Von Konzept zu Compliance

Vor zwei Jahren war US-KI-Regulierung größtenteils theoretisch: angekündigte Gesetze, freiwillige Leitlinien, zukunftsgerichtete Regulierungshinweise. 2026 ist das anders. Mehrere US-Bundesstaaten haben Gesetze verabschiedet und beginnen mit der Durchsetzung. Unternehmen, die mit konsequenreicher KI tätig sind, müssen sich jetzt in einem echten, wenn auch fragmentierten regulatorischen Umfeld zurechtfinden.

Colorado: aufgehoben und ersetzt, bevor es in Kraft trat

Colorados SB 24-205, eines der ersten umfassenden bundesstaatlichen KI-Gesetze, trat nie in Kraft. Nachdem der Starttermin von Februar auf den 30. Juni 2026 verschoben worden war, setzte ein Bundesgericht die Durchsetzung am 27. April 2026 aus (xAI LLC gegen Weiser; das US-Justizministerium intervenierte zur Unterstützung). Am 14. Mai 2026 unterzeichnete Gouverneur Polis dann SB 189, das den ursprünglichen Act aufhob und durch einen deutlich engeren, offenlegungsbasierten Rahmen mit Wirkung zum 1. Januar 2027 ersetzte, ohne die ursprüngliche Sorgfaltspflicht, die Risikomanagement-Programme und die Folgenabschätzungen.

Connecticut und New York

Connecticut unterzeichnete Ende Mai 2026 SB 5 (Connecticut Artificial Intelligence Responsibility and Transparency Act), nachdem beide Kammern das Gesetz Anfang Mai verabschiedet hatten. Es handelt sich nicht um ein einheitliches Hochrisiko-Regime, sondern um einen mehrteiligen Rahmen: Pflichten für Frontier-Modell-Entwickler, KI-"Begleiter"-Systeme, generative Modelle mit synthetischen Inhalten sowie automatisierte Beschäftigungsentscheidungs-Technologie, ergänzt um Jugendschutz und eine Regulierungs-Sandbox. Durchsetzung durch den Attorney General, ohne privates Klagerecht; die meisten Bestimmungen gelten ab dem 1. Oktober 2026. New York City Local Law 144 verpflichtet Arbeitgeber und Beschäftigungsagenturen, die automatisierte Beschäftigungsentscheidungstools verwenden, zu regelmäßigen Bias-Audits und Benachrichtigung, ein Modell, das andere Jurisdiktionen verfolgen.

Texas

Der Texas Responsible Artificial Intelligence Governance Act (TRAIGA, HB 149) trat am 1. Januar 2026 in Kraft. Statt Folgenabschätzungen und breiter Deployer-Pflichten verfolgt er ein vorsatzbasiertes Haftungsmodell: Er verbietet KI, die eingesetzt wird, um vorsätzlich zu diskriminieren, bestimmtes rechtswidriges Verhalten zu ermöglichen oder biometrische Daten unrechtmäßig zu erfassen, regelt die KI-Nutzung durch Behörden und ergänzt Offenlegungspflichten für staatliche Stellen und Gesundheitsdienstleister. Durchsetzung ausschließlich durch den Attorney General über ein 60-tägiges Heilungsverfahren, mit zivilrechtlichen Strafen von bis zu 200.000 US-Dollar je nicht behebbaren Verstoß. TRAIGA schafft zudem eine Regulierungs-Sandbox und verdrängt lokale KI-Verordnungen.

Das Compliance-Problem des Flickwerks

Das fundamentale Herausforderung der US-Bundesstaaten-KI-Regulierung ist die Fragmentierung. Im Gegensatz zum einheitlichen EU AI Act schafft das Bundesstaaten-Muster unterschiedliche Anforderungen je Jurisdiktion. Eine Organisation, die in Colorado, Connecticut, New York und Texas tätig ist, muss vier verschiedene regulatorische Rahmen navigieren, und kann unterschiedliche KI-Governance-Dokumentations- und Berichtspflichten haben.

Die pragmatische Reaktion für die meisten Organisationen ist die Einführung eines Compliance-Programms, das auf den strengsten anwendbaren Anforderungen basiert, und seine Anwendung auf alle Operationen. Das ist weniger effizient als eine einzelne Jurisdiktions-Compliance, ist aber tragfähiger als der Versuch, nach Bundesstaat zu differenzieren.