Recht

Illinois verpflichtet KI-Konzerne zu unabhängigen Sicherheitsaudits

3 Min. Lesezeit
Unterzeichnung des Artificial Intelligence Safety Measures Act auf einem Schreibtisch vor der beleuchteten Kuppel des Illinois State Capitol in Springfield Generiertes Bild mit GPT Image 2
Unterzeichnung des Artificial Intelligence Safety Measures Act auf einem Schreibtisch vor der beleuchteten Kuppel des Illinois State Capitol in Springfield

TL;DR Too Long; Didn’t read

Der US-Bundesstaat Illinois verpflichtet ab dem 1. Januar 2027 führende KI-Firmen zu jährlichen externen Sicherheitsprüfungen – als erster Bundesstaat der USA. Das neue Gesetz gilt für Unternehmen mit einem Jahresumsatz über 500 Millionen Dollar und deckt Modelle etwa von OpenAI, Anthropic und Google ab. Verstöße kann die Generalstaatsanwaltschaft mit Bußgeldern bis zu drei Millionen Dollar ahnden.

Das Wichtigste in Kürze

  • Der Gesetzentwurf trägt die Bezeichnung Senate Bill 315 und ging mit überparteilicher Unterstützung durchs Parlament.
  • Betroffene Unternehmen müssen kritische Sicherheitsvorfälle binnen 72 Stunden der Generalstaatsanwaltschaft melden, bei akuter Lebensgefahr binnen 24 Stunden.
  • Ein erster Verstoß kann mit bis zu einer Million Dollar geahndet werden, wiederholte Verstöße mit bis zu drei Millionen.
  • Senatorin Mary Edly-Allen initiierte das Gesetz und nennt es eine Absicherung gegen eine vermeidbare Katastrophe.
  • Anthropic unterstützte die Regelung öffentlich und hebt die Kombination aus Transparenzpflicht und unabhängiger Prüfung hervor.
  • Kalifornien und Utah haben eigene KI-Regeln erlassen, doch bislang schreibt kein anderer Bundesstaat externe Audits vor.

Illinois hat am 6. Juli 2026 als erster US-Bundesstaat ein Gesetz erlassen, das große Entwickler von KI-Systemen zu unabhängigen Sicherheitsaudits verpflichtet. Der Artificial Intelligence Safety Measures Act (SB 315) verlangt zudem eine Meldung kritischer Sicherheitsvorfälle binnen 72 Stunden sowie Schutz für Hinweisgeber. Betroffen sind Unternehmen mit mehr als 500 Millionen Dollar Jahresumsatz.

Gesetz schreibt externe Prüfungen und Meldepflichten vor

Gouverneur J.B. Pritzker unterzeichnete den Artificial Intelligence Safety Measures Act am 6. Juli 2026. Das als Senate Bill 315 eingebrachte Gesetz verlangt von großen KI-Entwicklern jährliche Prüfungen durch unabhängige, interessenkonfliktfreie Gutachter. Laut StateScoop ist Illinois damit der erste Bundesstaat mit einer solchen Auditpflicht. Die geprüften Firmen müssen geschwärzte Fassungen ihrer Berichte veröffentlichen und vorab Risikoeinschätzungen zu möglichen katastrophalen Folgen ihrer Modelle vorlegen. Kritische Sicherheitsvorfälle müssen sie binnen 72 Stunden der Generalstaatsanwaltschaft und der Notfallbehörde melden, bei drohender Lebensgefahr bereits binnen 24 Stunden. Die jährlichen Angaben zur Sicherheitspraxis gehen zusätzlich an die Notfallbehörde Illinois Emergency Management Agency und das Office of Homeland Security des Bundesstaats. Ergänzend sieht das Gesetz interne Meldewege und Schutz für Hinweisgeber vor, die auf Sicherheitsmängel aufmerksam machen. Verstöße kann die Generalstaatsanwaltschaft mit Bußgeldern von bis zu einer Million Dollar beim ersten und bis zu drei Millionen Dollar bei wiederholten Verstößen ahnden. Für die Durchsetzung ist ausschließlich die Generalstaatsanwaltschaft zuständig, andere Behörden können keine eigenen Klagen nach dem Gesetz anstrengen.

Nur große Modelle mit hohem Jahresumsatz sind betroffen

Das Gesetz gilt für sogenannte große Grenzmodell-Entwickler, deren Jahresumsatz 500 Millionen Dollar übersteigt und deren KI-Systeme eine festgelegte Rechenleistungs-Schwelle überschreiten, berichtet Inside Global Tech. Nach Einschätzung des Fachmediums zählen unter anderen OpenAI, Anthropic, Google, Meta und xAI zu den potenziell betroffenen Unternehmen. Zusätzlich zu den jährlichen externen Prüfungen verlangt das Gesetz von den Firmen vierteljährliche Einschätzungen katastrophaler Risiken sowie einen Risikobericht vor der Veröffentlichung neuer Modelle. Damit zielt das Gesetz auf die umsatzstärksten Anbieter im Markt für Grenzmodelle, während kleinere Start-ups und reine Forschungsprojekte von den Vorgaben ausgenommen bleiben. Die Vorschriften treten zum 1. Januar 2027 in Kraft und verpflichten betroffene Firmen ab diesem Stichtag, ihre bestehenden Sicherheitsrichtlinien mit den neuen Berichtspflichten in Einklang zu bringen. Mehrere auf Technologierecht spezialisierte Kanzleien empfehlen Betroffenen dennoch, ihre Compliance-Prozesse frühzeitig aufzubauen, da die ersten vollständigen Prüfzyklen erst bis Anfang 2028 abgeschlossen sein müssen. Die Generalstaatsanwaltschaft soll der Landeslegislative bis zum 1. Januar 2029 einen anonymisierten Sammelbericht über alle eingegangenen Vorfallmeldungen vorlegen.

Illinois geht über Regeln anderer Bundesstaaten hinaus

Kalifornien erließ im Mai 2026 eine Verfügung zu Beschäftigungsfolgen von KI-Systemen, Utah gründete bereits 2025 ein eigenes Office of AI Policy. Eine verpflichtende externe Prüfung durch unabhängige Gutachter schreibt nach Angaben von StateScoop bislang jedoch kein anderer Bundesstaat vor. Das Gesetz kam mit Stimmen aus beiden großen Parteien zustande. Senatorin Mary Edly-Allen, die den Entwurf einbrachte, erklärte, das Gesetz solle Sicherheitsvorkehrungen schaffen, „bevor eine vermeidbare Katastrophe eintritt”. Nach ihren Worten müsse Macht stets mit Weisheit, Transparenz und Verantwortung einhergehen. Auch aus der Industrie kam Rückendeckung: Anthropic äußerte sich zustimmend und bezeichnete die Kombination aus Transparenzpflicht und unabhängiger Prüfung als bundesweit einmalig. Neben Anthropic unterstützten auch die Organisation Secure AI Project sowie weitere Sicherheitsforschende den Gesetzentwurf öffentlich. Das Büro des Gouverneurs bezeichnete das Vorgehen als bundesweit richtungsweisend für den Umgang mit den leistungsfähigsten KI-Systemen. Gouverneur Pritzker begründete die Regelung mit dem Stillstand auf Bundesebene: Da die Bundesregierung nicht eingreifen wolle, trügen die Bundesstaaten die Verantwortung, die Bevölkerung vor den Risiken der KI zu schützen.

Entscheidend wird, ob andere Bundesstaaten dem Beispiel folgen, bevor der US-Kongress ein eigenes, bundesweites KI-Gesetz vorlegt – ein Vorhaben, das im Kongress seit Monaten feststeckt. Bis die Generalstaatsanwaltschaft von Illinois am 1. Januar 2029 ihren ersten Sammelbericht vorlegt, bleibt zudem offen, wie streng die vorgeschriebenen Audits in der Praxis ausfallen und ob die betroffenen Konzerne ihre internen Risikoberichte tatsächlich vollständig offenlegen.

Häufige Fragen

Welche Unternehmen fallen konkret unter das Gesetz?

Betroffen sind Entwickler mit mehr als 500 Millionen Dollar Jahresumsatz, deren Modelle festgelegte Rechenleistungs-Schwellen überschreiten. Nach Einschätzung von Fachmedien zählen dazu etwa OpenAI, Anthropic, Google, Meta und xAI.

Ab wann müssen die vorgeschriebenen Audits tatsächlich vorliegen?

Das Gesetz selbst gilt ab dem 1. Januar 2027, doch nach Einschätzung mehrerer Kanzleien müssen die ersten vollständigen Prüfzyklen erst bis Anfang 2028 abgeschlossen sein.

Unterscheidet sich Illinois von den KI-Regeln anderer Bundesstaaten?

Kalifornien und Utah haben eigene KI-Vorgaben erlassen, etwa zu Beschäftigungsfolgen oder einer eigenen Aufsichtsbehörde. Eine verpflichtende externe Prüfung durch unabhängige Gutachter schreibt bislang jedoch nur Illinois vor.

Was passiert mit den Ergebnissen der Audits?

Die geprüften Unternehmen müssen geschwärzte Fassungen ihrer Auditberichte veröffentlichen. Die Generalstaatsanwaltschaft erhält zudem gesammelte Vorfallmeldungen für einen anonymisierten Bericht an die Landeslegislative bis 2029.

Welche Rolle spielt Anthropic bei dem Gesetz?

Anthropic gehörte zu den Unternehmen, die das Gesetz öffentlich unterstützten, und bezeichnete die Kombination aus Transparenzpflicht und unabhängiger Prüfung als bundesweit einmalig.


← Zurück zum Blog