Das erste umfassende KI-Gesetz auf US-Bundesstaatsebene, das Folgenabschätzungen und Transparenz für hochriskante KI-Systeme (high-risk AI systems) verlangt, die folgenreiche Entscheidungen (consequential decisions) treffen.
Der Colorado Artificial Intelligence Act (SB 24-205), der am 17. Mai 2024 in Kraft gesetzt wurde, ist die erste umfassende KI-Gesetzgebung auf Bundesstaatsebene in den Vereinigten Staaten. Er soll am 1. Februar 2026 in Kraft treten und legt Pflichten für Entwickler und Betreiber von „hochriskanten KI-Systemen“ (high-risk AI systems) fest, KI-Systemen, die „folgenreiche Entscheidungen“ (consequential decisions) treffen oder wesentlich unterstützen, die Einwohner Colorados betreffen.
Das Gesetz definiert „folgenreiche Entscheidungen“ weit gefasst und schließt Entscheidungen ein, die eine wesentliche rechtliche oder ähnlich bedeutsame Wirkung auf Verbraucher in Bereichen wie Bildung, Beschäftigung, Finanzdienstleistungen, öffentliche Dienste, Gesundheitswesen, Wohnen, Versicherung und juristische Dienstleistungen haben. Dieser weite Anwendungsbereich bedeutet, dass viele KI-Systeme, die in verbraucherorientierten Kontexten eingesetzt werden, erfasst werden.
Ein zentrales Konzept des Colorado AI Act ist die „algorithmische Diskriminierung“ (algorithmic discrimination), definiert als jede Bedingung, bei der die Nutzung eines KI-Systems zu einer rechtswidrigen unterschiedlichen Behandlung oder Auswirkung führt, die eine Person oder Gruppe aufgrund geschützter Merkmale benachteiligt, darunter Alter, Hautfarbe, Behinderung, ethnische Zugehörigkeit, genetische Informationen, nationale Herkunft, Rasse, Religion, Geschlecht und Veteranenstatus.
Für Entwickler hochriskanter KI-Systeme umfassen die Pflichten: den Betreibern eine Dokumentation über die Fähigkeiten, Grenzen und bekannten Risiken des Systems bereitzustellen; eine Zusammenfassung der Trainingsdaten und bekannten Verzerrungen verfügbar zu machen; auf ihrer Website eine Erklärung über die Arten hochriskanter KI-Systeme, die sie entwickeln, und darüber, wie sie die Risiken algorithmischer Diskriminierung steuern, zu veröffentlichen; und den Betreibern die für die Durchführung von Folgenabschätzungen erforderlichen Informationen bereitzustellen.
Für Betreiber hochriskanter KI-Systeme umfassen die Pflichten: eine Richtlinie und ein Programm für das Risikomanagement umzusetzen; vor dem Einsatz für jedes hochriskante KI-System eine Folgenabschätzung durchzuführen; Verbraucher darüber zu informieren, dass KI zur Treffung folgenreicher Entscheidungen eingesetzt wird; eine Erklärung über Zweck, Art und Grenzen des KI-Systems bereitzustellen; Verbrauchern die Möglichkeit zu geben, vom KI-System verwendete falsche personenbezogene Daten zu korrigieren; und Verbrauchern die Möglichkeit einer menschlichen Überprüfung (mit Widerspruchsrecht) nachteiliger folgenreicher Entscheidungen zu geben.
Das Gesetz verlangt von Betreibern außerdem, den Colorado Attorney General innerhalb von 90 Tagen nach der Entdeckung zu benachrichtigen, dass ein hochriskantes KI-System eine algorithmische Diskriminierung verursacht hat. Diese Meldepflicht schafft einen starken Anreiz für eine fortlaufende Überwachung und die Erkennung von Verzerrungen.
Die Durchsetzung erfolgt durch den Colorado Attorney General, der die ausschließliche Durchsetzungsbefugnis besitzt. Es besteht kein privates Klagerecht. Der Attorney General kann Unterlassungsansprüche und zivilrechtliche Sanktionen geltend machen. Wichtig ist, dass das Gesetz eine positive Verteidigung (affirmative defence) für Entwickler und Betreiber vorsieht, die angemessene Compliance-Programme unterhalten, einschließlich der Einhaltung anerkannter Rahmenwerke für das KI-Risikomanagement wie des NIST AI RMF oder ISO 42001.
Der Colorado AI Act war einflussreich, da mehrere andere US-Bundesstaaten ähnliche Gesetze eingeführt haben. Er stellt eine bedeutende Entwicklung im Flickenteppich der US-amerikanischen KI-Regulierung dar und bietet eine Vorlage, der andere Bundesstaaten folgen oder die sie anpassen könnten.
Entwickler müssen Betreibern Systemdokumentation, Zusammenfassungen der Trainingsdaten und Risikoinformationen bereitstellen
Entwickler müssen eine öffentliche Erklärung über die hochriskanten KI-Systeme veröffentlichen, die sie entwickeln
Betreiber müssen eine Richtlinie und ein Programm für das Risikomanagement für hochriskante KI umsetzen
Betreiber müssen Folgenabschätzungen durchführen, bevor sie hochriskante KI-Systeme einsetzen
Verbraucher darüber informieren, dass KI für folgenreiche Entscheidungen eingesetzt wird
Verbrauchern eine Beschreibung des Zwecks und der Grenzen des KI-Systems bereitstellen
Verbrauchern ermöglichen, von KI-Systemen verwendete unrichtige personenbezogene Daten zu korrigieren
Menschliche Überprüfung und Widerspruch bei nachteiligen, von KI getroffenen folgenreichen Entscheidungen anbieten
Den Attorney General innerhalb von 90 Tagen nach Entdeckung einer algorithmischen Diskriminierung benachrichtigen
Eine Dokumentation führen, die die Einhaltung der Vorschriften nachweist
Jährliche Überprüfung und Aktualisierung der Folgenabschätzungen
Positive Verteidigung (affirmative defence) verfügbar für angemessene Compliance-Programme
Der Colorado AI Act tritt am 30. Juni 2026 in Kraft. Das ursprüngliche Inkrafttreten am 1. Februar 2026 wurde durch SB 25B-004 verlängert, das der Gouverneur am 28. August 2025 in Kraft setzte. Organisationen sollten vor diesem Datum über Richtlinien für das Risikomanagement, Folgenabschätzungen und Mechanismen zur Benachrichtigung der Verbraucher verfügen.
Eine folgenreiche Entscheidung ist eine Entscheidung, die eine wesentliche rechtliche oder ähnlich bedeutsame Wirkung auf einen Verbraucher in Bereichen wie Bildung, Beschäftigung, Finanzdienstleistungen, öffentliche Dienste, Gesundheitswesen, Wohnen, Versicherung und juristische Dienstleistungen hat.
Nein. Nur der Colorado Attorney General besitzt die Durchsetzungsbefugnis. Das Gesetz verlangt jedoch die Benachrichtigung des Attorney General über algorithmische Diskriminierung, wodurch Rechenschaftspflicht geschaffen wird. Die Einhaltung des NIST AI RMF oder ISO 42001 bietet eine positive Verteidigung (affirmative defence).
Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.