Trotz Unsicherheiten hinsichtlich des Ansatzes der Trump-Regierung zur KI-Politik treiben die Bundesstaaten neue KI-Gesetze voran. Einige davon konzentrieren sich auf spezifische Anwendungsfälle, wie Georgias SB 164, das die Nutzung von automatisierten Entscheidungstools zur Festsetzung von Mitarbeitergehältern verbietet. Andere sind stärker auf die Risiken von fortschrittlichen KI-Systemen fokussiert, wie Illinois’ HB 3506, das Bewertungs- und Prüfanforderungen für Entwickler von hochmodernen Modellen einführt.

Gesetzgeber betrachten den Einsatz von KI zunehmend unter den Gesichtspunkten des Verbraucherschutzes und der Bekämpfung von Diskriminierung. Obwohl Colorado bisher der einzige Bundesstaat ist, der Verbraucherschutzgesetze im Zusammenhang mit KI erlassen hat, hat das texanische Parlament einen umfassenden Vorschlag aufgegriffen, wobei ähnliche Gesetze in einer wachsenden Zahl von Staaten in Betracht gezogen werden.

Im Januar wurde im New Yorker Parlament ( A768) ein ähnliches Gesetz eingeführt. Der New Yorker AI Consumer Protection Act (AICPA), der sich hauptsächlich mit der Bekämpfung von Diskriminierung befasst, folgt der allgemeinen Struktur des Colorado-Gesetzes und des Vorschlags aus Texas: Er teilt Anforderungen zwischen Entwicklern und Einsatzunternehmen, konzentriert sich auf die Risiken von Hochrisiko-KI-Systemen und fordert organisatorische Richtlinien für den verantwortungsvollen KI-Einsatz.

Obwohl einige Kommentatoren das Gesetz, insbesondere angesichts jüngster Politikänderungen auf Bundesebene, begrüßt haben, haben andere es als zu verfahrensorientiert kritisiert. Beispielsweise glauben Jeffrey Sonnenfeld und Stephen Henriques, dass Gesetzgeber sich stärker darauf konzentrieren sollten, bestehende Verbraucherschutzgesetze auf KI-Systeme anzuwenden.

Was deckt AICPA ab?

AICPA würde Entwickler und Nutzer von „Hochrisiko“-KI-Systemen regulieren. Es definiert Hochrisiko-Systeme als solche, die bei Einsatz maßgeblich „entscheidungsrelevante Entscheidungen“ treffen oder erheblich dazu beitragen, die eine „wesentliche rechtliche oder ähnliche Wirkung“ in Bereichen haben, darunter:

-Bildungseinschreibung oder Bildungsmöglichkeiten

-Beschäftigung oder Beschäftigungsmöglichkeiten

-Finanz- oder Kreditdienstleistungen

-Wichtige staatliche Dienstleistungen

-Gesundheitsdienstleistungen

-Wohnraum oder Wohnmöglichkeiten

-Versicherung

-Rechtsdienstleistungen

Mehrere KI-Nutzungen sind von dieser Definition von Hochrisiko-Systemen als Ausnahmen ausgenommen.

Anforderungen für Entwickler

AICPA würde von Entwicklern verlangen, „angemessene Sorgfalt“ walten zu lassen, um Verbraucher vor Risiken im Zusammenhang mit algorithmischer Diskriminierung zu schützen und ihre KI-Systeme sowie Ansätze zur Vermeidung algorithmischer Diskriminierung öffentlich zu beschreiben. Es würde auch erfordern, dass sie Einsatzunternehmen mit Dokumentationen für Hochrisiko-Systeme versorgen, die beabsichtigte Verwendungen, schädliche und unangemessene Verwendungen, Schulungsdaten und erwartete Ergebnisse umfassen.

Entwickler hätten eine „widerlegbare Vermutung“ angemessener Sorgfalt, wenn sie unabhängige Prüfungen durch einen von der Regierung zugelassenen Prüfer durchführen lassen. Solche Prüfungen wären auf das Potenzial der Diskriminierung geschützter Klassen fokussiert.

Anforderungen für Einsatzunternehmen

Anforderungen für Einsatzunternehmen würden das Veröffentlichen ähnlicher Erklärungen über die Nutzung von KI, die Implementierung einer Risikomanagementrichtlinie und eines Programms für Hochrisiko-KI-Systeme (äquivalent zum NIST AI Risk Management Framework oder ISO/IEC 42001), die Durchführung jährlicher KI-Auswirkungsbewertungen für Hochrisiko-KI-Systeme und die Benachrichtigung der Verbraucher umfassen, wenn ein KI-System einen wesentlichen Faktor bei der Entscheidungsfindung darstellt.

Im Falle einer ablehnenden Entscheidung müssten Einsatzunternehmen auch den Hauptgrund für die Entscheidung mitteilen und der betroffenen Person die Möglichkeit geben, falsche persönliche Informationen, die während der Entscheidungsfindung verwendet wurden, zu aktualisieren. Unter bestimmten Umständen könnten Einsatzunternehmen mit Entwicklern Verträge abschließen, sodass Letztere einige dieser Compliance-Anforderungen übernehmen.

Nächste Schritte

Wenn das Gesetz verabschiedet wird, würde es am 1. Januar 2027 in Kraft treten. Obwohl AICPA sich noch in einem frühen Stadium des Gesetzgebungsprozesses befindet, ist es wahrscheinlich nur das erste in einer Reihe von KI-bezogenen Gesetzesentwürfen, die New York in Betracht ziehen wird.

Enzai ist hier, um zu helfen

Die AI GRC-Plattform von Enzai kann Ihrem Unternehmen helfen, KI in Übereinstimmung mit Best Practices und aufkommenden Vorschriften, Standards und Rahmenwerken einzusetzen, wie z.B. dem EU-AI-Gesetz, dem Colorado-AI-Gesetz, dem NIST AI RMF und ISO/IEC 42001. Um mehr zu erfahren, nehmen Sie hier Kontakt auf.