Kalifornien und New York setzen strengste KI-Gesetze durch

Kalifornien und New York setzen strengste KI-Gesetze durch

Kalifornien und New York haben die strengsten KI-Regeln des Landes eingeführt, die freiwillige Sicherheitsmaßnahmen in durchsetzbare Verpflichtungen für Unternehmen verwandeln, die groß angelegte Modelle entwickeln und einsetzen. Rechtsexperten sagen, dass dieser Wandel echte Konsequenzen für Transparenz und Sicherheit mit sich bringt, ohne die Innovation einzufrieren, während er einen unvermeidlichen Konflikt mit Bundesbeamten aufbaut, die ein einheitliches, weniger strenges Regelwerk anstreben.

Verantwortlichkeit und Rechenschaftspflicht

Zunächst ändert sich die Rechenschaftspflicht. Modellentwickler und große KI-Plattformen müssen offenlegen, wie sie katastrophale Risiken mindern wollen, schwerwiegende Vorfälle in Echtzeit melden und Whistleblower schützen, die Probleme aufdecken. Das Ergebnis ist eine neue Compliance-Basislinie für jedes KI-Unternehmen mit nationalen Ambitionen, da es keine Option ist, die beiden bedeutendsten Technologiemärkte des Landes zu ignorieren.

Änderungen durch Kaliforniens SB 53 und New Yorks RAISE Act

Kaliforniens SB 53 verlangt von Entwicklern, Risikominderungspläne für ihre leistungsfähigsten Modelle zu veröffentlichen und „Sicherheitsvorfälle“ zu melden, die Cyberangriffe, chemische oder biologische Missbräuche, radiologische oder nukleare Gefahren, schwere Körperverletzungen oder den Verlust der Kontrolle über ein System ermöglichen könnten. Unternehmen haben 15 Tage Zeit, um den Staat zu benachrichtigen, und müssen mit Geldstrafen von bis zu 1 Million Dollar bei Nichteinhaltung rechnen.

Das RAISE-Gesetz von New York spiegelt die Offenlegungsvorschriften wider, geht jedoch schneller und reicht weiter bei der Durchsetzung. Sicherheitsvorfälle müssen innerhalb von 72 Stunden gemeldet werden, und Geldstrafen können nach einem ersten Verstoß bis zu 3 Millionen Dollar betragen. Es führt auch jährliche Drittanbieter-Audits ein, was Kalifornien nicht vorschreibt.

Beide Gesetze richten sich an Unternehmen mit mehr als 500 Millionen Dollar Jahresumsatz, wodurch Big Tech und große KI-Anbieter erfasst werden, während viele frühphasige Startups verschont bleiben. Die Aufsichtsbehörden entschieden sich für einen Ansatz, der Transparenz priorisiert, nachdem ein umfassenderer kalifornischer Vorschlag, SB 1047, gescheitert war, der obligatorische „Notaus-Schalter“ und Sicherheitstests für Modelle über einem hohen Trainingskosten-Schwellenwert vorschlug.

Einzigartige Aspekte und Compliance-Auswirkungen

Eine auffällige Bestimmung betrifft die Whistleblower-Schutzmaßnahmen in Kalifornien. Im Gegensatz zu Risikodisclosure, wo viele multinationale Unternehmen sich bereits auf die EU-KI-Verordnung vorbereiten, sind klare staatliche Schutzmaßnahmen für Mitarbeiter, die Sicherheitsprobleme melden, im Technologiebereich ungewöhnlich und könnten die Handhabung von Entlassungen, Ermittlungen und internem Dissens in Unternehmen neu gestalten.

In der Praxis zwingen die neuen Regeln zu einem Ausbau der Sicherheitsgovernance anstelle eines Stopps der Forschung und Entwicklung. Unternehmen benötigen Incident-Response-Pläne, die definieren, was als meldepflichtiger KI-Vorfall gilt, sowie zentrale Protokolle zur Überwachung des Modellverhaltens und formelle „Sicherheitsfall“-Dokumentationen, auf die Produktteams und Berater sich stützen können.

Bundesweite Herausforderungen und Fragen der Vorherrschaft

Die Regierung hat signalisiert, dass sie die KI-Governance zentralisieren möchte und warnt, dass ein Flickenteppich aus staatlichen Regeln die Innovation verlangsamen und Compliance-Probleme schaffen könnte. Das Justizministerium bildet eine KI-Rechtsstreitgruppe, um staatliche Bestimmungen anzufechten, die als unvereinbar mit einem nationalen Politikrahmen angesehen werden.

Die Vorherrschaft ist jedoch keine ausgemachte Sache. Anwälte weisen darauf hin, dass, sofern keine bundesstaatliche Vorschrift die Staaten ausdrücklich übergeht, die Gerichte oft zulassen, dass Staaten strengere Standards festlegen. Abgesehen von einer neuen Anfrage des Zentrums für KI-Standards und Innovation hat Washington noch keinen umfassenden Ersatz für staatliche Regeln angeboten. Ein jüngster Kongressversuch, staatliche KI-Gesetze zu blockieren, ist gescheitert, was die Unsicherheit über die Vorherrschaft untermauert.

Schlussfolgerung

Im Vergleich zu dem gescheiterten Ansatz mit dem „Notaus-Schalter“ priorisieren SB 53 und das RAISE-Gesetz Transparenz und Rückverfolgbarkeit über strenge technische Anforderungen. Die unabhängigen Audits in New York erhöhen den Standard, aber derzeit fordert kein Staat Drittanbieter-Bewertungen von Modellen vor der Freigabe. Das lässt bedeutende Flexibilität für Labore, macht es jedoch riskanter, katastrophale Fehler zu ignorieren oder zu verbergen.

Die Dokumentation, die diese Gesetze erfordern, kann in Entdeckungen oder Sammelklagen auftauchen. Mit den Whistleblower-Schutzmaßnahmen in Kalifornien müssen Unternehmen robuste Anti-Retaliation-Politiken und klarere Kanäle für das Melden von KI-Sicherheitsbedenken einführen. Investoren berücksichtigen bereits Governance-, Datenschutz- und Cybersicherheitsbereitschaft in ihren Finanzierungsentscheidungen, was die Marktanreize weiter mit der Compliance in Einklang bringt.

Beobachten Sie in Zukunft die frühen Durchsetzungsmaßnahmen, die bundesstaatlichen Herausforderungen durch die neue Taskforce und wie staatliche Behörden „Sicherheitsvorfälle“ definieren. Auch die Konvergenz mit der EU-KI-Verordnung wird von Interesse sein; viele Unternehmen werden eine harmonisierte Kontrolle anstreben, die Offenlegungen, Incident-Response und Audits umfasst.