Log in
Sign up
Colorado AI Act compliance, a Rocky Mountain peak in sumi-e ink

Sections

Colorado AI Act (SB 26-189): Was ADMT-Compliance 2027 verlangt

Auf einen Blick

  • Colorado hat sein KI-Gesetz 2026 neu gefasst: Der SB 26-189 hebt das ursprüngliche Gesetz von 2024 (SB 24-205) auf, erlässt es neu und tritt am 1. Januar 2027 in Kraft.
  • Das Gesetz erfasst nun automatisierte Entscheidungstechnologie (ADMT), die bei folgenreichen Entscheidungen eingesetzt wird, und nicht mehr Hochrisiko-KI-Systeme.
  • Betreiber tragen vier konkrete Pflichten: vorherige Information, eine Erläuterung binnen 30 Tagen bei nachteiligem Ergebnis, Zugang zu und Berichtigung von Daten sowie eine menschliche Überprüfung.
  • Die Neufassung strich die ursprünglichen Pflichten zur Folgenabschätzung, zum Risikomanagementprogramm und zur Sorgfaltspflicht gegen algorithmische Diskriminierung.
  • Diese gestrichenen Pflichten gelten für viele Organisationen über andere Regelungen weiter, weshalb ein funktionierendes KI-Governance-Programm bis 2027 die vernünftige Grundlage bleibt.
Compliance mit dem Colorado AI Act, ein Gipfel der Rocky Mountains in Sumi-e-Tusche

Was der Colorado AI Act heute ist: vom SB 24-205 zum SB 26-189

Als Gouverneur Jared Polis im Mai 2024 den SB 24-205 unterzeichnete, wurde Colorado zum ersten US-Bundesstaat mit einem breiten, sektorübergreifenden Gesetz zur künstlichen Intelligenz. Dieses ursprüngliche Gesetz erlegte Entwicklern und Betreibern von Hochrisiko-KI-Systemen schwere Pflichten auf, darunter eine Sorgfaltspflicht, um Verbraucher vor algorithmischer Diskriminierung zu schützen.

In dieser Form trat das Gesetz nie in Kraft. Sein Geltungsbeginn wurde zweimal verschoben, und Anfang 2026 setzte ein Gericht die Durchsetzung vorübergehend aus, nachdem xAI mit Unterstützung des US-Justizministeriums geklagt hatte. Eine Arbeitsgruppe aus Abgeordneten, dem Büro des Gouverneurs und der Generalstaatsanwaltschaft handelte einen Ersatz aus und veröffentlichte im März 2026 einen Vorschlag.

Das Ergebnis trägt den Namen SB 26-189 mit dem Titel Automated Decision-Making Technology. Statt das bestehende Gesetz zu ändern, hebt es dieses auf und erlässt es neu. Laut dem Gesetzgebungsdossier der Colorado General Assembly wurde der Entwurf am 1. Mai 2026 eingebracht, am 7. Mai vom Senat und am 9. Mai vom Repräsentantenhaus angenommen und am 14. Mai 2026 unterzeichnet. Die allgemeinen Bestimmungen gelten ab dem 1. Januar 2027.

Die praktische Lehre ist eindeutig: Ein Großteil der Analysen zum ersten Gesetz beschreibt Pflichten, die es nicht mehr gibt. Jede Organisation, die ein KI-Governance-Programm rund um Colorado aufbaut, muss vom neu gefassten Text ausgehen, nicht von der Fassung aus 2024.

Von der Hochrisiko-KI zur automatisierten Entscheidungstechnologie

Die zentrale Änderung betrifft das Grundkonzept. Das ursprüngliche Gesetz regelte Hochrisiko-KI-Systeme. Der neu gefasste Text regelt erfasste automatisierte Entscheidungstechnologie, die die Kanzlei Crowell and Moring beschreibt als jedes System, das mithilfe von Berechnung oder maschinellem Lernen personenbezogene Daten verarbeitet und eine folgenreiche Entscheidung wesentlich beeinflusst.

Diese Definition ist weiter, als sie zunächst wirkt. Sie lässt die frühere Voraussetzung fallen, dass ein System aus Eingaben Ausgaben ableiten muss; selbst ein regelbasiertes Werkzeug, das prüft, ob eine Antwort in einem zulässigen Bereich liegt, kann erfasst sein, sobald es eine gedeckte Entscheidung wesentlich beeinflusst.

Eine folgenreiche Entscheidung ist eine Entscheidung mit erheblicher rechtlicher oder vergleichbar bedeutsamer Wirkung auf den Zugang einer Verbraucherin oder eines Verbrauchers zu Bildung, Beschäftigung, Wohnraum, Finanz- oder Kreditdiensten, Versicherung, Gesundheitsversorgung oder wesentlichen staatlichen Leistungen sowie auf deren Kosten oder Bedingungen. Diese Bereiche wurden aus dem ursprünglichen Gesetz übernommen.

Der neu gefasste Text zählt auch auf, was außerhalb des Anwendungsbereichs bleibt. Routinefunktionen wie Terminplanung, Triage im Kundendienst, Werbung, Produktempfehlungen, Suche und Inhaltsmoderation sind ausgenommen, ebenso Firewalls, Spamfilter, Rechtschreibprüfungen, Webhosting, Taschenrechner, Datenbanken, Tabellenkalkulationen und Werkzeuge, die ausschließlich Informationen für eine menschliche Prüfung zusammenfassen oder darstellen. Der Abgleich Ihrer Systeme mit diesen Grenzen ist der erste Schritt zu einem belastbaren KI-Systeminventar.

Wer erfasst ist: Entwickler, Betreiber und sektorale Konformitätsvermutungen

Das Gesetz behält die Zwei-Rollen-Struktur bei, die die meisten neueren Regelungen verwenden. Ein Entwickler erstellt oder verändert eine erfasste ADMT wesentlich. Ein Betreiber setzt sie in Colorado ein, um folgenreiche Entscheidungen über Einwohner zu beeinflussen. Ein und dasselbe Unternehmen kann beide Rollen zugleich innehaben, etwa wenn es ein internes Einstellungsmodell entwickelt und selbst betreibt.

Der neu gefasste Text änderte die Ausnahmeregelungen. Die Fassung von 2024 sah breite bedingte Ausnahmen für bundesrechtlich regulierte Stellen vor. Wie die Analyse des Consumer Finance Monitor anmerkt, schränkt die Neufassung diese pauschalen Ausnahmen ein, was den Anwendungsbereich erweitert, und ersetzt sie durch gezielte Pfade der Konformitätsvermutung.

Diese Pfade erkennen Kontrollen an, die regulierte Branchen bereits anwenden. Versicherer, die die Colorado-Regeln zur algorithmischen Diskriminierung einhalten, gelten als konform, ausgenommen ihre eigenen Beschäftigungsentscheidungen. Unter HIPAA fallende Gesundheitseinrichtungen sind weitgehend ausgenommen, mit Ausnahme folgenreicher Beschäftigungsentscheidungen und Entscheidungen über finanzielle Unterstützung. Von der FDA regulierte Medizinprodukte und Arzneimittel sind ausgeschlossen. Kreditgeber, die bereits nach ECOA und FCRA Mitteilungen über nachteilige Maßnahmen versenden, können diese Verfahren nutzen, um die Informationspflicht zu erfüllen, und FERPA-konforme Einrichtungen gelten bei Information und menschlicher Überprüfung als konform, sofern sie bereits Berichtigungs- und Prüfprozesse betreiben. Welcher Pfad für welches System gilt, gehört in Ihre Dokumentation zur KI-Governance.

Was Betreiber tun müssen: die vier konkreten Pflichten

Betreiber tragen die Pflichten, die Verbrauchern am ehesten auffallen. Der neu gefasste Colorado AI Act legt vier davon fest, die Norton Rose Fulbright in operativer Sprache beschreibt.

Eine klare und deutliche Information

Bevor eine erfasste ADMT eine folgenreiche Entscheidung beeinflusst, muss der Betreiber die betroffene Person klar und deutlich darüber informieren, dass die Technologie eingesetzt wird. Dies ist eine Transparenzpflicht im Vorfeld, keine nachträgliche Erklärung.

Die Erläuterung binnen 30 Tagen bei nachteiligem Ergebnis

Führt eine gedeckte Entscheidung zu einem nachteiligen Ergebnis, hat der Betreiber 30 Tage Zeit, eine Erläuterung in klarer Sprache zu liefern. Sie muss die Entscheidung darlegen, die Rolle der ADMT beschreiben und der Person erklären, wie sie ihre Rechte ausübt. Diese Pflicht ist der operative Kern des Gesetzes, denn sie zwingt Betreiber zu wissen, welche Systeme welche Entscheidungen getragen haben.

Zugang zu und Berichtigung von personenbezogenen Daten

Betroffene können Einsicht in die bei einer Entscheidung verwendeten personenbezogenen Daten verlangen und die Berichtigung unrichtiger Daten beantragen, soweit dies wirtschaftlich zumutbar ist. Der Betreiber muss daher die einer Ausgabe zugrunde liegenden Daten nachverfolgen können.

Menschliche Überprüfung und erneute Entscheidung

Nach einer nachteiligen Entscheidung kann eine Person eine echte menschliche Überprüfung und eine erneute Entscheidung verlangen, ebenfalls soweit wirtschaftlich zumutbar. Dies sind zwei eigenständige Ansprüche: Der Betreiber muss einen Fall neu prüfen und das Ergebnis tatsächlich ändern können. Diese Anfragekanäle lassen sich weit leichter einbauen, wenn eine Plattform für KI-Governance bereits jedes System und seine Entscheidungen erfasst.

Was Entwickler tun müssen: die Dokumentationspflichten

Entwickler tragen eine leichtere, aber präzise Last mit Schwerpunkt auf Dokumentation. Ab dem 1. Januar 2027 muss ein Entwickler Betreibern die technische Dokumentation bereitstellen, die für einen verantwortungsvollen Einsatz einer erfassten ADMT erforderlich ist. Dieses Paket umfasst die vorgesehenen Verwendungszwecke, die Kategorien der zum Training genutzten personenbezogenen Daten, die bekannten Grenzen und Risiken sowie Anweisungen, die einen sachgerechten Einsatz und eine menschliche Aufsicht ermöglichen.

Entwickler müssen Betreiber zudem über wesentliche Aktualisierungen oder Änderungen unterrichten, da eine Modelländerung dessen Risiken und richtigen Einsatz verändern kann. Der neu gefasste Text behält die dreijährige Aufbewahrung von Aufzeichnungen bei: Entwickler sollten daher die Dokumentation und den Änderungsverlauf bewahren, die belegen, was ein System wann getan hat.

Für einen Entwickler ist der sauberste Weg, Dokumentation als Produktbestandteil zu behandeln und nicht als späte Formalität. Modellkarten, Datenübersichten und Nutzungsanweisungen, die neben dem System leben, machen die Übergabe an Betreiber zur Routine und halten Ihre Aufzeichnungen zur KI-Governance prüfungsbereit.

Was der Colorado AI Act strich, und warum es weiterhin zählt

Die folgenreichsten Änderungen sind Streichungen. Der neu gefasste Colorado AI Act entfernte drei Pflichten, die das Gesetz von 2024 prägten: das verpflichtende Risikomanagementprogramm, die Folgenabschätzung und die Sorgfaltspflicht gegen algorithmische Diskriminierung. Auch die jährliche Überprüfung und die öffentliche Zusammenfassung fielen weg. Crowell and Moring bezeichnet die Sorgfaltspflicht als die größte Haftungsquelle unter dem früheren Recht.

Es wäre ein Fehler, diese Streichungen als Erlaubnis zu lesen, KI nicht mehr zu steuern. Die Pflichten verließen das Recht Colorados, nicht das gesamte Compliance-Bild. Die EU-KI-Verordnung verlangt von Betreibern von Hochrisikosystemen weiterhin eine Grundrechte-Folgenabschätzung nach ihrem Artikel 27, deren Elemente im FRIA-Leitfaden von ECNL und dem Dänischen Institut für Menschenrechte dargelegt sind. Das KI-Risikomanagement-Rahmenwerk des NIST definiert Risikomanagement weiterhin als Grundlage vertrauenswürdiger KI. Andere US-Bundesstaaten regeln dieselben Systeme, und bundesrechtliche Antidiskriminierungs- und Verbraucherschutzgesetze gelten für automatisierte Entscheidungen fort.

Die vernünftige Antwort besteht darin, die von Colorado gestrichenen Kontrollen beizubehalten, denn sie bleiben der günstigste Weg, alle übrigen Regelungen zugleich zu erfüllen und auf die für 2027 erwarteten Regeln der Generalstaatsanwaltschaft vorbereitet zu sein. Eine Folgenabschätzung, Tests auf Verzerrungen und ein dokumentiertes Risikoprogramm sind keine Vorgaben Colorados mehr, aber sie bleiben der Weg, um zu belegen, dass eine erfasste ADMT fair, korrekt und vertretbar ist.

Vorbereitung bis zum 1. Januar 2027: ein operativer Fahrplan

Das Compliance-Fenster ist kurz, und die neuen verbrauchergerichteten Abläufe brauchen Monate Aufbau. Die folgenden Schritte machen aus dem Gesetz einen Aktionsplan.

  1. Erstellen Sie ein ADMT-Inventar. Erfassen Sie jedes System, das mit Berechnung oder maschinellem Lernen personenbezogene Daten verarbeitet und eine gedeckte Entscheidung beeinflusst. Ein belastbares KI-Systeminventar ist die Grundlage aller weiteren Schritte.
  2. Stufen Sie jedes System ein. Klären Sie, ob es sich um erfasste ADMT handelt, ob Sie dafür Entwickler oder Betreiber sind und ob ein sektoraler Pfad der Konformitätsvermutung gilt.
  3. Richten Sie den Informationsablauf ein. Ergänzen Sie eine klare und deutliche Information überall dort, wo eine erfasste ADMT eine folgenreiche Entscheidung berührt.
  4. Bauen Sie den 30-Tage-Erläuterungsprozess auf. Erstellen Sie eine Vorlage und benennen Sie eine verantwortliche Person, damit Erläuterungen pünktlich erfolgen und die Rolle der ADMT korrekt beschreiben.
  5. Verdrahten Sie Kanäle für Berichtigung und menschliche Überprüfung. Geben Sie Verbrauchern einen Weg, Daten einzusehen und zu korrigieren sowie eine echte menschliche Überprüfung zu verlangen, und geben Sie Ihren Teams die Befugnis, ein Ergebnis zu ändern.
  6. Halten Sie eine freiwillige Governance-Basis. Bewahren Sie Folgenabschätzungen, Verzerrungstests und ein Risikoprogramm, auch wenn Colorado sie nicht mehr vorschreibt.
  7. Sammeln Sie die Entwicklerdokumentation. Wenn Sie Systeme Dritter betreiben, fordern Sie die technische Dokumentation ein, die das Gesetz nun von Entwicklern verlangt.
  8. Benennen Sie verantwortliche Eigentümer. Bestimmen Sie für jede Pflicht eine Person, damit die Compliance bei Veröffentlichung der Regeln nicht stockt.

Eine einzige Plattform für KI-Governance, die Inventar, Bewertungen und Entscheidungsaufzeichnungen vereint, macht aus dieser Liste statt eines Wettlaufs einen wiederholbaren Prozess.

Colorado im US-amerikanischen und europäischen Rechtsraum

Der Colorado AI Act steht nicht mehr allein. Texas erließ den Responsible Artificial Intelligence Governance Act, Utah seinen Artificial Intelligence Policy Act, und Kalifornien verabschiedete über seine Datenschutzbehörde Regeln zur automatisierten Entscheidungsfindung. Die EU-KI-Verordnung bleibt das umfassendste Regime, mit Risikostufen, Konformitätsbewertungen und Folgenabschätzungen für Hochrisikosysteme.

Nach der Neufassung liegt Colorado am leichteren Ende dieses Spektrums. Es ist nun vor allem ein Gesetz über Transparenz und Anfechtbarkeit für Verbraucher, kein vollständiges Regime der Risiko-Governance. Für bundesstaatenübergreifend und international tätige Akteure ist Colorado damit ein Mindestmaß, keine Obergrenze. Ein nach dem strengeren EU-Standard gestaltetes Programm deckt Colorado in der Regel mit Spielraum ab; deshalb ist es meist effizient, die Compliance am anspruchsvollsten anwendbaren Regime auszurichten. Unsere weiteren Analysen zur KI-Governance verfolgen die Entwicklung dieser Regelungen.

Häufige Fragen

Wann tritt der Colorado AI Act in Kraft? Der neu gefasste Colorado AI Act, der SB 26-189, tritt am 1. Januar 2027 in Kraft. Die Generalstaatsanwaltschaft muss ihre verpflichtende Regelsetzung bis zum selben Datum abschließen, sodass die detaillierten Informations- und Verbraucherrechtsanforderungen kurz vor der Compliance-Frist feststehen werden.

Welche Sanktionen sieht der Colorado AI Act vor? Die Generalstaatsanwaltschaft Colorados setzt das Gesetz ausschließlich durch und behandelt Verstöße als irreführende Geschäftspraktiken nach dem Colorado Consumer Protection Act. Das Gesetz legt keine gesonderten festen Bußgelder fest; Einzelheiten zu Sanktionen werden in den Regeln der Behörde erwartet. Für viele Verstöße gilt eine Heilungsfrist von 60 Tagen, nicht jedoch für vorsätzliche oder wiederholte, und dieses Heilungsrecht erlischt am 1. Januar 2030.

Gibt es ein privates Klagerecht? Nein. Der neu gefasste Text stellt ausdrücklich klar, dass er kein privates Klagerecht schafft; nur die Generalstaatsanwaltschaft kann Verfahren einleiten. Einzelpersonen können weiterhin auf Grundlage anderer Gesetze vorgehen, etwa bestehender Antidiskriminierungsvorschriften.

Wie wirkt sich der Colorado AI Act auf Beschäftigungsentscheidungen aus? Beschäftigung ist ein gedeckter Bereich, sodass der Einsatz von ADMT bei Einstellung, Beförderung oder Kündigung die Betreiberpflichten auslöst: vorherige Information, Erläuterung binnen 30 Tagen, Datenberichtigung und menschliche Überprüfung. Versicherer und unter HIPAA fallende Stellen verlieren ihre Konformitätsvermutung gerade für ihre eigenen folgenreichen Beschäftigungsentscheidungen.

Wie unterscheidet sich der SB 26-189 vom ursprünglichen Gesetz? Der ursprüngliche SB 24-205 regelte Hochrisiko-KI-Systeme und verlangte ein Risikomanagementprogramm, Folgenabschätzungen und eine Sorgfaltspflicht gegen algorithmische Diskriminierung. Der SB 26-189 richtet das Gesetz auf automatisierte Entscheidungstechnologie aus und streicht diese drei Pflichten, ersetzt sie durch vier verbrauchergerichtete Pflichten: Information, Erläuterung, Berichtigung und menschliche Überprüfung.

Welche Unternehmen sind ausgenommen? Es gibt keine pauschale Ausnahme für kleine Unternehmen. Das Gesetz bietet sektorale Pfade der Konformitätsvermutung für Versicherer, unter HIPAA fallende Gesundheitsstellen, von der FDA regulierte Produkte, Kreditgeber nach ECOA und FCRA sowie FERPA-konforme Einrichtungen, im Allgemeinen für die Tätigkeiten, die diese Bundesregelungen bereits erfassen. Ihre eigenen Beschäftigungsentscheidungen bleiben in der Regel im Anwendungsbereich.

Fazit

Der Colorado AI Act von 2026 ist ein leichteres Gesetz als jenes, das Colorado 2024 verabschiedete, doch leichter bedeutet nicht abwesend. Der SB 26-189 verlangt weiterhin, dass Organisationen wissen, welche Systeme folgenreiche Entscheidungen treffen, Menschen über den Einsatz von ADMT informieren, nachteilige Ergebnisse erläutern und eine echte menschliche Zweitprüfung anbieten. Die von Colorado gestrichenen Pflichten sind aus der übrigen Regulierungswelt nicht verschwunden: Wer 2027 gelassen bleibt, wird seine KI durchgehend gesteuert haben. Beginnen Sie mit einem Inventar Ihrer automatisierten Entscheidungen, bauen Sie dann das Governance-Programm einmal auf und verknüpfen Sie es mit jedem anwendbaren Regime. Sehen Sie, wie eine Plattform für KI-Governance diese Arbeit tragen kann.

Dr. Anna Hoffmann

Colorado AI Act (SB 26-189): Was ADMT-Compliance 2027 verlangt

Der Colorado AI Act wurde durch das SB 26-189 neu gefasst, gültig ab 1. Januar 2027. Was das ADMT-Gesetz von Entwicklern und Betreibern verlangt.

NIST Risikomanagement-Framework: vom System zur KI

Das NIST Risikomanagement-Framework erklärt: die sieben RMF-Schritte, SP 800-37 und 800-53, und wie das NIST AI RMF das Risikomanagement auf KI ausweitet.

Ethische KI: vom Prinzip zum prüfbaren Betriebsmodell

Ethische KI heißt mehr als Werte erklären. So wird jedes Prinzip über EU AI Act, ISO/IEC 42001 und NIST AI RMF zu prüfbaren Pflichten mit Verantwortlichen und Nachweisen.

Was ist ein Frontier Model? Definition, Risiken und Regeln

Ein Frontier Model ist die leistungsfähigste KI-Klasse. So unterscheidet es sich von Foundation Models und LLMs, und so regelt die KI-Verordnung das Risiko.

Datenschutz-Folgenabschätzung: PIA, DSFA, GRFA

Datenschutz-Folgenabschätzung erklärt: Was ein PIA ist, wie er sich von der DSFA nach Art. 35 DSGVO unterscheidet und wann die KI-VO eine GRFA verlangt.

NIST Risikomanagement-Framework: Leitfaden für KI

Das NIST Risikomanagement-Framework (SP 800-37), seine sieben Schritte und sein Bezug zum NIST AI RMF und zur KI-Verordnung der EU für die KI-Governance.