US-KI-Regulierung 2026: Bundes-Executive-Orders, Bundesstaaten-Gesetze und was jetzt zu erfüllen ist

Die Vereinigten Staaten haben weiterhin kein umfassendes bundesweites KI-Gesetz. Der Kongress hat Anhörungen abgehalten, Vorschläge in die Diskussion eingebracht und jahrelang debattiert — aber nichts Bindendes ist verabschiedet worden. Wenn Sie auf ein einziges, klares Regelwerk warten, werden Sie noch eine Weile warten.

Das heißt nicht, dass KI unreguliert ist. Was tatsächlich passiert, ist unübersichtlicher: Executive Orders, die in eine Richtung ziehen; Bundesstaaten-Legislativen, die in eine andere drücken; Bundesbehörden, die bestehende Gesetze gegen KI-Unternehmen durchsetzen; und freiwillige Frameworks wie das NIST AI RMF, die echtes operatives Gewicht gewinnen. Ihre Compliance-Pflichten hängen jetzt davon ab, wo Sie operieren, in welchem Sektor Sie sind und was Ihre KI-Systeme tatsächlich tun.

Wir haben ein vollständiges Whitepaper veröffentlicht, das dieses regulatorische Umfeld in der Tiefe behandelt. Dieser Beitrag geht die zentralen Befunde durch.

Kein bundesweites KI-Gesetz, aber reichlich Bundesaktivität

Keine Omnibus-Gesetzgebung bedeutet kein regulatorisches Vakuum. Die Bundesregierung war über Executive Orders, Behördenvollzug und freiwillige Frameworks aktiv. Das Bild ist nur schwerer zu lesen, als es ein einzelnes Gesetz wäre.

Die Trump-Administration hat 2 Executive Orders unterzeichnet, die den Bundes-Ton setzen. Die erste — im Januar 2025 (Executive Order 14179) — widerrief die KI-Sicherheits-Order der Biden-Ära und wies die Behörden an, Barrieren für die KI-Einführung abzubauen. Die zweite — im Dezember 2025 — ging weiter: Sie schuf eine AI Litigation Task Force, die Bundesstaaten-KI-Gesetze anfechtet, beauftragte das Handelsministerium zu bewerten, welche Bundesstaaten-Gesetze mit Bundeszielen kollidieren, und drohte, Bundesmittel von Staaten zurückzuhalten, deren KI-Gesetze als „onerous" eingestuft werden.

Die Order vom Dezember 2025 wiegt schwerer. Sie etabliert Mechanismen, mit denen die Bundesregierung gegen Bundesstaaten-Regulierung vorgehen kann — sie schafft aber selbst keine bundesweiten KI-Standards oder -Anforderungen. Bestehende Bundesstaaten-KI-Gesetze bleiben wirksam, solange sie nicht erfolgreich vor Gericht angefochten werden.

Es gibt Ausnahmen, die man kennen sollte. Die Executive Order nimmt 3 Bereiche von der Preemption aus: Kinderschutz in KI-Kontexten, KI-Compute- und Rechenzentrumsinfrastruktur sowie die KI-Beschaffung durch Bundesstaatenregierungen. Wenn Sie in einem dieser Bereiche operieren, gehen Sie weiter von Bundesstaaten-Vollzugskompetenz aus.

Die Bundesstaaten füllen die Lücke — schnell

Da bundesweite Gesetzgebung stockt, sind die Bundesstaaten zur primären Quelle bindender KI-Regulierung geworden. Das Tempo hat 2025 und 2026 angezogen — mehrere Gesetze sind zum 1. Januar 2026 in Kraft getreten, und weitere folgen über das Jahr.

Colorado AI Act

Colorado hat das umfassendste KI-Governance-Gesetz auf Bundesstaatenebene verabschiedet. Es zielt auf Entwickler und Deployer von „high-risk" KI-Systemen — solchen, die consequential decisions in Bildung, Beschäftigung, Verwaltungsleistungen, Gesundheitswesen, Wohnen, Versicherung oder Rechtsdienstleistungen treffen.

Das Gesetz verlangt Risikomanagement-Programme, Verbraucherinformationen und die Minderung algorithmischer Diskriminierung. Ursprünglich für den 1. Februar 2026 angesetzt, wurde die Umsetzung nach Industriedruck auf den 30. Juni 2026 verschoben. Eine Legislativ-Kommission untersucht die praktische Umsetzung.

Wenn Sie KI-Systeme einsetzen, die eine dieser Entscheidungs­kategorien betreffen, und Nutzer in Colorado haben, gilt dieses Gesetz für Sie. Die Risikomanagement-Anforderungen sind spezifisch: dokumentierte Risikobewertungen, Impact-Evaluierungen und laufendes Monitoring. Mehr dazu auf unserer Colorado-AI-Act-Lösungsseite.

Für Organisationen, die bereits Governance-Plattformen nutzen, mappen die Anforderungen des Colorado AI Act direkt auf strukturierte Risikomanagement-Workflows. Das Project-Risk-Modul von VerifyWise verfolgt Risiken über alle 7 KI-Lebenszyklus-Phasen (Problemdefinition bis Decommissioning) mit automatischer Risiko­level-Berechnung — und adressiert damit direkt die „systematische Risikomanagement"-Sprache im Colorado-Gesetz.

Kalifornien: das komplexeste Compliance-Umfeld

Kalifornien ist in der schieren Menge weiter gegangen als jeder andere Bundesstaat. Mehrere Gesetze sind zum 1. Januar 2026 in Kraft getreten:

Der Transparency in Frontier AI Act (SB 53) verpflichtet Entwickler großer Frontier-Modelle (trainiert mit mehr als 10^26 FLOPS), Risiko-Frameworks zu veröffentlichen, Safety-Vorfälle zu melden und Whistleblower-Schutzmaßnahmen umzusetzen. Strafen können 1 Mio. US$ pro Verstoß für Unternehmen mit Jahresumsatz über 500 Mio. US$ erreichen.

Der AI Training Data Transparency Act (AB 2013) verlangt von Entwicklern generativer KI-Systeme, Zusammenfassungen ihrer Trainingsdatensätze zu veröffentlichen — Datenquellen, -typen, Informationen zu geistigem Eigentum und Details zu personenbezogenen Daten.

Der AI Transparency Act (SB 942) verlangt von KI-Anbietern, offenzulegen, wenn Inhalte KI-generiert sind — einschließlich durch Watermarking. Kaliforniens CCPA-Regelungen zu automatisierter Entscheidungsfindung fügen Anforderungen an Risikobewertungen hinzu, die zum 1. Januar 2026 wirksam werden, mit vollständigen ADM-Bestimmungen (Pre-Use-Notices, Verbraucher-Opt-outs) zum 1. Januar 2027.

Wenn Sie in Kalifornien KI bauen oder einsetzen, haben Sie es mit einem geschichteten Compliance-Umfeld zu tun, in dem mehrere Gesetze gleichzeitig gelten können.

Texas TRAIGA

Texas hat den Responsible AI Governance Act zum 1. Januar 2026 erlassen. Die finale Fassung wurde im Gesetzgebungsverfahren deutlich enger gefasst. Sie entfernt die meisten privatwirtschaftlichen Pflichten und beschränkt Compliance-Anforderungen primär auf die staatliche Nutzung von KI.

Davon abgesehen verhängt TRAIGA weiterhin kategorische Verbote für KI-Systeme zur Verhaltensmanipulation, unrechtmäßigen Diskriminierung, Gewaltanstiftung oder Deepfake-Produktion von Material zu sexualisiertem Kindesmissbrauch. Es schränkt zudem staatliche Stellen ein, KI für Social Scoring oder biometrische Identifizierung ohne Einwilligung zu nutzen, und etabliert einen Texas Artificial Intelligence Council mit einem Regulatory-Sandbox-Programm. Siehe unseren Texas-AI-Act-Überblick für eine tiefere Aufschlüsselung.

Illinois und New York

Illinois verlangt von Arbeitgebern, Bewerberinnen zu informieren, wenn KI Videointerviews auswertet, Einwilligung vor der KI-Evaluation einzuholen und Datenaufbewahrungsregeln einzuhalten. Diese Bestimmungen sind im Februar 2026 in Kraft getreten.

New York Citys Local Law 144 bleibt eine der operativ bedeutendsten lokalen KI-Regulierungen. Es verlangt Bias-Audits für automatisierte Beschäftigungs-Entscheidungstools und wird aktiv durchgesetzt. Der Bundesstaat New York hat mit dem RAISE Act, Offenlegungsanforderungen für synthetische Darsteller und einer breiteren Aufsicht über automatisierte Entscheidungstools nachgelegt.

Wenn Ihre Organisation KI in Einstellungsentscheidungen einsetzt, sind Sie wahrscheinlich überlappenden Anforderungen ausgesetzt aus NYC Local Law 144, Illinois' Videointerview-Regeln, Beschränkungen in Maryland und New Jersey, kalifornischen Civil-Rights-Department-Regulierungen und bundesweiten Antidiskriminierungs-Gesetzen.

Wichtige Compliance-Fristen auf einen Blick

Die FTC wartet nicht auf den Kongress

Die Federal Trade Commission ist die aktivste Bundesbehörde in der KI-Durchsetzung — sie nutzt ihre bestehende Befugnis aus Section 5 des FTC Act, um gegen unfaire oder irreführende KI-Praktiken vorzugehen. Das passiert unabhängig davon, welche Partei das Weiße Haus hält.

Die FTC-Initiative „Operation AI Comply" — gestartet im September 2024 — zielt auf Unternehmen, die unbelegte Aussagen über KI-Produkte machen. Mehr zum Ansatz der FTC auf unserer Seite zu FTC-AI-Leitlinien. Bemerkenswerte Enforcement-Aktionen umfassen:

Workado (Content at Scale AI) bewarb sein KI-Content-Erkennungstool mit 98 % Genauigkeit. Tests zeigten rund 53 % Genauigkeit. Die FTC erließ eine Consent Order, die das Unternehmen verpflichtete, unbelegte Aussagen einzustellen.

DoNotPay vereinbarte im Januar 2025 einen Vergleich, weil ein KI-Chatbot ohne angemessene Tests als „world's first robot lawyer" vermarktet worden war. Growth Cave löste im Januar 2026 Vorwürfe zur falschen Darstellung der Automatisierungsfähigkeiten seiner KI-Software.

Die aktuelle FTC-Führung unter Chairman Andrew Ferguson hat eine engere Enforcement-Philosophie signalisiert als die vorherige Administration — aber die „AI Washing"-Durchsetzung läuft parteiübergreifend weiter. Das praktische Fazit: Jede Aussage, die Sie über Fähigkeiten, Genauigkeit oder Performance Ihres KI-Systems machen, muss durch dokumentierte Evidenz gestützt sein.

Organisationen müssen KI-Marketing-Aussagen mit derselben Strenge behandeln wie Finanz-Offenlegungen. VerifyWises Evidence Center bietet ein zentrales Repository für Compliance-Evidenz mit vollständigem Audit-Logging aller Dateioperationen — was es geradlinig macht, die dokumentierte Untermauerung zu pflegen, die die FTC-Durchsetzung jetzt verlangt.

NIST AI RMF: das freiwillige Framework mit wachsendem Biss

Das NIST AI Risk Management Framework, veröffentlicht im Januar 2023, ist zum De-facto-Operationsstandard für KI-Governance in den USA geworden. Es ist freiwillig — aber sein Einfluss reicht weit über optionale Adoption hinaus.

Das Framework baut auf 4 Kernfunktionen: Govern (organisatorische Strukturen und Verantwortlichkeit), Map (Kontext, Risiken und Auswirkungen identifizieren), Measure (Risiken quantitativ und qualitativ bewerten) und Manage (Behandlung und Monitoring umsetzen).

Bundes-Auftragnehmer werden zunehmend von NIST-konformer Governance ausgegangen. Bundesstaaten-Legislativen referenzieren das Framework in ihren Gesetzen. Internationale Regulierungsbehörden nutzen es als technischen Begleiter für EU-AI-Act-Compliance. Der Financial-Services-Rahmen des US-Finanzministeriums von Februar 2026 übersetzt NIST-AI-RMF-Prinzipien in 230 gemappte Kontrollziele für Finanzinstitute.

Aktuelle Entwicklungen umfassen das Generative AI Profile (NIST-AI-600-1), den Entwurf eines Cyber AI Profile (NIST IR 8596) und erwartete Updates über AI RMF 1.1 mit erweiterten Profilen und Evaluierungsmethoden bis ins Jahr 2026.

Wenn Sie ein einziges Framework wählen, um Ihr KI-Governance-Programm zu verankern, ist NIST AI RMF die stärkste Wette für US-basierte Organisationen. Es richtet sich an aktuellen Bundesstaaten-Anforderungen aus und positioniert Sie gut für künftige Bundesgesetzgebung. Sie können auch unser NIST-AI-RMF-Assessment-Tool nutzen, um Ihren Stand zu evaluieren.

Der Bundes-vs.-Bundesstaaten-Showdown

Das ist wahrscheinlich die folgenreichste Entwicklung in der US-KI-Governance gerade jetzt. Die Bundesregierung und die Bundesstaaten steuern auf eine Konfrontation darüber zu, wer KI regulieren darf.

Die Bundesposition: Eine bundesstaaten-spezifische Regulierung schafft untragbare Compliance-Herausforderungen und gefährdet die US-Wettbewerbsfähigkeit. Die Executive Order vom Dezember 2025 nennt 3 Sorgen. Erstens machen 50 unterschiedliche Regulierungsregime Compliance unverhältnismäßig belastend — besonders für Startups. Zweitens können bestimmte Bundesstaaten-Gesetze KI-Systeme zwingen, ungenaue Ergebnisse zu produzieren, um Antidiskriminierungs-Anforderungen zu erfüllen. Drittens regulieren manche Bundesstaaten-Gesetze über ihre Grenzen hinaus und greifen in den zwischenstaatlichen Handel ein.

Die Bundesstaaten haben hart zurückgedrückt. Mehrere Bundesstaaten-Beamte argumentieren, die Executive Order überschreite die traditionellen Polizeigewalten und Verbraucherschutz-Befugnisse der Staaten. Mehrere Bundesstaaten haben signalisiert, ihre KI-Gesetze unabhängig weiter durchzusetzen.

Was für die Compliance-Planung zählt: Die Executive Order suspendiert oder annulliert kein Bundesstaaten-Gesetz. Selbst wenn spezifische KI-Statute bundesweite Anfechtungen erfahren, behalten Bundesstaaten-Generalstaatsanwälte die Möglichkeit, Durchsetzung über allgemeine Verbraucherschutz- und Wettbewerbsstatute zu verfolgen. Bis Gerichte Preemption-Streitigkeiten klären, müssen Sie die Compliance mit allen bestehenden Bundesstaaten-Anforderungen aufrechterhalten.

Der Kongress hat sich ebenfalls in die Debatte eingeschaltet. Im Mai 2025 versuchten House-Republikaner, eine Klausel in ein Spending-Bill einzufügen, die Bundesstaaten-KI-Gesetze für 10 Jahre untersagt hätte. Der Vorschlag stieß auf starken Widerstand und kam nicht durch. Der Scope einer eventuellen Bundesgesetzgebung bleibt zutiefst ungewiss.

Sektorspezifische Regulierungen, die Sie nicht ignorieren können

Über die breiten Bundesstaaten-Gesetze hinaus passiert KI-Regulierung auch über sektorspezifische Kanäle. Wenn Sie in Beschäftigung, Gesundheitswesen, Finanzdienstleistungen oder verbraucherorientierten Sektoren operieren, treffen Sie zusätzliche Pflichten.

Beschäftigung ist der am stärksten regulierte Bereich. Organisationen, die KI in Einstellungs-, Beförderungs- oder Workforce-Entscheidungen einsetzen, müssen NYC Local Law 144s Bias-Audit-Anforderungen, Illinois' Videointerview-Einwilligungsbestimmungen, Beschränkungen in Maryland und New Jersey, kalifornische Civil-Rights-Department-Regulierungen zu diskriminierender KI-Nutzung und bundesweite Antidiskriminierungs-Statute (Title VII, ADA, ADEA) navigieren, wie sie von der EEOC auf algorithmische Entscheidungsfindung angewendet werden.

Finanzdienstleistungen hat die reifsten regulatorischen Erwartungen. Das Februar-2026-Framework des US-Finanzministeriums mappt NIST-AI-RMF-Prinzipien in 230 operative Kontrollziele, die Modell-Lebenszyklus-Governance, Identity-Resolution, Data-Governance und die Integration mit SOC 2 und dem NIST Cybersecurity Framework abdecken.

Gesundheitswesen hat Kaliforniens Health Care Services AI Act, der Anbieter, die generative KI für Patientenkommunikation einsetzen, verpflichtet, das offenzulegen und Anweisungen für die Kontaktaufnahme mit einem Menschen bereitzustellen. Mehrere Bundesstaaten erwägen zusätzliche Regulierungen für klinische Entscheidungsunterstützung und Versicherungsfallbearbeitung. Organisationen, die Gesundheitsdaten verarbeiten, sollten zudem ihre HIPAA-Pflichten im Kontext von KI-Systemen prüfen.

Verbraucherschutz erstreckt sich über mehrere Bundesstaaten mit Chatbot-Offenlegungspflichten, Sicherheitsprotokollen für Hochrisiko-KI-Nutzung mit Minderjährigen und Beschränkungen für die Verwendung personenbezogener Daten in algorithmischem Pricing.

Was Ihre Organisation jetzt tun sollte

Hier sind die praktischen Schritte, die im aktuellen regulatorischen Umfeld am meisten zählen.

Bauen Sie ein vollständiges KI-Inventar. Dokumentieren Sie jedes eingesetzte KI-System — einschließlich Eigentümerschaft, Deployment-Kontext, Risiko-Klassifizierung und Governance-Status. Das ist eine Grundannahme über mehrere Bundesstaaten-Gesetze und freiwillige Frameworks hinweg. Sie können nicht governen, was Sie nicht sehen — weshalb Shadow-AI-Detection vom ersten Tag an Teil Ihres Governance-Programms sein sollte.

Mappen Sie jurisdiktions-spezifische Anforderungen. Identifizieren Sie für jedes KI-System, welche Bundes- und Bundesstaaten-Anforderungen gelten — basierend darauf, wo es entwickelt, eingesetzt und genutzt wird. Ein einziger Compliance-Standard reicht nicht. Die globale KI-Regulierungs-Seite auf unserer Site hilft Ihnen, Frameworks über Jurisdiktionen hinweg zu vergleichen.

Adoptieren Sie NIST AI RMF als operatives Fundament. Es richtet sich an aktuellen Bundesstaaten-Anforderungen aus, positioniert Sie für erwartete Bundesstandards und liefert den strukturierten Ansatz, den Auditoren und Regulierer sehen wollen. Unser NIST-AI-RMF-Mapping-Tool hilft beim Einstieg.

Bereiten Sie sich auf Preemption-Unsicherheit vor. Bauen Sie Compliance-Programme, die sich schnell anpassen können. Erfüllen Sie weiterhin alle bestehenden Bundesstaaten-Gesetze, während Sie Aktivitäten der DOJ-Task-Force, Bewertungen des Handelsministeriums und Kongress-Entwicklungen beobachten.

Dokumentieren Sie alles. Risikobewertungen, Bias-Testing-Ergebnisse, Impact-Evaluierungen, Transparenz-Offenlegungen, Governance-Entscheidungen. Dokumentation ist der rote Faden über fast jede aktuelle und vorgeschlagene KI-Regulierung hinweg. Organisationen, die VerifyWises automatisiertes Reporting-System nutzen, können Compliance-Dokumentation über 10+ Report-Kategorien in Minuten generieren — statt der Tage oder Wochen, die manuelle Zusammenstellung verlangt.

Untermauern Sie Ihre KI-Marketing-Aussagen. Die parteiübergreifende FTC-Durchsetzung bei AI Washing bedeutet, dass jede Aussage zu Fähigkeiten, Genauigkeit oder Performance rigorose, dokumentierte Evidenz dahinter braucht.

Beobachten Sie den Kalender. Wichtige anstehende Termine: FTC-Policy-Statements zur Anwendung von Section 5 auf KI (März 2026), Bewertung der Bundesstaaten-KI-Gesetze durch das Handelsministerium (März 2026), TAKE-IT-DOWN-Act-Bestimmungen (Mai 2026), Colorado-AI-Act-Umsetzung (30. Juni 2026) und kalifornische CCPA-ADM-Bestimmungen (Januar 2027).

Das Fazit

Das US-KI-Governance-Bild 2026 ist von Spannung definiert: bundesweite Deregulierungs­ambitionen vs. aggressive Bundesstaaten-Gesetzgebung, freiwillige Frameworks vs. durchsetzbare Mandate, Innovationsförderung vs. Verbraucherschutz.

Wenn Sie KI-Systeme betreiben, lässt Sie das Fehlen eines umfassenden Bundesgesetzes nicht aus der Pflicht. Zwischen Bundesstaaten-Statuten, Bundesbehörden-Durchsetzung unter bestehenden Befugnissen und dem wachsenden Einfluss von Frameworks wie NIST AI RMF steht Ihnen ein Geflecht an Pflichten gegenüber, das nur weiter wachsen wird.

Die Organisationen, die das am besten navigieren, werden jene sein, die KI-Governance als strategische Kompetenz behandeln — nicht als Compliance-Häkchen. Systematisches Risikomanagement, umfassende Dokumentation und Anpassungsfähigkeit an regulatorische Änderungen sind nicht nur dazu da, Strafen zu vermeiden. So bauen Sie das Vertrauen auf, das Kunden, Regulierer und Stakeholder zunehmend verlangen.

Für die vollständige Analyse mit detaillierten Bundesstaaten-Gesetzes-Aufschlüsselungen, Compliance-Zeitachsen und sektorspezifischer Anleitung laden Sie hier das vollständige Whitepaper herunter.

Update Mai 2026

Zwei Entwicklungen seit der ursprünglichen Veröffentlichung dieses Beitrags, die einer Erwähnung wert sind.

Inkrafttretens­datum des Colorado AI Act bestätigt. SB 24-205 trat am 1. Februar 2026 in Kraft. Die Durchsetzung beginnt nach dem Cure-Period-Fenster am 30. Juni 2026. Deployer und Entwickler von Hochrisiko-KI-Systemen sollten Impact-Assessments, Verbraucherinformationen und die Affirmative-Defense-Dokumentation bereit haben. Siehe unseren Colorado-AI-Act-Compliance-Leitfaden.

Ontario-Audit hebt die Public-Sector-Latte. Auch wenn nicht aus den USA — das Office of the Auditor General of Ontario veröffentlichte im Mai 2026 einen Performance-Audit zur KI-Nutzung in der Regierung von Ontario. Er flaggte 10 Governance-Lücken, die fast direkt auf NIST-AI-RMF- und ISO-42001-Controls mappen: Shadow-AI-Website-Zugriff, fehlende Bias-Tests an Gesichtserkennungs-Systemen, Vendor-Evaluierungs-Fehler und keine Investitions-Verpflichtung für die Strategie. US-Public-Sector-Käufer sollten ähnliche Audits erwarten, wenn Bundesstaaten-KI-Büros aufstehen.

FTC-Durchsetzungs-Momentum hält an. Das Muster ist konsistent: Die FTC nutzt Section 5 weiter als primäres Werkzeug für KI-Aussagen, die Fähigkeiten überzeichnen oder auf nicht offengelegter KI-Verarbeitung von Verbraucherdaten beruhen. Wenn Sie KI-Features vermarkten, ist die FTC-AI-Claims-Guidance das Dokument, das man studieren sollte.

Diese Analyse hat den Stand März 2026 und kann sich ändern, wenn sich das regulatorische Umfeld entwickelt. Organisationen sollten qualifizierte Rechtsberatung zu konkreten Compliance-Pflichten konsultieren.