Wie Bundesstaaten bei der Regulierung von KI eine Vorreiterrolle übernehmen

Das vergangene Jahr war eines der größten in der KI, seit Wissenschaftler das Konzept Ende der 1940er Jahre erstmals vorschlugen. KI-Anbieter haben weiterhin Innovationen hervorgebracht, es erscheinen regelmäßig leistungsfähigere KI-Modelle, und Technologieanbieter sind eifrig dabei, diese in ihre Kernangebote zu integrieren. Während das Weiße Haus eine Executive Order Es gibt zwar keine Möglichkeit, dieser mächtigen Technologie gewisse Schutzwälle aufzuerlegen, aber ohne die Unterstützung des Kongresses ist sie nur begrenzt machbar, und die Gesetzgeber haben bisher kaum etwas unternommen, um zu helfen. Auf Bundesebene gibt es noch immer keine übergreifende KI-Regulierung.

Dies hat die Regierungen der Bundesstaaten dazu veranlasst, das Vakuum zu füllen, und sie haben sich dieser Herausforderung gestellt. Laut der Business Software Alliance haben die Gesetzgeber der Bundesstaaten eingeführt 440 % mehr KI-bezogene Gesetzesentwürfe im Jahr 2023 als im Vorjahr. Diese Gesetze haben eine Reihe KI-bezogener Probleme untersucht, darunter das Potenzial für Voreingenommenheit, Transparenz darüber, welche Daten zum Trainieren von KI-Systemen verwendet werden, und spezifische Bedrohungen wie Deepfakes.

Eine Flut staatlicher Maßnahmen

Die Regulierungsmaßnahmen der einzelnen Bundesstaaten sind sehr unterschiedlich. Einige, wie etwa Texas, haben sich auf den Einsatz von KI durch den Staat selbst konzentriert. House Bill 2060, das im letzten Jahr in Kraft getreten ist, richtete einen KI-Beirat ein, der den Einsatz von KI-Systemen durch den Staat überprüfen und den Bedarf für einen Ethikkodex beurteilen soll.

Andere KI-Regulierungen betreffen die private Nutzung dieser Systeme und sind oft in Verbraucherschutzgesetze eingebettet. SB619, das am 1. Juli dieses Jahres in Kraft tritt, enthält eine Opt-out-Klausel für Daten, die für automatisiertes Profiling verwendet werden. Montanas SB384 Das im Februar 2023 eingeführte Verbraucherdatenschutzgesetz enthält eine ähnliche Bestimmung, ebenso wie Virginias Verbraucherschutzgesetz und New Hampshires SB255. All diese Gesetze wurden bereits erlassen, ebenso wie das Gesetz von Tennessee. HB1181, das Datenschutzbewertungen zur Datenprofilierung vorschreibt.

Einige konzentrieren sich auf generative KI. Utahs SB149, das im März dieses Jahres in Kraft getreten ist, schreibt vor, dass Personen informiert werden müssen, wenn sie mit KI zu tun haben - einem regulierten Beruf (für den eine Lizenz oder ein staatliches Zertifikat erforderlich ist).

Andere Bundesstaaten haben versucht, über Opt-out-Bestimmungen für Profilerstellung hinauszugehen und weitere KI-bezogene Schutzmaßnahmen einzuführen. Connecticut, das im vergangenen Jahr eine solche Bestimmung in seinem Connecticut Privacy Act durchgesetzt hat, versuchte sich mit einem weiteren Gesetz – SB2 –, das die Entwicklung automatisierter Entscheidungstools und KI-Systeme selbst geregelt hätte. Es hätte eine umfassende Dokumentation solcher Systeme und ihres Verhaltens sowie der während der Entwicklung verwendeten Daten (dazu gehörten auch Trainingsdaten) verlangt. Es hätte auch Risikobewertungen rund um ihren Einsatz sowie Transparenz verlangt.

Der Senat des Staates Connecticut hat das Gesetz SB2 verabschiedet, es kam jedoch bis zur Frist im Mai nicht zur Abstimmung im Repräsentantenhaus, was teilweise auf die Ankündigung des Gouverneurs von Connecticut, Ned Lamont, zurückzuführen war, das Gesetz mit einem Veto abzulehnen.

Colorado hatte jedoch mehr Glück dabei, die Grenzen der KI-Regulierung zu verschieben. Eine Woche, nachdem SB2 an der letzten Hürde gescheitert war, verabschiedete der Gesetzgeber des Staates Colorado SB24-205, das speziell KI regelt. Das Gesetz führt einen ethischen Rahmen für die Entwicklung von KI-Systemen mit hohem Risiko ein, erzwingt die Offenlegung ihrer Verwendung und gibt Verbrauchern die Möglichkeit, ihre Ergebnisse anzufechten und alle vom KI-System verwendeten personenbezogenen Daten zu korrigieren. KI-Systeme mit hohem Risiko, die laut Gesetz zu „folgenreichen Entscheidungen“ führen, werden außerdem einer Risikobewertung und jährlichen Überprüfung unterzogen.

Andere Staaten haben sich auf spezifische Anwendungen von KI konzentriert. Im Jahr 2020 verabschiedete Illinois 820 ILCS 42/1 (das Gesetz über Videointerviews mit künstlicher Intelligenz), das potenzielle Arbeitgeber dazu zwingt, die Zustimmung der Bewerber einzuholen, wenn sie KI zur Analyse ihrer Videointerviews verwenden.

Es gibt noch weitere aggressive Gesetzesentwürfe in der Pipeline. Im Mai verabschiedete der Senat von Kalifornien SB1047 mit 32 zu 31 Stimmen. Dieser Gesetzentwurf, der bis zum XNUMX. August von der Staatsversammlung verabschiedet werden muss, spiegelt einige der Maßnahmen der Executive Order des Weißen Hauses zur KI wider. Insbesondere schreibt er Sicherheitsmaßnahmen wie Red-Teaming und Cybersicherheitstests für große KI-Modelle vor. Er würde ein eigenes Amt zur Regulierung der KI sowie eine öffentliche Cloud zum Trainieren von KI-Modellen schaffen und sicherstellen, dass in KI-Modelle ein „Kill Switch“ eingebaut wird, um sie zu deaktivieren, falls etwas schiefgeht.

Solange die Bundesgesetzgeber untätig bleiben, werden weiterhin Gesetze auf Landesebene auftauchen, die die Grenzen der KI-Regulierung verschieben. Es gab einige vielversprechende Schritte, wie die Einführung des SAFE Innovation Framework von Senator Schumer zur Untersuchung des verantwortungsvollen Einsatzes von KI. Diese Initiative kommt jedoch nur im Schneckentempo voran. Ein vorgeschlagener Bundesgesetz zum Risikomanagement bei künstlicher Intelligenz würde die Bundesbehörden auch dazu zwingen, das NIST AI Risk Management Framework zu übernehmen und Richtlinien für die KI-Beschaffung für Behörden zu erstellen. Im Moment sind jedoch die Bundesstaaten die treibenden Kräfte.

Wie können Sie sich vorbereiten?

Wie können sich Unternehmen auf die zunehmende Flickenteppiche staatlicher Regulierungen rund um KI vorbereiten? Die Norm ISO 42001 dient als nützliche Referenz. Sie beschreibt die Anforderungen an ein Artificial Intelligence Management System (AIMS), das Richtlinien, Verfahren und Ziele als Teil einer Governance-Struktur für den Einsatz von KI-Systemen umfasst. Sie fordert außerdem Transparenz und Verantwortlichkeit bei KI-basierten Entscheidungen und hilft Unternehmen dabei, KI-bezogene Risiken zu identifizieren und zu mindern.

Angesichts der zunehmenden Zahl staatlicher Vorschriften ist ein ISO-Standard ein Maßstab, der in einer für die KI-Regulierung unsicheren Zeit gute Vorgehensweisen und Weitsicht demonstriert.