KMU-Magazin Nr. 4/5, April/Mai 2025 Die EU-Digitalpolitik und ihre Auswirkungen auf die Schweiz

In verschiedenen Bereichen, wie bei der KI und der Plattformregulierung, hat die EU eine bedeutende Rolle eingenommen. Dies hat auch Auswirkungen auf die Schweiz. Der vorliegende Artikel beleuchtet ohne Anspruch auf Vollständigkeit ein paar der Aktivitäten der EU und ihre Bedeutung für die Schweiz und Schweizer Unternehmen.

Künstliche Intelligenz (KI) ist längst nicht mehr Zukunftsmusik – sie beeinflusst bereits heute zahlreiche Geschäftsbereiche, von der Automatisierung von Prozessen bis hin zur Analyse von Kundendaten. Die EU ist in der Digitalpolitik sehr aktiv. Beispiele sind der Artificial Intelligence Act (AI Act), der Digital Services Act (DSA) sowie Regulierungen im Bereich Cyber­sicherheit und -resilienz.

Der «AI Act»

Die EU hat mit dem Artificial Intelligence Act (AI Act) das weltweit erste staatenübergreifende Regelwerk geschaffen, das Prioritäten und Standards für den Einsatz künstlicher Intelligenz festlegt, um ethische und transparente Innovationen zu fördern. Der AI Act sieht eine Einteilung von KI-Systemen in verschiedene Risikokategorien vor:

  • Unbedenkliche KI-Systeme (kein besonderes Risiko): Dazu gehören KI-Systeme, die nach sorgfältiger Bewertung kein erhebliches Risiko für die Gesundheit, Sicherheit oder Grundrechte von Personen darstellen.
  • KI-Systeme mit geringem Risiko: Hierbei handelt es sich um KI-Systeme, die ein geringes, aber dennoch identifizierbares Risiko darstellen, das durch allgemeine Grundsätze des Datenschutzes und der Cybersicherheit gemildert werden kann.
  • KI-Systeme mit hohem Risiko: KI-Systeme, die ein hohes Risiko für die Gesundheit, Sicherheit oder Grundrechte von Personen darstellen und strengen Sicherheits- und Transparenzanforderungen unterliegen. Darunter fallen beispielsweise KI-Systeme im Gesundheitswesen, der Bildung oder Justiz.
  • Unzulässige KI-Systeme: In diese Kategorie fallen KI-Anwendungen, die aufgrund ihrer inhärenten Schädlichkeit oder Unvereinbarkeit mit europäischen Werten verboten sind. Dazu gehören beispielsweise Systeme zur sozialen Bewertung (Social Scoring) oder zur manipulativen Verhaltenssteuerung.

Der AI Act verfolgt das Ziel, eine Balance zwischen Innovation und Sicherheit zu schaffen. Dabei gibt es einige wesentliche Anforderungen, die Unternehmen be­achten müssen:

  • Transparenzpflichten: Unternehmen müssen offenlegen, wenn ihre KI-Systeme in entscheidenden Prozessen eingesetzt werden, etwa in Bewerbungsverfahren oder bei Kreditvergaben. Zudem müssen betroffene Nutzer darüber informiert werden, wenn KI zur Entscheidungsfindung beiträgt.
  • Datenqualität und -sicherheit: Hohe Anforderungen gelten für KI-Systeme, die mit sensiblen Daten arbeiten. Die Systeme müssen robust sein, um Verzerrungen («Bias») zu minimieren und Diskriminierung zu verhindern. Dies beinhaltet auch regelmässige Audits und Testverfahren zur Gewähr­leistung der Fairness.
  • Dokumentations- und Aufsichtspflichten: Unternehmen, die KI mit hohem Risiko einsetzen, müssen detaillierte technische Unterlagen führen, Algorithmen dokumentieren und regelmässige Risikobewertungen durchführen.
  • Regulierungs- und Sanktionierungsmechanismen: Verstösse gegen den AI Act können hohe Strafen nach sich ziehen – bis zu 35 Millionen Euro oder sieben Prozent des welt­weiten Jahresumsatzes eines Unternehmens (je nachdem, welcher Betrag höher ist). Dies soll sicherstellen, dass Unternehmen die Einhaltung der Vorschriften ernst nehmen.

Der AI Act sieht zudem ein Marktüber­wachungsverfahren vor, um sicherzu­stellen, dass Unternehmen die neuen ­Vorschriften einhalten. Nationale Aufsichtsbehörden werden beauftragt, die Einhaltung zu überprüfen, Verstösse zu ahnden und bei Risiken einzugreifen.

Der AI Act gilt für KI-Systeme, die in der EU oder im EWR in Verkehr gebracht oder in Betrieb genommen werden, unabhängig davon, ob die Anbieter in der EU oder im EWR oder in einem Drittland niedergelassen beziehungsweise ansässig sind. Der AI Act gilt auch für in Drittländern ansässige Betreiber, wenn sie ein KI-System einsetzen, dessen Ergebnisse in der EU oder im EWR verwendet werden. Somit kann der AI Act auch für Unternehmen mit Sitz aus­serhalb der EU oder des EWR – wie etwa in der Schweiz – zur Anwendung kommen.

Der AI Act wurde am 13. Juni 2024 final verabschiedet und ist seit dem 1. August 2024 in Kraft. Grundsätzlich findet er erst nach einer Übergangszeit von 24 Mo­naten – 2. August 2026 – Anwendung. Davon ausgenommen sind aber KI-Systeme mit inakzeptablem Risiko, welche bereits seit Februar 2025 verboten sind, und Vorschiften zu KI-Modellen mit allgemeinem Verwendungszweck, die bereits ab August 2025 greifen. Ab dann gilt auch der Sanktionsmechanismus des AI Acts.

Am 12. Februar 2025 hat der Schweizer Bundesrat eine umfassende Analyse zur Regulierung von KI veröffentlicht und auf dieser Basis wichtige Entscheidungen ­getroffen. Die Schweiz plant, die KI-Verordnung des Europarats zu ratifizieren und die dafür notwendigen Anpassungen im Schweizer Recht vorzunehmen. Zudem sind die Aktivitäten zur Regulierung von KI in einzelnen Bereichen wie zum Beispiel dem Gesundheitswesen oder dem Verkehr weiterzuführen. Bis Ende 2026 soll eine Vernehmlassungsvorlage erstellt werden, die die KI-Konvention des Europarats umsetzt, indem sie die notwendigen gesetzlichen Massnahmen festlegt, namentlich in den Bereichen Transparenz, Datenschutz, Nichtdiskriminierung und Aufsicht.

Der Digital Services Act (DSA)

Der Digital Services Act (DSA) ist eine ­EU-Verordnung, die digitale Plattformen und Online-Dienste sicherer und transparenter machen soll. Er ist seit dem 16. November 2022 in Kraft und seit dem 17. Februar 2024 vollständig anwendbar. Er will Nutzer im Internet besser schützen und die Verantwortlichkeit grosser Plattformen erhöhen. Plattformen wie soziale Netzwerke müssen klarer informieren, wie sie Inhalte moderieren und warum bestimmte Inhalte entfernt werden. Sie müssen zügig auf illegale Inhalte reagieren und diese entfernen. Der DSA fordert, dass Werbung transparent ist, also klar zeigt, wer dafür bezahlt und warum sie dem Nutzer angezeigt wird. Nutzer bekommen mehr Rechte, zum Beispiel bei der Einspruchsmöglichkeit gegen entfernte Inhalte.

In den Anwendungsbereich des DSA fällt eine breite Palette von Online-Diensten und Plattformen, die innerhalb der EU ­tätig sind (auch wenn sie ihren Sitz aus­serhalb der EU haben). So z. B. Online-Plattformen wie soziale Netzwerke, Online-Marktplätze, App-Stores, Hosting-Dienste und Sharing-Dienste. Für sehr grosse Online-Plattformen und Suchmaschinen gelten besondere Vorschriften.

Der Digital Services Act (DSA) sieht klare und teils sehr hohe Sanktionen (insbesondere Geldbussen bis zu 6 Prozent des weltweiten Jahresumsatzes) vor, um Verstös­se wirksam zu ahnden – insbe­sondere bei grossen Plattformen, aber auch bei kleineren Anbietern.

Auch in der Schweiz soll es künftig eine Plattformregulierung geben. Der Bun­desrat ist bereits seit einiger Zeit daran, eine entsprechende Gesetzesvorlage zu erarbeiten. Der Entwurf für das neue Bundesgesetz über Kommunikationsplatt­formen und Suchmaschinen (KomPG) verzögert sich jedoch.

Cybersicherheit und Resilienz

Neben dem AI Act und dem DSA hat die EU weitere Regulierungen eingeführt, die für die Cybersicherheit und -resilienz von Einrichtungen und Betrieben von ­Be­deutung sind:

  • NIS-2-Richtlinie: Hierbei handelt es sich um ein EU-weites Regelwerk, das die Cybersicherheit in 18 kritischen Sektoren (wie Energie, Transport, Gesundheit und Finanzwesen) stärkt, indem es strengere Anforderungen an ­Sicherheitsmassnahmen, Berichterstattung, Meldung von Vorfällen und Zusammenarbeit festlegt. Die Mitgliedstaaten der EU hatten bis zum 17. Ok­tober 2024 Zeit, die Richtlinie in ihr nationales Recht umzusetzen.
  • CER-Richtlinie (Critical Entities Resilience Directive): Sie zielt darauf ab, die Widerstandsfähigkeit von kritischen Einrichtungen (Energie, Transport, Wasser, Finanzwesen, Gesundheit und so weiter) zu stärken. Die EU-­Mitgliedstaaten werden verpflichtet, eine nationale Strategie zur Stärkung der Resilienz kritischer Einrichtungen auszuarbeiten und mindestens alle vier Jahre eine Risikobewertung durchzuführen.
  • Digital Operational Resilience Act (DORA): Dieses Gesetz betrifft insbesondere den Finanzsektor und legt strenge Vorschriften zur Cybersicherheit und operationellen Resilienz fest. KI-Anwendungen, die im Finanzbereich eingesetzt werden, müssen ­robuste Sicherheitsmechanismen auf­weisen und regelmässigen Stresstests unterzogen werden. Unternehmen müssen zudem Notfallpläne für Cyberangriffe vorhalten und Meldepflichten einhalten. DORA wurde im Januar 2023 verabschiedet und trat am 17. Januar 2025 vollständig in Kraft.
  • Cyber Resilience Act (CRA): Dieses Gesetz zielt darauf ab, Cybersicherheitsstandards für digitale Produkte und vernetzte Geräte zu verbessern. Unternehmen, die KI-gestützte Software oder Hardware entwickeln, müssen sicherstellen, dass ihre Produkte grundlegende Sicherheitsanforderungen erfüllen und über einen definierten Zeitraum mit Sicherheitsupdates versorgt werden. Der CRA verpflichtet Hersteller und Anbieter dazu, Sicherheitslücken umgehend zu schliessen und potenzielle Risiken proaktiv zu minimieren. Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die wichtigsten eingeführten Verpflichtungen gelten ab dem 11. Dezember 2027.

Obwohl auch diese EU-Regulierungen nicht direkt in der Schweiz gelten, haben sie erhebliche Auswirkungen auf Schweizer KMU, insbesondere wenn sie Geschäfte mit der EU tätigen oder digitale Produkte und Dienstleistungen in den EU-Markt exportieren:

  • DORA: IT-Dienstleister und Fintech-Unternehmen in der Schweiz müssen verstärkte Sicherheitsmassnahmen umsetzen, wenn sie mit europäischen Finanzinstituten zusammenarbeiten. Dazu gehören robuste Sicherheitsmassnahmen und Notfallpläne zur Sicherstellung der operationellen Resilienz.
  • CRA: Hersteller digitaler Produkte oder Softwareanbieter in der Schweiz müssen hohe Cybersicherheitsstandards einhalten, wenn ihre Produkte in der EU vertrieben werden. Dies beinhaltet kontinuierliche Sicherheits­updates und Massnahmen zur Risiko­minderung.

In diesem Zusammenhang ist für die Schweiz auf das am 1. Januar 2024 in Kraft getretene Informationssicherheitsgesetz (ISG) zu verweisen. Betreiber von kritischen Infrastrukturen und Grundversorgungsanbieter (z. B. Lebensmittelhändler, Medien, aber auch IT-Konzerne) müssen seit dem 1. April 2025 Cyberangriffe innerhalb von 24 Stunden melden.

Fazit

In diesem Zusammenhang ist für die Schweiz auf das am 1. Januar 2024 in Kraft getretene Informationssicherheitsgesetz (ISG) zu verweisen. Betreiber von kritischen Infrastrukturen und Grundversorgungsanbieter (z. B. Lebensmittelhändler, Medien, aber auch IT-Konzerne) müssen seit dem 1. April 2025 Cyberangriffe innerhalb von 24 Stunden melden.

Diesen Beitrag teilen

Weitere Beiträge

30.09.2025

Die Wirkungen der «grauen Scheidung»

Die Zahl der «grauen Scheidungen», also Scheidungen von Menschen ab 60 Jahren, ist deutlich gestiegen. Gerade im Alter entfaltet eine Scheidung weitreichende rechtliche und finanzielle Konsequenzen: von Ansprüchen aus der Alters- und Hinterlassenenversicherung (AHV) und der Pensionskasse über Steuern bis hin zur Wohnsituation und erbrechtlichen Fragen.

Beitrag lesen
30.09.2025

Selten und deshalb besonders wertvoll: ISO in der Welt der Anwaltskanzleien

Qualitätsmanagementsysteme (QMS) stammen ursprünglich aus der Industrie, finden jedoch zunehmend auch im Dienstleistungssektor Anwendung. Die Anwaltsbranche zeigt sich jedoch eher zurückhaltend. Eine Ausnahme bildet die Kanzlei Kaufmann Rüedi in Luzern. Sie liess ihr QMS bereits 2006 von der SQS zertifizieren – als eine der ersten Kanzleien der Schweiz. Obwohl sich dieser Weg laut Susanna Auf der Maur-Quinn bewährt hat, ist die Kanzlei noch immer (fast) allein unterwegs.

Beitrag lesen
02.07.2025

Warum eine Wirtschaftsmediation sinnvoll ist

Eine Wirtschaftsmediation stellt die Alternative zum staatlichen Schlichtungsverfahren dar. Konfliktparteien nutzen diese Alternative bislang allerdings verhältnismässig selten. Der Beitrag zeigt, warum sich diese Form der Konfliktlösung für Unternehmen lohnen kann.

Beitrag lesen