Illinois SB 315 würde jährliche KI-Audits durch Dritte zur gesetzlichen Pflicht machen. Was das wirklich bedeutet.
Das Artificial Intelligence Safety Measures Act geht weiter als jedes bestehende US-amerikanische KI-Gesetz auf Bundesstaatsebene, indem es eine externe Überprüfung verlangt – nicht nur selbst gemeldete Sicherheitspläne.
Das Illinois House of Representatives hat am 27. Mai 2026 mit 110 zu 0 Stimmen für Senate Bill 315 gestimmt, den Artificial Intelligence Safety Measures Act. Der Senat hatte das Gesetz bereits am 21. Mai mit 52 zu 5 Stimmen verabschiedet. Gouverneur J.B. Pritzker hat öffentlich erklärt, dass er es unterzeichnen wird. In der Gesetzgebungspraxis macht diese Kombination aus einem verabschiedeten Gesetzentwurf bereits eine Planungsgrundlage: Compliance-Teams warten nicht auf die Unterschrift, wenn der Gouverneur seine Absicht bereits klar geäußert hat.
Was das Gesetz tatsächlich vorschreibt
Der Kernmechanismus von SB 315 ist strukturell und präzise, wie NBC News in einem Bericht von Jared Perlo festhält. Frontier-KI-Unternehmen, darunter namentlich genannte Beispiele wie OpenAI und Anthropic, wären verpflichtet, Pläne zur Bewältigung schwerwiegender oder katastrophaler Risiken ihrer KI-Modelle zu erstellen, zu veröffentlichen und jährlich zu aktualisieren. Über diese Planungspflicht hinaus fügt Illinois eine Anforderung hinzu, die bisher kein bestehendes US-amerikanisches KI-Gesetz enthält: jährliche unabhängige Audits dieser Unternehmen durch Dritte in Sicherheitsfragen. Dieses Audit-Gebot ist das operativ neue Element. Die Offenlegung von Plänen ist bekanntes Terrain; der externe Audit-Rhythmus hingegen nicht.
Regulations.AI, das den Gesetzentwurf unter der Kennung RAI-US-IL-SB31500-2026 verfolgt, charakterisiert das Gesetz als die Bereiche Sicherheit, Tests und Bewertung, Risikomanagement sowie Transparenz und Offenlegung umfassend. Jede dieser Kategorien überträgt sich in eine eigenständige Dokumentationspflicht. Eine Sicherheitskategorie bedeutet nachweisbare Testprotokolle, keine bloße Grundsatzerklärung. Risikomanagement bedeutet ein gepflegtes Risikoregister. Transparenz bedeutet veröffentlichte Ergebnisse, die ein Prüfer tatsächlich einsehen kann.
Das Wort „unabhängig" in der Audit-Anforderung trägt erhebliches Gewicht. Es schließt die Praxis der Selbstbescheinigung aus, die bisher die KI-Governance in Unternehmen dominiert hat. Ein Risikoplan, den man selbst verfasst und veröffentlicht, ist in der Praxis ein Marketingdokument – so lange, bis jemand ohne eigenes Interesse an Ihrem Umsatz verpflichtet ist, ihn in einem jährlichen Zyklus zu bewerten.
Wie sich Illinois von Kalifornien und New York unterscheidet
Illinois wäre der dritte US-Bundesstaat, der Standards für Frontier-Modelle einführt, nach dem Ansatz von New York und der früheren Gesetzgebung Kaliforniens – so die Berichterstattung der Transparency Coalition zur Verabschiedung des Gesetzentwurfs am 27. Mai 2026. Doch die Anforderung eines Drittanbieter-Audits ist der strukturelle Unterschied. Kalifornien und New York verlangen Planung und Offenlegung. Illinois verlangt eine externe Überprüfung dieser Pläne in einem jährlichen Zyklus. Das ist eine wesentlich andere Verpflichtung.
NBC News zitiert Jared Perlos Bericht, der SB 315 als einen Gesetzentwurf beschreibt, der „über die Gesetzgebung in Kalifornien und New York zur Regulierung der größten US-amerikanischen KI-Unternehmen hinausgehen würde." Diese Einordnung ist zutreffend, unterschätzt aber den operativen Unterschied. Offenlegungspflichten erzeugen Papierspuren. Audit-Anforderungen schaffen Rechenschaftsstrukturen, weil jemand außerhalb des Unternehmens seinen Namen unter eine Bewertung setzen muss, ob der Sicherheitsplan real, aktuell und erprobt ist. Das sind keine gleichwertigen Compliance-Pflichten.
Das Problem des Audit-Ökosystems
Hier ist der Teil, über den Compliance-Verantwortliche und KI-Produktteams gründlich nachdenken sollten: Das Gesetz würde jährliche unabhängige Audits der KI-Sicherheitsprotokolle von Frontier-Unternehmen durch Dritte vorschreiben – und wie eine Analyse von TechJack Solutions anmerkt, existiert das Audit-Ökosystem, das eine solche Anforderung voraussetzt, noch nicht in ausreichendem Maßstab.
Es gibt keine etablierte Gruppe akkreditierter KI-Sicherheitsprüfer, die mit Prüfern von Jahresabschlüssen im Wertpapierrecht vergleichbar wäre. Es gibt keine abgestimmte Methodik dafür, was ein Sicherheits-Audit eines Frontier-Modells untersuchen muss, wie tiefgehend es sein soll oder wie ein bestandenes Ergebnis aussieht.
Diese Lücke ist kein Grund abzuwarten. Sie ist ein Grund, jetzt mit dem Aufbau interner Dokumentationspraktiken zu beginnen – damit ein Unternehmen, wenn Prüfer und Methoden entstehen, seine Sicherheitshistorie nicht von Grund auf neu rekonstruieren muss. McDermotts Rechtsanalyse zur Weiterentwicklung des Gesetzentwurfs in Illinois nennt die Transparenz- und Audit-Anforderungen als eigenständige Pflichten, was darauf hindeutet, dass Fachleute die Compliance-Fläche bereits in handhabbare Bestandteile aufteilen.
Was Lernende und Entwickler im Blick behalten sollten
Für alle, die KI-Governance studieren, ist SB 315 eine aufschlussreiche Fallstudie dafür, wie strukturelle Anforderungen sich ausbreiten. Kalifornien und New York haben Offenlegungsnormen etabliert. Illinois fügt externe Überprüfung hinzu. Wenn sich dieses Muster fortsetzt, wird die nächste Welle staatlicher Gesetzgebung wahrscheinlich nicht nur fragen, ob ein Unternehmen einen Sicherheitsplan veröffentlicht hat, sondern ob eine unabhängige Partei zu dem Schluss gekommen ist, dass der Plan angemessen ist. Das ist die Richtung, in die es geht.
Für Entwickler, die an KI-Produkten im Bildungsbereich oder in einem anderen Sektor arbeiten, lautet die praktische Schlussfolgerung: Dokumentationsdisziplin. Testprotokolle, Risikoregister und veröffentlichte Sicherheitsergebnisse sind keine optionale interne Hygiene mehr. Sie sind das Rohmaterial eines Audits.
Die offizielle Seite zur Gesetzesstatus des Illinois General Assembly bestätigt, dass der Gesetzentwurf beide Kammern passiert hat, mit dem letzten Vorgang vom 29. Mai 2026. Die erklärte Absicht des Gouverneurs zur Unterzeichnung bedeutet, dass die Planungsuhr bereits läuft – unabhängig davon, wann die Unterschrift erfolgt.
Quellen
- Illinois Legislature passes historic AI bill that would require third-party safety audits(opens in new tab)
- Artificial Intelligence Safety Measures Act - United States | Regulations.AI(opens in new tab)
- Illinois lawmakers send landmark AI frontier model safety bill to Gov. Pritzker(opens in new tab)
- Illinois advances frontier AI transparency and audit requirements(opens in new tab)
- Illinois General Assembly - Bill Status of SB0315(opens in new tab)
Quellen
- SpaceX IPO tests depth of retail investors' pockets - Axios(opens in new tab)
- Illinois Legislature passes historic AI bill that would require third ...(opens in new tab)
- Illinois SB 315 AI Audit Requirements: Essential Guide 2025(opens in new tab)
- Artificial Intelligence Safety Measures Act - United States | Regulations.AI - The Site on AI Laws and Regulations | Regulations.ai(opens in new tab)
- Illinois lawmakers send landmark AI frontier model safety bill to Gov ...(opens in new tab)
- Illinois advances frontier AI transparency and audit requirements(opens in new tab)
- Illinois Legislature passes historic AI bill that would require third ...(opens in new tab)
- Illinois advances frontier AI transparency and audit requirements(opens in new tab)
- Illinois lawmakers send landmark AI frontier model safety bill to Gov ...(opens in new tab)
- Illinois General Assembly - Bill Status of SB0315(opens in new tab)
- EU AI Act | TeamMate | Wolters Kluwer(opens in new tab)