fairlane.systems

EU AI ACT · TREND 2026

Trend EU-KI-Regulierung 2026: Fristen, GPAI-Pflichten und was die Schweiz daraus macht

Mai 2026: Verbote seit Februar 2025 wirksam, GPAI-Modelle seit August 2025 verpflichtet, Hochrisiko ab August 2026. CH-Anbindung über Marktzugang.

Recherche & Faktencheck: · Stand: 2026-05

Was bedeutet EU-KI-Regulierung im Mai 2026?

Der EU AI Act (Verordnung 2024/1689) wurde im Juni 2024 vom EU-Amtsblatt veröffentlicht und trat am 1. August 2024 in Kraft. Wirksam wird er gestaffelt nach Risiko-Kategorie. Mai 2026 ist die Lage konkret:

Bereits in Kraft (Februar 2025): Die acht verbotenen KI-Praktiken (Art. 5) – Social Scoring durch Behörden, Manipulationen, ungerichtete Gesichtserkennungs-Datenbanken, Emotionserkennung in Arbeit und Bildung, biometrische Kategorisierung sensibler Merkmale. Verstösse: bis 7% des globalen Jahresumsatzes Bussgeld.

Bereits in Kraft (August 2025): General-Purpose-AI-Modelle (GPAI, Art. 53-55). Anbieter von Modellen wie GPT-4o, das aktuelle Claude-Spitzenmodell, Gemini 2.5, Llama 4, Mistral Large 2 müssen ein Modell-Karten-Dossier, einen Trainings-Daten-Summary und Copyright-Compliance-Nachweise vorlegen. Für "systemische Risiko"-Modelle (Trainings-Compute > 10^25 FLOPS) gelten Zusatzpflichten: Modell-Evaluation, Cybersecurity-Schutz, Incident-Reporting. Der GPAI Code of Practice (Version 3, März 2026) konkretisiert die Pflichten.

Ab August 2026 wirksam (in 3 Monaten): Hochrisiko-KI-Systeme nach Anhang III. Das sind u.a. Systeme in: Bewerber-Auswahl, Kreditscoring, Versicherungs-Underwriting (Lebens-/Krankenversicherung), Migration und Asyl, Strafrechtspflege, sowie KI als Sicherheits-Komponente in regulierten Produkten (Maschinen, Medizinprodukte). Pflichten: Risk-Management-System (Art. 9), Datengovernance (Art. 10), Technische Dokumentation (Art. 11), Logging (Art. 12), Transparenz (Art. 13), menschliche Aufsicht (Art. 14), Genauigkeit/Robustheit (Art. 15).

Ab August 2027 wirksam: alle übrigen Bestimmungen voll anwendbar. Inkl. der Hochrisiko-Pflichten für Systeme, die in Anhang I regulierten Produkten eingebaut sind (Maschinen-Verordnung, Spielzeug-Richtlinie etc.).

Warum es für CH-KMU wichtig ist

Die Schweiz ist nicht EU-Mitglied – der AI Act gilt rechtlich nicht direkt. Trotzdem trifft er CH-Unternehmen in mindestens drei Konstellationen.

Erstens Marktzugang: Wer KI-Systeme oder KI-haltige Produkte in die EU verkauft, muss die AI-Act-Pflichten erfüllen. Ein Schweizer SaaS-Anbieter, dessen Kunden auch in Deutschland sind, ist Anbieter nach EU AI Act. Eine Schweizer Anwaltskanzlei, die mit deutschen Mandanten arbeitet, ist nicht direkt Anbieter – verwendet aber möglicherweise GPAI-Modelle und ist somit "deployer" mit eigenen Pflichten.

Zweitens De-facto-Standard: Schweizer Behörden orientieren sich am EU AI Act. Eine Schweizer KI-Strategie auf Bundesebene (Mai 2026) verweist explizit auf den AI Act als "internationalen Bezugsrahmen". Das Eidgenössische Justiz- und Polizeidepartement hat einen Bericht vom April 2026 vorgelegt, der die Umsetzung in CH-Recht vorbereitet – voraussichtliches Inkrafttreten 2028. Bis dahin nutzen Aufsichtsbehörden (FINMA, Bundesdatenschutzbeauftragter) den AI Act als Auslegungshilfe.

Drittens Vertrags-Kaskaden: Internationale Konzerne (Microsoft, Google, SAP, Salesforce) erweitern ihre AVV-Verträge um EU-AI-Act-Compliance-Klauseln. CH-Firmen, die deren Dienste nutzen, sind via Vertrag dazu verpflichtet, GPAI-Risikobewertung und Hochrisiko-Kategorisierung zu dokumentieren. Auch wenn der Aufwand klein ist (CH-KMU sind selten "Hochrisiko"), muss er dokumentiert sein.

Besonders relevant für Treuhandbüros und Anwälte Mai 2026: Bewerber-Auswahl mit KI ist Hochrisiko ab August 2026. Wer beim Recruiting Tools wie HireVue, Pymetrics oder eigene LLM-basierte CV-Screener einsetzt, fällt unter die Hochrisiko-Pflichten – Risiko-Management, Logging, menschliche Aufsicht dokumentieren. Sozialleistungs-/Kreditscoring auf Mandanten: ebenfalls Hochrisiko, falls automatisiert.

Wie es funktioniert

Der AI Act folgt einer risikobasierten Pyramide.

Verboten (Art. 5): acht Praktiken, die ohne Ausnahme nicht erlaubt sind. Wirksam seit Februar 2025.

Hochrisiko (Anhang III + Anhang I): KI-Systeme in 9 Bereichen – biometrische Identifikation, kritische Infrastruktur, Bildung, Beschäftigung, wichtige Dienste (Kredit, Sozialleistungen, Versicherung), Strafrechtspflege, Migration, Justiz, demokratische Prozesse. Anbieter müssen 8 Pflichten erfüllen (Art. 9-15 plus Konformitätsbewertung, CE-Kennzeichnung, EU-Datenbank-Registrierung). Wirksam ab August 2026 (Anhang III) bzw. August 2027 (Anhang I).

Begrenzte Risiken (Art. 50): Chatbots, Deepfakes, KI-generierte Inhalte. Transparenzpflichten – Nutzer muss wissen, dass er mit KI spricht. Wirksam ab August 2026.

Geringes Risiko: alles übrige. Keine Pflichten, freiwillige Verhaltens-Codes empfohlen.

Quer dazu GPAI (Art. 51-56): Anbieter von Grundmodellen (GPT-4, Claude, Llama, Mistral, Gemini) haben eigene Pflichten – Technische Dokumentation, Trainings-Daten-Summary, Copyright-Compliance, Cooperation mit Behörden. Bei "systemischem Risiko" (10^25 FLOPS oder per Bewertung des AI Office) zusätzlich Modell-Evaluierung, Cybersecurity, Incident-Reporting. Wirksam seit August 2025.

Der GPAI Code of Practice (Vorbereitet von der EU-Kommission mit über 1000 Stakeholdern, Version 3 im März 2026) konkretisiert. Anbieter können ihn signieren als "tip of compliance" – wer signiert, hat eine widerlegliche Vermutung der Konformität. Mai 2026 haben Mistral, OpenAI, Microsoft, Google und Anthropic den Code unterzeichnet, Meta hat verweigert ("überschreitet das, was die Verordnung verlangt"). Der "AI Liability Directive" – separate Richtlinie zur Haftung – wurde Februar 2026 zurückgezogen, kommt vorerst nicht.

EU AI Office (Teil der EU-Kommission, in Brüssel, seit Februar 2024 aktiv) überwacht die GPAI-Regeln. Nationale Marktüberwachungsbehörden überwachen Hochrisiko-Systeme – in Deutschland teils BNetzA, BAFA, BfDI; in Frankreich CNIL und ANSSI.

Trend beobachten und einsetzen in 5 Schritten

  1. 01Marktbeobachtung: monatlich Updates des EU AI Office (digital-strategy.ec.europa.eu/en/policies/ai-office), des EDSA und der nationalen Behörden verfolgen. Auf CH-Seite: Bundesamt für Justiz, EDÖB, FINMA-Mitteilungen.
  2. 02KI-Inventar: alle in der Firma genutzten KI-Werkzeuge (ChatGPT, Bexio-AI, Outlook-Copilot, eigene n8n-Flows mit Anthropic-API) auflisten. Pro Werkzeug Datenfluss, Kategorie nach AI Act (verboten / hochrisiko / Transparenz / minimal) und EU-Bezug eintragen.
  3. 03GPAI-Anbieter-Prüfung: für jedes genutzte Modell prüfen, ob der Anbieter den Code of Practice signiert hat. Bei Llama 4 (Meta hat nicht signiert) explizit dokumentieren, dass eigene Prüfung erfolgt ist.
  4. 04Hochrisiko-Check: gibt es im eigenen Einsatz ein Hochrisiko-Szenario nach Anhang III (Recruiting-KI, Scoring, Versicherungs-Underwriting)? Wenn ja, vor August 2026 die 8 Pflichten umsetzen oder System abschalten.
  5. 05Compliance-Dossier: pro KI-Werkzeug eine kurze Notiz mit Anbieter, Modell, AI-Act-Kategorie, DPA-Status, Risk-Assessment-Datum. Mai 2026 reicht ein 1-2-Seiten-Dokument pro Werkzeug – wichtig ist die Existenz, nicht der Umfang.

Wann der AI Act für Sie relevant ist

Mai 2026 sind drei Konstellationen direkt relevant.

Sie nutzen KI mit EU-Kunden oder EU-Niederlassung: Sie sind "deployer" (Art. 26). Sie müssen die Anweisungen des Anbieters lesen und befolgen, das System wie vorgesehen einsetzen, Logs aufbewahren, bei Hochrisiko-Systemen menschliche Aufsicht sicherstellen und Mitarbeitende informieren. CH-Treuhand mit deutschen Mandanten: Sie prüfen pro KI-Werkzeug, ob es als hochrisiko klassifiziert ist.

Sie verkaufen ein KI-Produkt nach EU: Sie sind "Anbieter" (Art. 16). Volle Pflichten je nach Risiko-Kategorie – für Hochrisiko die acht Hauptpflichten plus CE-Konformitätsbewertung. Für GPAI-Modelle als Endprodukt: Dokumentation, Trainings-Daten, Copyright.

Sie bauen Recruiting- oder Scoring-System für EU: das ist Hochrisiko ab August 2026. Auch wenn Sie nur die KMU-Variante "interne Bewerberauswahl mit GPT-Hilfe" haben – wenn die ausgewerteten Bewerber EU-Bürger sind, gelten die Pflichten.

Für reine CH-interne Nutzung (Kunden nur in CH, kein EU-Bezug) gilt der AI Act Mai 2026 nicht direkt. Aber: revFADP (in Kraft seit September 2023) hat einige der Transparenz- und Datenschutz-Anforderungen bereits. Wer revFADP sauber umsetzt, hat einen guten Teil der späteren CH-Umsetzung des AI Act schon im Haus.

Wann der AI Act NICHT eingreift

Mai 2026 sind drei Konstellationen entlastet.

Forschung und Vor-Produktion: KI-Systeme rein im Forschungs- oder Entwicklungs-Setting fallen nicht unter den Act, sofern sie nicht in der EU in den Markt gebracht oder eingesetzt werden (Art. 2 Abs. 6).

Persönlicher, nicht-beruflicher Gebrauch: ein Privatmensch, der ChatGPT zur Hausaufgaben-Hilfe nutzt, ist nicht "deployer".

Reine CH-interne KI ohne EU-Bezug: bis zur CH-Umsetzung (früher 2028 erwartet, nun vielleicht 2029) gibt es keinen direkten Anwendungsbereich. Aber: revFADP, StGB Art. 321 (Berufsgeheimnis), Art. 957a OR (Buchführung) und FINMA-Auflagen gelten weiter. KI-Nutzung im Treuhand- oder Anwaltsbereich muss diese erfüllen, AI Act hin oder her.

Mythen Mai 2026:

"Chatbots sind verboten." Falsch. Chatbots sind nicht hochrisiko, sondern Transparenz-pflichtig – der Nutzer muss wissen, dass er mit KI spricht.

"GPT-4o darf in der EU nicht genutzt werden." Falsch. GPT-4o ist GPAI mit systemischem Risiko – OpenAI muss die GPAI-Pflichten erfüllen (tut es laut Code of Practice). Nutzer in der EU dürfen es einsetzen, mit eigenen Deployer-Pflichten.

"Open-Weight ist vom Act befreit." Teilweise. Art. 53 Abs. 2 entlastet Open-Source-Anbieter von einigen Dokumentations-Pflichten, sofern sie keinen systemischen Risiko-Status haben. Llama 4 Maverick könnte als systemisch eingestuft werden – dann gelten die Pflichten ohnehin.

"Es gibt Bussgeld erst ab August 2026." Falsch. Bussgelder für verbotene Praktiken sind seit Februar 2025 wirksam, für GPAI-Verstösse seit August 2025.

Vor- und Nachteile

STÄRKEN

  • Klare Risiko-Kategorien helfen, Aufwand auf die richtigen KI-Werkzeuge zu fokussieren
  • GPAI-Pflichten zwingen Modellanbieter zu mehr Transparenz (Trainings-Daten, Copyright)
  • Code of Practice schafft Rechtssicherheit für Unterzeichner-Anbieter
  • Schweiz kann von EU-Vorarbeit profitieren ohne sofort selbst regulieren zu müssen

SCHWÄCHEN

  • Hochrisiko-Compliance teuer (CHF 40-100k einmalig für KMU)
  • Bestimmungen vage in Detail – zahlreiche Delegated Acts und Guidelines noch ausstehend
  • CH-Firmen ohne EU-Bezug haben rechtliche Unsicherheit über die kommende CH-Umsetzung
  • Meta-Verweigerung des Code of Practice schafft Lager-Bildung in Open-Weight-Welt

Häufige Fragen

Trifft mich der AI Act, wenn ich nur Schweizer Mandanten habe?

Direkt nein, indirekt oft ja. Wenn Sie ein KI-Werkzeug eines EU-Anbieters nutzen (Mistral, SAP, Microsoft 365 Copilot), kommen Sie über die Vertrags-Kaskade in Berührung. Wenn einer Ihrer Mandanten eine EU-Niederlassung hat, gelten dort die Deployer-Pflichten über Ihre Dienstleistung. Reine CH-CH-Konstellation ohne EU-Bezug ist Mai 2026 vom AI Act nicht erfasst – aber revFADP und StGB 321 gelten weiterhin.

Was kostet eine Hochrisiko-KI-Compliance?

Schätzungen Mai 2026 (Hauptquelle: CEPS-Studie Januar 2025, validiert durch EU-Kommissions-Impact-Assessment): einmalig CHF 25-100k für Erstaufbau (Risk-Management, Dokumentation, Konformitätsbewertung), laufend CHF 5-30k jährlich für Monitoring und Updates. Für KMU mit einem einzelnen Hochrisiko-System realistisch CHF 40-60k einmalig plus CHF 10k jährlich. Wer kann, vermeidet Hochrisiko-Einsatz und nutzt KI ausserhalb von Anhang III.

Was passiert mit der AI Liability Directive?

Sie wurde am 11. Februar 2026 von der Kommission zurückgezogen. Begründung: das Verbraucherrecht und die überarbeitete Produkthaftungs-Richtlinie (PLD, neu 2024) decken die Haftungsfragen bereits ab. Die deklaratorische Wirkung bleibt: nationale Schadensersatzklagen wegen KI-Fehler laufen weiter über bestehendes Recht. In der CH gilt OR und PrHG unverändert.

Soll ich den GPAI Code of Practice signieren?

Nur wenn Sie selbst ein GPAI-Modell anbieten – das betrifft sehr wenige Firmen. CH-KMU als Nutzer signieren nicht, der Code ist für Modellanbieter. Sie prüfen aber, ob Ihr Anbieter signiert hat – Mistral, OpenAI, Microsoft, Google, Anthropic ja; Meta nein. Anbieter ohne Signatur sind nicht automatisch nicht-konform, müssen aber per Einzelfall-Prüfung nachweisen, dass sie die Verordnung erfüllen.

Verwandte Themen

EU AI ACT · COMPLIANCEEU AI Act 2026: Hochrisiko-Pflichten ab 2. August 2026 – was Schweizer Anbieter jetzt tun müssenEU AI ACT KMU · COMPLIANCEEU AI Act für KMU: Fristenkalender und Pflichtcheck bis 2.8.2026revDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutetrevDSG · TREUHAND-COMPLIANCErevDSG und KI im Treuhand-Büro: AVV, Datenkategorien, EDÖB-Position, GwG-PraxisISO 42001 · COMPLIANCEISO/IEC 42001: Der internationale Standard für AI-Management-SystemeDSFA · COMPLIANCEDSFA für KI-Systeme: Datenschutz-Folgenabschätzung nach revDSG Art. 22 und DSGVO Art. 35KI-HAFTUNG · COMPLIANCEWer haftet bei KI-Fehlern? CH-OR + EU-Produkthaftungsrichtlinie 2024/2853 nach AI-Liability-Direktive-Rückzug

Quellen

  1. EU AI Act – Regulation (EU) 2024/1689, full text · 2024-07
  2. EU AI Office – GPAI Code of Practice (final version) · 2026-03
  3. EU Commission – withdrawal of the AI Liability Directive (work programme) · 2026-02
  4. Schweizerischer Bundesrat – Bericht zur KI-Regulierung · 2026-04
  5. CEPS – Compliance cost study of the EU AI Act for SMEs · 2025-01

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen