Aktualisierungen des Colorado Artificial Intelligence Act (CAIA): Eine Zusammenfassung der Verbraucherschutzmaßnahmen im Umgang mit KI-Systemen
Im Verlauf der Legislaturperiode 2024 verabschiedete die Generalversammlung von Colorado das Gesetz Senate Bill 24-205, bekannt als der Colorado Artificial Intelligence Act (CAIA). Dieses Gesetz tritt am 1. Februar 2026 in Kraft und verpflichtet Entwickler und Betreiber von hochriskanten KI-Systemen, die Einwohner Colorados („Verbraucher“) vor Risiken der algorithmischen Diskriminierung zu schützen. Besonders hervorzuheben ist, dass das Gesetz auch verlangt, dass Entwickler oder Betreiber den Verbrauchern mitteilen müssen, dass sie mit einem KI-System interagieren.
Die Colorado AI Impact Task Force gab Empfehlungen für Aktualisierungen in ihrem Bericht vom 1. Februar 2025. Diese Updates sowie die Beschreibung des Gesetzes werden im Folgenden behandelt.
Hintergrund
Ein hochriskantes KI-System wird definiert als ein maschinenbasiertes System, das Ausgaben aus Dateneingaben ableitet und einen wesentlichen rechtlichen oder ähnlichen Einfluss auf die Bereitstellung, Ablehnung, Kosten oder Bedingungen eines Produkts oder einer Dienstleistung hat. Das Gesetz identifiziert verschiedene Sektoren, die bedeutende Entscheidungen betreffen, wie Entscheidungen im Zusammenhang mit Gesundheitsversorgung, Beschäftigung, Finanzen, Wohnen, Versicherungen oder Rechtsdienstleistungen. Zudem hat CAIA zahlreiche Ausnahmen für Technologien, die eng umrissene Aufgaben oder bestimmte Funktionen erfüllen, wie Cybersicherheit, Datenlagerung und Chatbots.
Unabhängig von den Anwendungsfällen auferlegt CAIA den Entwicklern von KI-Systemen die Pflicht, algorithmische Diskriminierung zu verhindern und die Verbraucher vor bekannten oder vorhersehbaren Risiken zu schützen, die aus der Nutzung des KI-Systems hervorgehen. Ein Entwickler ist eine Person, die ein KI-System entwickelt oder modifiziert, das im Bundesstaat Colorado verwendet wird. Zu den weiteren Anforderungen gehört, dass die Entwickler Dokumentationen über die vorgesehenen und potenziell schädlichen Verwendungen des hochriskanten KI-Systems bereitstellen müssen.
Ebenso reguliert CAIA auch eine Person, die im Bundesstaat Colorado geschäftlich tätig ist und ein hochriskantes KI-System für die Nutzung durch Einwohner Colorados bereitstellt (der Betreiber). Betreiber unterliegen strengeren Vorschriften und müssen die Verbraucher informieren, wenn KI bei einer bedeutenden Entscheidung beteiligt ist. Das Gesetz verlangt von den Betreibern, eine Risikomanagementpolitik und ein -programm zu implementieren, um den Einsatz des KI-Systems zu steuern. Darüber hinaus müssen die Betreiber alle identifizierten Diskriminierungen innerhalb von 90 Tagen an die Generalstaatsanwaltschaft melden und den Verbrauchern die Möglichkeit geben, KI-basierte Entscheidungen anzufechten oder eine menschliche Überprüfung der Entscheidung zu beantragen, wenn möglich.
Datenprivatsphäre und Verbraucherrechte
Verbraucher haben das Recht, sich von der Datenverarbeitung im Zusammenhang mit KI-basierten Entscheidungen abzumelden und können gegen solche Entscheidungen Einspruch erheben. Diese Opt-out-Bestimmung kann die weitere automatisierte Entscheidungsfindung im Zusammenhang mit dem Verbraucher und die Verarbeitung von personenbezogenen Datenprofilen dieses Verbrauchers beeinflussen. Der Betreiber muss den Verbraucher auch darüber informieren, wenn ein hochriskantes KI-System im Entscheidungsprozess verwendet wurde, der zu einer nachteiligen Entscheidung für den Verbraucher führt.
Ausnahmen
Der CAIA enthält verschiedene Ausnahmen, einschließlich für Entitäten, die unter anderen regulatorischen Rahmenbedingungen operieren (z. B. Versicherungen, Banken und HIPAA-abgedeckte Entitäten) oder für die Nutzung bestimmter genehmigter Technologien (z. B. Technologien, die von einer Bundesbehörde, wie der FAA oder FDA, genehmigt oder zertifiziert wurden). Es gibt jedoch einige Einschränkungen. Beispielsweise sind HIPAA-abgedeckte Entitäten von der Regelung ausgenommen, sofern sie Gesundheitsempfehlungen anbieten, die von einem KI-System generiert wurden und die von der HIPAA-abgedeckten Entität eine Handlung zur Umsetzung der Empfehlung erfordern und nicht als „hochriskant“ gelten. Kleinunternehmen sind von der Regelung ausgenommen, sofern sie weniger als 50 Vollzeitmitarbeiter beschäftigen und das System nicht mit ihren eigenen Daten trainieren. Daher sollten Betreiber die verfügbaren Ausnahmen sorgfältig analysieren, um sicherzustellen, dass ihre Aktivitäten den Empfehlungen entsprechen.
Aktualisierungen
Wie im aktuellen Bericht der Colorado AI Impact Task Force hervorgehoben, wird empfohlen, vor der Durchsetzung im Februar 2026 zusätzliche Änderungen am CAIA vorzunehmen. Die aktuellen Bedenken beziehen sich auf Unklarheiten, Compliance-Belastungen und verschiedene Bedenken der Interessengruppen. Der Gouverneur ist besorgt darüber, ob die Leitplanken Innovation und Fortschritt im Bereich KI im Bundesstaat behindern.
Die Colorado AI Impact Task Force stellt fest, dass Einigkeit besteht, die Dokumentations- und Benachrichtigungspflichten zu verfeinern. Es gibt jedoch weniger Konsens darüber, wie die Definition von „bedeutenden Entscheidungen“ angepasst werden kann. Eine Überarbeitung der Ausnahmen zur Definition der abgedeckten Systeme ist ebenfalls eine gewünschte Änderung sowohl von der Industrie als auch von der Öffentlichkeit.
Weitere mögliche Änderungen am CAIA hängen davon ab, wie miteinander verbundene Abschnitte möglicherweise in Bezug auf andere verwandte Bestimmungen überarbeitet werden. Beispielsweise hängen Änderungen an der Definition von „algorithmischer Diskriminierung“ von anderen Fragen im Zusammenhang mit den Verpflichtungen der Entwickler und Betreiber ab, algorithmische Diskriminierung zu verhindern und deren Durchsetzung zu gewährleisten. Ähnlich könnten Intervalle für Auswirkungenseinschätzungen erheblich von Änderungen an der Definition von „absichtlicher und wesentlicher Modifikation“ hochriskanter KI-Systeme betroffen sein. Darüber hinaus sind diese Auswirkungenseinschätzungen eng mit den Risikomanagementprogrammen der Entwickler verbunden und werden wahrscheinlich alle vorgeschlagenen Änderungen zu den Auswirkungenseinschätzungen oder Risikomanagementprogrammen betreffen.
Schließlich gibt es feststehende Meinungsverschiedenheiten über Änderungen in Bezug auf mehrere Definitionen. „Substantial factor“ ist eine umstrittene Definition, die einen kreativen Ansatz zur Definition des Umfangs der von CAIA betroffenen KI-Technologien erfordert. Ebenso wird die „Sorgfaltspflicht“ für Entwickler und Betreiber heiß diskutiert, und es stellt sich die Frage, ob dieses Konzept entfernt oder durch strengere Verpflichtungen ersetzt werden sollte. Weitere umstrittene Themen, die Änderungen unterliegen könnten, umfassen die Ausnahme für kleine Unternehmen, die Möglichkeit zur Behebung von Verstößen gegen die Compliance, Ausnahmen für Geschäftsgeheimnisse, das Verbraucherrecht auf Einspruch und den Umfang der Regelung durch die Generalstaatsanwaltschaft.
Leitlinien
Da die meisten Interessengruppen anerkennen, dass Änderungen erforderlich sind, sollten alle Unternehmen, die von CAIA betroffen sind, weiterhin die Entwicklungen im Gesetzgebungsprozess beobachten, da potenzielle Änderungen erhebliche Auswirkungen auf den Umfang und die Anforderungen des Colorado AI Act haben könnten.
Fazit
Unternehmen sollten prüfen, ob sie oder ihre Anbieter ein KI-System verwenden, das als hochriskant gemäß dem CAIA angesehen werden könnte. Einige Empfehlungen umfassen:
- Bewertung der KI-Nutzung und Überlegung, ob diese Nutzung innerhalb der Definition des CAIA liegt, einschließlich der Verfügbarkeit von Ausnahmen
- Durchführung einer KI-Risikoanalyse, die mit dem Colorado AI Act übereinstimmt
- Entwicklung eines KI-Compliance-Plans, der den Verbraucherschutzbestimmungen des CAIA hinsichtlich Benachrichtigung und Einspruchsverfahren entspricht
- Fortlaufende Überwachung der Aktualisierungen des CAIA
- Bewertung von Verträgen mit KI-Anbietern, um sicherzustellen, dass die erforderliche Dokumentation vom Entwickler oder Betreiber bereitgestellt wird
Colorado hat die Führung als einer der ersten Bundesstaaten im Land übernommen, um umfassende KI-Gesetze zu verabschieden. Andere Bundesstaaten werden wahrscheinlich den Fortschritt Colorados beobachten und ähnliche Gesetze erlassen oder erforderliche Verbesserungen vornehmen. Daher ist es von großer Bedeutung, den CAIA und seine Umsetzung im aufstrebenden Bereich der verbraucherorientierten KI-Systeme, die wesentliche Entscheidungen im Gesundheitswesen, der finanziellen Situation, der Bildung, des Wohnens oder der Beschäftigung der Verbraucher beeinflussen, zu beobachten.
