Singapur 2026: Neue Regeln für KI, Datenschutz und internationale Datentransfers

Die rechtliche Landschaft für künstliche Intelligenz in Singapur befindet sich in einer Phase der dynamischen Weiterentwicklung, geprägt durch eine Kombination aus bestehendem Datenschutzrecht und rechtlich nicht bindenden Rahmenwerken. Anders als die Europäische Union mit ihrer KI-Verordnung verzichtet Singapur bislang auf ein spezifisches KI-Gesetz. Premierminister Lawrence Wong unterstrich zuletzt die Notwendigkeit, bestehende Rechts- und Haftungskonzepte an den zunehmenden Einsatz autonomer KI-Systeme anzupassen. Dieser Prozess der rechtlichen Evolution spiegelt sich in den neuesten Veröffentlichungen der Behörden wider.

In diesem Beitrag geben wir einen Überblick über die neuen PDPC-Leitlinien für generative KI, die Version 1.5 des IMDA Model AI Governance Framework sowie das digitale Handelsabkommen EUSDTA.

Governance Frameworks zu generativer und agentischer KI

Singapur hat zur Regulierung von KI bislang drei unverbindliche Musterrahmenwerke veröffentlicht. Auf das allgemeine Model AI Governance Framework aus den Jahren 2019 und 2020 folgte im Mai 2024 ein spezielles Framework für generative KI. Mit dem im Januar 2026 veröffentlichten und im Mai/Juni 2026 auf Version 1.5 aktualisierten Model AI Governance Framework for Agentic AI reagiert die Infocomm Media Development Authority (IMDA) auf die zunehmende Verbreitung autonom handelnder KI-Agenten.

Das Dokument hebt hervor, dass die zunehmende Autonomie dieser Systeme neue Risiken wie den „Automation Bias“ schafft – das menschliche Bestreben, maschinell generierten Vorschlägen übermäßig zu vertrauen. Für Unternehmen bedeutet dies, dass sie bei der Implementierung von Agenten klare Eskalationsprotokolle und menschliche Checkpoints einbauen sollten, insbesondere bei Handlungen mit hoher Tragweite oder begrenzter Reversibilität.

Das Rahmenwerk beschreibt die wesentlichen Risiken wie Datenschutzverstöße oder fehlerhafte autonome Entscheidungen und empfiehlt vier zentrale Governance-Bausteine:

  • eine frühzeitige Risikobewertung,
  • klare menschliche Verantwortlichkeiten und Aufsicht,
  • technische Kontrollen einschließlich Testverfahren sowie
  • die Einbindung der Verantwortung der Endnutzer.

Das Framework unterscheidet dabei zwischen verschiedenen Risikostufen: Während einfache Aufgaben wie Terminbuchungen weitgehend automatisiert ablaufen können, sollten sicherheitskritische Systemänderungen zwingend eine menschliche Freigabe erfordern. Neu in Version 1.5 sind zudem detaillierte Empfehlungen zur Identitätsverwaltung von Agenten, um deren Handlungen im Falle von Fehlfunktionen oder Sicherheitsvorfällen zweifelsfrei rückverfolgen zu können.

Richtlinien zur Nutzung personenbezogener Daten in generativer KI

Der am 2. Juni 2026 veröffentlichte Vorschlag für „Advisory Guidelines on Use of Personal Data in Generative AI“ der Datenschutzbehörde PDPC konkretisieren die Anwendung des Personal Data Protection Act (PDPA) auf generative KI-Modelle.

Der Entwurf beschäftigt sich mit der Ausnahme für „öffentlich zugängliche Daten“ im Kontext von Web-Scraping und definiert Kriterien für den Umgang mit digitalen Barrieren wie Paywalls oder Registrierungspflichten. Die PDPC stellt klar, dass personenbezogene Daten, die online ohne wesentliche Einschränkungen zugänglich sind, ohne explizite Einwilligung für das KI-Training gesammelt werden dürfen. Dies gelte unter Umständen sogar hinter „digitalen Barrieren“ wie Paywalls oder Registrierungspflichten, sofern diese primär der Monetarisierung dienen und nicht den Zugang für die breite Öffentlichkeit substanziell einschränken sollen. Dennoch müssen Organisationen sicherstellen, dass eine „vernünftige Person“ die Datennutzung unter den gegebenen Umständen als angemessen betrachten würde.

Ein weiterer kritischer Punkt ist die Verschärfung der Transparenzpflichten. Allgemeine Hinweise auf „Produktentwicklung“ reichen für das Training von KI-Modellen nicht mehr aus. Es werden nun KI-spezifische Benachrichtigungen gefordert, die Art und Zweck der Datenverwendung sowie Widerspruchsmöglichkeiten präzise erläutern. Für die Erfüllung von Korrekturwünschen erkennt die PDPC technische Hürden bei generativer KI an und empfiehlt die Beobachtung von Technologien wie „Machine Unlearning“, um unrichtige Daten gezielt aus trainierten Modellen zu entfernen.

EUSDTA: Erstes bilaterales Digitalhandelsabkommen der EU mit Singapur

Das seit dem 1. Februar 2026 geltende European Union-Singapore Digital Trade Agreement (EUSDTA) bildet die völkerrechtliche Klammer für den digitalen Austausch zwischen Europa und Singapur. Es ist für Unternehmen deshalb so bedeutend, weil es den freien Datenfluss sichert und gleichzeitig die Souveränität beider Partner über ihre jeweiligen Datenschutzregime (DSGVO und PDPA) wahrt. Das Abkommen verbietet ungerechtfertigte Datenlokalisierungspflichten und schützt Software-Quellcodes vor erzwungener Offenlegung durch staatliche Stellen.

Dennoch dürfen Unternehmen nicht dem Trugschluss unterliegen, dass das EUSDTA datenschutzrechtliche Prüfungen ersetzt. Singapur verfügt zwar über ein etabliertes Datenschutzniveau, jedoch liegt bislang kein Angemessenheitsbeschluss der EU-Kommission vor. Grenzüberschreitende Datenübermittlungen von der EU nach Singapur müssen daher weiterhin auf geeigneten Garantien wie Standardvertragsklauseln oder Binding Corporate Rules (BCR) basieren und durch ein Transfer Impact Assessment (TIA) abgesichert werden. Das EUSDTA verbessert hierbei primär die handelspolitische Vorhersehbarkeit und schützt vor regulatorischen Hindernissen im digitalen Raum.

Bekommt Singapur bald ein eigenes KI-Gesetz?

Premierminister Lawrence Wong betonte kürzlich, dass bestehende Rechtssysteme grundlegend überarbeitet werden müssen, da sie nicht für eine Welt konzipiert wurden, in der Maschinen folgenschwere Entscheidungen treffen. Er mahnte an, dass Grundannahmen über Verantwortung und Haftung neu durchdacht werden müssen, wobei der Mensch stets das letzte Urteil behalten müsse. Singapur strebe hierbei eine Balance an: Eine zu langsame Anpassung gefährde die Sicherheit der Bürger, während eine zu schnelle Regulierung Innovationen im Keim ersticken könnte. Diese Überlegungen deuten darauf hin, dass Singapur in Zukunft durchaus verbindlichere Regeln einführen könnte, um die Lücken zwischen technologischem Fortschritt und bestehender Gesetzgebung zu schließen.

Der „KI-Beauftragte“ -

Ihre Lösung für rechtssichere KI-Compliance

Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt. 

Jetzt unverbindliches Angebot anfordern

Bedeutung für internationale APAC-Unternehmen

Unternehmen müssen berücksichtigen, dass das Datenschutzniveau in Singapur durch den PDPA zwar etabliert ist, aber nicht deckungsgleich mit der DSGVO agiert. Während das EUSDTA den Datentransfer erleichtert und Lokalisierungshürden abbaut, entbindet es Unternehmen nicht von der Pflicht, die Zulässigkeit grenzüberschreitender Übermittlungen eigenständig zu prüfen. In Mutter-Tochter-Konstellationen im asiatisch-pazifischen Raum (APAC) bleibt die Durchführung von Transfer Impact Assessments (TIA) essenziell, um die Wirksamkeit von Schutzmaßnahmen im Empfängerland zu bewerten.

Insbesondere bei der Nutzung agentischer KI-Systeme, die oft über Unternehmens- und Staatsgrenzen hinweg agieren, ist eine klare Zuweisung von Verantwortlichkeiten zwischen Plattformanbietern, Systementwicklern und den anwendenden Unternehmen (Deployer) erforderlich. Eine frühzeitige Kartierung der Datenflüsse und die Implementierung von Governance-Strukturen, die sowohl die DSGVO als auch die singapurischen Leitlinien berücksichtigen, sind für eine nachhaltige Compliance ratsam.

Fazit

Die aktuellen Entwicklungen verdeutlichen Singapurs Bestreben, durch detaillierte Leitfäden und internationale Abkommen einen verlässlichen Rahmen für den Einsatz von KI zu schaffen, ohne die technologische Innovation durch verfrühte starre Gesetze zu hemmen. Die Veröffentlichungen der PDPC und IMDA bieten Unternehmen eine wichtige Orientierungshilfe für die rechtskonforme Gestaltung ihrer KI-Projekte. Wer Singapur als strategische Brücke nach Asien nutzt, sollte das EUSDTA und die neuen Behörden-Leitlinien als Anlass nehmen, seine internen Governance-Strukturen für KI-Agenten und die Dokumentation grenzüberschreitender Datenströme zeitnah auf die Zukunftsfähigkeit im APAC-Raum zu prüfen.

Die von Premierminister Wong skizzierte Notwendigkeit einer evolutionären Weiterentwicklung des Rechtssystems deutet darauf hin, dass die bestehenden Frameworks in Zukunft die Basis für verbindlichere Regelungen bilden könnten, sobald sich globale Standards für Verantwortung und Haftung im KI-Bereich weiter gefestigt haben.

KI-Compliance aus einer Hand

Künstliche Intelligenz rechtssicher nutzen & entwickeln
  • KINAST KI-Beratung 
  • KINAST externer KI-Beauftragter
  • KINAST KI-Kompetenz-Schulungen
Jetzt unverbindliches Angebot anfordern