Virginia’s Gesetz über hochriskante KI-Entwickler und -Bereitsteller steht kurz vor der Unterzeichnung

Virginia’s High-Risk AI Developer and Deployer Act

Der Virginia High-Risk Artificial Intelligence Developer and Deployer Act (im Folgenden „Gesetz“) wurde am 20. Februar 2025 von der Virginia General Assembly verabschiedet und wartet nun auf die Unterschrift von Gouverneur Youngkin. Sollte es in Kraft treten, wird Virginia der zweite Bundesstaat nach Colorado sein, der Gesetze zur Bekämpfung algorithmischer Diskriminierung einführt, obwohl der Umfang des Gesetzes enger gefasst ist als das Gesetz in Colorado.

Definition und Anwendungsbereich

Das Gesetz gilt ausschließlich für hochriskante KI-Systeme, die definiert sind als „jedes KI-System, das speziell dazu bestimmt ist, autonom eine wesentliche Entscheidung zu treffen oder einen wesentlichen Beitrag zu einer solchen Entscheidung zu leisten“. Ein KI-System wird als „jedes maschinenlernende System“ beschrieben, das aus den Eingaben, die es erhält, ableitet, wie es Ausgaben generiert, die physische oder virtuelle Umgebungen beeinflussen können.

Betroffene Akteure

Nur Entwickler und Anbieter von hochriskanten KI-Systemen, die an entscheidungsrelevanten Vorgängen beteiligt sind, unterliegen dem Gesetz. Entscheidungsrelevante Vorgänge sind Entscheidungen, die eine wesentliche rechtliche oder ähnliche signifikante Auswirkung auf die Bereitstellung oder Verweigerung von Dienstleistungen an Verbraucher haben können, wie:

1. Parole, Bewährung, Begnadigung oder jede andere Freilassung aus der Inhaftierung oder gerichtlichen Aufsicht;
2. Bildungseinschreibung oder eine Bildungsmöglichkeit;
3. Zugang zu Beschäftigung;
4. Finanz- oder Kreditdienstleistungen;
5. Zugang zu Gesundheitsdiensten;
6. Wohnen;
7. Versicherung;
8. Ehelicher Status;
9. Rechtsdienstleistungen.

Anforderungen des Gesetzes

Das Gesetz verlangt von Entwicklern und Anbietern hochriskanter KI-Systeme, dass sie Risikoanalysen durchführen und ihre beabsichtigten Verwendungen und Einschränkungen dokumentieren. Unternehmen müssen zudem klare Offenlegungen bezüglich der Leistung, Einschränkungen und potenziellen Verzerrungen ihrer KI-Systeme bereitstellen und den Anbietern detaillierte Dokumentationen zur Verfügung stellen, die die Bewertungsmethoden erläutern, die zur Prüfung der Systemleistung verwendet wurden, sowie Maßnahmen zur Minderung bekannter Risiken.

Ausnahmen vom Gesetz

Ein KI-System oder eine Dienstleistung ist kein „hochriskantes KI-System“, wenn es dazu bestimmt ist:

1. eine enge Verfahrensaufgabe auszuführen,
2. das Ergebnis zuvor abgeschlossener menschlicher Aktivitäten zu verbessern,
3. Entscheidungsmuster oder Abweichungen von bestehenden Entscheidungsmustern zu erkennen, oder
4. eine vorbereitende Aufgabe für eine Bewertung im Hinblick auf eine entscheidungsrelevante Entscheidung durchzuführen.

Darüber hinaus sind eine Reihe von Technologien ausdrücklich vom Gesetz ausgeschlossen, einschließlich:

• Anti-Betrugs-Technologien, die keine Gesichtserkennungstechnologie verwenden;
• Künstliche Intelligenz-unterstützte Videospiele;
• Technologien für autonome Fahrzeuge;
• Cybersicherheitstechnologien;
• Datenbanken;
• Datenlagerung;
• Firewall-Technologien;
• Netzwerktechnologien;
• Spam- und Robocall-Filtering;
• Technologien, die mit Verbrauchern in natürlicher Sprache kommunizieren, um Informationen bereitzustellen, Empfehlungen auszusprechen und Fragen zu beantworten (unterliegt einer akzeptablen Nutzungsrichtlinie, die die Erstellung diskriminierender oder gesetzeswidriger Inhalte verbietet).

Reaktionen auf das Gesetz

Während der Debatte über dieses Gesetz äußerten zahlreiche Unternehmen große Bedenken, dass die Einschränkung der Nutzung von KI möglicherweise ihre Geschäfte gefährden könnte. Abschnitt 59.1-610 listet Aktivitäten auf, die ausgenommen sind. Es heißt:

„A. Nichts in diesem Kapitel darf so ausgelegt werden, dass es die Fähigkeit eines Entwicklers oder Anbieters einschränkt, (i) federal, staatlichen oder kommunalen Verordnungen oder Vorschriften nachzukommen; (ii) einer zivilrechtlichen, strafrechtlichen oder regulatorischen Anfrage nachzukommen …; (iii) mit der Strafverfolgung zusammenzuarbeiten …; (iv) rechtliche Ansprüche zu untersuchen …; (v) ein Produkt oder eine Dienstleistung bereitzustellen, die von einem Verbraucher ausdrücklich angefordert wird; (viii) … ein Interesse zu schützen, das für das Leben oder die körperliche Sicherheit des Verbrauchers oder einer anderen Person wesentlich ist; (ix) Sicherheitsvorfälle, Identitätsdiebstahl, Betrug, Belästigung oder böswillige oder betrügerische Aktivitäten zu verhindern, zu erkennen, zu schützen oder darauf zu reagieren …“

Ähnlich wird erklärt, dass bestimmte Branchen „als erfüllt“ gelten, da die Nutzung von KI durch diese Unternehmen bereits von anderen Bundes- und Landesbehörden reguliert wird. Insbesondere besagt Unterabschnitt G:

„Die Verpflichtungen, die diesem Kapitel den Entwicklern oder Anbietern auferlegt werden, gelten als erfüllt für jede Bank, jede ausländische Bank, jede Kreditgenossenschaft, jede Bundes-Kreditgenossenschaft, jeden Hypothekengeber, jede ausländische Kreditgenossenschaft, jede Sparkasse oder jedes Tochterunternehmen, jede Tochtergesellschaft oder Dienstleister davon, wenn diese Bank, ausländische Bank, Kreditgenossenschaft, Bundes-Kreditgenossenschaft, Hypothekengeber, ausländische Kreditgenossenschaft, Sparkasse oder Tochtergesellschaft, Tochtergesellschaft oder Dienstleister der Gerichtsbarkeit eines Bundes- oder Landesregulators unterliegt, gemäß allen veröffentlichten Leitlinien oder Vorschriften, die für die Nutzung hochriskanter KI-Systeme gelten und die für die Verwendung dieser Systeme gelten.“

Inkrafttreten des Gesetzes

Wenn das Gesetz vom Gouverneur unterzeichnet wird, tritt es am 1. Juli 2026 in Kraft. Das Büro des Attorney General von Virginia hat die ausschließliche Befugnis, die Bestimmungen des Gesetzes durchzusetzen.