Amerikas stärkstes KI-Sicherheitsgesetz ist verabschiedet. Sind Ihre Anbieter bereit?
Illinois verabschiedet Amerikas strengstes KI-Sicherheitsgesetz. Jährliche Audits, 3 Mio. $ Strafen. Was jedes Unternehmen wissen muss.
Inhaltsverzeichnis
-
Fakt: Illinois verabschiedete SB 315 mit 110 zu null Stimmen — das erste US-Gesetz, das jährliche unabhängige Drittprüfungen für KI-Entwickler wie OpenAI, Anthropic und Google vorschreibt.
-
Auswirkung: Ab 2028 müssen alle großen KI-Modellanbieter ein Sicherheitsframework veröffentlichen, jährliche Audits bestehen und interne Whistleblower schützen — Unternehmen erhalten echte vertragliche Hebel gegenüber ihren KI-Lieferanten.
-
Überraschung: OpenAI und Anthropic unterstützten das Gesetz öffentlich. Wenn die Unternehmen, die die leistungsfähigste KI der Welt entwickeln, ihre eigene Regulierung einfordern, ist das ein Marktsignal, das es zu entschlüsseln gilt.
Es gibt 50 Staatsparlamente in Amerika. Eines davon hat gerade mit 110 zu null Stimmen abgestimmt. Diese Art von Einstimmigkeit entsteht nicht durch Zufall oder politisches Theater — sie spiegelt einen Konsens wider, dass etwas geändert werden musste, und dass niemand im Raum auf der falschen Seite der Geschichte stehen wollte.
Am 27. Mai 2026 verabschiedete das Repräsentantenhaus von Illinois das SB 315, den Artificial Intelligence Safety Measures Act, ohne eine einzige Gegenstimme. Gouverneur JB Pritzker hat angekündigt, es unterzeichnen zu wollen. Damit wird Illinois der erste US-Bundesstaat, der jährliche unabhängige Drittprüfungen der leistungsfähigsten KI-Labore des Landes vorschreibt.
Was SB 315 von KI-Unternehmen konkret verlangt
Das Gesetz ist bewusst eng gefasst. Es zielt nicht darauf ab, jeden Chatbot oder jedes Unternehmensprodukt mit maschinellem Lernen zu regulieren. Es richtet sich an Frontier-KI-Entwickler — Unternehmen, die die leistungsfähigsten Grundlagenmodelle entwickeln. OpenAI, Anthropic, Google: die Labore, auf deren Modellen der Großteil der Unternehmens-KI-Infrastruktur aufbaut.
Bis 2028 müssen betroffene Unternehmen vier Anforderungen erfüllen. Erstens müssen sie ein Frontier-AI-Framework veröffentlichen und jährlich aktualisieren — ein öffentliches Dokument, das Katastrophenrisikobewertung, Minderungsstrategien, Cybersicherheitsprotokolle, interne Governance und Ergebnisse externer Bewertungen abdeckt. Zweitens müssen sie sich jährlichen unabhängigen Audits dieses Frameworks unterziehen — erstmals in einem US-Bundesstaatsgesetz so verpflichtend. Drittens müssen Whistleblower-Schutzmaßnahmen für Mitarbeiter eingeführt werden, die Sicherheitsverstöße melden. Viertens müssen Offenlegungserklärungen eingereicht und Gebühren entrichtet werden.
Die Durchsetzung obliegt dem Attorney General von Illinois. Zivilrechtliche Strafen erreichen 3 Millionen Dollar pro Verstoß. Den Fortschritt des Gesetzes können Sie bei NBC News verfolgen.
Warum OpenAI und Anthropic für dieses Gesetz eintraten
Das kontraintuitivste Detail der SB 315-Geschichte ist die Reaktion der Branche. OpenAI und Anthropic unterstützten beide die Gesetzgebung öffentlich vor der Abstimmung. Google, xAI und Meta antworteten nicht auf Anfragen zur Stellungnahme.
Was an diesem Schritt auffällt, ist nicht die Sicherheitsphilosophie, sondern die Wettbewerbsdynamik. Ein verpflichtender Audit-Rahmen schafft eine Compliance-Infrastruktur, die gut finanzierte Frontier-Labore absorbieren können — kleinere Herausforderer möglicherweise nicht. Wenn ein etablierter Marktteilnehmer eine regulatorische Belastung befürwortet, lohnt es sich zu fragen, wer am meisten von dieser Belastung profitiert.
Es gibt auch eine wohlwollendere Lesart. Nach Jahren freiwilliger Sicherheitsverpflichtungen mit schwindender Glaubwürdigkeit bieten Drittprüfungen Unternehmenskäufern etwas Überprüfbares. Die Finanzmärkte kamen in den 1930er Jahren zur selben Schlussfolgerung mit unabhängigen Wirtschaftsprüfern. KI-Governance gelangt neunzig Jahre später zu derselben Erkenntnis.
Für Teams, die bereits KI-Governance- und Transformationsstrategien in komplexen Umgebungen aufbauen, ist SB 315 der erste externe Anker für interne Verantwortlichkeitsrichtlinien.
KOSTENLOSE DIAGNOSE — Bauen Sie Ihr KI-Lieferanten-Governance-Framework auf? Wie Transform funktioniert → ✓ 30 Min. ✓ Kostenlos ✓ Dedizierter KI-Direktor
Was Unternehmenskäufer bis 2028 tun sollten
Das Inkrafttreten klingt fern. Das ist es nicht. Unternehmen, die unter SB 315 fallen, müssen ihre Compliance-Architekturen weit vor der Frist entwickeln — was bedeutet, dass Unternehmenskäufer schon heute Antworten von Lieferanten einfordern können.
Für einen COO oder CTO, der KI-Anbieter bewertet, schafft SB 315 einen neuen Beschaffungsfilter. Hat Ihr Anbieter ein veröffentlichtes Sicherheitsframework? Hat eine unabhängige Partei ihre Risikobewertungsmethodik überprüft? Gibt es dokumentierte Whistleblower-Schutzmaßnahmen? Das sind dieselben Fragen, die Sie einem DSGVO-pflichtigen Datenverarbeiter oder einem SOC-2-zertifizierten SaaS-Anbieter stellen würden — bis jetzt haben die meisten KI-Käufer sie schlicht nicht gestellt.
Was wir bei Epinium beobachten: Unternehmen drängen oft zur Einführung von KI-Tools, bevor sie definiert haben, wie Lieferantenverantwortung überhaupt aussehen soll. SB 315 setzt diesen Standard neu: Käufer haben jetzt einen rechtlichen Anker, um Transparenz einzufordern statt nur zu erbitten.
Epinium-Daten
In über fünf Jahren KI-Transformationsprojekten mit Marken in Europa und Lateinamerika hat Epinium festgestellt, dass weniger als eines von fünf mittelständischen Unternehmen mit der internen Dokumentation ankam, die erforderlich wäre, um die KI-Sicherheitsposition eines Lieferanten zu bewerten. SB 315 wird nicht nur Labore regulieren — es wird Käufer dazu zwingen, ihre eigene Sorgfaltspflicht zu verbessern.
Der regulatorische Druck nimmt auf allen Ebenen zu. 38 US-Bundesstaaten verabschiedeten 2026 KI-bezogene Gesetze. Das Weiße Haus veröffentlichte im März 2026 einen nationalen KI-Gesetzgebungsrahmen. Der 110-0-Abstimmung in Illinois signalisiert etwas, das vor drei Jahren politisch undenkbar erschienen wäre: KI-Regulierung ist nun Standard-Risikomanagement, kein ideologisches Schlachtfeld.
Fünf Fragen, die Unternehmensteams stellen
Betrifft SB 315 Unternehmen, die KI-Tools nutzen, oder nur solche, die KI-Modelle entwickeln?
SB 315 richtet sich direkt an Frontier-KI-Entwickler — die Labore, die große Grundlagenmodelle entwickeln — nicht an Unternehmen, die diese Modelle lizenzieren. Käufer profitieren jedoch indirekt: Sobald Ihr KI-Anbieter gesetzlich verpflichtet ist, ein Sicherheitsframework zu veröffentlichen und Audits zu bestehen, erhalten Sie vertraglichen Einfluss bei der Beschaffung, den es zuvor nicht gab.
Welche KI-Unternehmen fallen tatsächlich unter dieses Gesetz?
Das Gesetz zielt auf Unternehmen ab, die die leistungsfähigsten Grundlagenmodelle entwickeln — OpenAI, Anthropic, Google DeepMind und andere Labore, die den Frontier-Fähigkeitsschwellenwert überschreiten. Spezielle KI-Anwendungen, Unternehmenssoftware und kleinere Modelle unterhalb dieser Schwelle sind nicht direkt betroffen.
Mein Unternehmen operiert außerhalb von Illinois. Ist SB 315 trotzdem relevant?
Ja. Wenn Ihr KI-Anbieter Illinois-Kunden bedient oder dort tätig ist, gilt das Gesetz für ihn. Darüber hinaus wird das 110-0-Votum voraussichtlich ähnliche Gesetze in anderen Bundesstaaten und letztlich auf Bundesebene beschleunigen. Governance-Frameworks jetzt aufzubauen ist weitaus günstiger als auf ein Flickwerk widersprüchlicher Staatsgesetze reagieren zu müssen.
Das Inkrafttreten ist 2028. Sollten wir abwarten?
Das ist der falsche Ansatz. Nutzen Sie die Frist 2028 als Beschaffungsimpuls heute. Fordern Sie von Ihren aktuellen KI-Anbietern Entwürfe ihrer Sicherheitsframeworks an. Verlangen Sie von jedem neuen Anbieter, seine Audit-Bereitschaft darzulegen. Unternehmen, die diese Gespräche früh beginnen, werden beim Inkrafttreten sauberere Verträge haben.
Sind große KI-Anbieter von SB 315 ausgenommen?
Open-Source-Modellentwickler, Unternehmen unterhalb des Frontier-Schwellenwerts und solche, die lizenzierte Modelle als Produktkomponenten nutzen, sind nicht direkt betroffen. Die Compliance-Anforderungen treffen jedoch die Labore, deren Modelle den Großteil der großangelegten Unternehmens-KI-Deployments unterstützen — daher sind wenige seriöse Käufer wirklich von den nachgelagerten Effekten abgeschirmt.
SB 315 wird die tiefsten Fragen der KI-Sicherheit nicht lösen — das könnte kein einzelnes Staatsgesetz. Aber es etabliert etwas Bedeutsames: parteiübergreifende Einstimmigkeit in einem großen US-Bundesstaat darüber, dass die leistungsfähigsten KI-Labore der Welt ihre Sicherheitspraktiken einer unabhängigen Prüfung öffnen müssen. Dieses Signal reicht weit über die Grenzen von Illinois hinaus.
Die Unternehmen, die aufmerksam sind, aktualisieren bereits ihre Lieferantenbewertungsframeworks und KI-Beschaffungsrichtlinien. Diejenigen, die auf Gewissheit warten, werden sich auf dem Zeitplan anderer wiederfinden.
Bereit, ein KI-Governance-Framework aufzubauen, bevor die Regulatoren ankommen? Epinium Transform unterstützt Markenoperatoren und mittelständische Unternehmen dabei, die internen Strukturen zu entwickeln, die neue KI-Regulierung von einer Compliance-Last in einen Wettbewerbsvorteil verwandeln. Buchen Sie Ihre kostenlose KI-Diagnose → 30 Min. · Kostenlos · Personalisierte Diagnose