Illinois hat am 6. Juli 2026 als erster US-Bundesstaat ein Gesetz erlassen, das große Entwickler von KI-Systemen zu unabhängigen Sicherheitsaudits verpflichtet. Der Artificial Intelligence Safety Measures Act (SB 315) verlangt zudem eine Meldung kritischer Sicherheitsvorfälle binnen 72 Stunden sowie Schutz für Hinweisgeber. Betroffen sind Unternehmen mit mehr als 500 Millionen Dollar Jahresumsatz.
Gesetz schreibt externe Prüfungen und Meldepflichten vor
Gouverneur J.B. Pritzker unterzeichnete den Artificial Intelligence Safety Measures Act am 6. Juli 2026. Das als Senate Bill 315 eingebrachte Gesetz verlangt von großen KI-Entwicklern jährliche Prüfungen durch unabhängige, interessenkonfliktfreie Gutachter. Laut StateScoop ist Illinois damit der erste Bundesstaat mit einer solchen Auditpflicht. Die geprüften Firmen müssen geschwärzte Fassungen ihrer Berichte veröffentlichen und vorab Risikoeinschätzungen zu möglichen katastrophalen Folgen ihrer Modelle vorlegen. Kritische Sicherheitsvorfälle müssen sie binnen 72 Stunden der Generalstaatsanwaltschaft und der Notfallbehörde melden, bei drohender Lebensgefahr bereits binnen 24 Stunden. Die jährlichen Angaben zur Sicherheitspraxis gehen zusätzlich an die Notfallbehörde Illinois Emergency Management Agency und das Office of Homeland Security des Bundesstaats. Ergänzend sieht das Gesetz interne Meldewege und Schutz für Hinweisgeber vor, die auf Sicherheitsmängel aufmerksam machen. Verstöße kann die Generalstaatsanwaltschaft mit Bußgeldern von bis zu einer Million Dollar beim ersten und bis zu drei Millionen Dollar bei wiederholten Verstößen ahnden. Für die Durchsetzung ist ausschließlich die Generalstaatsanwaltschaft zuständig, andere Behörden können keine eigenen Klagen nach dem Gesetz anstrengen.
Nur große Modelle mit hohem Jahresumsatz sind betroffen
Das Gesetz gilt für sogenannte große Grenzmodell-Entwickler, deren Jahresumsatz 500 Millionen Dollar übersteigt und deren KI-Systeme eine festgelegte Rechenleistungs-Schwelle überschreiten, berichtet Inside Global Tech. Nach Einschätzung des Fachmediums zählen unter anderen OpenAI, Anthropic, Google, Meta und xAI zu den potenziell betroffenen Unternehmen. Zusätzlich zu den jährlichen externen Prüfungen verlangt das Gesetz von den Firmen vierteljährliche Einschätzungen katastrophaler Risiken sowie einen Risikobericht vor der Veröffentlichung neuer Modelle. Damit zielt das Gesetz auf die umsatzstärksten Anbieter im Markt für Grenzmodelle, während kleinere Start-ups und reine Forschungsprojekte von den Vorgaben ausgenommen bleiben. Die Vorschriften treten zum 1. Januar 2027 in Kraft und verpflichten betroffene Firmen ab diesem Stichtag, ihre bestehenden Sicherheitsrichtlinien mit den neuen Berichtspflichten in Einklang zu bringen. Mehrere auf Technologierecht spezialisierte Kanzleien empfehlen Betroffenen dennoch, ihre Compliance-Prozesse frühzeitig aufzubauen, da die ersten vollständigen Prüfzyklen erst bis Anfang 2028 abgeschlossen sein müssen. Die Generalstaatsanwaltschaft soll der Landeslegislative bis zum 1. Januar 2029 einen anonymisierten Sammelbericht über alle eingegangenen Vorfallmeldungen vorlegen.
Illinois geht über Regeln anderer Bundesstaaten hinaus
Kalifornien erließ im Mai 2026 eine Verfügung zu Beschäftigungsfolgen von KI-Systemen, Utah gründete bereits 2025 ein eigenes Office of AI Policy. Eine verpflichtende externe Prüfung durch unabhängige Gutachter schreibt nach Angaben von StateScoop bislang jedoch kein anderer Bundesstaat vor. Das Gesetz kam mit Stimmen aus beiden großen Parteien zustande. Senatorin Mary Edly-Allen, die den Entwurf einbrachte, erklärte, das Gesetz solle Sicherheitsvorkehrungen schaffen, „bevor eine vermeidbare Katastrophe eintritt”. Nach ihren Worten müsse Macht stets mit Weisheit, Transparenz und Verantwortung einhergehen. Auch aus der Industrie kam Rückendeckung: Anthropic äußerte sich zustimmend und bezeichnete die Kombination aus Transparenzpflicht und unabhängiger Prüfung als bundesweit einmalig. Neben Anthropic unterstützten auch die Organisation Secure AI Project sowie weitere Sicherheitsforschende den Gesetzentwurf öffentlich. Das Büro des Gouverneurs bezeichnete das Vorgehen als bundesweit richtungsweisend für den Umgang mit den leistungsfähigsten KI-Systemen. Gouverneur Pritzker begründete die Regelung mit dem Stillstand auf Bundesebene: Da die Bundesregierung nicht eingreifen wolle, trügen die Bundesstaaten die Verantwortung, die Bevölkerung vor den Risiken der KI zu schützen.
Entscheidend wird, ob andere Bundesstaaten dem Beispiel folgen, bevor der US-Kongress ein eigenes, bundesweites KI-Gesetz vorlegt – ein Vorhaben, das im Kongress seit Monaten feststeckt. Bis die Generalstaatsanwaltschaft von Illinois am 1. Januar 2029 ihren ersten Sammelbericht vorlegt, bleibt zudem offen, wie streng die vorgeschriebenen Audits in der Praxis ausfallen und ob die betroffenen Konzerne ihre internen Risikoberichte tatsächlich vollständig offenlegen.


