Orientierung in den US-amerikanischen KI-Vorschriften: Ein Leitfaden zur Einhaltung gesetzlicher KI-Vorschriften

Einführung: Die Landschaft der Einhaltung gesetzlicher Vorschriften durch KI

Im Gegensatz zur Europäischen Union haben die Vereinigten Staaten noch kein umfassendes Bundesgesetz zur Einhaltung der KI-Vorschriften verabschiedet. Das heißt nicht, dass Amerika ein künstlicher „Wilder Westen“ ist. Immer mehr US-Bundesstaaten haben KI-spezifische Gesetze verabschiedet, während bestehende Gesetze, darunter der FTC Act, der Americans with Disabilities Act (ADA) und Verbraucherschutzgesetze, zunehmend auf KI-Systeme angewendet werden.

Diese Frameworks prägen gemeinsam die Art und Weise, wie Unternehmen verwalten. KI-Datensicherheit, algorithmische Diskriminierung und unlautere oder irreführende Handelspraktiken verhindern.

In diesem Blog untersuchen wir, wie sich das Flickenteppich der US-amerikanischen KI-Regulierung auf Unternehmen auswirkt, wie die Einhaltung der Vorschriften in den einzelnen Bundesstaaten aussieht und wie Unternehmen ihre Unternehmensführungsstrategien an die sich ändernden rechtlichen Erwartungen anpassen können.

Den Flickenteppich verstehen: Einhaltung staatlicher KI-Vorschriften

Aus Sicht der politischen Entscheidungsträger besteht das größte Risiko von KI in ihrer autonomen Entscheidungsfindung. Diese Systeme können unabhängig, oft undurchsichtig, agieren und haben tiefgreifende Auswirkungen auf die Rechte der Menschen.

Um Risiko und Innovation in Einklang zu bringen, wurde mit dem KI-Gesetz der EU ein risikobasierter Rahmen geschaffen. Während die US-Bundesregierung diesem Beispiel noch nicht folgen muss, sind die KI-Gesetze auf Bundesstaatsebene wegweisend.

Colorado: Ein Modell für eine umfassende KI-Regulierung

Der 2024 erlassene Anti-Discrimination in AI Act (CAIA) von Colorado ist das umfassendste Beispiel für einen KI-Regulierungsrahmen in den Vereinigten Staaten.

Wichtige Bestimmungen von CAIA:

• KI-Systeme mit hohem Risiko werden als Systeme definiert, die in der Lage sind, „wichtige Entscheidungen“ in Bereichen wie Beschäftigung, Gesundheitswesen, Bildung, Wohnen und Finanzen zu treffen.
  
  
• Entwickler und Bereitsteller müssen Risiken dokumentieren, sich an anerkannte Frameworks wie NIST AI RMF oder ISO 42001 orientieren und jährliche KI-Folgenabschätzungen durchführen.
  
  
• Zu den Rechten des Einzelnen gehört die Fähigkeit, zu erfahren, wann KI zu einer Entscheidung beiträgt, Fehler zu korrigieren und einen menschlichen Gutachter einzuholen.
  
  

Colorados Ansatz könnte zu einer Vorlage für andere Bundesstaaten werden, was die wachsende Erwartung widerspiegelt, dass KI-Entwickler KI-Datensicherheits- und Rechenschaftsmechanismen in Design und Bereitstellung integrieren.

Divergente Wege: Wie Staaten KI-Compliance definieren

Neben Colorado haben Bundesstaaten wie Utah, Texas, Kalifornien und New York engere Gesetze zur Einhaltung der KI-Vorschriften in bestimmten Branchen verabschiedet.

Utah

Verlangt von den Bereitstellern, die Benutzer bei „Interaktionen mit hohem Risiko“ zu informieren, insbesondere bei der Erfassung biometrischer, finanzieller oder Gesundheitsdaten.

Texas

Verbietet sowohl staatlichen als auch privaten Einrichtungen, KI für soziale Bewertungen oder biometrische Überwachung zu verwenden, und verbietet Systeme, die Personen manipulieren oder schädigen.

Diese Beispiele unterstreichen einen wichtigen Trend. Transparenz und Offenlegung haben sich zu universellen Compliance-Prinzipien entwickelt. Unternehmen müssen zunehmend offenlegen, wann Benutzer mit KI interagieren, und sicherstellen, dass die Ergebnisse eindeutig als KI-generierte Inhalte gekennzeichnet sind.

Wie bestehende Gesetze die Einhaltung gesetzlicher Vorschriften im Bereich KI beeinflussen

Während einige Gesetze zur Einhaltung von KI-Vorschriften sind neu, viele rechtliche Rahmenbedingungen schränken KI-Praktiken bereits ein. Gerichte und Aufsichtsbehörden wenden Verbraucherschutz-, Antidiskriminierungs- und Datenschutzgesetze auf KI an und schaffen so effektiv ein sich ständig weiterentwickelndes, vielschichtiges Compliance-Umfeld.

1. Verbraucherschutz und KI-Datensicherheit

Behörden wie die FTC und CFPB gehen hart gegen manipulative oder irreführende KI-Praktiken vor, einschließlich sogenannter „dunkler Muster“. Dazu gehören Algorithmen zur Personalisierung von Inhalten auf Social-Media-Plattformen, die gefährdete Nutzer auf gefährliche Inhalte weiterleiten, sowie KI-gestützte Apps für persönliche Finanzen, die Ersparnisse oder Anlagerenditen versprechen, für die Endnutzer jedoch Überziehungsgebühren oder andere Kosten nach sich ziehen.

2. Antidiskriminierung in der Beschäftigung

Fälle wie Mobley gegen Workday zeigen Sie, wie KI-gestützte Einstellungsinstrumente zu einer Haftung gemäß dem Civil Rights Act, dem ADA und dem Age Discrimination in Employment Act führen können. Gerichte signalisieren, dass KI-Anbieter wie Arbeitgeber behandelt und für algorithmische Vorurteile zur Rechenschaft gezogen werden können.

3. Datenschutz, Datenschutz und Gesichtserkennung

In ACLU gegen Clearview AI, entschied das Gericht, dass das Auskratzen öffentlicher Bilder zum Training eines Gesichtserkennungsmodells gegen den Biometric Information Privacy Act (BIPA) von Illinois verstößt. In ähnlicher Weise sah sich Rite Aid mit einer FTC-Durchsetzungsmaßnahme konfrontiert, weil es Gesichtserkennung auf eine Weise eingesetzt hatte, die zu diskriminierenden Ergebnissen führte.

Diese Fälle verstärken die Notwendigkeit strenger KI-Datensicherheitskontrollen, transparenter Datenerfassungsrichtlinien und ethischer KI-Governance-Rahmenbedingungen.

Geistiges Eigentum und faire Nutzung: Die nächste Grenze

KI-Entwickler sehen sich auch mit Klagen wegen Urheberrechtsverletzungen und Datennutzung im Modelltraining konfrontiert.

• Thomson Reuters gegen Ross Intelligence: Das Kopieren rechtlicher Hinweise zur Schulung eines Konkurrenzprodukts wurde nicht als faire Verwendung angesehen.
  
  
• Bartz gegen Anthropic: Die Verwendung urheberrechtlich geschützter Materialien für die Ausbildung eines LLM galt als fair use, da es sich bei den Ergebnissen um transformative und nicht um Reproduktionen handelte.
  
  

Die geteilten Entscheidungen verdeutlichen eine zentrale Herausforderung für AI-SPM (KI-Sicherheits- und Datenschutzmanagement). Entwickler müssen sicherstellen, dass die Dateneingaben konform, rückverfolgbar und ethisch korrekt sind.

Die Zukunft der Einhaltung gesetzlicher Vorschriften durch KI

Maßnahmen des Bundes könnten kommen, aber vorerst wird die Einhaltung der Vorschriften in erster Linie von den Bundesstaaten und den bestehenden Gesetzen bestimmt. Unternehmen sollten mit einer vielschichtigen Führungsstruktur rechnen, die Folgendes kombiniert:

• Transparenz: Klare Offenlegung der KI-Nutzung und der Datenerhebungspraktiken.
  
  
• Erklärbarkeit: Die Fähigkeit, Modelllogik und Datenquellen zu beschreiben.
  
  
• Rechenschaftslegung: Governance-Frameworks, die den NIST AI RMF-, ISO 42001- oder AI-SPM-Standards entsprechen.
  
  
• Sicherheit: Umsetzung der Prinzipien „Secure-By-Design“ und „Privacy by Design“.
  
  
• Fairness: Vermeidung von irreführender Planung, Voreingenommenheit oder Schädigung gefährdeter Bevölkerungsgruppen.
  
  

Seien Sie der KI-Compliance einen Schritt voraus

Im Zuge der Weiterentwicklung der KI-Regulierung werden Unternehmen, die proaktiv KI-Compliance-Frameworks einführen, einen Wettbewerbsvorteil erzielen, indem sie das rechtliche Risiko minimieren und gleichzeitig das Vertrauen der Nutzer gewinnen.

Die KI-Sicherheitsplattform von Cyera ermöglicht es Unternehmen, KI-Datensicherheit und Compliance ganzheitlich zu verwalten, sich an globalen Standards zu orientieren und sensible Informationen vor Missbrauch zu schützen.

Eine Demo anfragen um zu erfahren, wie Cyera Ihrem Unternehmen helfen kann, im Zeitalter der KI konform und sicher zu bleiben.