Zum Inhalt springen
Rautaki
Gilt der EU AI Act auch für Schweizer NPOs?

EU AI Act: Was gilt für Schweizer NPOs?

Ja — potenziell. Der EU AI Act greift bei Schweizer NPOs über seine extraterritoriale Wirkung, sobald KI-Ergebnisse in der EU genutzt werden.

Publiziert

Ja — unter Umständen. Der EU AI Act (Verordnung (EU) 2024/1689) gilt nicht nur für Organisationen mit Sitz in der EU, sondern erfasst über seine extraterritoriale Wirkung auch Schweizer NPOs — nämlich dann, wenn das Ergebnis ihres KI-Systems in der EU verwendet wird. Für rein binnenschweizerische Anwendungen, etwa einen Chatbot ausschliesslich für Schweizer Mitglieder, gilt die Verordnung dagegen in der Regel nicht direkt; hier greift heute das revidierte Datenschutzgesetz (revDSG), und eine eigene Schweizer KI-Regulierung ist in Vorbereitung. Wichtig ist der aktuelle Stand: Die zentralen Fristen haben sich 2026 verschoben — die Pflichten für Hochrisiko-Systeme gelten neu erst ab Dezember 2027, während die Verbote und die AI-Kompetenzpflicht bereits seit Februar 2025 in Kraft sind.

Das Wichtigste in Kürze

  • Extraterritorial: Massgeblich ist nicht Ihr Sitz, sondern wo das Ergebnis Ihres KI-Systems genutzt wird. Landet der Output in der EU, kann der AI Act greifen (Art. 2).
  • Vier Risikoklassen: Von «unzulässig» (verboten) über «hoch» und «begrenzt» (Transparenz) bis «minimal». Die Pflichten richten sich nach der Risikoklasse, nicht nach der eingesetzten Technologie.
  • Fristen verschoben: Der Digital Omnibus (Juni 2026) hat die Hochrisiko-Pflichten von August 2026 auf Dezember 2027 verschoben. Verbote und AI-Kompetenz gelten aber bereits seit Februar 2025.
  • Schweiz separat: Kein EU-Recht, aber revDSG heute — und eine Vernehmlassungsvorlage zur Umsetzung der Europarats-KI-Konvention ist bis Ende 2026 angekündigt.

Wann der EU AI Act Schweizer Organisationen trifft

Der räumliche Anwendungsbereich steht in Artikel 2 der Verordnung. Entscheidend ist nicht der Sitz Ihrer Organisation, sondern Ihre Rolle und der Ort der Wirkung. Der AI Act erfasst Anbieter und Betreiber aus Drittstaaten — und die Schweiz ist rechtlich ein Drittstaat —, sobald das von ihrem KI-System erzeugte Ergebnis in der Union verwendet wird.

Für eine Schweizer NPO heisst das konkret:

  • Spender:innen-Scoring mit EU-Bezug: Ein Modell, das Spenderinnen und Spender priorisiert und dabei auch Personen in der EU bewertet, erzeugt ein Ergebnis, das in der EU wirkt.
  • Chatbot für EU-Nutzer:innen: Ein Beratungs- oder Support-Chatbot, den Sie bewusst auch Personen in der EU zugänglich machen, fällt unter die Transparenzpflichten.
  • Programme mit EU-Ableger: Betreiben Sie eine Sektion oder ein Projekt in einem EU-Land und setzen dort ein KI-System ein, sind Sie dort Betreiberin im Sinne der Verordnung.

Wird ein KI-System dagegen ausschliesslich in der Schweiz und für Schweizer Zwecke betrieben, liegt es in der Regel ausserhalb des direkten Anwendungsbereichs — das revDSG bleibt davon unberührt.

Die Risikoklassen kurz erklärt

Der AI Act reguliert nicht Technologien, sondern Risiken. Er kennt vier Stufen — dieselbe Logik, die unser EU AI Act Compliance Checker anwendet:

  • Unzulässiges Risiko (Art. 5): Verbotene Praktiken wie Social Scoring, manipulative Techniken oder Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen. Diese Systeme sind ohne Ausnahme untersagt.
  • Hohes Risiko (Anhang III): Systeme in sensiblen Bereichen wie Beschäftigung, Bildung, Kreditwürdigkeit oder öffentlicher Leistungsverwaltung. Sie unterliegen den umfassendsten Pflichten: Risikomanagement, technische Dokumentation, menschliche Aufsicht und Konformitätsbewertung.
  • Begrenztes Risiko (Art. 50): Transparenzpflichten. Wer mit einem Chatbot spricht oder KI-generierte Inhalte sieht, muss das erkennen können.
  • Minimales Risiko: Der Grossteil der Anwendungen — etwa Spamfilter oder Textvorschläge. Keine spezifischen Pflichten, freiwillige Standards sind aber empfohlen.

Der Zeitplan — Stand Juli 2026

Die Verordnung ist am 1. August 2024 in Kraft getreten und wird in Stufen anwendbar. Der viel zitierte Stichtag 2. August 2026 hat inzwischen an Schärfe verloren: Mit dem Digital Omnibus, den der Rat der EU am 29. Juni 2026 endgültig verabschiedet hat, wurden die Pflichten für Hochrisiko-Systeme nach hinten verschoben.

  • Seit 2. Februar 2025: Verbotene Praktiken (Art. 5) und die Pflicht zur AI-Kompetenz (Art. 4) gelten.
  • Seit 2. August 2025: Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI).
  • Ab 2. August 2026: Transparenzpflichten nach Art. 50 (Chatbots, KI-generierte Inhalte). Diese Frist bleibt bestehen.
  • Neu ab 2. Dezember 2027: Pflichten für eigenständige Hochrisiko-Systeme (Anhang III) — verschoben von August 2026.
  • Ab 2. August 2028: Hochrisiko-Systeme, die in regulierte Produkte eingebettet sind (Anhang I).

Die formale Veröffentlichung im EU-Amtsblatt wurde für Mitte bis Ende Juli 2026 erwartet; die neuen Fristen werden mit dem Inkrafttreten der Änderung rechtsverbindlich. Die Verschiebung schafft Luft für die Hochrisiko-Vorbereitung — sie hebt aber weder die geltenden Verbote noch die AI-Kompetenzpflicht auf.

Und die Schweiz?

Die Schweiz ist kein EU-Mitglied — der AI Act gilt hier nicht als solcher. Massgeblich ist heute das revidierte Datenschutzgesetz (revDSG), in Kraft seit September 2023. Es gilt für jede Bearbeitung von Personendaten durch KI-Systeme: Transparenz, Bearbeitungsverzeichnis und, bei automatisierten Einzelentscheidungen, besondere Informationspflichten.

Eine eigene Schweizer KI-Regulierung nimmt Form an. Der Bundesrat hat am 12. Februar 2025 entschieden, die KI-Konvention des Europarats zu ratifizieren; das Bundesamt für Justiz erarbeitet dazu bis Ende 2026 eine Vernehmlassungsvorlage, die Transparenz, Datenschutz, Nichtdiskriminierung und Aufsicht adressieren soll. Die Schweiz setzt dabei auf einen sektorspezifischen Ansatz statt auf ein umfassendes horizontales Gesetz nach EU-Vorbild.

Für die Praxis heisst das: Der EU AI Act taugt als De-facto-Referenzrahmen. Wer heute seine Systeme an dessen Risikoklassen ausrichtet, erfüllt nicht nur mögliche EU-Pflichten, sondern ist auch auf die kommende Schweizer Regulierung gut vorbereitet.

Was Schweizer NPOs jetzt konkret tun sollten

  1. Inventar erstellen. Listen Sie alle KI-Systeme auf, die Ihre Organisation nutzt — inklusive eingekaufter Tools und KI-Funktionen in bestehender Software.
  2. EU-Berührung prüfen. Klären Sie für jedes System, ob ein Ergebnis in der EU genutzt wird oder Personen in der EU betrifft. Das entscheidet über den Anwendungsbereich.
  3. Risikoklasse bestimmen. Ordnen Sie jedes System einer der vier Klassen zu. Der EU AI Act Compliance Checker liefert in zwölf Fragen eine erste Einordnung.
  4. AI-Kompetenz aufbauen. Die Pflicht zur AI-Kompetenz (Art. 4) gilt bereits. Für Milizstrukturen genügt oft eine pragmatische, schlank dokumentierte Schulung der aktiven Personen.
  5. revDSG mitdenken. Unabhängig vom AI Act gilt das Schweizer Datenschutzrecht für jede KI-Anwendung mit Personendaten. Prüfen Sie Transparenz und Bearbeitungsverzeichnis.

Sie sind unsicher, in welche Risikoklasse Ihr System fällt? Der EU AI Act Compliance Checker gibt Ihnen in zwölf Fragen eine sofortige Risikoklassifizierung mit konkreter Massnahmenliste. Und wenn Sie die Einordnung für Ihre Organisation gemeinsam schärfen möchten, vereinbaren Sie ein kostenloses Erstgespräch.

Dieser Beitrag bietet eine fachliche Einordnung und ersetzt keine Rechtsberatung.

Harry Witzthum
Harry Witzthum

Gründer von Rautaki · Doktor der Philosophie · NPO-Manager VMI


Sie stehen vor einer konkreten Entscheidung? Wir ordnen Ihre Ausgangslage in einem kostenlosen Erstgespräch ein.