Die New Yorker Versammlung erwägt das KI-Verbraucherschutzgesetz

Trotz der Unsicherheit über den Ansatz der Trump-Regierung in Bezug auf die KI-Politik treiben die Staaten die Einführung neuer KI-Gesetze voran. Einige davon konzentrieren sich auf bestimmte Anwendungsfälle, wie beispielsweise in Georgia SB 164, das den Einsatz automatisierter Entscheidungshilfen zur Festsetzung der Arbeitnehmerlöhne verbietet. Andere konzentrieren sich mehr auf die Risiken, die von KI-Systemen im Grenzbereich ausgehen, wie das von Illinois HB 3506, das Bewertungs- und Prüfungsanforderungen für Entwickler modernster Modelle einführt.

Der Gesetzgeber betrachtet den Einsatz von KI auch zunehmend aus der Sicht des Verbraucherschutzes und der Bekämpfung von Diskriminierung. Colorado ist jedoch der einzige Bundesstaat, der bisher erlassen Verbraucherschutzgesetze im Zusammenhang mit KI, der texanische Gesetzgeber hat eine verabschiedet umfassender Vorschlag, wobei ähnliche Gesetzesvorlagen in einer wachsenden Zahl von Bundesstaaten geprüft werden.

Im Januar wurde ein ähnliches Gesetz in der New Yorker Versammlung eingeführt (A768). Der New York AI Consumer Protection Act (AICPA), der sich in erster Linie mit der Bekämpfung von Diskriminierung befasst, folgt der allgemeinen Struktur des Colorado-Gesetzes und des texanischen Vorschlags: Er teilt die Anforderungen zwischen Entwicklern und Bereitstellern auf, konzentriert sich auf die Risiken von KI-Systemen mit hohem Risiko und verlangt organisatorische Richtlinien für einen verantwortungsvollen Einsatz von KI.

Obwohl einige Kommentatoren den Gesetzentwurf begrüßt haben, insbesondere angesichts der jüngsten politischen Umkehrungen auf Bundesebene, kritisierten andere, dass er zu sehr auf das Verfahren ausgerichtet ist. Zum Beispiel Jeffrey Sonnenfeld und Stephen Henriques glaube das Der Gesetzgeber sollte sich stärker darauf konzentrieren, bestehende Verbraucherschutzgesetze auf KI-Systeme anzuwenden.

Was deckt AICPA ab?

AICPA würde Entwickler und Betreiber von KI-Systemen mit „hohem Risiko“ regulieren. Sie definiert Systeme mit hohem Risiko als Systeme, die, wenn sie eingesetzt werden, „Folgeschäden“ treffen oder maßgeblich dazu beitragen. Dazu gehören auch solche, die „wesentliche rechtliche oder ähnliche Auswirkungen“ haben, unter anderem in folgenden Bereichen:

-Einschreibung oder Bildungschance

-Beschäftigung oder Beschäftigungsmöglichkeit

-Finanz- oder Kreditservice

-Unverzichtbarer Regierungsdienst

-Gesundheitsdienst

-Wohnen oder Wohnmöglichkeit

-Versicherung

-Juristischer Service

Aus dieser Definition von Systemen mit hohem Risiko werden mehrere KI-Anwendungen als Ausnahmen herausgearbeitet.

Anforderungen für Entwickler

AICPA würde von Entwicklern verlangen, „angemessene Sorgfalt“ walten zu lassen, um Verbraucher vor Risiken im Zusammenhang mit algorithmischer Diskriminierung zu schützen und ihre KI-Systeme und Ansätze zur Verhinderung algorithmischer Diskriminierung öffentlich zu beschreiben. Außerdem müssten sie den Betreibern Unterlagen für Systeme mit hohem Risiko zur Verfügung stellen, die Angaben zu Verwendungszwecken, schädlichen und unangemessenen Verwendungen, Schulungsdaten und erwarteten Ergebnissen enthalten.

Für Entwickler gilt die „widerlegbare Vermutung“ angemessener Sorgfalt, wenn sie sich unabhängigen Prüfungen durch Dritte durch einen von der Regierung zugelassenen Wirtschaftsprüfer unterziehen. Solche Prüfungen würden sich auf die mögliche Diskriminierung geschützter Klassen konzentrieren.

Anforderungen für Bereitsteller

Zu den Anforderungen an die Betreiber gehören die Veröffentlichung ähnlicher Aussagen zum Einsatz von KI, die Einführung einer Risikomanagementrichtlinie und eines Programms für KI-Systeme mit hohem Risiko (entspricht dem NIST AI Risk Management Framework oder ISO/IEC 42001), die Durchführung jährlicher KI-Folgenabschätzungen für KI-Systeme mit hohem Risiko und die Benachrichtigung der Verbraucher, wenn ein KI-System ein wesentlicher Entscheidungsfaktor ist.

Im Falle einer negativen Entscheidung müssten die Betreiber auch den Hauptgrund für die Entscheidung angeben und dem betroffenen Verbraucher die Möglichkeit geben, alle falschen personenbezogenen Daten, die bei der Entscheidungsfindung verwendet wurden, zu aktualisieren. Unter bestimmten Umständen könnten die Betreiber Verträge mit den Entwicklern abschließen, sodass letztere einige dieser Compliance-Anforderungen übernehmen.

Die nächsten Schritte

Wenn das Gesetz verabschiedet wird, würde es am 1. Januar 2027 in Kraft treten. AICPA befindet sich zwar noch in einem frühen Stadium des Gesetzgebungsprozesses, ist aber wahrscheinlich nur der erste einer Reihe von Gesetzesentwürfen im Zusammenhang mit KI, die New York prüfen wird.

‍Enzai ist hier um zu helfen

Die KI-GRC-Plattform von Enzai kann Ihrem Unternehmen helfen, KI gemäß Best Practices und neuen Vorschriften, Standards und Rahmenbedingungen wie dem EU AI Act, dem Colorado AI Act, dem NIST AI RMF und ISO/IEC 42001 einzusetzen. Um mehr zu erfahren, nehmen Sie Kontakt mit uns auf hier.