EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Alle Ratgeber
Schweiz

EU AI Act und revDSG: Synergie für Schweizer Unternehmen 2026

Zuletzt aktualisiert: Mai 2026·10 min Lesezeit
TL;DR

Schweizer Unternehmen mit EU-Geschäft müssen beide Regelwerke parallel erfüllen. Das revDSG (seit September 2023) regelt v.a. automatisierte Einzelentscheidungen (Art. 21), während der EU AI Act umfassender ist. Smart wer beide gemeinsam plant: KI-Inventar, Transparenz, FRIA und DSFA können kombiniert werden.

Schweizer Unternehmen sind im KI-Recht doppelt betroffen: einerseits durch das eigene revidierte Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023), andererseits — bei EU-Geschäft — durch den EU AI Act. Wir zeigen, wie beide zusammenwirken und wo Synergien entstehen.

Wer ist betroffen?

Reine CH-only: revDSG, kein EU AI Act CH mit EU-Kunden/EU-Markt: beide EU-Unternehmen mit CH-Tochter: revDSG für CH-Datenverarbeitung, EU AI Act für KI

Das revDSG und KI

Das revDSG enthält keinen eigenen "KI-Artikel" — aber Art. 21 ist KI-relevant.

Art. 21 nDSG: Automatisierte Einzelentscheidungen

"Wer eine ausschließlich auf einer automatisierten Bearbeitung beruhende Entscheidung trifft, die für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt, muss sie über die Entscheidung informieren."

Drei Pflichten: 1. Transparenz: Information über die automatisierte Entscheidung 2. Recht auf Stellungnahme: Betroffene können ihre Position äussern 3. Recht auf Überprüfung durch Mensch: Auf Antrag muss eine natürliche Person die Entscheidung überprüfen

Art. 22 nDSG: DSFA bei hohem Risiko

Verpflichtende Datenschutz-Folgenabschätzung bei "hohem Risiko" — das ist breiter als die DSGVO und erfasst viele KI-Anwendungen.

Art. 7 nDSG: Privacy by Design / by Default

Datenschutzfreundliche Voreinstellungen sind Pflicht. Bei KI bedeutet das: Trainings- und Live-Daten so minimal wie möglich, kein Tracking ohne Notwendigkeit.

Art. 19 nDSG: Informationspflicht

Erweitert gegenüber DSGVO: nicht nur Zweck, sondern auch "Empfänger" (Adressaten der Daten) müssen genannt werden — bei KI relevant für API-Calls an LLM-Anbieter.

Synergien zwischen revDSG und EU AI Act

Synergie 1: KI-Inventar

Beide Regelwerke verlangen Wissen über die eigenen Systeme. Ein einheitliches KI-Inventar erfüllt beide.

Synergie 2: DSFA + FRIA

Die DSFA nach Art. 22 nDSG / Art. 35 DSGVO und die FRIA nach Art. 27 EU AI Act haben überlappende Inhalte. Empfehlung: gemeinsames Dokument mit klar abgegrenzten Sektionen.

Synergie 3: Transparenz

Sowohl revDSG (Art. 19, 21) als auch EU AI Act (Art. 13, 50) verlangen Transparenz. Eine konsistente Datenschutz- und Transparenz-Kommunikation deckt beide ab.

Synergie 4: Recht auf Erklärung

revDSG: Recht auf Information über automatisierte Entscheidungen. EU AI Act: Recht auf Erklärung bei Hochrisiko-Entscheidungen (Art. 86).

Wer ein gemeinsames Erklärungs-Framework etabliert, ist für beide vorbereitet.

Synergie 5: Aufbewahrungs-Logik

Logging-Pflicht (Art. 12 EU AI Act) und Datenschutz-Lösch-Pflichten müssen vereinbart werden.

Wo gibt es Konflikte?

Konflikt 1: Strafmass

revDSG: bis zu 250.000 CHF Bussgeld bei vorsätzlichem Verstoss (Art. 60 ff.) EU AI Act: bis zu 35 Mio. EUR / 7% Jahresumsatz (Art. 99)

Bei doppelter Anwendbarkeit gilt das jeweils Strengere.

Konflikt 2: Zuständigkeit

revDSG: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) EU AI Act: nationale Marktaufsichtsbehörden im jeweiligen EU-Mitgliedstaat

Schweizer Unternehmen mit EU-Geschäft können von zwei Aufsichtsbehörden geprüft werden.

Konflikt 3: Datentransfer EU → Schweiz

DSGVO erlaubt Transfer in die Schweiz aufgrund Angemessenheits-Beschluss. Das ist DSGVO-rechtlich unproblematisch — aber bei KI-Trainings auf personenbezogenen EU-Daten gelten zusätzliche AI-Act-Anforderungen.

EDÖB-Position zu KI

Der EDÖB hat in mehreren Stellungnahmen klargestellt:

  • ChatGPT und ähnliche LLMs unterliegen dem revDSG, sobald personenbezogene Daten verarbeitet werden
  • Schweizer Unternehmen müssen die Datenverarbeitung durch den US-Anbieter prüfen (Art. 16 nDSG)
  • Bei sensiblen Daten ist eine DSFA praktisch immer nötig

Praktische Empfehlungen

Für reine CH-only Unternehmen

  • Kurzfristig: revDSG-Compliance sicherstellen — Inventar, DSFA, Transparenz, Mitarbeiter-Schulung
  • Mittelfristig: EU-AI-Act-Strukturen aufbauen, falls EU-Expansion geplant — die Kosten sind ohnehin gerechtfertigt

Für CH-Unternehmen mit EU-Geschäft

  • Sofort: beide Regelwerke gemeinsam implementieren
  • Synergien nutzen: ein Inventar, eine kombinierte DSFA/FRIA, einheitliche Schulung, einheitliche Vertragsklauseln

Für EU-Unternehmen mit CH-Tochter

  • Hauptaugenmerk: EU-AI-Act-Compliance, weil der die strengeren Anforderungen hat
  • Zusätzlich: revDSG-Spezifika prüfen (z.B. Art. 19 erweiterte Informationspflicht)

Tools

ai-risk-check.com unterstützt beide Regelwerke parallel. Im Wizard kannst du angeben, ob das System CH-only ist oder EU-Bezug hat — die Engine generiert dann die jeweiligen Pflichten kombiniert.

Häufig gestellte Fragen

Müssen Schweizer Unternehmen den EU AI Act beachten?+

Reine CH-only Unternehmen ohne EU-Markt müssen den EU AI Act aktuell nicht direkt beachten, aber das revDSG. Schweizer Unternehmen mit EU-Kunden, EU-Niederlassungen oder solchen, die KI-Systeme im EU-Markt anbieten, fallen unter beide Regelwerke gleichzeitig. Massgeblich ist das Marktortprinzip.

Was regelt Art. 21 nDSG für KI?+

Art. 21 nDSG regelt automatisierte Einzelentscheidungen mit erheblicher Auswirkung. Drei Pflichten: 1) Information der betroffenen Person über die Entscheidung, 2) Recht auf Stellungnahme der betroffenen Person, 3) Recht auf Überprüfung durch eine natürliche Person. Das deckt KI-Bonität, KI-Recruiting-Entscheidungen, KI-Versicherungs-Risikoklassen ab.

Reicht eine DSFA als FRIA?+

Nein, aber eine DSFA kann Grundlage für die FRIA sein. Die DSFA nach Art. 22 nDSG fokussiert auf Datenschutzrisiken. Die FRIA nach Art. 27 EU AI Act umfasst alle Grundrechte: Würde, Privatleben, Diskriminierungsverbot, Recht auf Asyl, faires Verfahren, Verbraucherschutz, Schutz in Beschäftigung. Die FRIA muss die DSFA also ergänzen, nicht ersetzen.

Welche Aufsicht ist für CH-Unternehmen mit EU-Geschäft zuständig?+

Beide. Der EDÖB für die Schweizer Datenverarbeitung nach revDSG, und die nationale Marktaufsichtsbehörde im jeweiligen EU-Mitgliedstaat (in Deutschland BNetzA, in Österreich RTR) für den EU AI Act. Beide können bei Verstössen Geldbussen verhängen — die jeweils strengere Sanktion gilt im Doppelfall.

Wann muss ein Schweizer KMU eine DSFA durchführen?+

Art. 22 nDSG verlangt eine DSFA bei "hohem Risiko" — das ist breiter als DSGVO. KI-Anwendungen mit Profiling, automatisierten Einzelentscheidungen, Verarbeitung sensibler Daten oder grossflächiger Überwachung erreichen den Schwellenwert fast immer. Im Zweifel: DSFA durchführen, das schützt vor Bussgeldern und Reputationsschäden.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Innopulse Legal Engine v3.8.0

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Mai 2026

Alle RatgeberWissenshub
EU AI Act und revDSG 2026 — Schweizer Synergie-Guide | ai-risk-check.com