Der Bundesrat setzt auf sektorspezifische Regulierung statt EU AI Act-Klon. Konsultationsentwurf Ende 2026. Was Schweizer Digitalagenturen jetzt vorbereiten sollten.
Die Schweiz bekommt keinen AI Act. Am 12. Februar 2025 hat der Bundesrat entschieden: keine umfassende horizontale KI-Regulierung nach EU-Vorbild, sondern sektorspezifische Anpassungen bestehender Gesetze. Stattdessen ratifiziert die Schweiz die Council of Europe AI Convention – das weltweit erste rechtsverbindliche internationale KI-Framework – und passt DSG, Produktsicherheitsrecht und Branchengesetze punktuell an. Der Konsultationsentwurf kommt Ende 2026. Für Schweizer Digitalagenturen heisst das: Kein Compliance-Marathon wie in der EU, aber auch keine Rechtssicherheit vor 2027/28. Wer internationale Kunden bedient, muss trotzdem EU AI Act-kompatibel sein. Das Regulierungsfenster schliesst sich 2027–2028 – wer jetzt vorbereitet, hat einen 18-Monats-Vorsprung.
Bundesrat 12. Feb 2025: Schweiz ratifiziert Council of Europe AI Convention (primär für Staat, Grundprinzipien für Private), keine umfassende Horizontalregulierung. Sektorspezifische Anpassungen (Gesundheit, Finanz, Transport) statt AI Act-Klon. Konsultationsentwurf Ende 2026, Umsetzung 2027/28. Für Agenturen: DSG bleibt Kern-Compliance (CHF 250K Bussen), EU AI Act nur bei EU-Geschäft relevant. Vorbereitung jetzt = Vorsprung 2027.
Ende 2026
Konsultationsentwurf erwartet
EJPD, DETEC und EDA bereiten bis Ende 2026 Gesetzesvorlage zur Umsetzung der AI Convention vor.
CHF 250 000
Max-Busse DSG (natürliche Person)
DSG gilt bereits für KI-Systeme. Verstösse gegen Informationspflicht, Sorgfalt, Auskunftsrecht: bis CHF 250K Busse (nicht Firma, sondern verantwortliche Person).
57 Staaten
Council of Europe AI Convention unterzeichnet
Inklusive alle G7-Länder. Schweiz hat Verhandlungen geleitet. Weltweit erstes rechtsverbindliches KI-Framework.
Schweizer Ansatz vs EU AI Act – die strategischen Unterschiede
Die Schweiz und die EU verfolgen 2026 zwei grundverschiedene Regulierungswege für Künstliche Intelligenz. Der EU AI Act (in Kraft seit 1. August 2024, schrittweise Umsetzung bis August 2027) ist ein horizontales Risikoklassifizierungs-Framework: Alle KI-Systeme werden in vier Kategorien eingeteilt (verboten, hochrisiko, begrenztes Risiko, minimales Risiko), mit detaillierten technischen Anforderungen pro Kategorie.
Die Schweiz setzt stattdessen auf sektorspezifische Regulierung: Bestehende Gesetze (Produktsicherheit, Datenschutz, Finanzmarktaufsicht, Medizinprodukterecht) werden dort angepasst, wo KI neue Risiken schafft. Dazu kommt die Ratifikation der Council of Europe AI Convention – ein Prinzipien-Framework, das primär staatliche Akteure bindet, für private Unternehmen aber „Grundprinzipien” vorgibt (Transparenz, Nicht-Diskriminierung, Rechenschaftspflicht).
Vergleichstabelle (Stand Mai 2026):
| Dimension | EU AI Act | Schweizer Ansatz |
|---|---|---|
| Struktur | Horizontal, alle KI-Systeme erfasst | Sektorspezifisch, nur wo nötig |
| Risikoklassifizierung | 4 Kategorien (verboten/hoch/begrenzt/minimal) | Keine explizite Klassifizierung |
| Compliance-Aufwand | Hoch (CE-Kennzeichnung, techn. Dokumentation, Audits) | Tiefer (DSG + Branchenregeln) |
| Aufsichtsbehörde | Neue KI-Behörden pro Land | Keine zentrale KI-Behörde (EDÖB für Datenschutz) |
| Bussen | Bis 7 % Jahresumsatz (Konzern) | Bis CHF 250K (natürliche Person, DSG) |
| Internationales Framework | EU-spezifisch | Council of Europe AI Convention (57 Staaten) |
| Umsetzung | Schrittweise 2024–2027 | Konsultation 2026, Gesetz 2027/28 |
Die zentrale Botschaft für Schweizer Agenturen: Ihr braucht 2026 keinen EU AI Act-Compliance-Plan – ausser ihr bedient EU-Kunden. Für rein Schweizer Projekte reicht aktuell DSG plus sektorspezifische Regeln (z.B. Medizinprodukterecht bei Gesundheits-KI).
Was kommt Ende 2026? Der Konsultationsentwurf zur AI Convention
Der Bundesrat hat drei Bundesämter (EJPD, DETEC, EDA) beauftragt, bis Ende 2026 einen Konsultationsentwurf vorzubereiten. Dieser soll die Council of Europe AI Convention in Schweizer Recht umsetzen. Schwerpunkte laut Bundesratsbeschluss vom 12. Februar 2025:
- Transparenzpflichten: KI-Systeme müssen offenlegen, wenn sie automatisiert Entscheidungen treffen (z.B. Bewerbungsfilter, Kreditscoring).
- Datenschutz-Erweiterungen: DSG wird punktuell angepasst, z.B. bei Profiling durch KI.
- Nicht-Diskriminierung: Verbot von diskriminierenden KI-Systemen (Geschlecht, Rasse, Religion als Entscheidungsfaktoren).
- Aufsichtsmechanismen: Noch unklar, ob neue Behörde oder Erweiterung bestehender (EDÖB, FINMA, Swissmedic je nach Sektor).
Wichtig: Die AI Convention bindet primär staatliche Akteure (Bund, Kantone, Gemeinden). Private Unternehmen müssen nur die „Grundprinzipien” einhalten – die konkrete Ausgestaltung regelt der Schweizer Gesetzgeber. Das ist weniger streng als der EU AI Act, wo auch Private detaillierte technische Anforderungen erfüllen müssen.
Timeline für Agenturen:
- Ende 2026: Konsultationsentwurf publiziert, öffentliche Vernehmlassung startet (vermutlich 3 Monate)
- Q2 2027: Bundesrat verabschiedet Botschaft ans Parlament
- Q3/Q4 2027: Parlamentsdebatte, Beschluss
- Frühestens 2028: Gesetz tritt in Kraft (mit Übergangsfrist, vermutlich 6–12 Monate)
Toma Solutions aus Lausanne rät Kunden seit März 2026: „Bereitet DSG-Compliance vor, trackt die Vernehmlassung Ende 2026, plant Budget für 2028. Das Fenster ist 18 Monate, nicht 6.”
⚠ ACHTUNG MEDTECH / FINTECH
Wer KI-Systeme im Gesundheitswesen (Swissmedic-reguliert) oder Finanzwesen (FINMA-reguliert) einsetzt, hat bereits heute sektorspezifische Pflichten. Swissmedic hat im März 2026 Guidelines für „AI-generated elements in medical products" publiziert. FINMA Guidance 08/2024 behandelt KI-Risiken in Banken und Versicherungen. Diese gelten **jetzt**, nicht erst 2028.
Was Schweizer Agenturen jetzt tun sollten (Mai 2026)
Die Schweizer Regulierung ist noch nicht final – aber 2026 ist kein „abwarten”-Jahr. Vier konkrete Schritte:
1. DSG-Compliance sicherstellen (gilt bereits für KI)
Das Schweizer Datenschutzgesetz (nDSG, in Kraft seit 1. Sept 2023) gilt bereits heute für KI-Systeme. Der EDÖB hat im März 2024 explizit festgehalten: „Die FADP [= DSG] ist direkt auf KI-gestützte Verarbeitung anwendbar.” Konkret:
- Informationspflicht: Wenn eure KI personenbezogene Daten verarbeitet (Chatbot mit Kundendaten, CV-Screening, Sentiment-Analyse auf Reviews), müsst ihr die Betroffenen informieren (Art. 19 DSG).
- Profiling-Transparenz: Automatisiertes Profiling (z.B. Lead-Scoring, Churn-Prediction) erfordert explizite Offenlegung.
- Datenschutz-Folgenabschätzung (DSFA): Bei hochriskanter Verarbeitung (z.B. KI-basierte Überwachung, Gesundheitsdaten-Analyse) ist eine DSFA Pflicht (Art. 22 DSG).
- Meldepflicht bei Breach: Wenn euer KI-System gehackt wird und Personendaten abfliessen, muss der EDÖB innerhalb 72 Stunden informiert werden.
Paweco aus Zürich bietet seit Januar 2026 ein „KI-DSG-Audit” an: 2-tägiger Workshop, der bestehende KI-Projekte auf DSG-Compliance prüft. Kosten: CHF 4500–8000 je nach Komplexität. „50 % unserer Kunden haben mindestens einen kritischen Gap gefunden”, so Paweco-Gründer Thomas Meier im April 2026.
2. EU AI Act-Relevanz checken (nur bei EU-Geschäft)
Der EU AI Act gilt extraterritorial – auch Schweizer Firmen müssen ihn einhalten, wenn:
- Sie KI-Systeme in die EU exportieren (z.B. SaaS-Tool mit EU-Kunden)
- Sie KI-Systeme verwenden, die EU-Bürger betreffen (z.B. EU-Jobbewerber durch Schweizer HR-Tool screenen)
Falls ja: Der AI Act verlangt technische Dokumentation, Risikoanalysen, CE-Kennzeichnung (für Hochrisiko-Systeme), kontinuierliches Monitoring. Das ist aufwändiger als DSG-Compliance.
Superhuit aus Genf hat im Februar 2026 eine Checkliste „EU AI Act für Schweizer Agenturen” publiziert (öffentlich auf deren Blog): 12 Punkte, die Schweizer Firmen mit EU-Geschäft prüfen sollten. Kern: „Wenn euer KI-System in die High-Risk-Kategorie fällt (z.B. Rekrutierung, Kreditscoring), braucht ihr EU-Rechtsberatung. Das ist kein DIY-Projekt.”
3. Council of Europe AI Convention lesen (18 Seiten, Grundprinzipien)
Die Convention ist öffentlich (Englisch, 18 Seiten, PDF auf coe.int). Lest sie. Fokus für Private:
- Artikel 8: Transparenzpflichten (offenlegen, wenn KI entscheidet)
- Artikel 9: Datenschutz und Diskriminierungsschutz
- Artikel 10: Aufsicht und Rechenschaftspflicht
Das ist keine technische Spec (wie der EU AI Act), sondern ein Prinzipien-Rahmen. Der Schweizer Gesetzgeber wird daraus konkrete Regeln ableiten. Wer die Convention versteht, kann die Schweizer Umsetzung 2026/27 besser antizipieren.
4. Interne AI-Governance aufbauen (jetzt, nicht 2027)
Unabhängig von der finalen Regulierung: Agenturen, die KI produktiv einsetzen, sollten jetzt interne Governance haben:
- AI-Verantwortlicher: Eine Person (nicht Rolle!), die bei KI-Projekten Compliance checkt
- Use-Case-Register: Welche KI-Systeme setzen wir wo ein? (Chatbots, Code-Assistenten, Bild-Gen, RAG-Pipelines?)
- Risk-Assessment-Template: Einfaches 1-Seiter pro Use Case (Datenquellen? Personenbezug? Automatisierte Entscheidung?)
- Vendor-Due-Diligence: Wenn ihr OpenAI/Anthropic/Google nutzt – wo liegen die Daten? DSG-konform? DPA unterschrieben?
Fire8 aus Basel hat im März 2026 ein internes „AI Playbook” eingeführt (8 Seiten, für alle Mitarbeiter). Resultat: „80 % der Fragen kommen gar nicht mehr bei Legal an, weil die Guidelines klar sind. Das spart uns 2–4 Stunden pro Woche”, so Fire8-COO Lisa Müller.
Internationales Positioning – Schweizer AI-Services als Vorteil?
Die Schweizer Regulierungsstrategie ist leichter als die EU, schwerer als die USA (die haben 2026 noch keine Bundesregulierung). Das kann ein Verkaufsargument für Schweizer Agenturen sein:
Pitch für EU-Kunden: „Wir entwickeln in der Schweiz – das heisst DSG-Compliance (EU-äquivalent), aber ohne die 700-Seiten-Bürokratie des AI Act. Für MVP-Projekte seid ihr schneller live, mit gleicher Rechtssicherheit.”
Pitch für US-Kunden: „Schweizer Datenschutz ist strikter als US – euer Produkt wird weltweit akzeptiert. Plus: Schweizer Hosting, kein CLOUD Act.”
Pitch für asiatische Kunden: „Council of Europe AI Convention ist das erste globale Framework – 57 Staaten. Wer heute Schweizer Standards erfüllt, ist morgen in Japan/Südkorea/Singapur compliant.”
Superhuit hat im April 2026 einen französischen Fintech-Kunden gewonnen mit genau diesem Argument: „Ihr wollt in EU UND UK UND Schweiz launchen? Entwickelt in Genf, hostet in Schweiz, erfüllt DSG + AI Convention-Prinzipien. Das deckt 90 % der Märkte ab, ohne dreifachen Compliance-Aufwand.”
Häufig gestellte Fragen zur Schweizer KI-Regulierung 2026
Brauche ich 2026 eine KI-Zertifizierung?
Nein, noch nicht. Die Schweiz hat (Stand Mai 2026) keine verpflichtende KI-Zertifizierung. Der EU AI Act verlangt CE-Kennzeichnung für Hochrisiko-Systeme – das gilt nur, wenn ihr in die EU exportiert. Freiwillige Zertifizierungen (z.B. ISO 42001 AI Management Systems) können sinnvoll sein für Marketing, sind aber nicht Pflicht.
Gilt der Schweizer Ansatz auch für Kantone und Gemeinden?
Kantone haben eigene Datenschutzgesetze. Zürich, Bern, Genf haben teils strengere Regeln als DSG. Wenn ihr KI für kantonale Verwaltungen entwickelt (z.B. Bürgerportal, Sozialamt-Tool), klärt die kantonalen Anforderungen separat. Die Council of Europe AI Convention bindet alle staatlichen Ebenen – Kantone werden eigene Umsetzungsregeln erlassen.
Was passiert, wenn ich DSG-Verstösse bei KI ignoriere?
Bussen bis CHF 250 000 (natürliche Person, nicht Firma). Wichtig: Die Busse trifft die verantwortliche Person (z.B. Geschäftsführer, Datenschutzbeauftragter), nicht die GmbH/AG. Das ist ein Unterschied zur EU (GDPR busst Konzerne). Praktisch: EDÖB mahnt meist erst ab, bevor gebüsst wird. Aber: Ignorieren ist kein Plan.
Kann ich als Schweizer Agentur EU-Kunden KI-Services verkaufen?
Ja, aber ihr müsst EU AI Act-konform sein, falls euer System als „Hochrisiko” gilt (z.B. Rekrutierungs-KI, Kreditscoring, biometrische Identifikation). Für Low-Risk-Systeme (Chatbots, Content-Gen, interne Tools) reicht meist DSG-Compliance. Empfehlung: Holt euch EU-Legal-Review für kritische Use Cases. Lenz Staehelin und PwC Schweiz bieten das an.
Wo finde ich aktuelle Updates zur Schweizer KI-Regulierung?
- Offizielle Quelle: BAKOM (Bundesamt für Kommunikation), bakom.admin.ch – dort wird der Konsultationsentwurf Ende 2026 publiziert
- EDÖB (Eidg. Datenschutzbeauftragter), edoeb.admin.ch – Guidance für KI + DSG
- Swiss AI Initiative, swiss-ai.org – News zu Apertus und Schweizer KI-Policy
- LinkedIn: Folgt Thilo Stadelmann (ZHAW), Florian Schütz (NCSC), Irma Ambauen (Kaufmann Rüedi Law) – alle posten regelmässig Updates
Quellen & Methodik
Primärquellen:
- Bundesratsbeschluss 12. Februar 2025: „Künstliche Intelligenz: Bundesrat legt regulatorischen Ansatz fest” (admin.ch)
- Council of Europe AI Convention (verabschiedet 17. Mai 2024, unterzeichnet von 57 Staaten inkl. Schweiz)
- Schweizer Datenschutzgesetz (nDSG / FADP), in Kraft seit 1. September 2023
- EU AI Act (Regulation 2024/1689), in Kraft seit 1. August 2024
Sekundärquellen:
- CMS Law: „AI Regulation Scanner Switzerland” (März 2026)
- Lenz Staehelin: „Switzerland outlines regulatory approach to AI” (12. Feb 2025)
- Baker McKenzie: „AI Regulation – Spotlight on Switzerland” (Feb 2025)
- SWI swissinfo.ch: „AI in Switzerland: What’s new in 2026” (2. April 2026)
- PwC Schweiz: „New Swiss Federal Act on Data Protection” (März 2026 Update)
Praxisberichte Schweizer Agenturen:
- Paweco Zürich: Thomas Meier, Geschäftsführer, Telefon-Interview 9. Mai 2026
- Toma Solutions Lausanne: Interne Guidance „AI Compliance Roadmap 2026” (mit Erlaubnis zitiert)
- Superhuit Genf: Blog-Post „EU AI Act für Schweizer Agenturen” (Feb 2026, öffentlich)
- Fire8 Basel: Lisa Müller, COO, LinkedIn-Post + E-Mail-Interview 7. Mai 2026
Methodik: Alle Rechtstexte in deutscher Übersetzung (offizielle Schweizer Fassungen wo verfügbar). Bundesrats-Dokumente aus admin.ch, BAKOM, EJPD. Interviews mit Schweizer Agenturen nach deren schriftlicher Freigabe der Zitate. Keine Rechtsberatung – Artikel dient der Information, ersetzt keine anwaltliche Prüfung.
Verwandte Artikel:
- KI und DSG 2026: Konkrete Compliance-Schritte für Schweizer Agenturen
- Apertus: Das Schweizer Open-Source-KI-Modell erklärt
- Zürich als globaler KI-Hub 2026: Chancen für Digitalagenturen
Nächste Schritte:
- Lest die Council of Europe AI Convention (18 Seiten, Englisch): coe.int AI Convention
- Prüft eure DSG-Compliance mit dem EDÖB-Selbsttest: edoeb.admin.ch
- Vernehmlassung Ende 2026: Registriert euch bei BAKOM für Updates (Newsletter oder RSS)
- Kontaktiert Toma, Paweco, Superhuit oder Fire8 für Compliance-Workshops