Am 22. Januar 2026 trat Südkoreas AI Basic Act in Kraft und machte das Land damit zum ersten weltweit mit einem umfassenden horizontalen KI-Gesetz außerhalb der Europäischen Union. Drei Wochen zuvor hatte die Novelle des chinesischen Cybersecurity Law die Obergrenze für KI-bezogene Bußgelder bereits auf 50 Millionen Yuan oder 5 % des Vorjahresumsatzes angehoben. Allein im Februar 2026 sanktionierten die chinesischen Behörden 13.421 Konten und entfernten mehr als 543.000 Inhalte, weil KI-generiertes Material nicht gemäß dem verbindlichen nationalen Standard GB 45438-2025 gekennzeichnet worden war.

Nirgendwo sonst bewegt sich die Regulierung von KI und Daten in diesem Tempo und in so viele Richtungen zugleich. China setzt sein Recht durch kampagnenartige Kontrollwellen auf Basis bestehender Cyber- und Datengesetze durch, nicht über KI-spezifische Bußgelder. Japan hat sich für ein reines Förderungsgesetz ohne direkte Sanktionen entschieden. Südkorea hat als erstes Land ein Gesetz erlassen, dessen Durchsetzung jedoch um ein Jahr verschoben. Indien hat seine lang erwartete Datenschutzverordnung notifiziert, die materiellen Pflichten aber auf Mai 2027 verschoben. Singapur, Australien und Hongkong arbeiten noch mit freiwilligen Rahmenwerken, Konsultationspapieren und ins Stocken geratenen Änderungsgesetzen.

Für ein Compliance-Team, das die Region abdeckt, lautet die praktische Frage nie "hat dieses Land ein KI-Gesetz." Sie lautet, welches Instrument heute tatsächlich durchsetzbar ist, gegen welches Verhalten, und an welchem Datum sich das ändert.

Welche Länder im asiatisch-pazifischen Raum setzen KI-spezifische Regeln heute aktiv durch?

China ist das einzige Land mit einer speziell auf KI-Inhalte und -Modelle ausgerichteten Durchsetzungsmaschinerie aus Bußgeldern und Abschaltungen, während Südkorea zwar ein KI-spezifisches Gesetz in Kraft, dessen Anwendung jedoch pausiert hat. Chinas Interim Measures for the Administration of Generative AI Services, seit dem 15. August 2023 in Kraft, verlangen von jedem öffentlich zugänglichen generativen KI-Dienst eine Sicherheitsbewertung und eine Algorithmus-Registrierung bei der Cyberspace Administration of China vor dem Marktstart. Zum 17. März 2026 hatten sich 796 Dienste auf nationaler Ebene und weitere 481 auf lokaler Ebene registriert. Anbieter, die die Registrierung versäumen, werden vom Netz genommen. Das "Qinglang"-Kampagnenmodell, zuletzt eine viermonatige Sonderaktion, die im April 2026 gegen nicht registrierte große Modelle und unmarkierte synthetische Inhalte gestartet wurde, stützt sich auf das CSL, das Personal Information Protection Law und das Data Security Law und nicht auf die Generative AI Measures selbst, deren eigene Bußgeldobergrenze bei 100.000 Yuan liegt.

Südkoreas AI Basic Act, seit dem 22. Januar 2026 in Kraft, sieht Bußgelder von bis zu 30 Millionen Won vor, wenn Nutzer nicht über eine KI-Interaktion informiert werden, kein inländischer Vertreter benannt wird oder eine Korrekturanordnung missachtet wird. Das Ministry of Science and ICT führt für Tatsachenermittlungen und Bußgelder eine formale einjährige Übergangsfrist, in der nur Fälle mit schwerem gesellschaftlichem Schaden oder Menschenrechtsverletzungen verfolgt werden, wobei die normale Rechtsdurchsetzung voraussichtlich um den 22. Januar 2027 wieder aufgenommen wird.

Was verlangt Japans AI Promotion Act tatsächlich von Unternehmen?

Fast nichts unmittelbar Durchsetzbares, und das ist genau der Punkt. Das Act on Promotion of Research and Development, and Utilization of AI-related Technology wurde am 28. Mai 2025 erlassen und trat am 1. September 2025 vollständig in Kraft. Es errichtet ein AI Strategic Headquarters unter Vorsitz des Premierministers und schreibt einen AI Basic Plan vor, der am 23. Dezember 2025 verabschiedet wurde. Das Gesetz enthält keine Bußgelder und keine unmittelbaren Verbote. Der Regierung stehen als Mittel nur Kooperationsersuchen, Leitlinien und die öffentliche Offenlegung nicht konformen Verhaltens zur Verfügung.

Verbindliche Pflichten für den KI-Einsatz in Japan ergeben sich weiterhin aus bestehendem Fachrecht, vor allem dem Act on the Protection of Personal Information (APPI), ergänzt durch die nicht bindenden AI Governance Guidelines for Business von METI und MIC (Version 1.1, März 2025). Das Cabinet Office schloss im Januar 2026 eine öffentliche Konsultation zu Principles and Code on Generative AI ab, die als weitere nicht bindende Leitlinie zu geistigem Eigentum und Datentransparenz erwartet wird. Ein Unternehmen, das 2026 KI in Japan betreibt, wird an der APPI-Konformität und der Einhaltung freiwilliger Leitlinien gemessen, nicht am AI Promotion Act selbst.

Was ändert sich für die Compliance bei personenbezogenen Daten in Indien bis 2027?

Die Digital Personal Data Protection Rules, 2025, notifiziert am 13. November 2025 auf Grundlage des DPDP Act 2023, treten in drei getrennten Phasen und nicht auf einmal in Kraft. Die Rules 1, 2 und 17 bis 21, die die Einrichtung des Data Protection Board und die Rechtsetzungsarchitektur betreffen, traten am 13. November 2025 sofort in Kraft. Rule 4, das Registrierungsrahmenwerk für Consent Manager, sowie der entsprechende Section 6(9) treten am 13. November 2026 in Kraft. Die zentralen Pflichten, auf die die meisten Compliance-Teams tatsächlich warten, nämlich Hinweis- und Einwilligungspflichten, Meldepflichten bei Datenschutzverletzungen, Schutz von Kinderdaten, die Pflichten der Significant Data Fiduciary sowie die Sanktions- und Rechtsmittelarchitektur nach den Sections 3 bis 17 und 28 bis 34, treten erst am 13. Mai 2027 in Kraft.

Dieser achtzehnmonatige Vorlauf ist gewollt, ist aber auch eine Falle für Teams, die den DPDP Act als "noch nicht real" behandeln. Das Board arbeitet bereits, und die Rechtsetzung läuft schon jetzt. Systeme, die einer Prüfung nach Mai 2027 standhalten sollen, müssen im Jahr 2026 konzipiert werden, nicht erst im letzten Quartal vor der Frist zusammengebaut.

Wie regelt Singapur KI ohne ein verbindliches KI-Gesetz?

Ausschließlich über freiwillige Rahmenwerke der Infocomm Media Development Authority, zuletzt erweitert um autonome KI-Agenten. Das Model AI Governance Framework for Agentic AI, gestartet am 22. Januar 2026, ist weltweit das erste Governance-Rahmenwerk, das sich gezielt mit agentischen Systemen befasst, und stützt sich auf vier Dimensionen: die vorab erfolgende Begrenzung von Risiken durch Auswahl der Anwendungsfälle und Zugriffsrechte nach dem Prinzip der geringsten Berechtigung, die Zuweisung klarer menschlicher Verantwortlichkeit, die Einbettung technischer Kontrollen über den gesamten Lebenszyklus des Agenten und die Ermöglichung von Endnutzerverantwortung. Rechtlich verbindlich ist davon nichts, doch die IMDA hat erklärt, dass die Ausrichtung am Rahmenwerk dabei hilft, rechtliche Risiken zu steuern, da Organisationen, die agentische KI einsetzen, unabhängig vom freiwilligen Charakter des Rahmenwerks nach geltendem Recht für deren Handeln verantwortlich bleiben.

Singapur ergänzt dies um das Model AI Governance Framework for Generative AI von 2024 sowie das gemeinsam mit der Personal Data Protection Commission entwickelte Testwerkzeug AI Verify. Im Februar 2026 kündigte Premierminister Lawrence Wong einen neuen National AI Council sowie eine Reihe nationaler AI Missions für die Bereiche Fertigung, Konnektivität, Finanzen und Gesundheitswesen an, ein Zeichen dafür, dass Singapurs kurzfristige regulatorische Strategie weiterhin auf soft law und sektorspezifische Missionen setzt und nicht auf ein horizontales KI-Gesetz.

Was ist in Australien und Hongkong derzeit tatsächlich durchsetzbar?

In Australien steht bereits eine konkrete Frist fest: Ab dem 10. Dezember 2026 verpflichtet der Privacy and Other Legislation Amendment Act 2024 APP-Einrichtungen dazu, in ihren Datenschutzrichtlinien anzugeben, welche Arten personenbezogener Daten von einem Computerprogramm verwendet werden, das eine Entscheidung trifft oder wesentlich und unmittelbar unterstützt, die die Rechte oder Interessen einer Person erheblich beeinträchtigen kann. Die Pflicht erfasst sowohl KI-gestützte Systeme als auch regelbasierte Tools, gilt auch dann, wenn formal weiterhin ein Mensch eingebunden ist, und erfasst Entscheidungen, die ab diesem Datum getroffen werden, unabhängig davon, wann das zugrunde liegende System eingeführt wurde. Der Office of the Australian Information Commissioner eröffnete am 18. Mai 2026 eine öffentliche Konsultation zu den Umsetzungsleitlinien, die am 15. Juni 2026 endete, wobei die endgültigen Leitlinien erst für September 2026 erwartet werden, sodass Einrichtungen ohne diese mit der Compliance-Arbeit beginnen müssen.

Hongkong hat keine vergleichbare Frist. Vorgeschlagene Änderungen der Personal Data (Privacy) Ordinance, darunter eine verpflichtende Meldung von Datenschutzverletzungen, umsatzabhängige Bußgelder und eine unmittelbare Regulierung von Datenverarbeitern, wurden 2025 im Legislative Council debattiert, sind aber Mitte 2026 weiterhin nur Vorschläge und kein geltendes Recht, angeblich blockiert durch Bedenken über die Belastung für Unternehmen. In ihrer Abwesenheit reguliert der Privacy Commissioner for Personal Data KI über das nicht bindende Model Personal Data Protection Framework von 2024 und eine Checkliste vom März 2025 für die Nutzung generativer KI durch Beschäftigte, während die davon unabhängige Protection of Critical Infrastructures (Computer Systems) Ordinance am 1. Januar 2026 vollständig in Kraft trat und Betreibern benannter kritischer Infrastrukturen zusätzliche Cybersicherheitspflichten auferlegt.

RechtsraumVerbindliches KI-spezifisches InstrumentDurchsetzungsstatus Mitte 2026Wichtiges anstehendes Datum
ChinaGenerative AI Measures (2023) + GB 45438-2025 KennzeichnungAktiv, kampagnenbasiert, über CSL/PIPL/DSLLaufende quartalsweise Qinglang-Kontrollwellen
SüdkoreaAI Basic ActIn Kraft, Bußgelder während ÜbergangsfristÜbergangsfrist endet um den 22. Januar 2027
JapanAI Promotion ActIn Kraft, keine direkten SanktionenAI Basic Plan Phase II in Entwicklung
IndienDPDP Act + DPDP Rules 2025Board arbeitet; zentrale Pflichten noch nicht in KraftZentrale Pflichten treten am 13. Mai 2027 in Kraft
SingapurKeines (freiwillige MGF-Rahmenwerke)Nicht bindend, an bestehendes Fachrecht gekoppeltAufbau des National AI Council bis Ende 2026
AustralienPrivacy Act 1988 (ADM-Novelle)Noch nicht in KraftTransparenzpflicht für ADM tritt am 10. Dezember 2026 in Kraft
HongkongPDPO (unverändert)Novellen seit 2025 blockiertKein bestätigter Zeitplan

Sieben regulatorische Entwicklungsstränge parallel zu verfolgen, auf Mandarin, Koreanisch, Japanisch und Englisch, und jeden davon jedes Mal neu zu prüfen, wenn ein Ministerium ein neues Rundschreiben herausgibt oder ein Parlament einen Gesetzentwurf aus dem Ausschuss berichtet, ist keine Aufgabe, die ein einzelner Compliance-Verantwortlicher über einen gesamten asiatisch-pazifischen Fußabdruck hinweg manuell bewältigen kann. Obsidians Monitoring je Rechtsraum verfolgt jede offizielle Quelle, von der Registrierungsdatenbank der CAC bis zu den Gazette-Bekanntmachungen Indiens, im Moment der Veröffentlichung und markiert genau die Maßnahme, die ein bereits auf der Watchlist eines Unternehmens stehendes Rahmenwerk betrifft.

Für Teams, die dieselbe belegte Antwort innerhalb eines Workflows statt in einem Dashboard benötigen, ermöglicht der MCP einem KI-Assistenten, der bereits andere Compliance-Aufgaben übernimmt, zu bestätigen, ob die Übergangsfrist des MSIT tatsächlich abgelaufen ist oder ob die OAIC ihre Leitlinien zu automatisierter Entscheidungsfindung bereits veröffentlicht hat, ohne dass eine Person die Primärquelle zuvor erneut prüfen muss. Obsidians KI fungiert in diesem Austausch als regulatorischer Begleiter, nicht als Ersatz für den Compliance-Verantwortlichen, der die Antwort abzeichnet. Sie sorgt lediglich dafür, dass die belegte Tatsache vor der Frist ankommt und nicht danach.

Was sollte ein KI- und Daten-Governance-Team im asiatisch-pazifischen Raum als Nächstes tun

Die Arbeit nach durchsetzbarem Datum priorisieren, nicht nach Schlagzeile. Ein Team mit China-Exposure muss seine Registrierung für generative KI und die GB 45438-Kennzeichnung jetzt auf aktuellem Stand halten, da die Kontrollwellen vierteljährlich laufen. Ein Team in Korea braucht eine AI Basic Act-Compliance-Basis, die steht, bevor die Übergangsfrist um Januar 2027 endet. Ein Team in Indien muss seine Architektur für Einwilligung und Meldung von Datenschutzverletzungen im Jahr 2026 entwerfen, damit sie einer Prüfung durch das Board standhält, sobald die zentralen DPDP-Pflichten im Mai 2027 in Kraft treten. Ein Team in Australien braucht seine Datenschutzrichtlinien-Formulierungen und sein Entscheidungsinventar vor dem 10. Dezember 2026, nicht danach.

Obsidians Pläne sind genau darauf ausgelegt, diesen asynchronen, mehrere Rechtsräume umfassenden KI- und Daten-Governance-Kalender zu verfolgen, Quelle für Quelle, sodass die nächste CAC-Bekanntmachung, MSIT-Leitlinie oder OAIC-Entscheidung das Compliance-Team erreicht, bevor sie eine Schlagzeile erreicht.