Vietnamisches KI-Gesetz seit 1. März 2026 in Kraft: Was Unternehmen jetzt zu Tests, Security und Kennzeichnung beachten müssen

Einordnung: Vietnam zieht bei KI-Regulierung an

Vietnam gehört seit dem 1. März 2026 zu den wenigen Staaten mit einem eigenständigen KI-Gesetz auf Parlamentsebene. Das Gesetz umfasst 35 Artikel und baut auf einem risikobasierten Ansatz auf, der sich erkennbar an Strukturen des EU AI Act orientiert. Es adressiert Forschung, Entwicklung, Bereitstellung und Betrieb von KI-Systemen – inklusive generativer Modelle und Deepfakes – und ersetzt verstreute KI-Regelungen in anderen Technologiegesetzen.

Für international agierende Unternehmen ist relevant: Der Anwendungsbereich erfasst nicht nur in Vietnam ansässige Anbieter, sondern auch Unternehmen, die KI-Funktionen für den vietnamesischen Markt bereitstellen oder AI-Workloads nach Vietnam auslagern (z.B. Entwicklung, Training, Testing, Labeling).

Zentrale Neuerungen im Überblick

Risikoklassifizierung und Verbote

Das Gesetz teilt KI-Systeme in verschiedene Risikokategorien ein – von minimalem bis hohem Risiko – und verbietet bestimmte Einsatzformen vollständig. Dazu zählen u.a. Anwendungen, die fundamentale Rechte systematisch verletzen, manipulative Deepfakes zu politischen Zwecken oder der Einsatz von KI zur automatisierten Massenüberwachung entgegen bestehenden Datenschutz- und Sicherheitsnormen.

Implikation: Anbieter müssen ihre KI-Systeme einer formalen Risikoeinstufung unterziehen und dokumentieren, warum ein System als gering- oder höheres Risiko einzustufen ist. Für hochriskante Anwendungen steigen die Anforderungen an Tests, Governance und Dokumentation signifikant.

Verpflichtende Test- und Prüfverfahren

Neu und operativ besonders relevant sind die expliziten Test- und Prüfpflichten:

• Kontrollierte Testumgebungen: Vor Markteinführung oder breiter Nutzung bestimmter KI-Systeme sind Tests in „kontrollierten Umgebungen“ vorgesehen – vergleichbar regulatorischen Sandboxes, aber mit klaren Dokumentationspflichten.

• Risikobewertung & Validierung: Anbieter müssen nachweisen, dass Risiken für Sicherheit, Grundrechte und kritische Infrastrukturen identifiziert, bewertet und technisch/organisatorisch mitigiert werden.

• Regelmäßige Re-Tests: Bei wesentlichen Modell-Updates (neue Trainingsdaten, geänderte Architekturen, Anpassung des Einsatzkontextes) werden erneute Prüfungen erforderlich.

Implikation für Unternehmen: Klassische QA reicht nicht mehr. Es braucht formalisierte AI-Testing-Frameworks, definierte Metriken (z.B. Fehlerraten in bestimmten Risikoszenarien), Testprotokolle und eine revisionssichere Ablage der Ergebnisse.

Cybersecurity- und Governance-Pflichten

Das KI-Gesetz verknüpft AI-Compliance eng mit Cybersecurity:

• Technische Schutzmaßnahmen: Vorgeschrieben sind angemessene Sicherheitsmaßnahmen entlang des gesamten KI-Lebenszyklus (Training, Deployment, Betrieb). Darunter u.a. Zugangskontrollen, Protokollierung von Modellzugriffen, Schutz vor Model Theft und Manipulation von Trainingsdaten.

• Daten-Compliance: Trainings‑, Validierungs- und Betriebsdaten müssen im Einklang mit vietnamesischem Datenschutz-, Cybersecurity- und IP-Recht verarbeitet werden. Unzulässige Datennutzung für Training/Testing ist explizit untersagt.

• Verantwortlichkeiten: Es ist klar festzulegen, wer für Risikobewertung, Freigabe und Betrieb eines KI-Systems verantwortlich ist (inkl. Eskalations- und Incident-Handling-Prozessen).

Implikation: Unternehmen benötigen ein integriertes AI-Security- und Governance-Modell, das Legal, IT-Security, Data Protection und Engineering zusammenführt – ad-hoc getroffene Einzelmaßnahmen werden mittelfristig nicht ausreichen.

Transparenz- und Kennzeichnungspflichten für KI-Inhalte

Besonders konkret ist Vietnam bei Transparenz und Labeling:

• Kennzeichnung von KI-generierten Inhalten: Audio-, Bild- und Videoinhalte, die ganz oder teilweise durch KI erzeugt oder manipuliert wurden, müssen klar als solche gekennzeichnet werden – sowohl für Menschen sichtbar als auch maschinenlesbar (z.B. Metadaten, Wasserzeichen).

• Deepfakes im Fokus: Für schwer von realen Inhalten unterscheidbare Deepfakes gelten verschärfte Kennzeichnungsanforderungen. Fehlende oder manipulative Kennzeichnung kann zivil- und strafrechtliche Konsequenzen haben.

• Informationspflicht gegenüber Nutzern: Nutzer müssen in verständlicher Form darüber informiert werden, wenn sie mit KI-generierten Inhalten oder KI-basierten Entscheidungsprozessen interagieren.

Implikation: Anbieter von Generative-AI‑Funktionen, Content-Plattformen und Marketing-Tech müssen Labeling-Pipelines implementieren, die konsistent, automatisiert und auditierbar sind – einschließlich Prozesse für nachträgliche Kennzeichnung oder Entfernung problematischer Inhalte.

Konkrete Auswirkungen auf internationale Unternehmen

1. Entwicklungs‑ und Offshoring-Standorte in Vietnam

Unternehmen, die Entwicklungszentren oder Data-Science-Teams in Vietnam betreiben, sind unmittelbar betroffen:

• Alle lokal entwickelten oder getesteten Modelle müssen auf Compliance mit den neuen Anforderungen geprüft werden.

• Verträge mit vietnamesischen Dienstleistern (z.B. Annotation, Model Training, QA) benötigen KI-spezifische Compliance-Klauseln, Auditrechte und Security-Anforderungen.

• Technische Umgebungen (Repos, MLOps-Plattformen, Testumgebungen) sind so zu konfigurieren, dass sie die vorgeschriebenen Logging‑, Sicherheits- und Testanforderungen erfüllen.

2. Produkte mit KI-Funktionen für den vietnamesischen Markt

Unternehmen, die KI-Funktionen in Produkten oder Services in Vietnam bereitstellen – etwa:

• Chatbots im Kundenservice

• Empfehlungssysteme im E‑Commerce

• KI-gestützte Kredit- oder Scoringmodelle

• Generative KI für Marketing oder User Generated Content

müssen prüfen, ob ihre Systeme als mittleres oder hohes Risiko eingestuft werden und entsprechende Test-, Transparenz- und Kennzeichnungspflichten erfüllen.

Beispiel: Ein europisches Fintech nutzt ein in der EU entwickeltes Scoringmodell, das in Vietnam über eine App angeboten wird. Obwohl das Modell außerhalb Vietnams trainiert wurde, lösen der Einsatz im vietnamesischen Finanzmarkt und die Entscheidungsauswirkungen auf Verbraucher lokale Compliance-Pflichten aus (Risikobewertung, erklärbare Entscheidungslogik, Logging, Beschwerde- und Review-Verfahren).

3. Lieferketten und Model-Provider

Viele Unternehmen setzen heute auf externe Foundation-Modelle oder spezialisierte vietnamesische Anbieter (z.B. für Sprachtechnologie). Das Gesetz verstärkt die Sorgfaltspflichten entlang der Lieferkette:

• Nachweise zu Trainingsdaten, Risikobewertung und Security müssen vom Modellanbieter eingefordert und bewertet werden.

• Integratoren bleiben in der Verantwortung, sobald sie KI-Funktionen unter eigener Marke oder im eigenen Produktkontext ausrollen.

Sofortmaßnahmen für Compliance-Ready-Organisationen

Für europäische und US-Unternehmen mit Bezug zu Vietnam sind kurzfristig insbesondere fünf Schritte sinnvoll:

1. Scope-Analyse: Welche KI-Systeme, Standorte, Dienstleister und Datenflüsse haben Vietnam-Bezug? Mapping aller relevanten Systeme und Datenquellen.

2. Risikoklassifizierung: Einstufung der betroffenen KI-Systeme nach vietnamesischen Risikokategorien und Dokumentation der Begründungen.

3. Testing-Framework etablieren: Definition standardisierter Testpläne, Szenarien und Metriken; Einrichtung kontrollierter Testumgebungen mit sauberem Logging.

4. Kennzeichnungs- und Takedown-Prozesse: Implementierung technischer Labeling-Mechanismen für KI-generierte Inhalte plus organisatorische Workflows für Beschwerden, Takedowns und nachträgliche Kennzeichnung.

5. Vertrags- und Governance-Review: Anpassung von Lieferantenverträgen, internen Policies (AI-Governance, Security, Data Protection) und Schulung relevanter Teams (Legal, Product, Engineering, Compliance).

Strategische Bedeutung für Standort- und Offshoring-Entscheidungen

Mit dem neuen KI-Gesetz positioniert sich Vietnam als regulierter, aber innovationsfreundlicher KI-Standort in Südostasien. Für Unternehmen bedeutet das:

• Mehr Rechtssicherheit, aber auch höhere Einstiegskosten in Form von Compliance- und Governance-Aufwand.

• Vergleichsdruck auf andere Offshoring-Länder in der Region, die bislang weniger klare KI-Regeln haben.

• Harmonisierungspotenzial mit europäischen Anforderungen (EU AI Act), was mittel- bis langfristig konsistente globale AI-Governance-Modelle erleichtert.

Unternehmen, die frühzeitig in robuste AI-Compliance investieren, können Vietnam weiterhin als attraktiven Entwicklungs‑ und Operationsstandort nutzen – mit dem Vorteil, dass dort getestete und betriebene Systeme bereits an ein strengeres, international anschlussfähiges Regime angepasst sind.

Häufig gestellte Fragen (FAQ)

Was regelt das neue vietnamesische KI-Gesetz seit dem 1. März 2026 konkret?

Das KI-Gesetz Vietnams regelt Entwicklung, Bereitstellung und Betrieb von KI-Systemen, einschließlich generativer Modelle und Deepfakes. Es führt eine risikobasierte Einstufung, verbindliche Test- und Prüfverfahren, Cybersecurity-Pflichten sowie Transparenz- und Kennzeichnungsvorgaben für KI-Inhalte ein und gilt auch für ausländische Unternehmen mit Vietnam-Bezug.

Wie funktioniert die Risikoklassifizierung von KI-Systemen im vietnamesischen KI-Gesetz?

KI-Systeme werden in verschiedene Risikokategorien von geringem bis hohem Risiko eingeteilt, orientiert an einem Ansatz ähnlich dem EU AI Act. Für hochriskante Systeme steigen die Anforderungen deutlich: Es sind umfassende Tests, Dokumentation, Governance-Strukturen und kontinuierliche Re-Tests bei wesentlichen Updates erforderlich.

Welche Auswirkungen hat das vietnamesische KI-Gesetz auf internationale Unternehmen mit Offshoring nach Vietnam?

Internationale Unternehmen müssen alle KI-Workloads mit Vietnam-Bezug auf Konformität prüfen, einschließlich Entwicklung, Training, Testing und Labeling. Das bedeutet Anpassungen bei Verträgen, technischen Umgebungen, Security-Maßnahmen und AI-Governance, um die neuen Test-, Logging- und Dokumentationspflichten zu erfüllen.

Was ist der Unterschied zwischen klassischen QA-Tests und den neuen KI-Testpflichten in Vietnam?

Klassische QA konzentriert sich meist auf Funktionalität und Performance von Software. Die neuen KI-Testpflichten verlangen darüber hinaus formalisierte AI-Testing-Frameworks mit Risikobewertungen für Sicherheit und Grundrechte, kontrollierte Testumgebungen, definierte Metriken und revisionssichere Protokollierung der Ergebnisse und Re-Tests.

Wie sind KI-generierte Inhalte und Deepfakes nach dem vietnamesischen KI-Gesetz zu kennzeichnen?

Audio-, Bild- und Videoinhalte, die durch KI erzeugt oder manipuliert wurden, müssen klar als KI-generiert gekennzeichnet werden – sowohl sichtbar für Nutzer als auch maschinenlesbar, etwa über Metadaten oder Wasserzeichen. Für schwer erkennbare Deepfakes gelten besonders strenge Kennzeichnungspflichten, und Verstöße können zivil- und strafrechtliche Folgen haben.

Welche Rolle spielt Cybersecurity im vietnamesischen KI-Gesetz?

Das Gesetz verknüpft KI-Compliance eng mit Cybersecurity entlang des gesamten KI-Lebenszyklus. Unternehmen müssen u.a. Zugangskontrollen, Logging von Modellzugriffen, Schutz vor Model Theft und vor Manipulation von Trainingsdaten implementieren und sicherstellen, dass alle Daten im Einklang mit vietnamesischem Datenschutz-, Cyber- und IP-Recht verarbeitet werden.

Was sollten Unternehmen jetzt tun, um KI-Compliance in Vietnam sicherzustellen?

Unternehmen sollten zunächst eine Scope-Analyse aller KI-Systeme mit Vietnam-Bezug durchführen und diese nach den vietnamesischen Risikokategorien klassifizieren. Darauf aufbauend sind ein standardisiertes Testing-Framework, Kennzeichnungs- und Takedown-Prozesse, ein Review von Verträgen und Governance-Policies sowie Schulungen für Legal-, IT-Security-, Data- und Engineering-Teams umzusetzen.