Schweizer KI-Regulierung 2026: Sektor-spezifisch statt EU AI Act

Die Schweiz geht einen eigenen Weg: Council of Europe AI-Konvention mit Sektor-Amendments statt umfassendem AI Act. Consultation-Draft Ende 2026. Was Agenturen jetzt wissen müssen.

Die Schweiz hat sich am 12. Februar 2025 gegen ein umfassendes AI-Gesetz nach EU-Vorbild entschieden. Stattdessen setzt der Bundesrat auf die Council of Europe AI-Konvention (unterzeichnet März 2025) plus sektor-spezifische Anpassungen in bestehenden Gesetzen. Ein Consultation-Draft ist für Ende 2026 geplant. Für Schweizer Digitalagenturen bedeutet das: leichtere Regulierung als die EU, aber NDSG-Compliance und FINMA-Guidance (falls Finanzsektor) bleiben zwingend. Wer jetzt AI-Governance-Policies aufsetzt, ist 2027 voraus.

Die Schweiz geht einen eigenen Weg

Am 12. Februar 2025 entschied der Schweizer Bundesrat: kein umfassendes, horizontales AI-Gesetz nach EU-Vorbild. Stattdessen drei Säulen:

1. Ratifizierung der Council of Europe AI-Konvention — weltweit erstes rechtsverbindliches internationales KI-Framework (verabschiedet 17. Mai 2024). Die Schweiz führte die Verhandlungen, 57 Staaten (alle G7-Mitglieder) nahmen teil. Unterzeichnung durch die Schweiz im März 2025.

2. Sektor-spezifische Gesetzesänderungen — wo nötig, werden bestehende Gesetze angepasst (z.B. FINMA-Framework für Finanzdienstleister, Therapeutic Products Act für Medizinprodukte, Mediengesetz für Algorithmic Content Curation). Keine neue, umfassende AI-Regulierung von Grund auf.

3. Cross-sektorale Regeln nur für Grundrechte — Datenschutz, Transparenz, Nicht-Diskriminierung und Aufsicht werden übergreifend geregelt. Alles andere bleibt sektor-spezifisch.

Das Bundesamt für Justiz (FDJP), zusammen mit DETEC (Umwelt, Verkehr, Energie, Kommunikation) und FDFA (Auswärtige Angelegenheiten), wird bis Ende 2026 einen Consultation-Draft vorlegen. Parallel dazu wird ein Plan für nicht-rechtliche Begleitmassnahmen erarbeitet (z.B. Selbstdeklarationen, Industrie-geführte Lösungen), um Kompatibilität mit Handelspartnern (insbesondere EU) sicherzustellen.

Fundamental Rights statt umfassender AI Act

Der Schweizer Ansatz unterscheidet sich fundamental vom EU AI Act, der im August 2024 in Kraft trat und horizontal (über alle Branchen hinweg) reguliert. Der EU AI Act stuft AI-Systeme nach Risiko ein (verboten / hoch / mittel / niedrig) und definiert entsprechende Compliance-Anforderungen. Das ist aufwändig, teuer und trifft KMU besonders hart.

Die Schweiz setzt stattdessen auf drei Prinzipien:

1. Innovation fördern — die Schweiz will AI-Hub bleiben. Regulierung darf Innovation nicht ersticken.
2. Grundrechte schützen — wirtschaftliche Freiheit, Datenschutz, Nicht-Diskriminierung.
3. Vertrauen aufbauen — Transparenz und Rechenschaft in AI-Entscheidungen.

Was wird cross-sektoral reguliert?

• Transparenz — AI-Systeme müssen offenlegen, dass sie AI sind (z.B. Chatbots, automatisierte Entscheidungen).
• Datenschutz — bestehendes NDSG (in Kraft seit 1. September 2023) gilt bereits für AI. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist zentrale Aufsichtsbehörde.
• Nicht-Diskriminierung — AI darf nicht systematisch benachteiligen (z.B. Kredit-Scoring, HR-Algorithmen).
• Aufsicht — dezentral über bestehende Sektor-Regulatoren (FINMA für Finanzen, Swissmedic für Medizinprodukte, BAKOM für Medien usw.).

Was bleibt sektor-spezifisch?

• Finanzmarkt — FINMA-Guidance 08/2024 (siehe nächster Abschnitt).
• Gesundheitswesen — Therapeutic Products Act (TPA) + Medical Devices Ordinance (MedDO). Swissmedic überwacht AI-generierte Elemente in Medizinprodukten.
• Wettbewerb — Kartellgesetz (CartA) für algorithmisches Pricing, Plattform-Verhalten.
• Urheberrecht — Copyright Act (CopA) für Training-Daten, Software-Outputs, Lizenzierung.

Für Schweizer Digitalagenturen wie Next Digital Agency (Compliance-Consulting), Metanet (Enterprise-Hosting/SaaS) oder PixelCaptain (Fintech/Banking-UI) ist der Schweizer Ansatz leichter zu navigieren als der EU AI Act — solange man die relevanten Sektor-Regeln kennt.

FINMA, NDSG und die praktische Umsetzung

FINMA-Guidance 08/2024: AI im Finanzsektor

Im Dezember 2024 publizierte die Schweizerische Finanzmarktaufsicht (FINMA) ihre Guidance 08/2024 zu AI-Risiken. Basis war eine Umfrage bei 400 beaufsichtigten Instituten (Banken, Versicherungen, Vermögensverwalter):

• 50 % nutzen AI oder haben Anwendungen in Entwicklung.
• Durchschnittlich 5 Apps live, 9 in Entwicklung pro Institut.
• Hauptrisiken: Bias (verzerrte Modelle), Datenschutz, IT-Sicherheit.

FINMA erwartet von Finanzinstituten:

1. Governance — Board und Management müssen AI-Risiken verstehen und überwachen.
2. Risikomanagement — AI-Modelle müssen getestet, validiert und dokumentiert werden.
3. Outsourcing-Kontrolle — wenn AI über Cloud-Provider läuft (z.B. OpenAI API, Anthropic), muss das Institut sicherstellen, dass die Daten-Hoheit gewahrt bleibt.
4. Modell-Kontrollen — explainability (erklärbare Entscheidungen), robustness (Modell funktioniert auch bei unerwarteten Inputs), fairness (keine systematische Benachteiligung).

Schweizer Agenturen, die AI-Lösungen für Banken oder Versicherungen bauen (z.B. PixelCaptain für Banking-UI, Metanet für SaaS-Infrastruktur), sollten FINMA-Guidance 08/2024 als Minimum-Standard für Kundenprojekte nutzen.

NDSG: Datenschutz gilt auch für AI

Das revidierte Bundesgesetz über den Datenschutz (NDSG) ist seit 1. September 2023 in Kraft. Es gilt automatisch für AI, wenn Personendaten verarbeitet werden — was bei den meisten AI-Anwendungen der Fall ist (Chatbots, Content-Generation mit User-Input, Personalisierung, HR-Algorithmen).

Wichtigste NDSG-Anforderungen für AI:

• Zweckbindung — Daten dürfen nur für den deklarierten Zweck verwendet werden. Wenn ein AI-Modell mit Kundendaten trainiert wird, muss das transparent sein.
• Transparenz — Betroffene müssen wissen, dass AI ihre Daten verarbeitet.
• Auskunftsrecht — Betroffene können verlangen zu erfahren, welche Daten die AI über sie verarbeitet hat.
• Löschpflicht — wenn der Verarbeitungszweck wegfällt, müssen Daten gelöscht werden. Schwierig bei AI-Modellen, die Daten in Trainingsdaten “einbrennen”.

Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) hat mehrere Guidances publiziert, die explizit AI-Verarbeitung adressieren. Schweizer Agenturen sollten diese lesen — sie sind öffentlich zugänglich auf der EDÖB-Website.

E-Commerce-Agenturen wie Becom (E-Commerce + NDSG-Compliance) sollten AI-Features (z.B. Product-Recommendations, Chatbots) mit NDSG-konformen Consent-Flows ausliefern — sonst drohen Bussen bis CHF 250’000 (für natürliche Personen) bzw. unbegrenzt für juristische Personen (abhängig von Schwere des Verstosses).

Swissmedic: AI in Medizinprodukten

Das Bundesamt für Gesundheit (BAG) führt aktuell eine umfassende Bewertung zur Nutzung und Regulierung von KI im Gesundheitswesen durch. Swissmedic (Schweizerische Zulassungs- und Aufsichtsbehörde für Heilmittel) hat Guidelines publiziert zu AI-generierten Elementen in Medizinprodukten (z.B. Bilderkennung in Diagnostik-Software).

Wichtig für Agenturen, die Healthcare-Projekte bauen: Wenn die Software als Medizinprodukt qualifiziert (z.B. diagnostische Entscheidungen trifft), braucht sie eine Konformitätsbewertung und unterliegt Marktüberwachung. Swissmedic erwartet:

• Sicherheitsnachweise — klinische Validierung, dass die AI zuverlässig arbeitet.
• Risikoklassifizierung — nach Medical Devices Ordinance (MedDO).
• Post-Market-Surveillance — auch nach Zulassung muss die AI überwacht werden (z.B. regelmässige Bias-Tests).

Healthcare-Agenturen sollten früh mit Swissmedic Kontakt aufnehmen — die Behörde bietet Beratungsgespräche für Hersteller an.

Vergleich: Schweiz vs. EU AI Act vs. USA (kein Gesetz)

Wichtig für Schweizer Agenturen: Wenn Ihre Kunden EU-Marktpräsenz haben, gilt der EU AI Act extraterritorial. Das heisst: Auch Schweizer Anbieter müssen Compliance nachweisen, wenn ihre AI-Systeme in der EU genutzt werden. Der “Swiss Light Touch” hilft dann nicht.

Was Agenturen jetzt tun sollten

Drei konkrete Schritte:

1. NDSG-Compliance prüfen

Jede AI-Anwendung, die Personendaten verarbeitet, muss NDSG-konform sein. Checkliste:

• Transparenz: Nutzer wissen, dass AI ihre Daten verarbeitet?
• Zweckbindung: Daten werden nur für deklarierten Zweck genutzt?
• Auskunftsrecht: Prozess vorhanden, um User-Anfragen zu beantworten?
• Löschpflicht: Daten werden gelöscht, wenn Zweck wegfällt?
• Daten-Hosting: Wo liegen die Daten? (CH/EU = besser als USA/Asien)

Schweizer Hosting-Provider wie Metanet oder Cyon bieten NDSG-konforme Infrastruktur — Vorteil gegenüber US-Clouds (AWS, Azure, Google Cloud), wo zusätzliche Standard-Contractual-Clauses nötig sind.

2. FINMA-Guidance lesen (falls Finanzsektor)

Wenn Sie Banken, Versicherungen oder Asset Manager als Kunden haben: FINMA-Guidance 08/2024 als Minimum-Standard nutzen. Konkret:

• Model-Validation-Reports schreiben (wie wurde das AI-Modell getestet?)
• Bias-Testing dokumentieren (systematische Benachteiligung ausschliessen)
• Explainability-Logs bereitstellen (wie kam die AI zu dieser Entscheidung?)

Agenturen wie PixelCaptain (Banking-UI) sollten diese Punkte im Pitch erwähnen — Banken sind regulatorisch paranoid, jedes Compliance-Signal ist ein Verkaufsargument.

3. Consultation-Draft Ende 2026 tracken

Der Gesetzesentwurf kommt Ende 2026 in die öffentliche Konsultation. Das ist Ihre Chance, Feedback zu geben und die Regulierung mitzugestalten. Industrie-Verbände (z.B. digitalswitzerland, ICTswitzerland, Swiss FinTech Innovations) werden koordinierte Stellungnahmen einreichen — Agenturen sollten sich beteiligen.

Konkrete Punkte, die Agenturen lobbyen sollten:

• KMU-Entlastung — kleine Agenturen (< 50 Mitarbeitende) sollten vereinfachte Compliance-Wege bekommen.
• Klarheit bei Cloud-AI — wenn eine Agentur OpenAI/Anthropic/Google API nutzt (statt eigene Modelle trainiert), wer ist dann verantwortlich für Bias/Explainability?
• Schweizer AI-Sandbox — nach Vorbild der UK FCA eine regulatorische Sandbox, wo neue AI-Produkte unter Aufsicht getestet werden können, ohne sofort volle Compliance zu brauchen.

Häufig gestellte Fragen

International vergleichbare Ansätze

Andere Länder, die nicht den EU-Ansatz wählen:

• UK — risikobasiert, aber leichter als EU. AI Safety Institute für Forschung + Testing.
• Singapur — “Model AI Governance Framework”, freiwillig, fokussiert auf Fairness + Transparenz.
• Kanada — Artificial Intelligence and Data Act (AIDA), Teil des Bill C-27, fokussiert auf High-Impact-Systeme.
• USA — kein umfassendes Bundesgesetz. NIST AI Risk Management Framework (freiwillig), sektor-spezifische Regeln (FTC für Consumer Protection, FDA für Medizin, SEC für Finanzen).

Die Schweiz ist mit ihrem Ansatz näher an UK und Singapur als an der EU. Das ist attraktiv für internationale Tech-Unternehmen, die einen EU-nahen, aber regulatorisch leichteren Standort suchen.

Quellen & Methodik

Datenstand: 13. Mai 2026, 08:00 UTC.

Primärquellen:

• CMS Expert Guide: “AI laws and regulations in Switzerland” (2026)
• Lenz & Staehelin: “Switzerland outlines regulatory approach to Artificial Intelligence” (12. Februar 2025)
• Homburger: “Swiss AI Regulation: Tailored Rules Instead of a Swiss AI Act” (Februar 2025)
• Bonnard Lawson: “Swiss AI Regulation: What Every Company Should Know” (2025)
• Global Legal Insights: “AI, Machine Learning & Big Data Laws 2025 | Switzerland”
• Staatssekretariat für internationale Finanzfragen (SIF): “Artificial intelligence” (2026)
• Sidley Austin / Data Matters: “New Pathway of Regulating Artificial Intelligence in Switzerland” (April 2025)
• Bundesverwaltung: “Digital Switzerland Advisory Board: Measures to implement the Council of Europe Framework Convention on Artificial Intelligence” (März 2025)

Methodischer Hinweis: Alle Zahlen (50 % der Finanzinstitute nutzen KI, 5 Apps live / 9 in Entwicklung) stammen aus FINMA-Umfrage 2024. Die Timeline “Consultation-Draft Ende 2026” basiert auf offiziellem Bundesratsbeschluss vom 12. Februar 2025.

Schweizer Agentur-Links:

• Next Digital Agency — Digitalagentur, Compliance-Consulting
• Metanet — Enterprise-Hosting, SaaS-Infrastruktur
• PixelCaptain — Fintech, Banking-UI
• Becom — E-Commerce, NDSG-Compliance