Kalifornien setzt Transparenzgesetz für fortschrittliche KI-Modelle in Kraft

Kalifornien erlässt das Gesetz über die Transparenz in der Frontier-Künstlichen Intelligenz (TFAIA) (SB 53)

Am 29. September 2025 unterzeichnete Gouverneur Gavin Newsom das Gesetz über die Transparenz in der Frontier-Künstlichen Intelligenz (TFAIA), wodurch Kalifornien der erste Bundesstaat wurde, der öffentliche, standardisierte Sicherheitsoffenlegungen von Entwicklern fortschrittlicher „Frontier“-Künstlicher Intelligenz (KI) Modelle verlangt. In Ermangelung umfassender bundesweiter Gesetzgebung schließt sich Kalifornien Colorado und Texas an, um die staatliche KI-Governance voranzutreiben. Im Gegensatz zu umfassenderen Vorschlägen aus dem Jahr 2024, die umstrittene Bestimmungen wie obligatorische Drittanbieterprüfungen und „Kill-Switch“-Anforderungen beinhalteten, konzentriert sich SB 53 auf Transparenz und Verantwortlichkeit für Entwickler der leistungsfähigsten allgemeinen Basis-Modelle und auf Schäden, die das Niveau eines katastrophalen Risikos erreichen.

Warum ist TFAIA wichtig?

TFAIA verlangt öffentliche Offenlegungen vor der Bereitstellung, zeitnahe Berichterstattung an den Staat über ernsthafte Sicherheitsprobleme und starke interne Governance sowie Whistleblower-Schutz bei qualifizierten Entwicklern. Das Gesetz ist um eine Rechenleistungsschwelle kalibriert, die eng an aufstrebenden bundes- und international geltenden Linien orientiert ist und signalisiert eine de facto Basislinie für die Sicherheits-Transparenz in den USA.

Wer ist von TFAIA betroffen?

TFAIA gilt für Entwickler von „Frontier-KI-Modellen“, die als Basis-Modelle definiert sind, die mit mehr als 10²⁶ Ganzzahl- oder Gleitkommaoperationen („FLOPs“) trainiert wurden, einschließlich der für nachfolgendes Fein-Tuning, Verstärkungslernen oder andere wesentliche Modifikationen verwendeten Rechenleistung. Schätzungen unabhängiger Analysten aus dem Jahr 2025 deuten darauf hin, dass nur eine kleine Anzahl von Modellen die 10²⁶ FLOP-Gesamtgrenze erreicht oder überschreitet. Eine Prognoseanalyse von EPOCH AI prognostiziert etwa 10 Modelle, die bis 2026 bei oder über der 10²⁶ Schwelle liegen, mit einem raschen Wachstum anschließend, da die Trainingsbudgets und Cluster skaliert werden.

Was müssen Frontier-Entwickler tun?

Frontier-KI-Rahmenwerk (große Frontier-Entwickler). Große Frontier-Entwickler müssen ein schriftliches Frontier-KI-Rahmenwerk veröffentlichen, pflegen und befolgen, das beschreibt, wie die Organisation nationale und internationale Standards sowie Branchenkonsenspraktiken integriert; Schwellenwerte für Fähigkeiten festlegt und bewertet, die ein katastrophales Risiko darstellen könnten; und Risikominderungen anwendet und deren Effektivität überprüft (einschließlich durch Drittanbieterbewertungen). Das Rahmenwerk muss auch Cyber-Sicherheitsmaßnahmen beschreiben, um unreleased Modellgewichte zu sichern, Kriterien und Auslöser für Updates sowie den Prozess zur Identifizierung und Reaktion auf kritische Sicherheitsvorfälle.

Transparenzberichte zum Zeitpunkt der Bereitstellung (alle Frontier-Entwickler). Vor oder gleichzeitig mit der Bereitstellung eines neuen Frontier-Modells oder einer wesentlich modifizierten Version müssen Entwickler einen Transparenzbericht veröffentlichen (der als System- oder Modellkarte präsentiert werden kann), der das Veröffentlichungsdatum des Modells, unterstützte Sprachen und Modalitäten, beabsichtigte Verwendungszwecke, allgemeine Verwendungsbeschränkungen oder -bedingungen angibt und die Website des Entwicklers sowie einen Kontaktmechanismus bereitstellt. Große Frontier-Entwickler müssen auch ihre Bewertungen des katastrophalen Risikos zusammenfassen, Ergebnisse offenlegen, die Rolle von Drittanbieter-Bewertern beschreiben und andere Schritte, die im Rahmenwerk unternommen wurden, erläutern.

Berichterstattung über kritische Sicherheitsvorfälle (alle Frontier-Entwickler). Entwickler müssen qualifizierende kritische Sicherheitsvorfälle innerhalb von 15 Tagen nach Entdeckung an das kalifornische Büro für Notfallmanagement (OES) melden. Wenn ein Vorfall ein unmittelbares Risiko für den Tod oder ernsthafte körperliche Verletzungen darstellt, muss der Entwickler innerhalb von 24 Stunden an eine zuständige öffentliche Sicherheitsbehörde berichten. Das OES wird sowohl öffentliche als auch vertrauliche Kanäle für Einreichungen aufrechterhalten und anonymisierte jährliche Zusammenfassungen ab dem 1. Januar 2027 veröffentlichen.

Durchsetzung und Strafen

Nur der kalifornische Generalstaatsanwalt kann zivilrechtliche Klagen einreichen. Strafen können bis zu 1.000.000 USD pro Verletzung betragen, skaliert nach Schweregrad. Der Verlust des Eigenkapitalwerts stellt keinen Sachschaden dar.

Wann tritt dies in Kraft?

Die Kernverpflichtungen zur Veröffentlichung, Berichterstattung, Wahrhaftigkeit und Whistleblower treten am 1. Januar 2026 in Kraft. Die anonymisierte Berichterstattung von OES und Generalstaatsanwalt beginnt am 1. Januar 2027.

Fazit

Frontier-Entwickler sollten umgehend feststellen, ob sie betroffen sind, indem sie das Training und die nach dem Training durchgeführte Rechenleistung rekonstruieren (einschließlich Fein-Tuning und RLHF) und ihren konsolidierten Umsatzstatus bestätigen. Wenn ein Modell die 10²⁶ FLOP-Schwelle erreicht, sollte der Frontier-Entwickler: (1) ein standards-konformes Frontier-KI-Rahmenwerk entwerfen, verabschieden und veröffentlichen; (2) einen Transparenzworkflow zur Bereitstellung und ein kritisches Vorfall-Playbook operationalisieren; (3) Whistleblower-Kanäle und Mitarbeitermeldungen implementieren.