30 Tage Risikoerkennung für generative KI:Jetzt starten
Demo buchen
UpcomingColorado, United StatesLawIn Kraft: 2026-06-30

Colorado Artificial Intelligence Act

Das erste umfassende KI-Gesetz auf US-Bundesstaatsebene, das Folgenabschätzungen und Transparenz für hochriskante KI-Systeme (high-risk AI systems) verlangt, die folgenreiche Entscheidungen (consequential decisions) treffen.

Überblick

Der Colorado Artificial Intelligence Act (SB 24-205), der am 17. Mai 2024 in Kraft gesetzt wurde, ist die erste umfassende KI-Gesetzgebung auf Bundesstaatsebene in den Vereinigten Staaten. Er soll am 1. Februar 2026 in Kraft treten und legt Pflichten für Entwickler und Betreiber von „hochriskanten KI-Systemen“ (high-risk AI systems) fest, KI-Systemen, die „folgenreiche Entscheidungen“ (consequential decisions) treffen oder wesentlich unterstützen, die Einwohner Colorados betreffen.

Das Gesetz definiert „folgenreiche Entscheidungen“ weit gefasst und schließt Entscheidungen ein, die eine wesentliche rechtliche oder ähnlich bedeutsame Wirkung auf Verbraucher in Bereichen wie Bildung, Beschäftigung, Finanzdienstleistungen, öffentliche Dienste, Gesundheitswesen, Wohnen, Versicherung und juristische Dienstleistungen haben. Dieser weite Anwendungsbereich bedeutet, dass viele KI-Systeme, die in verbraucherorientierten Kontexten eingesetzt werden, erfasst werden.

Ein zentrales Konzept des Colorado AI Act ist die „algorithmische Diskriminierung“ (algorithmic discrimination), definiert als jede Bedingung, bei der die Nutzung eines KI-Systems zu einer rechtswidrigen unterschiedlichen Behandlung oder Auswirkung führt, die eine Person oder Gruppe aufgrund geschützter Merkmale benachteiligt, darunter Alter, Hautfarbe, Behinderung, ethnische Zugehörigkeit, genetische Informationen, nationale Herkunft, Rasse, Religion, Geschlecht und Veteranenstatus.

Für Entwickler hochriskanter KI-Systeme umfassen die Pflichten: den Betreibern eine Dokumentation über die Fähigkeiten, Grenzen und bekannten Risiken des Systems bereitzustellen; eine Zusammenfassung der Trainingsdaten und bekannten Verzerrungen verfügbar zu machen; auf ihrer Website eine Erklärung über die Arten hochriskanter KI-Systeme, die sie entwickeln, und darüber, wie sie die Risiken algorithmischer Diskriminierung steuern, zu veröffentlichen; und den Betreibern die für die Durchführung von Folgenabschätzungen erforderlichen Informationen bereitzustellen.

Für Betreiber hochriskanter KI-Systeme umfassen die Pflichten: eine Richtlinie und ein Programm für das Risikomanagement umzusetzen; vor dem Einsatz für jedes hochriskante KI-System eine Folgenabschätzung durchzuführen; Verbraucher darüber zu informieren, dass KI zur Treffung folgenreicher Entscheidungen eingesetzt wird; eine Erklärung über Zweck, Art und Grenzen des KI-Systems bereitzustellen; Verbrauchern die Möglichkeit zu geben, vom KI-System verwendete falsche personenbezogene Daten zu korrigieren; und Verbrauchern die Möglichkeit einer menschlichen Überprüfung (mit Widerspruchsrecht) nachteiliger folgenreicher Entscheidungen zu geben.

Das Gesetz verlangt von Betreibern außerdem, den Colorado Attorney General innerhalb von 90 Tagen nach der Entdeckung zu benachrichtigen, dass ein hochriskantes KI-System eine algorithmische Diskriminierung verursacht hat. Diese Meldepflicht schafft einen starken Anreiz für eine fortlaufende Überwachung und die Erkennung von Verzerrungen.

Die Durchsetzung erfolgt durch den Colorado Attorney General, der die ausschließliche Durchsetzungsbefugnis besitzt. Es besteht kein privates Klagerecht. Der Attorney General kann Unterlassungsansprüche und zivilrechtliche Sanktionen geltend machen. Wichtig ist, dass das Gesetz eine positive Verteidigung (affirmative defence) für Entwickler und Betreiber vorsieht, die angemessene Compliance-Programme unterhalten, einschließlich der Einhaltung anerkannter Rahmenwerke für das KI-Risikomanagement wie des NIST AI RMF oder ISO 42001.

Der Colorado AI Act war einflussreich, da mehrere andere US-Bundesstaaten ähnliche Gesetze eingeführt haben. Er stellt eine bedeutende Entwicklung im Flickenteppich der US-amerikanischen KI-Regulierung dar und bietet eine Vorlage, der andere Bundesstaaten folgen oder die sie anpassen könnten.

Zentrale Anforderungen

1

Entwickler müssen Betreibern Systemdokumentation, Zusammenfassungen der Trainingsdaten und Risikoinformationen bereitstellen

2

Entwickler müssen eine öffentliche Erklärung über die hochriskanten KI-Systeme veröffentlichen, die sie entwickeln

3

Betreiber müssen eine Richtlinie und ein Programm für das Risikomanagement für hochriskante KI umsetzen

4

Betreiber müssen Folgenabschätzungen durchführen, bevor sie hochriskante KI-Systeme einsetzen

5

Verbraucher darüber informieren, dass KI für folgenreiche Entscheidungen eingesetzt wird

6

Verbrauchern eine Beschreibung des Zwecks und der Grenzen des KI-Systems bereitstellen

7

Verbrauchern ermöglichen, von KI-Systemen verwendete unrichtige personenbezogene Daten zu korrigieren

8

Menschliche Überprüfung und Widerspruch bei nachteiligen, von KI getroffenen folgenreichen Entscheidungen anbieten

9

Den Attorney General innerhalb von 90 Tagen nach Entdeckung einer algorithmischen Diskriminierung benachrichtigen

10

Eine Dokumentation führen, die die Einhaltung der Vorschriften nachweist

11

Jährliche Überprüfung und Aktualisierung der Folgenabschätzungen

12

Positive Verteidigung (affirmative defence) verfügbar für angemessene Compliance-Programme

Wichtige Termine & Zeitplan

January 2024
SB 24-205 im Senat von Colorado eingebracht
May 2024
Der Gouverneur setzt den Colorado AI Act in Kraft
February 2025
Die Colorado AI Impact Task Force gibt Empfehlungen für Änderungen heraus und befasst sich mit Unklarheiten und Compliance-Belastungen
May 2025
Das Änderungsgesetz SB 318 (zur wesentlichen Überarbeitung des Gesetzes) vom Senat von Colorado abgelehnt
August 2025
Eine außerordentliche Legislativsitzung verabschiedet SB 25B-004 und verschiebt das Inkrafttreten vom 1. Februar 2026 auf den 30. Juni 2026
30 June 2026
Das Gesetz tritt in Kraft
30 June 2026
Entwickler müssen die erforderlichen Offenlegungen verfügbar machen
30 June 2026
Betreiber müssen über Richtlinien für das Risikomanagement und Folgenabschätzungen verfügen

Wen es betrifft

  • Entwickler von KI-Systemen, die folgenreiche Entscheidungen über Einwohner Colorados treffen oder unterstützen
  • Betreiber (Unternehmen), die hochriskante KI-Systeme für folgenreiche Entscheidungen in Colorado einsetzen
  • Organisationen, die KI-gestützte Entscheidungen treffen in: Bildung, Beschäftigung, Finanzwesen, Gesundheitswesen, Wohnen, Versicherung, juristische Dienstleistungen
  • Nationale und internationale Unternehmen, die Verbrauchern in Colorado KI-gestützte Dienste anbieten
  • KI-Anbieter, die an in Colorado ansässige Unternehmen verkaufen

Häufige Fragen

Wann tritt der Colorado AI Act in Kraft?

Der Colorado AI Act tritt am 30. Juni 2026 in Kraft. Das ursprüngliche Inkrafttreten am 1. Februar 2026 wurde durch SB 25B-004 verlängert, das der Gouverneur am 28. August 2025 in Kraft setzte. Organisationen sollten vor diesem Datum über Richtlinien für das Risikomanagement, Folgenabschätzungen und Mechanismen zur Benachrichtigung der Verbraucher verfügen.

Was ist eine „folgenreiche Entscheidung“ im Sinne des Gesetzes?

Eine folgenreiche Entscheidung ist eine Entscheidung, die eine wesentliche rechtliche oder ähnlich bedeutsame Wirkung auf einen Verbraucher in Bereichen wie Bildung, Beschäftigung, Finanzdienstleistungen, öffentliche Dienste, Gesundheitswesen, Wohnen, Versicherung und juristische Dienstleistungen hat.

Gibt es ein privates Klagerecht?

Nein. Nur der Colorado Attorney General besitzt die Durchsetzungsbefugnis. Das Gesetz verlangt jedoch die Benachrichtigung des Attorney General über algorithmische Diskriminierung, wodurch Rechenschaftspflicht geschaffen wird. Die Einhaltung des NIST AI RMF oder ISO 42001 bietet eine positive Verteidigung (affirmative defence).

Regulation Updates

Stay Ahead of AI Regulations

Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.