Bei ongoing bauen wir seit 2006 digitale Lösungen, die funktionieren. Dazu gehört heute mehr denn je die regulatorische Integrität. Wir zeigen dir in diesem Artikel, warum du kein Jus-Studium brauchst, um deine Software konform zu machen. Erfahre, welche konkreten Schritte du heute einleiten musst, damit du auch 2026 noch ruhig schläfst, während andere ihre Bussen bezahlen.
EU AI Act: Warum „YOLO“ bei deiner Web-Applikation keine Strategie ist
ALLGEMEIN
Hand aufs Herz: Hast du den EU AI Act bisher als „Problem für später“ oder „betrifft nur Big Tech“ abgetan? Falls ja, haben wir schlechte Nachrichten. Wenn deine Web-Applikation Daten von EU-Bürger:innen verarbeitet, ist die Schonfrist für „YOLO-KI“ vorbei.
Die ongoing KI-Risiko-Matrix: Wo stehst du?
Statt dich mit 500 Seiten Gesetzestext zu langweilen, haben wir Komplexität reduziert. Für uns als Agentur ist die Einordnung entscheidend, um den Digital Leverage (den digitalen Hebel) deiner Lösung nicht durch rechtliche Risiken zu blockieren. (Wer es juristisch ganz genau wissen will, nutzt am besten den offiziellen EU AI Act Compliance Checker).
Wir nutzen zwei Achsen: Regulatorische Intensität (EU AI Act) vs. Business-Impact / Kritikalität.
1. Der „Experience“-Sektor (Unten Rechts: Niedriger Impact, reguliert)
Hier geht es um die Interaktion. Die EU will vor allem eines: Transparenz.
- Beispiel Workout-Generator: Wenn Claude in deiner Mobile App Trainingspläne erstellt, muss klar sein: „KI-generiert“. Ein kleiner Disclaimer reicht.
- Beispiel Customer Support Agent: Auch wenn das LLM nur Antwortvorschläge generiert, muss der User wissen, dass er mit einer Maschine chattet. Technisch simpel, aber rechtlich zwingend.
2. Der „Efficiency“-Sektor (Unten Links: Niedriger Impact, kaum reguliert)
Hier liegen die klassischen Werkzeuge.
- Beispiel Spam-Erkennung: Regulatorisch stuft die EU dies als minimales Risiko ein. Aber Vorsicht: Die DSGVO (und das Schweizer DSG) schlafen nicht. E-Mails enthalten oft Personendaten. Hier kommt unser ongoing Anonymizer ins Spiel, um den Datenschutz zu garantieren.
3. Der „Insight“-Sektor (Oben Links: Hoher Impact, moderat reguliert)
Hier liegt der wahre geschäftliche Hebel.
- Beispiel Technische Prüfberichte: Die Analyse von Haftungstests in einem Labor-Umfeld ist hocheffizient. Da es um Technik und nicht um medizinische Diagnosen geht, ist der regulatorische Druck moderat. Dennoch: Die Datenintegrität muss zu 100% stimmen.
- Beispiel CRM Predictions: Vorhersagen über Kaufverhalten sind Gold wert. Solange die KI nicht autonom über Verträge entscheidet (Scoring), bleibst du im grünen Bereich.
4. Der „Critical“-Sektor (Oben Rechts: Hoher Impact, stark reguliert)
Hier geht es um Biometrie, staatliche Überwachung oder medizinische Diagnostik. Bei ongoing verzichten wir bewusst auf Projekte in diesem Bereich. Wir entwickeln Lösungen, die einen echten Nutzen stiften, statt Menschen zu überwachen oder zu kategorisieren.
Unser „Hidden Champion“: Der ongoing Anonymizer
Wir basteln nicht. Wir schützen. In unseren Projekten setzen wir konsequent auf Privacy by Design. Ein System, das heute super funktioniert, aber morgen wegen Datenschutzmängeln abgeschaltet werden muss, ist eine schlechte Investition.
Unser Anonymizer ist der Schutzschild zwischen deiner Applikation und der KI:
- Input-Filtering: Namen, Adressen oder Telefonnummern werden unkenntlich gemacht, bevor sie das sichere Netz verlassen und in ein US-basiertes LLM fliessen.
- Tool-Calls: Muss die KI Daten aus deiner Datenbank abfragen, werden diese über unseren Layer wieder anonymisiert zurückgespielt.
Das Ergebnis: Du nutzt die volle Power von GPT-4, Claude oder Gemini, bleibst aber Herr über deine Daten.
Der Schweizer Sonderzug (und warum er dich nicht rettet)
Als Schweizer Unternehmen fragst du dich jetzt sicher: "Muss mich das interessieren, was Brüssel entscheidet? Wir haben doch in Bern unsere eigenen Mühlen."
Stimmt. Der Bundesrat hat entschieden, dass es keinen gigantischen "Swiss AI Act" als 1:1-Kopie geben wird. Die Schweiz wählt den pragmatischen Weg und passt lieber bestehende Gesetze (wie das Datenschutzgesetz) punktuell an. Bis Ende 2026 soll ein konkreter Entwurf auf dem Tisch liegen.
Klingt entspannt? Ist es aber nicht.
Der EU AI Act greift extraterritorial. Das heisst: Sobald deine Web-Applikation ausserhalb der Schweiz genutzt wird und EU-User bedient, gelten für dich die Regeln der EU. Die sprichwörtliche Schweizer Gelassenheit bringt dir rechtlich nur dann etwas, wenn du alle Nutzer:innen ausserhalb der Schweiz rigoros aussperrst (Geoblocking). Und mal ehrlich: Wer will das aus Business-Sicht schon?
Deshalb: Abwarten auf Bern ist keine Strategie, wenn du skalieren willst.
Dein Schlachtplan: In 3 Schritten zur KI-Compliance
Du willst 2026 ruhig schlafen? Dann reicht es nicht, „KI“ auf die Website zu schreiben und zu hoffen. Du brauchst einen Plan. Wir haben ihn für dich auf drei Phasen eingedampft:
Schritt 1: Der technische Kassensturz (Inventar)
Du kannst nichts schützen, was du nicht kennst. In vielen Unternehmen hat sich „Schatten-KI“ eingeschlichen.
- Was ist zu tun? Scanne deinen Tech-Stack. Wo hängen APIs von OpenAI, Anthropic oder Google dran? Welche Open-Source-Modelle laufen auf deinen Servern? Welche Drittanbieter-Tools (z. B. CRM oder Analytics) nutzen im Hintergrund KI-Features?
Ziel: Eine lückenlose Liste aller KI-gestützten Funktionen deiner Web-Applikation.
Schritt 2: UX-Transparenz & Labeling
Der EU AI Act ist allergisch gegen Täuschung. Der User hat ein Recht zu erfahren, ob er mit einem Menschen oder einer Maschine interagiert.
- Was ist zu tun? Überprüfe die User Journey. Überall dort, wo KI Inhalte generiert, zusammenfasst oder Antworten liefert, gehört ein Label hin. Das muss kein riesiger Banner sein – ein dezentes Icon oder ein klarer Disclaimer („KI-gestützte Antwort“) reicht oft aus.
Ziel: Vertrauen durch Ehrlichkeit. Du erfüllst die gesetzliche Kennzeichnungspflicht und schützt dich vor Vorwürfen der Manipulation.
Schritt 3: Engineering-Governance & Dokumentation
Hier trennt sich die Spreu vom Weizen. „Einfach mal machen“ ist bei High-Impact-Lösungen lebensgefährlich für das Business.
- Was ist zu tun? Implementiere technische Leitplanken. Nutze Lösungen wie den ongoing Anonymizer, um sicherzustellen, dass keine Personendaten die Kontrolle verlassen. Dokumentiere zudem, nach welchen Kriterien die KI Entscheidungen trifft (Explainability). Wer ist intern verantwortlich, wenn die KI halluziniert oder Fehler macht?
Ziel: Revisionssicherheit. Wenn der Auditor fragt, hast du die Architektur-Diagramme und Governance-Regeln griffbereit.
Fazit: Innovation braucht Leitplanken
Wir finden: Wahre Innovation ist kein Wildwest. Wer heute seine Hausaufgaben macht, beweist, dass er als Unternehmen erwachsen ist. Compliance ist kein Bremsklotz, sondern ein Qualitätsmerkmal eines professionellen Software-Partners.
Lass uns dafür sorgen, dass dein Projekt nicht nur heute glänzt, sondern auch übermorgen noch legal ist. Du brauchst einen Sparringspartner für deine Architektur? Lass uns reden.
📌 Nützliche Links & Quellen für deinen Deep Dive
Tool-Tipp: Der EU AI Act Compliance Checker (Finde heraus, in welche Risikoklasse dein System offiziell fällt).
Die Schweizer Perspektive: Offizielle Mitteilung des Bundesrats zur KI-Regulierung in der Schweiz.
ongoing Expertise: Erfahre mehr darüber, wie wir sichere KI-Lösungen und individuelle Web-Applikationen bauen, ohne zu basteln.
Der Autor /
Roger Wicki
"Lass uns dafür sorgen, dass dein Projekt nicht nur heute glänzt, sondern auch übermorgen noch legal ist. Du brauchst einen Sparringspartner für deine Architektur? Dann lass uns reden."
✉️ E-Mail schreiben: roger.wicki@ongoing.ch
🤙 Ruf mich an: +41 41 552 13 51
📝 Schreib mir eine Nachricht:
Im nächsten Schritt fragen wir dich noch nach deiner E-Mail Adresse.
Senden👋 Hast du Fragen?
