Illinois führt das strengste KI-Sicherheitsgesetz der USA ein. Was deutsche Mittelständler über die neuen Pflichten zu Safety-Tests, Transparenz und Whistleblower-Schutz wissen müssen.
Nur wenige Tage nachdem US-Präsident Donald Trump einen Plan zur bundesweiten KI-Sicherheitsprüfung gestoppt hatte, verabschiedete Illinois das schärfste KI-Gesetz der USA. SB 315 verpflichtet große KI-Anbieter zu unabhängigen Sicherheitstests, Transparenzberichten und schneller Meldung kritischer Vorfälle. Auch OpenAI und Anthropic unterstützen das Gesetz – aus gutem Grund.
Am 28. Mai 2026 verabschiedete die Gesetzgebung von Illinois das Senatsgesetz SB 315. Gouverneur J.B. Pritzker kündigte umgehend an, das Gesetz zu unterzeichnen. Ab dem 1. Januar 2027 gelten damit für große KI-Anbieter drei zentrale Pflichten:
Erstens: Unabhängige Sicherheitstests durch Dritte. Frontier-Modelle – also besonders leistungsstarke KI-Systeme – müssen von externen Auditoren geprüft werden. Erwartet werden die großen Wirtschaftsprüfungsgesellschaften Deloitte, EY, KPMG und PwC. Zweitens: Öffentliche Sicherheitspläne und Jahresberichte. Die Unternehmen müssen dokumentieren, wie sie Risiken identifizieren und eindämmen. Drittens: Meldepflicht bei kritischen Vorfällen. Schwere Sicherheitsereignisse müssen innerhalb von 72 Stunden gemeldet werden, bei unmittelbarer Lebensgefahr binnen 24 Stunden.
Dazu kommt ein viertes Element: Whistleblower-Schutz. Mitarbeiter der KI-Firmen können aufkommende Risiken melden, ohne berufliche Konsequenzen fürchten zu müssen. Illinois nutzt dafür bestehende Schutzgesetze.
Beide Unternehmen – deren Modelle direkt vom Gesetz betroffen sind – haben SB 315 öffentlich befürwortet. Chris Lehane, Global Affairs Chef bei OpenAI, sagte gegenüber Wired, man arbeite daran, ähnliche Gesetze in weiteren Bundesstaaten durchzusetzen. Das Ziel: Einen Flickenteppich unterschiedlicher Regelungen vermeiden.
Cesar Fernandez, Leiter der Regierungsbeziehungen bei Anthropic, erklärte gegenüber NBC News, die Anforderungen spiegeln wider, was führende KI-Firmen bereits freiwillig tun. Das Gesetz schaffe jedoch eine verbindliche Grundlinie, die jeder große Entwickler erfüllen müsse.
Zwischen den Zeilen wird deutlich: Die Regulierung könnte kleineren KI-Anbietern stärker zusetzen. Die großen Player verfügen bereits über Compliance-Teams und externe Berater. Wer neu einsteigt, muss diese Strukturen erst aufbauen – und die damit verbundenen Kosten tragen.
Auf den ersten Blick betrifft SB 315 nur US-Anbieter von Frontier-Modellen. Doch die Wirkung reicht weiter. Erstens: Deutsche Unternehmen, die Systeme wie GPT-4, Claude oder Gemini nutzen, profitieren von höheren Sicherheitsstandards. Wenn ein Anbieter Schwachstellen transparent meldet, können Kunden reagieren – etwa durch Anpassung der Prompts oder Wechsel des Modells.
Zweitens: Illinois schafft einen Präzedenzfall. Der demokratische Abgeordnete Daniel Didech sagte gegenüber NBC, die Bundesstaaten sollten dies eigentlich nicht tun müssen. Doch da der Kongress untätig bleibe und die Technologie rasant voranschreite, hätten die Bundesstaaten keine Wahl. Illinois könnte zum Testfeld für bundesweite Regeln werden.
Drittens: Der Trend zu regionaler KI-Regulierung beschleunigt sich. Die EU hat mit dem AI Act vorgelegt, Kalifornien arbeitet an eigenen Gesetzen, jetzt zieht Illinois nach. Für deutsche Mittelständler bedeutet das: Wer international operiert oder KI-Systeme aus verschiedenen Rechtsräumen bezieht, muss sich auf unterschiedliche Compliance-Anforderungen einstellen.
Beide Regelwerke zielen auf Transparenz und Risikominimierung. Der EU AI Act stuft KI-Systeme nach Risiko ein – von minimal bis inakzeptabel. Hochrisiko-Systeme unterliegen strengen Auflagen, etwa bei biometrischer Identifikation oder kritischer Infrastruktur. Illinois setzt einen engeren Fokus: Frontier-Modelle, also jene Systeme, die potenziell katastrophale Schäden anrichten können.
Der EU-Ansatz ist breiter, erfasst aber dafür weniger detailliert die Spitzenmodelle. Illinois verlangt explizit externe Auditoren und schnelle Vorfallsmeldung. Die EU verlangt Konformitätsbewertungen, lässt aber mehr Spielraum bei der Umsetzung. Gemeinsam ist beiden: Whistleblower-Schutz und die Erwartung, dass Anbieter Risiken proaktiv dokumentieren.
Ohne das Gesetz sind wir in einer Situation, in der die KI-Unternehmen ihre eigenen Hausaufgaben benoten.
Praxis-Tipp für deutsche KMU Prüfen Sie in Ihren Verträgen mit KI-Anbietern, ob Vorfallsmeldungen und Safety-Updates automatisch weitergegeben werden. Viele Standard-SLAs enthalten diese Klausel nicht. Bei ATLAS Consulting lassen wir solche Transparenzpflichten in unsere KI-Integrationen einfließen – besonders dort, wo personenbezogene Daten oder geschäftskritische Prozesse im Spiel sind.
| Merkmal | Illinois SB 315 | EU AI Act |
|---|---|---|
| Geltungsbereich | Frontier AI-Modelle | Alle KI-Systeme nach Risiko |
| Externe Tests | Pflicht durch Dritte | Konformitätsbewertung |
| Vorfallsmeldung | 72 h bzw. 24 h | Indirekt über DSGVO |
| Whistleblower-Schutz | Explizit verankert | Ja, über EU-Richtlinie |
| Inkrafttreten | 1. Januar 2027 | Stufenweise bis 2027 |
| Für wen relevant | US-Anbieter + Kunden | EU-Anbieter + globale Player |
SB 315 zeigt, wohin die Reise geht: Regionale Gesetzgeber übernehmen die Kontrolle, wenn Bundesregierungen zögern. Für deutsche Mittelständler lohnt sich das Gesetz aus zwei Gründen. Erstens: Die KI-Systeme, die Sie nutzen, werden sicherer. Zweitens: Sie können sich auf ähnliche Anforderungen in Europa einstellen – der EU AI Act folgt derselben Logik, nur mit breiterer Anwendung.
Wer heute schon Transparenz und Risikomanagement in seine KI-Projekte einbaut, ist morgen besser aufgestellt. Das gilt nicht nur für die Einhaltung von Gesetzen, sondern auch für das Vertrauen Ihrer Kunden. In unseren Projekten sehen wir: Unternehmen, die offen mit Risiken umgehen, haben es leichter, interne Akzeptanz zu schaffen und Haftungsfragen zu klären. Illinois macht vor, was bald Standard sein könnte.
ATLAS Consulting begleitet Sie vom ersten Use-Case bis zur produktiven Integration — ohne Hype, ohne Blackbox, mit klaren Zahlen.