Hongkong reguliert KI derzeit nicht über ein einziges großes KI-Gesetz. Entscheidend ist vielmehr ein Zusammenspiel aus bestehenden Rechtsvorgaben, offiziellen Leitlinien zu generativer KI und Datenschutzanforderungen. Für Unternehmen heißt das: Nicht auf ein künftiges Spezialgesetz warten, sondern jetzt klären, welche KI-Tools genutzt werden dürfen, welche Daten eingegeben werden, wer Zugriff hat und wie Ergebnisse geprüft und gespeichert werden.

Kurzantwort: Kein einzelnes KI-Spezialgesetz, aber klare Leitplanken

Nach öffentlich zugänglichen Rechtsübersichten für 2025 verfügt Hongkong derzeit über kein eigenständiges, einzelnes Rechtsrahmenwerk, das speziell KI, Big Data oder Machine Learning umfassend regelt.^[4] Das bedeutet jedoch nicht, dass KI-Nutzung in Hongkong ein rechtsfreier Raum wäre.

Die wichtigste neue Orientierung kommt von der Regierung: Das Digital Policy Office, kurz DPO, veröffentlichte am 15. April 2025 die Hong Kong Generative Artificial Intelligence Technical and Application Guideline.^[5] In diesem Artikel meint DPO also das Hongkonger Digital Policy Office. Laut Regierungsinformationen behandelt die Leitlinie Anwendungsbereiche und Grenzen generativer KI, potenzielle Risiken sowie Governance-Grundsätze und gibt praktische Hinweise für Technologieentwickler, Dienstanbieter und Nutzer.^[8]

Beim Datenschutz kommt die PCPD ins Spiel, Hongkongs Datenschutzaufsicht, das Office of the Privacy Commissioner for Personal Data. Sie veröffentlichte im März 2025 eine Checklist on Guidelines for the Use of Generative AI by Employees. Diese soll Organisationen helfen, interne Regeln für die Nutzung generativer KI durch Mitarbeitende am Arbeitsplatz zu entwickeln und dabei die Personal Data (Privacy) Ordinance, kurz PDPO, einzuhalten.^[9]

Die wichtigsten KI- und Datenschutzdokumente im Überblick

Dokument oder Rahmen	Für wen relevant?	Worum geht es praktisch?
Hong Kong Generative Artificial Intelligence Technical and Application Guideline	Technologieentwickler, Dienstanbieter und Nutzer generativer KI.[8]	Anwendungsbereich, Grenzen, potenzielle Risiken und Governance-Grundsätze generativer KI.[8]
Organisationsrichtlinien nach der DPO-Leitlinie	Organisationen, die GenAI-Dienste einsetzen.[1]	Erlaubte Tools, zulässige Zwecke, Geltungsbereich, Art und Menge der Eingabedaten, Nutzung und Speicherung von KI-Outputs.[1]
PCPD-Checkliste für Mitarbeitende	Organisationen, deren Beschäftigte GenAI im Arbeitskontext nutzen.[9]	Interne Richtlinien für Mitarbeitende und Einhaltung der PDPO-Anforderungen.[9]
Breitere KI-Datenschutzleitlinien der PCPD	Organisationen, die KI-Systeme mit personenbezogenen Daten beschaffen, nutzen oder entwickeln.[10]	Praktische Hinweise, ethische Grundsätze und eine Selbstbewertungs-Checkliste zur Einhaltung der PDPO, Cap. 486.[10]

Warum Unternehmen trotzdem sofort handeln sollten

Die Frage, ob Hongkong bereits ein einzelnes KI-Gesetz hat, greift für die Praxis zu kurz. Richtig ist: Ein eigenständiges Spezialgesetz nur für KI, Big Data oder Machine Learning ist nach den genannten 2025er-Übersichten nicht vorhanden.^[4] Richtig ist aber auch: Offizielle Vorgaben und bestehendes Datenschutzrecht beeinflussen bereits heute, wie Organisationen KI einsetzen sollten.^[5][9][10]

Besonders wichtig ist generative KI, also Systeme, die Texte, Bilder, Audio, Code oder Zusammenfassungen erzeugen können. Die Regierungsinformationen zur DPO-Leitlinie nennen unter anderem Datenabfluss, Modellverzerrungen und Fehler als technische Risiken, die adressiert werden müssen.^[8] Genau diese Risiken entstehen oft nicht erst in großen KI-Projekten, sondern bereits dann, wenn Mitarbeitende interne Dokumente in ein öffentliches GenAI-Tool kopieren oder ungeprüfte KI-Antworten in Kundenkommunikation übernehmen.

Was eine interne GenAI-Richtlinie mindestens regeln sollte

Die DPO-Leitlinie sieht vor, dass Organisationen, die generative KI-Dienste einsetzen, interne Richtlinien oder Leitlinien entwickeln sollten. Diese können unter anderem festlegen, welche Tools erlaubt sind, welche Zwecke zulässig sind, für wen die Regeln gelten, welche Arten und Mengen von Informationen eingegeben werden dürfen, wie KI-Outputs verwendet werden dürfen und wie diese Outputs gespeichert werden.^[1]

Für Unternehmen und andere Organisationen lässt sich daraus ein pragmatischer Mindestkatalog ableiten:

1. Erlaubte KI-Tools: Welche öffentlich verfügbaren oder intern entwickelten GenAI-Anwendungen dürfen genutzt werden?^[1]
2. Zulässige Zwecke: Ist KI nur für Entwürfe und Zusammenfassungen erlaubt oder auch für die Erstellung von Text-, Audio- oder Bildmaterial?^[1]
3. Geltungsbereich: Gilt die Richtlinie für alle Abteilungen, nur für bestimmte Teams oder nur für definierte Arbeitsprozesse?^[1]
4. Eingabedaten: Welche Datenarten dürfen eingegeben werden, welche nicht, und in welchem Umfang?^[1]
5. Nutzung von Outputs: Dürfen KI-Ergebnisse intern verwendet, extern veröffentlicht oder nur nach Prüfung weitergegeben werden?^[1]
6. Speicherung von Outputs: Wo werden KI-Ergebnisse abgelegt, wie lange bleiben sie gespeichert und dürfen sie in andere Systeme übernommen werden?^[1]
7. Mitarbeitenden- und Gerätezugriff: Die PCPD weist darauf hin, dass eine KI-Richtlinie festlegen sollte, auf welchen Gerätetypen Mitarbeitende GenAI-Tools nutzen dürfen und welche Beschäftigtengruppen dazu berechtigt sind.^[9]
8. Risikomanagement: Datenabfluss, Modellbias und fehlerhafte Ergebnisse sollten ausdrücklich in Prüfung, Freigabe und Kontrolle einbezogen werden, da diese Risiken in den Regierungsinformationen zur DPO-Leitlinie genannt werden.^[8]

PDPO: Der Datenschutz ist der zentrale Compliance-Punkt

Sobald KI mit personenbezogenen Daten arbeitet, wird die PDPO relevant. Die PCPD-Checkliste wurde ausdrücklich veröffentlicht, um Organisationen bei internen Richtlinien für die GenAI-Nutzung durch Mitarbeitende zu unterstützen und zugleich die Anforderungen der Personal Data (Privacy) Ordinance einzuhalten.^[9]

Auch die breiteren KI-Hinweise der PCPD zielen auf Organisationen, die KI-Systeme mit personenbezogenen Daten beschaffen, nutzen oder entwickeln. Sie enthalten praktische Hinweise, ethische Grundsätze und eine Selbstbewertungs-Checkliste, damit Organisationen bei Entwicklung und Einsatz von KI die PDPO, Cap. 486, berücksichtigen können.^[10]

Eine gute KI-Policy sollte deshalb nicht nur sagen, ob ein bestimmtes Tool erlaubt ist. Sie sollte auch klären, welche Datenquellen genutzt werden, welche Inhalte in GenAI-Systeme eingegeben werden dürfen, wer Zugriff erhält, wie Ergebnisse gespeichert werden und wann menschliche Prüfung erforderlich ist.

Was Mitarbeitende im Alltag beachten sollten

Für einzelne Nutzer ist die wichtigste Regel einfach: Nicht eigenmächtig Unternehmensdokumente, Kundendaten, interne Berichte oder personenbezogene Informationen in öffentliche GenAI-Tools eingeben, wenn die Organisation dies nicht ausdrücklich erlaubt hat. Die DPO-Leitlinie richtet sich nicht nur an Entwickler und Anbieter, sondern auch an Nutzer generativer KI.^[8]

Ebenso wichtig: KI-Ausgaben sind nicht automatisch richtig. Die Regierungsinformationen nennen Modellverzerrungen und Fehler ausdrücklich als Risiken generativer KI.^[8] Inhalte für externe Kommunikation, Kundenbezug, sensible interne Entscheidungen oder personenbezogene Daten sollten daher nicht ungeprüft übernommen werden.

FAQ: Häufige Fragen zu KI-Regeln in Hongkong

Hat Hongkong 2025 ein eigenes KI-Gesetz?

Nach den genannten öffentlich zugänglichen Rechtsübersichten gibt es derzeit kein eigenständiges Rechtsrahmenwerk, das speziell KI, Big Data oder Machine Learning umfassend regelt.^[4] Gleichzeitig existieren offizielle GenAI-Leitlinien, Datenschutzleitlinien der PCPD und bestehende Anforderungen der PDPO, die Organisationen berücksichtigen müssen.^[5][9][10]

Was regelt die GenAI-Leitlinie des Digital Policy Office?

Das Digital Policy Office veröffentlichte am 15. April 2025 die Hong Kong Generative Artificial Intelligence Technical and Application Guideline.^[5] Laut Regierungsinformationen behandelt sie den Anwendungsbereich und die Grenzen generativer KI, potenzielle Risiken und Governance-Grundsätze und gibt praktische Hinweise für Entwickler, Dienstanbieter und Nutzer.^[8]

Müssen Unternehmen zwingend eine KI-Richtlinie haben?

Die hier genannten Quellen formulieren keine pauschale Aussage, dass jede Organisation in jedem Fall eine bestimmte KI-Richtlinie haben muss. Praktisch ist eine interne Richtlinie aber der zentrale erste Schritt: Die DPO-Leitlinie nennt interne Organisationsrichtlinien für den GenAI-Einsatz und listet Inhalte wie erlaubte Tools, Zwecke, Eingabedaten, Output-Nutzung und Speicherung auf.^[1] Die PCPD-Checkliste soll Organisationen ebenfalls bei internen Regeln für die GenAI-Nutzung durch Mitarbeitende unterstützen und die Einhaltung der PDPO fördern.^[9]

Fazit

Der präzise Stand für Hongkong lautet: 2025 gibt es nach den genannten Quellen kein einzelnes, umfassendes KI-Spezialgesetz. Es gibt aber offizielle GenAI-Leitlinien, Datenschutzleitlinien der PCPD und bestehende PDPO-Anforderungen, die beim Einsatz von KI zusammen betrachtet werden müssen.^{[4][5][9][10]}

Wer als Organisation GenAI bereits nutzt oder den Einsatz plant, sollte deshalb mit einer belastbaren internen KI-Richtlinie beginnen: erlaubte Tools definieren, Zwecke eingrenzen, Eingabedaten beschränken, Outputs und Speicherung regeln, Mitarbeitenden- und Gerätezugriffe steuern und Datenschutz-, Datenabfluss-, Bias- und Fehlerrisiken systematisch prüfen.^[1][8][9]

Diese Zusammenfassung dient der allgemeinen Information auf Basis der genannten öffentlichen Quellen und ist keine Rechtsberatung. Bei risikoreichen KI-Projekten, personenbezogenen Daten oder regulierten Geschäftsbereichen sollte fachkundiger Rat eingeholt werden.