Texas wurde am 1. Januar 2026 zum ersten US-Bundesstaat mit einem verbindlichen, umfassenden KI-Gesetz, als der Texas Responsible Artificial Intelligence Governance Act (TRAIGA) in Kraft trat. Am selben Tag, dem 1. Januar 2026, wurde auch der California Transparency in Frontier Artificial Intelligence Act durchsetzbar, der Entwickler von Frontier-Modellen verpflichtet, dem Office of Emergency Services des Bundesstaates alle drei Monate Bewertungen katastrophaler Risiken vorzulegen. Kein landesweit tätiges Unternehmen kann sich für ein Regime entscheiden und das andere ignorieren.

Die Bundesregierung verbrachte 2025 und 2026 damit, genau dieses Ergebnis zu verhindern, und scheiterte dabei. Ein vorgeschlagenes zehnjähriges Moratorium für die bundesstaatliche KI-Regulierung wurde aus dem One Big Beautiful Bill Act gestrichen, nachdem der Senat im Juli 2025 mit 99 zu 1 Stimmen für dessen Entfernung votiert hatte. Nach diesem Scheitern unterzeichnete Präsident Trump am 11. Dezember 2025 die Executive Order 14365, mit der eine AI Litigation Task Force geschaffen wurde, um bundesstaatliche KI-Gesetze direkt vor Gericht anzufechten und Bundesmittel für den Breitbandausbau an die Deregulierung der Bundesstaaten zu knüpfen. Bis Mitte 2026 waren landesweit mehr als 145 bundesstaatliche KI-Gesetze verabschiedet worden, von über 1.200 eingebrachten Gesetzentwürfen, und der Vorstoß des Bundes zu ihrer Verdrängung hatte noch keine einzige erfolgreiche gerichtliche Anfechtung hervorgebracht.

Nördlich der Grenze stellt sich die Lage anders dar, ist aber nicht weniger folgenreich. Kanada verfügt über kein einziges föderales KI-Gesetz: Der Artificial Intelligence and Data Act starb im Januar 2025 auf der Tagesordnung, als das Parlament vertagt wurde, und die Regierung bestätigte 2025, dass er in seiner ursprünglichen Form nicht wiederbelebt wird. Die Compliance in Kanada läuft stattdessen über das Datenschutzrecht, allen voran das quebecische Gesetz 25, das bereits Strafen von bis zu 25 Millionen kanadischen Dollar oder 4 % des weltweiten Umsatzes für Verstöße bei automatisierten Entscheidungen vorsieht.

Welche Aufsichtsbehörden bestimmen die KI- und Datengovernance in Nordamerika tatsächlich?

In den Vereinigten Staaten gibt es keine einzige zentrale KI-Aufsichtsbehörde. Die Durchsetzung verteilt sich auf die Generalstaatsanwälte der Bundesstaaten, die auf Grundlage neuer KI-spezifischer Gesetze handeln, die Federal Trade Commission, die ihre bestehenden Befugnisse gegen unlautere und irreführende Praktiken nutzt, sowie sektorspezifische Aufsichtsbehörden, die KI-Regeln zusätzlich zu Bank-, Gesundheits- und Arbeitsrecht einführen. Seit Präsident Trump die aus der Biden-Ära stammende Executive Order 14110 am 23. Januar 2025 durch die Executive Order 14179 aufgehoben hat, existiert kein verbindlicher föderaler KI-Rahmen mehr, sondern lediglich der freiwillige America's AI Action Plan vom Juli 2025 und eine bislang erfolglose Kampagne zur Verdrängung bundesstaatlicher Gesetze.

In Kanada ist das Bild auf dem Papier einfacher und in der Praxis schwieriger: Es existiert kein föderales KI-Gesetz, sodass sich Pflichten aus dem Personal Information Protection and Electronic Documents Act auf Bundesebene sowie aus provinziellen Gesetzen ergeben, allen voran dem quebecischen Gesetz 25, sobald personenbezogene Daten für automatisierte Entscheidungen verwendet werden. Bundesregulierte Sektoren fügen eine eigene Ebene hinzu, darunter das Office of the Superintendent of Financial Institutions für Banken und Versicherer. Zu klären, welches Regime einen bestimmten KI-Einsatz tatsächlich bindet, sei es bundesstaatlich, föderal oder provinziell, ist genau die Art grenzüberschreitender Frage, die das regulatorische Monitoring von Obsidian mit belegten, datierten Quellenangaben beantwortet, statt mit einem allgemeinen Eindruck von "KI-Regulierung".

Was verlangt Texas' TRAIGA tatsächlich ab 2026?

Es untersagt den vorsätzlichen Missbrauch, statt für jedes System Risikobewertungen vorzuschreiben. Der TRAIGA, der am 1. Januar 2026 in Kraft trat, verbietet KI, die entwickelt oder eingesetzt wird, um rechtswidrig zu diskriminieren, verfassungsmäßige Rechte zu verletzen oder Verhalten auf schädliche Weise zu manipulieren. Der Generalstaatsanwalt von Texas verfügt über die alleinige Durchsetzungsbefugnis und muss vor der Verhängung von Sanktionen eine schriftliche Mitteilung mit einer 60-tägigen Nachbesserungsfrist erteilen. Verstöße, die nach Ablauf dieser Frist nicht behoben wurden, ziehen zivilrechtliche Strafen von 10.000 bis 12.000 Dollar für behebbare Verstöße, 80.000 bis 200.000 Dollar für nicht behebbare Verstöße und 2.000 bis 40.000 Dollar pro Tag für fortgesetzte Verstöße nach sich. Der TRAIGA verdrängt zudem lokale KI-Verordnungen im gesamten Bundesstaat und schafft eine 36-monatige Regulierungs-Sandbox, gewährt Einzelpersonen jedoch kein privates Klagerecht, sodass jeder Fall über das Büro des Generalstaatsanwalts läuft.

Ist der Colorado AI Act tatsächlich in Kraft getreten, und was hat ihn ersetzt?

Nein, und sein Ersatz verändert das Compliance-Ziel grundlegend. Der ursprüngliche Colorado AI Act, 2024 verabschiedet, sollte am 30. Juni 2026 in Kraft treten und hätte Entwicklern und Betreibern von KI-Systemen mit "hohem Risiko" Pflichten zur algorithmischen Diskriminierungsbekämpfung sowie verpflichtende Risikomanagementprogramme auferlegt. Stattdessen unterzeichnete Gouverneur Jared Polis am 14. Mai 2026 den SB 26-189, mit dem dieses Gesetz aufgehoben wurde, bevor es je in Kraft trat, und durch ein enger gefasstes Gesetz ersetzt wurde, das automatisierte Entscheidungstechnologie regelt, die bei "folgenreichen Entscheidungen" eingesetzt wird. Das neue Gesetz streicht die Pflichten zu Risikomanagement und Folgenabschätzung zugunsten von Verbraucherhinweisen vor der Nutzung, einem Recht auf eine nachträgliche Erklärung der Entscheidung und einer aussagekräftigen menschlichen Überprüfung. Es tritt am 1. Januar 2027 in Kraft, am selben Tag, an dem auch Kaliforniens eigene CCPA-Vorschriften zu automatisierter Entscheidungstechnologie durchsetzbar werden, sodass zwei der folgenreichsten KI-nahen Regelwerke des Landes zum selben Datum in Kraft treten.

Wichtige Termine zur KI- und Datengovernance in Nordamerika, 2026 bis 2027

DatumRegimeWas sich ändert
1. Januar 2026Texas TRAIGAErstes umfassendes bundesstaatliches KI-Gesetz tritt in Kraft; Durchsetzung durch den Generalstaatsanwalt beginnt
1. Januar 2026California SB 53 (TFAIA)Frontier-Entwickler müssen KI-Sicherheitsrahmen und Transparenzberichte veröffentlichen; vierteljährliche Meldung katastrophaler Risiken an Cal OES beginnt
11. Dezember 2025Executive Order 14365AI Litigation Task Force gestartet, um bundesstaatliche KI-Gesetze vor Gericht anzufechten
14. Mai 2026Colorado SB 26-189Ursprünglicher Colorado AI Act aufgehoben und durch engeres ADMT-Gesetz ersetzt
1. Januar 2027Colorado SB 26-189 / California CCPA ADMT-VorschriftenBeide Regime zu automatisierten Entscheidungen werden am selben Tag durchsetzbar

Ist Washington tatsächlich in der Lage, bundesstaatliche KI-Gesetze auszuhebeln?

Noch nicht, trotz zweier Versuche. Der erste, ein vorgeschlagenes föderales Moratorium von 5 bis 10 Jahren für die bundesstaatliche und lokale KI-Regulierung, wurde im Mai 2025 in eine frühe Fassung des Repräsentantenhauses des One Big Beautiful Bill Act aufgenommen und nach einem Senatsvotum von 99 zu 1 im Juli 2025 wieder gestrichen. Der zweite, die am 11. Dezember 2025 unterzeichnete Executive Order 14365, wählte statt des Gesetzgebungswegs den Klageweg: Sie weist das Justizministerium an, "unangemessene" bundesstaatliche KI-Gesetze zu identifizieren und gerichtlich anzufechten, und weist Bundesbehörden an, Mittel für den Breitbandausbau davon abhängig zu machen, dass Bundesstaaten als überzogen eingestufte Gesetze nicht durchsetzen. Keiner der beiden Mechanismen hat bis Mitte 2026 zu einem Urteil geführt, das TRAIGA, SB 53 oder Colorados SB 26-189 aufhebt, sodass Compliance-Teams weiterhin alle drei als geltendes Recht einplanen müssen, nicht als Ziele einer künftigen föderalen Verdrängung. Die KI von Obsidian lässt sich jederzeit nach dem aktuellen Durchsetzungsstatus jedes dieser Gesetze befragen, direkt belegt durch den erfassten Gesetzestext statt durch Kommentare, die bis zum nächsten Gerichtsverfahren bereits veraltet sein könnten.

Warum hat Kanada noch immer kein föderales KI-Gesetz, und was füllt die Lücke?

Weil der einzige ernsthafte Versuch mit der Regierung scheiterte, die ihn verfasst hatte. Der Artificial Intelligence and Data Act, eingebettet in den Bill C-27 zusammen mit einem föderalen Paket zur Modernisierung des Datenschutzes, bestand im April 2023 die zweite Lesung, kam aber nie zu einer Schlussabstimmung, bevor das Parlament im Januar 2025 vertagt wurde, wodurch der Gesetzentwurf hinfällig wurde. Industrieminister Evan Solomon bestätigte 2025, dass der AIDA nicht in seiner ursprünglichen Form zurückkehren werde, und die 2026er-Strategie "AI for All" der Regierung entschied sich ausdrücklich für ein verteiltes Governance-Modell statt eines einzelnen KI-Gesetzes und stützt sich stattdessen auf bestehendes Datenschutz-, Menschenrechts- und Sektorrecht.

In der Praxis bedeutet dies, dass das quebecische Gesetz 25 für jede Organisation, die dort personenbezogene Daten verarbeitet, dem verbindlichsten KI-Compliance-Mindeststandard Kanadas am nächsten kommt. Artikel 12.1 verlangt seit September 2023, dass jeder, der eine Entscheidung ausschließlich auf Grundlage automatisierter Verarbeitung trifft, die betroffene Person informiert, die Entscheidung auf Anfrage erläutert und ihr eine Überprüfung durch eine Person ermöglicht. Die Commission d'acces a l'information du Quebec setzt dies aktiv durch, mit verwaltungsrechtlichen Geldbußen von bis zu 10 Millionen kanadischen Dollar oder 2 % des weltweiten Umsatzes und strafrechtlichen Geldstrafen von bis zu 25 Millionen Dollar oder 4 % des weltweiten Umsatzes, je nachdem, welcher Wert in der jeweiligen Stufe höher ist. Bundesregulierte Einrichtungen fügen zusätzlich die Einwilligungs- und Zweckbindungsregeln des PIPEDA hinzu, sodass ein einziges automatisiertes Recruiting-Tool, das in Quebec, Ontario und im bundesregulierten Bankensektor eingesetzt wird, drei separate Compliance-Pflichten aus drei unterschiedlichen Quellen auslösen kann, von denen keine als "KI-Gesetz" bezeichnet wird.

Was sollte ein Compliance-Team angesichts dieses Flickenteppichs tatsächlich tun?

Jedes KI-System entlang der Bundesstaaten und Provinzen kartieren, in denen es tatsächlich eingesetzt wird, nicht anhand eines einzigen nationalen Standards, denn einen solchen gibt es auf keiner Seite der Grenze. Ein Recruiting-Tool, das allein in Texas, Kalifornien und Colorado läuft, muss die vorsatzbasierten Verbote des TRAIGA, die Transparenzpflichten des SB 53, sofern es ein Frontier-Modell einsetzt, sowie ab dem 1. Januar 2027 die sich überschneidenden Offenlegungsregeln von Colorado und Kalifornien zu automatisierten Entscheidungen erfüllen, drei Regime mit unterschiedlichen Auslösern, unterschiedlichen Aufsichtsbehörden und unterschiedlichen Sanktionsstrukturen. Ein kanadischer Einsatz fügt PIPEDA hinzu und, sofern Personen mit Wohnsitz in Quebec betroffen sind, die strengeren Offenlegungs- und Überprüfungspflichten des Gesetzes 25.

Obsidian verfolgt diese Tier-0-Quellen, die Büros der Generalstaatsanwälte, Cal OES, die Quebecer CAI sowie die föderalen Executive Orders, die dieses Umfeld neu gestalten, auf Ebene der Jurisdiktion und des Regelwerks, mit Warnmeldungen, sobald ein Inkrafttretensdatum erreicht wird oder sich eine Durchsetzungshaltung ändert. Sehen Sie sich die Pläne an, die für KI-Governance- und Datenschutzteams entwickelt wurden, die genau diese Art von grenzüberschreitendem Risiko verfolgen, oder verbinden Sie das MCP von Obsidian mit Ihren eigenen Tools, damit die Antwort auf die Frage, welches Ihrer KI-Systeme dem TRAIGA unterliegt, mit einer Quellenangabe kommt, nicht mit einer Vermutung.