Am 17. Mai 2024 unterzeichnete der Gouverneur von Colorado, Jared Polis, den Colorado Artificial Intelligence Act („CAIA“) und setzte ihn damit in Kraft. Der CAIA ist ein bedeutender Meilenstein für die US-Regulierung von KI, da er das erste einzelstaatliche Gesetz ist, das ein breites Spektrum an KI-Systemen abdeckt. Obwohl ein ähnlicher Gesetzentwurf, der in Connecticut vorgeschlagen wurde, nicht verabschiedet wurde, ist es wahrscheinlich, dass andere Bundesstaaten Colorado bei der breiten Regulierung des KI-Einsatzes folgen werden.

Wie verhält sich der CAIA im Vergleich zum EU AI Act?

Der CAIA ähnelt dem EU AI Act in drei Punkten.

Erstens betreffen die meisten Anforderungen in beiden Gesetzen Hochrisiko-KI-Systeme. Zweitens kann die Einhaltung beider Gesetze zu einem erheblichen Grad durch die Befolgung von Standards wie ISO/IEC 42001 - KI-Managementsysteme nachgewiesen werden. Drittens verlangen beide Gesetze Folgenabschätzungen für Hochrisikosysteme.

Zwischen dem CAIA und dem EU AI Act bestehen außerdem mindestens zwei wesentliche Unterschiede.

Erstens gehen die Anforderungen des EU AI Act über die des CAIA hinaus. Der CAIA, der sich in erster Linie mit algorithmischer Diskriminierung befasst, nimmt mehrere gängige Arten von KI-Systemen aus seiner Definition des Hochrisiko-KI-Systems aus. Er befreit zudem Betreiber mit weniger als 50 Beschäftigten von vielen seiner Anforderungen, sofern sie bestimmte Kriterien erfüllen.

Zweitens treten die meisten seiner Bestimmungen deutlich früher in Kraft als der Großteil der Bestimmungen des EU AI Act. Unternehmen haben knapp 20 Monate Zeit, um den CAIA einzuhalten, da er am 1. Februar 2026 in Kraft tritt. Im Vergleich dazu treten die Anforderungen des EU AI Act für Hochrisikosysteme erst Mitte 2026 in Kraft, 24 Monate nach seiner Veröffentlichung im Amtsblatt der EU.

Welche KI-Systeme werden vom CAIA erfasst?

Der CAIA gilt für Entwickler oder Betreiber von KI-Systemen, die in Colorado geschäftlich tätig sind. Ein Entwickler ist eine Person, die ein KI-System entwickelt oder absichtlich und wesentlich verändert, während ein Betreiber eine Person ist, die ein Hochrisiko-KI-System einsetzt.

Nach dem CAIA ist ein KI-System hochriskant, wenn es im Einsatz „eine folgenschwere Entscheidung trifft oder einen wesentlichen Faktor bei deren Herbeiführung darstellt“. Eine folgenschwere Entscheidung ist eine Entscheidung, die „eine wesentliche rechtliche oder anderweitig erhebliche Auswirkung auf die Gewährung oder Verweigerung gegenüber einem Verbraucher oder auf die Kosten oder Bedingungen“ der Einschreibung oder Bildungschance, der Beschäftigung oder einer Beschäftigungsmöglichkeit, einer Finanz- oder Kreditdienstleistung, einer wesentlichen staatlichen Dienstleistung, von Gesundheitsdienstleistungen, Wohnraum, Versicherung oder einer Rechtsdienstleistung hat. Darüber hinaus werden bestimmte Arten von KI-Systemen aus der Hochrisikokategorie ausgenommen.

Wie wird der CAIA durchgesetzt?

‍Der Generalstaatsanwalt von Colorado verfügt über die ausschließliche Befugnis, den CAIA durchzusetzen sowie hierzu Regeln und Leitlinien bereitzustellen. Der CAIA gewährt kein privates Klagerecht. Wenn der Generalstaatsanwalt von Colorado ein Durchsetzungsverfahren einleitet, gilt für einen Betreiber die widerlegliche Vermutung, dass er angemessene Sorgfalt angewandt hat, um Verbraucher vor algorithmischer Diskriminierung zu schützen, sofern er über eine Risikomanagement-Richtlinie und ein Programm verfügt, die mit dem NIST AI Risk Management Framework („AI RMF“) oder ISO/IEC 42001 übereinstimmen. Darüber hinaus hat ein Unternehmen in einem Durchsetzungsverfahren eine Einrede, wenn es einen Verstoß gegen den CAIA infolge von Feedback, adversarial testing oder Red Teaming (wie diese Begriffe von NIST definiert werden) oder eines internen Prüfprozesses entdeckt und behoben hat und im Übrigen mit dem NIST AI RMF und ISO/IEC 42001 im Einklang steht.

Für weitere Informationen zur Entwicklung einer Risikomanagement-Richtlinie und eines entsprechenden Programms fordern Sie unseren kostenlosen und umfassenden Leitfaden dazu an, wie Sie eine KI-Richtlinie verfassen können hier.

‍

‍

Was verlangt der CAIA von Entwicklern und Betreibern von Hochrisiko-KI-Systemen?

Der CAIA verpflichtet Entwickler und Betreiber, mit „angemessener Sorgfalt“ vorzugehen, um Personen vor bekannten oder vorhersehbaren Risiken algorithmischer Diskriminierung zu schützen, und ihre Hochrisiko-KI-Einsätze auf ihren Websites zu beschreiben.

Entwickler sind verpflichtet, den Generalstaatsanwalt von Colorado und bekannte Betreiber ohne unangemessene Verzögerung und innerhalb von 90 Tagen über bekannte oder vernünftigerweise vorhersehbare Risiken algorithmischer Diskriminierung zu informieren. Betreiber sind verpflichtet, den Generalstaatsanwalt von Colorado zu benachrichtigen, sobald sie erfahren, dass ein System algorithmische Diskriminierung verursacht hat, und zwar ohne unangemessene Verzögerung und innerhalb von 90 Tagen.

Entwickler müssen zusammen mit der zugehörigen Dokumentation „eine allgemeine Erklärung bereitstellen, die vernünftigerweise vorhersehbare Verwendungen sowie bekannte schädliche oder unangemessene Verwendungen des Systems beschreibt“.

Betreiber sind verpflichtet, Folgenabschätzungen von Hochrisiko-KI-Systemen jährlich und innerhalb von 90 Tagen nach jeder „absichtlichen und wesentlichen Änderung“ des KI-Systems durchzuführen.

‍

‍

Betreiber müssen eine Risikomanagement-Richtlinie und ein entsprechendes Programm implementiert haben, betroffene Personen vor dem Einsatz eines KI-Systems zur Herbeiführung einer folgenschweren Entscheidung benachrichtigen, betroffenen Personen erläutern, wie nachteilige folgenschwere Entscheidungen zustande kamen, eine Möglichkeit zur Korrektur unzutreffender personenbezogener Informationen im Zusammenhang mit solchen Entscheidungen sowie Möglichkeiten zur Anfechtung dieser Entscheidungen vorsehen.

Alle KI-Systeme müssen „gekennzeichnet“ sein

Während sich die meisten Anforderungen des CAIA auf Hochrisiko-KI-Systeme beziehen, gilt seine Kennzeichnungspflicht für alle KI-Systeme, die für die Interaktion mit Personen vorgesehen sind. Bei solchen Systemen muss ein Entwickler oder Betreiber einer Person offenlegen, dass sie mit einem KI-System interagiert, sofern dies für eine vernünftige Person nicht „offensichtlich“ wäre.

Enzai steht Ihnen zur Seite

Das Produkt von Enzai kann Ihrem Unternehmen dabei helfen, die Anforderungen in Colorado, das NIST AI RMF, ISO/IEC 42001, den EU AI Act und weitere globale regulatorische und Assurance-Regelwerke einzuhalten. Wenn Sie mehr erfahren möchten, nehmen Sie hier Kontakt mit uns auf.

Enzai ist die führende Plattform für Enterprise-KI-Governance, die speziell darauf ausgelegt ist, Organisationen beim Übergang von abstrakter Richtlinie zu operativer Aufsicht zu unterstützen. Unsere Plattform für KI-Risikomanagement bietet die spezialisierte Infrastruktur, die erforderlich ist, um agentische KI-Governance zu steuern, ein umfassendes KI-Inventar zu pflegen und die Einhaltung des EU AI Act sicherzustellen. Durch die Automatisierung komplexer Workflows versetzt Enzai Unternehmen in die Lage, die Einführung von KI mit Zuversicht zu skalieren und dabei die Übereinstimmung mit globalen Standards wie ISO 42001 und NIST zu wahren.