Neue EU-Digitalregularien im Überblick – AI Act, Data Act und NIS-2-Richtlinie
16. Dez 2025, Recht & Steuern

Neue EU-Digitalregularien im Überblick – AI Act, Data Act und NIS-2-Richtlinie

2025 war das Jahr der «künstlichen Intelligenz». Dieser Artikel bietet eine kurze Übersicht über die aktuellen EU-Regulierungen im Bereich künstlicher Intelligenz und deren Auswirkungen auf deutsche und Schweizer Unternehmen.
Der EU AI Act – risikobasierte Regulierung Künstlicher Intelligenz

Der EU AI Act ist das weltweit erste umfassende, risikobasierte Regelwerk für künstliche Intelligenz (KI) und trat am 2. August 2024 in Kraft. Ziel ist es, vertrauenswürdige, menschenzentrierte KI zu gewährleisten, welche die Grundrechte, die Sicherheit und die Gesundheit schützt und gleichzeitig Innovation sowie den Binnenmarkt fördert.

Anwendungsbereich

Die Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten und entfaltet extraterritoriale Wirkung nach dem Marktortprinzip – das heisst, es ist massgeblich, ob ein KI-System oder dessen Output in der EU verwendet wird. Damit sind auch Schweizer Anbieter oder Betreiber erfasst, sofern sie KI-Systeme in der EU bereitstellen oder deren Ergebnisse in der EU genutzt werden.

Risikoklassen und Pflichten

  • Unannehmbares Risiko (verboten): z. B. Social Scoring, manipulative Praktiken, ungezieltes Scraping biometrischer Datenbanken, Emotionserkennung in Schule oder Arbeitsplatz.
  • Hohes Risiko: betrifft u. a. KI-Systeme in kritischer Infrastruktur, Beschäftigung, Bildung, Justiz, Strafverfolgung und biometrischer Identifizierung.
  • Begrenztes Risiko: Transparenzpflichten (z. B. Kennzeichnung von Chatbots oder Deepfakes).
  • Minimales Risiko: keine besonderen Pflichten.

Für Hochrisiko-Systeme bestehen umfangreiche Anforderungen an Risikomanagement, Datenqualität, Protokollierung, menschliche Aufsicht und Konformitätsbewertung.
Seit dem 2. August 2025 gelten besondere Vorschriften für Generative KI (GPAI), darunter Transparenzpflichten zu Trainingsdaten und Massnahmen bei systemischen Risiken.

Sanktionen

Verstösse können mit bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes geahndet werden. Kleinere Unternehmen profitieren von abgestuften Schwellenwerten.

Schweizer Perspektive

Die Schweiz hat die Europarats-KI-Konvention übernommen. Regulierungen sollen primär sektoral erfolgen (z. B. Datenschutz, Nichtdiskriminierung, Transparenz).
Für Schweizer Unternehmen ist der AI Act jedoch faktisch relevant, sobald sie KI-Produkte oder -Dienste in der EU anbieten oder verwenden.

Der EU Data Act – Zugang, Nutzung und Weitergabe von Daten

Der EU Data Act trat am 11. Januar 2024 in Kraft und gilt seit dem 12. September 2025 in der gesamten EU. Er zielt darauf ab, fairen Zugang zu Daten sicherzustellen und Datenmonopole von Herstellern vernetzter Geräte zu durchbrechen.

Kerninhalte

  • Datenzugangsrechte: Nutzer von IoT-Geräten (B2B und B2C) erhalten das Recht, die von ihnen erzeugten Daten abzurufen und an Dritte ihrer Wahl weiterzugeben.
  • Pflichten der Hersteller: Produkte und Dienste müssen «data by design» konzipiert sein, also von Anfang an einfachen und sicheren Datenzugang ermöglichen.
  • Schutz von Geschäftsgeheimnissen: Die Datenweitergabe darf keine Betriebsgeheimnisse gefährden; angemessene Schutzmassnahmen sind vorgeschrieben.
  • Cloud-Portabilität: Anbieter von Datenverarbeitungsdiensten müssen Wechselhindernisse beseitigen.

Durchsetzung und Sanktionen

Die Durchsetzung und Sanktionierung obliegen den Mitgliedstaaten. Das deutsche Bundeskabinett hat das nationale Durchführungsgesetz zum EU-Data Act am 29. Oktober 2025 beschlossen. Ziel des Gesetzes ist es, klar festzulegen, welche Behörden für die Umsetzung zuständig sind. Die Bundesnetzagentur wird als zentrale Aufsichtsbehörde eingesetzt, während der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit datenschutzrechtliche Fragen im wirtschaftlichen Kontext übernimmt.

Schweizer Perspektive

Auch der Data Act entfaltet exterritoriale Wirkung:

  • Schweizer Hersteller, die vernetzte Produkte in der EU vertreiben,
  • Schweizer Anbieter verbundener Dienste oder Cloud-Anbieter mit EU-Kunden,
  • sowie Dateninhaber, die Daten an Empfänger in der EU weitergeben,
    unterliegen den Vorschriften des Data Acts.

Dabei eröffnet sich die Frage, ob es zu Konflikten mit dem Schweizer Strafgesetzbuch (Art. 271, 273 StGB) kommen wird, hinsichtlich Herausgabeverlangen von EU-Behörden auf Daten, deren Übermittlung nach Schweizer Recht untersagt wäre («Swiss Blocking Statutes»). Die Schweiz verfolgt parallel eine eigene Datenstrategie und arbeitet an einem Rahmengesetz zur Sekundärnutzung von Daten.

Die NIS-2-Richtlinie – Stärkung der Cybersicherheit

Die NIS‑2‑Richtlinie (Network and Information Security Directive – EU 2022/2555) ist ein zentrales Instrument der EU-Cybersicherheitsstrategie und ersetzt die ursprüngliche NIS-Richtlinie. Ziel ist ein unionsweit hohes Cybersicherheitsniveau. Mitgliedstaaten waren verpflichtet, die Richtlinie bis Oktober 2024 in nationales Recht zu überführen. In Deutschland wurde am 13. November 2025 der «Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung» (kurz: NIS-2-Umsetzungsgesetz) beschlossen. Dieses umfasst unter anderem eine Novellierung des Gesetzes über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSIG).

Anwendungsbereich

NIS-2 weitet den Anwendungsbereich gegenüber der Vorgängerrichtlinie deutlich aus: Neben klassischen kritischen Infrastrukturen, sog. «KRITIS-Betreibern» sind nun umfangreiche Unternehmen aus den Bereichen Energie, Verkehr, Gesundheit, Finanzwesen, IT-Dienstleistungen, digitaler Infrastruktur und öffentliche Verwaltung erfasst. Auch ausserhalb der EU ansässige Unternehmen, etwa in der Schweiz, können betroffen sein, wenn sie Dienste in der EU erbringen oder Teil von EU-Lieferketten sind.

Unmittelbare Wirkung der Richtlinie / Verhältnis zu nationalem Recht

Als Richtlinie bindet NIS-2 primär die Mitgliedstaaten, nicht unmittelbar die Unternehmen. Die Pflichten und Sanktionsrahmen treten erst in Kraft, wenn sie durch die Mitgliedsstaaten ins nationales Recht umgesetzt ist.

Mit dem deutschen Entwurf zum NIS-2-Umsetzungsgesetz ist nun der nationale Umsetzungsprozess gestartet bzw. in einem weit fortgeschrittenen Stadium.

Fazit und Handlungsempfehlungen

Die drei EU-Rechtsakte – AI Act, Data Act und NIS-2 – bilden gemeinsam den Kern eines neuen europäischen Digitalrechtsrahmens, der auch nicht-EU-Unternehmen unmittelbar betrifft.
Für Schweizer und andere Drittlandunternehmen bedeutet dies:

  1. Anwendbarkeit prüfen: extraterritoriale Wirkung ist regelmässig gegeben.
  2. Compliance-Strukturen anpassen: Governance, Datenmanagement und IT-Sicherheitsprozesse harmonisieren.
  3. Vertragswerke überprüfen, insbesondere bei Cloud-, Daten- und KI-Dienstleistungen.
  4. Schulungen und Awareness-Programme zur KI-Kompetenz und Cybersicherheit implementieren.

Diese EU-Regulierungen markieren den Beginn einer neuen Ära digitaler Governance – auch jenseits der EU-Grenzen.



Schliessen Button
Immer erstklassig informiert

Melden Sie sich für den Newsletter der Handelskammer Deutschland-Schweiz an.