Trotz der Unsicherheit über den Ansatz der Trump-Regierung in der KI-Politik treiben die Bundesstaaten neue KI-Gesetze entschlossen voran. Einige davon konzentrieren sich auf spezifische Anwendungsfälle, wie Georgias SB 164, das den Einsatz automatisierter Entscheidungswerkzeuge zur Festlegung von Mitarbeitergehältern verbietet. Andere richten den Fokus stärker auf die Risiken von Frontier-KI-Systemen, wie etwa Illinois’ HB 3506, das für Entwickler hochentwickelter Modelle Bewertungs- und Audit-Anforderungen einführt.

Auch Gesetzgeber betrachten den Einsatz von KI zunehmend durch die Brille des Verbraucherschutzes und der Bekämpfung von Diskriminierung. Obwohl Colorado bislang der einzige Bundesstaat ist, der verbraucherschutzrechtliche KI-Regelungen erlassen hat, hat sich die Legislative in Texas einem umfassenden Vorschlag angenommen, während in einer wachsenden Zahl weiterer Bundesstaaten ähnliche Gesetzentwürfe geprüft werden.

Im Januar wurde ein entsprechender Gesetzentwurf in der New Yorker State Assembly eingebracht (A768). Der New York AI Consumer Protection Act (AICPA), der sich in erster Linie mit der Bekämpfung von Diskriminierung befasst, folgt der Grundstruktur des Gesetzes in Colorado und des Vorschlags aus Texas: Er teilt die Anforderungen zwischen Entwicklern und Betreibern auf, konzentriert sich auf die Risiken hochriskanter KI-Systeme und verlangt organisatorische Richtlinien für den verantwortungsvollen Einsatz von KI.

Obwohl einige Kommentatoren den Gesetzentwurf begrüßt haben, insbesondere angesichts der jüngsten politischen Kehrtwenden auf Bundesebene, haben andere ihn als zu stark auf Verfahrensfragen ausgerichtet kritisiert. Jeffrey Sonnenfeld und Stephen Henriques sind der Auffassung, dass Gesetzgeber sich stärker darauf konzentrieren sollten, bestehende Verbraucherschutzgesetze auf KI-Systeme anzuwenden.

Was deckt AICPA ab?

AICPA würde die Entwickler und Betreiber „hochriskanter“ KI-Systeme regulieren. Es definiert hochriskante Systeme als solche, die im Einsatz „folgenreiche Entscheidungen“ treffen oder wesentlich zu solchen Entscheidungen beitragen, einschließlich Entscheidungen, die in folgenden Bereichen eine „wesentliche rechtliche oder ähnliche Wirkung“ haben:

-Einschreibung in Bildungsangebote oder Bildungschancen

-Beschäftigung oder Beschäftigungschancen

-Finanz- oder Kreditdienstleistungen

-Unverzichtbare staatliche Dienstleistung

-Gesundheitsdienstleistung

-Wohnraum oder Wohnchancen

-Versicherung

-Rechtsdienstleistung

Einige KI-Anwendungen sind als Ausnahmen von dieser Definition hochriskanter Systeme ausgenommen.

Anforderungen für Entwickler

AICPA würde von Entwicklern verlangen, „angemessene Sorgfalt“ walten zu lassen, um Verbraucher vor Risiken im Zusammenhang mit algorithmischer Diskriminierung zu schützen, und ihre KI-Systeme sowie ihre Ansätze zur Verhinderung algorithmischer Diskriminierung öffentlich zu beschreiben. Darüber hinaus müssten sie Betreibern Dokumentationen zu hochriskanten Systemen zur Verfügung stellen, darunter vorgesehene Verwendungszwecke, schädliche und unangemessene Verwendungszwecke, Trainingsdaten und erwartete Ausgaben.

Für Entwickler gälte eine „widerlegbare Vermutung“ angemessener Sorgfalt, wenn sie unabhängige Audits durch einen von der Regierung zugelassenen Prüfer durchlaufen. Solche Audits würden sich auf das Diskriminierungspotenzial gegenüber geschützten Gruppen konzentrieren.

Anforderungen für Betreiber

Zu den Anforderungen für Betreiber würden die Veröffentlichung ähnlicher Erklärungen zum KI-Einsatz, die Einführung einer Richtlinie und eines Programms für das Risikomanagement hochriskanter KI-Systeme (entsprechend dem NIST AI Risk Management Framework oder ISO/IEC 42001), die jährliche Durchführung von KI-Folgenabschätzungen für hochriskante KI-Systeme sowie die Benachrichtigung von Verbrauchern gehören, wenn ein KI-System einen wesentlichen Faktor bei Entscheidungen darstellt.

Im Fall einer nachteiligen Entscheidung müssten Betreiber außerdem den Hauptgrund für die Entscheidung angeben und dem betroffenen Verbraucher die Möglichkeit geben, während des Entscheidungsprozesses verwendete fehlerhafte personenbezogene Daten zu aktualisieren. Unter bestimmten Umständen könnten Betreiber vertragliche Vereinbarungen mit Entwicklern treffen, sodass Letztere einige dieser Compliance-Anforderungen übernehmen.

Nächste Schritte

Wenn der Gesetzentwurf verabschiedet wird, träte er am 1. Januar 2027 in Kraft. Obwohl sich AICPA noch in einem frühen Stadium des Gesetzgebungsverfahrens befindet, ist er wahrscheinlich nur der erste in einer Reihe von KI-bezogenen Gesetzentwürfen, die New York prüfen wird.

‍Enzai ist für Sie da

Die AI-GRC-Plattform von Enzai kann Ihrem Unternehmen dabei helfen, KI in Übereinstimmung mit bewährten Verfahren und neuen Vorschriften, Standards und Rahmenwerken wie dem EU AI Act, dem Colorado AI Act, dem NIST AI RMF und ISO/IEC 42001 einzusetzen. Um mehr zu erfahren, kontaktieren Sie uns hier.

Enzai ist die führende Plattform für die Unternehmens-KI-Governance, die speziell dafür entwickelt wurde, Organisationen beim Übergang von abstrakten Richtlinien zu operativer Aufsicht zu unterstützen. Unsere Plattform für das KI-Risikomanagement bietet die spezialisierte Infrastruktur, die erforderlich ist, um agentische KI-Governance zu steuern, ein umfassendes KI-Inventar zu führen und die Einhaltung des EU AI Act sicherzustellen. Durch die Automatisierung komplexer Workflows ermöglicht Enzai Unternehmen, die Einführung von KI mit Zuversicht zu skalieren und gleichzeitig die Ausrichtung an globalen Standards wie ISO 42001 und NIST zu wahren.