Dokumentation und des Governance-Prozesses. Werkzeuge wie AI Risk Check von Innopulse strukturieren die Klassifizierung und Dokumentation, während die AI-Act-Compliance-Beratung die Umsetzung komplexerer Pflichten begleitet. Der EU AI Act ist kein einmaliges Projekt, sondern ein dauerhafter Betriebszustand: KI-Systeme ändern sich, und die Compliance muss mit ihnen Schritt halten.