Colorado AI Act · SB 24-205

Colorado AI Act (SB 24-205) Compliance

Das erste umfassende US-Bundesstaaten-KI-Gesetz. Bereitsteller und Entwickler von Hochrisiko-KI muessen algorithmische Diskriminierung verhindern, Folgenabschaetzungen durchfuehren, Verbraucher informieren und eine Affirmative Defense ueber NIST AI RMF oder ISO 42001 aufrechterhalten.

Inkrafttreten
1. Feb. 2026
Heilungsfrist
60 Tage
Aufsicht
Generalstaatsanwalt
Compliance-Bewertung startenImplementierungsgespraech buchen

Was ist der Colorado AI Act?

Der Colorado Artificial Intelligence Act (Senate Bill 24-205) ist das erste umfassende US-Bundesstaatengesetz zur Regulierung kuenstlicher Intelligenz-Systeme. Am 17. Mai 2024 unterzeichnet, legt es Pflichten fuer Entwickler und Bereitsteller von Hochrisiko-KI-Systemen in folgenschweren Entscheidungen fest.

Warum das wichtig ist: Colorados Gesetz setzt einen Praezedenzfall fuer die US-KI-Regulierung. Es konzentriert sich auf die Vermeidung algorithmischer Diskriminierung und bietet gleichzeitig Affirmative Defenses fuer Organisationen, die anerkannte KI-Risikomanagement-Rahmenwerke uebernehmen.

Inkrafttreten

1. Februar 2026

Affirmative Defense

NIST AI RMF- oder ISO 42001-Compliance

Ergaenzt die NIST AI RMF-Implementierung und EU AI Act-Compliance.

Wer muss compliant sein?

Bereitsteller, die KI in folgenschweren Entscheidungen einsetzen

Organisationen, die Hochrisiko-KI fuer Beschaeftigung, Bildung, Finanzen, Gesundheit, Wohnen, Versicherung, Recht oder Regierungsdienste einsetzen

KI-Systementwickler

Unternehmen, die KI-Systeme entwickeln oder wesentlich modifizieren, die fuer den Einsatz in Colorado bestimmt sind

Arbeitgeber mit KI-Einstellungstools

Unternehmen, die algorithmische Systeme fuer Lebenslauf-Screening, Kandidatenbewertung oder Einstellungsentscheidungen einsetzen

Finanzinstitute

Kreditgeber und Finanzdienstleister, die KI fuer Kreditentscheidungen, Kreditgenehmigungen oder Finanzdienstleistungen einsetzen

Gesundheitsdienstleister

Organisationen, die KI fuer Diagnose, Behandlungsempfehlungen oder Gesundheitsversorgung einsetzen

Regierungsbehoerden

Staatliche und lokale Behoerden in Colorado, die KI-Systeme einsetzen, die Einwohner betreffen

Wie VerifyWise die Colorado AI Act-Compliance unterstuetzt

VerifyWise bietet ein Colorado SB 24-205 Preset im Folgenabschaetzungsmodus mit strukturierten Bewertungsvorlagen fuer jeden vom Gesetz geforderten Abschnitt

Colorado SB 205-Anforderung
VerifyWise-Abdeckung
Folgenabschaetzung fuer algorithmische Diskriminierung
Strukturierte Vorlage fuer Folgenabschaetzungen mit dedizierten Abschnitten fuer jede gesetzliche Anforderung
Abdeckung von 13 geschuetzten Klassen
Vorkonfigurierte Kategorien einschliesslich Rasse, Geschlecht, Behinderung, Alter, Geschlechtsidentitaet und mehr
NIST AI RMF Alignment-Dokumentation
Dedizierter Bewertungsabschnitt fuer NIST AI RMF Alignment-Nachweise
Risikoanalyse- und Minderungsaufzeichnungen
Erforderliche Metadatenfelder fuer Risikoanalyse, Leistungsmetriken und Minderungsmassnahmen

Weitere Compliance-Faehigkeiten

Risikomanagement-Richtlinienrahmen

Erstellen Sie Colorado-konforme Risikomanagement-Richtlinien zur Vermeidung algorithmischer Diskriminierung. Die Plattform pflegt die gemaess SB 24-205 erforderliche Dokumentation und Richtlinienstruktur fuer Bereitsteller und Entwickler.

Adressiert: Bereitstellerpflicht: Risikomanagement-Richtlinie und -Programm

Workflows fuer Folgenabschaetzungen

Fuehren Sie Folgenabschaetzungen zur algorithmischen Diskriminierung fuer Hochrisiko-KI-Systeme durch und dokumentieren Sie diese. Die Plattform erfasst Zweck, Bereitstellungsmetriken, Transparenzmassnahmen und Risikominderungs-Dokumentation, die vor der Bereitstellung erforderlich sind.

Adressiert: Bereitstellerpflicht: Folgenabschaetzung vor Bereitstellung

Verbraucherbenachrichtigungs-Management

Verfolgen Sie Verbraucherbenachrichtigungspflichten fuer folgenschwere Entscheidungen. Die Plattform hilft zu erkennen, wann Benachrichtigungen erforderlich sind, und pflegt Aufzeichnungen ueber die Einhaltung der Offenlegungspflichten fuer Hochrisiko-KI-Systeme.

Adressiert: Bereitstellerpflicht: Verbraucherbenachrichtigung und Opt-out

Planung jaehrlicher Pruefungen

Planen und dokumentieren Sie jaehrliche Pruefungen von Hochrisiko-KI-Systemen. Die Plattform verfolgt Pruefungsfristen, pflegt historische Pruefungsaufzeichnungen und gewaehrleistet kontinuierliche Compliance mit laufenden Ueberwachungsanforderungen.

Adressiert: Bereitstellerpflicht: Jaehrliche Pruefungen der Folgenabschaetzungen

Entwickler-Dokumentations-Tracking

Pflegen Sie Dokumentation zu KI-System-Faehigkeiten, bekannten Einschraenkungen, Hochrisiko-Anwendungsfaellen und Datennutzung. Die Plattform generiert die technische Dokumentation, die Entwickler gemaess Colorado-Gesetz den Bereitstellern zur Verfuegung stellen muessen.

Adressiert: Entwicklerpflicht: Dokumentation und Offenlegung

Vorbereitung der Affirmative Defense

Weisen Sie die Einhaltung von NIST AI RMF oder ISO 42001 nach, um eine Affirmative Defense gegen Strafen zu etablieren. Die Plattform ordnet Ihre Kontrollen anerkannten Rahmenwerken zu und generiert Nachweispakete fuer Durchsetzungsverfahren.

Adressiert: Beide Rollen: Affirmative Defense durch Framework-Compliance

Alle Compliance-Aktivitaeten enthalten Zeitstempel, zugewiesene Verantwortliche und Audit-Trails. Diese systematische Dokumentation belegt Compliance-Bemuehungen in gutem Glauben und unterstuetzt die Vorbereitung der Affirmative Defense.

Vollstaendige Abdeckung der Colorado AI Act-Anforderungen

VerifyWise bietet dedizierte Tools fuer alle Compliance-Pflichten

12

Compliance-Anforderungsbereiche

12

Bereiche mit dediziertem Tooling

100%

Abdeckung der Kernpflichten

Risikomanagement4/4

Richtlinien, Bewertungen, Pruefungen, Dokumentation

Folgenabschaetzungen3/3

Zweck, Nutzen, Bereitstellungsmetriken

Verbraucherbenachrichtigungen2/2

Hochrisiko-Offenlegung, Opt-out-Rechte

Jaehrliche Compliance3/3

Jaehrliche Pruefungen, Updates, Aufzeichnungen

Von Grund auf fuer Colorado AI Act-Compliance entwickelt

Tracking algorithmischer Diskriminierung

Ueberwachung auf Diskriminierung ueber geschuetzte Klassen

Vorlagen fuer Folgenabschaetzungen

Colorado-spezifische Vorlagen mit allen erforderlichen Elementen

Vorbereitung Affirmative Defense

NIST AI RMF- und ISO 42001-Compliance-Nachweispakete

Multi-State-Compliance

Integrierte Sicht ueber Colorado, Texas und Bundesanforderungen

Zentrale Compliance-Anforderungen

Kernpflichten unter dem Colorado AI Act

Vermeidung algorithmischer Diskriminierung

Hochrisiko-KI-Systeme duerfen bei folgenschweren Entscheidungen nicht auf Basis geschuetzter Klassen diskriminieren.

  • Protokolle zur Diskriminierungsvermeidung
  • Ueberwachung geschuetzter Klassen
  • Systeme zur Bias-Erkennung
  • Verfahren fuer Korrekturmassnahmen

Folgenabschaetzungen

Bereitsteller muessen vor dem Einsatz von Hochrisiko-KI-Systemen in folgenschweren Entscheidungen Folgenabschaetzungen durchfuehren.

  • Zweck- und Anwendungsfalldokumentation
  • Nutzen- und Kostenanalyse
  • Bereitstellungs- und Nutzungsmetriken
  • Transparenz der Datenverwaltung

Verbraucherbenachrichtigungen

Verbraucher muessen benachrichtigt werden, wenn Hochrisiko-KI-Systeme in folgenschweren Entscheidungen eingesetzt werden, die sie betreffen.

  • Klare Offenlegungspflichten
  • Bereitstellung von Opt-out-Mechanismen
  • Alternative Entscheidungsmoeglichkeiten
  • Erklaerung des KI-Systemzwecks

Jaehrliche Pruefungen

Folgenabschaetzungen muessen mindestens jaehrlich oder bei wesentlichen Aenderungen ueberprueft und aktualisiert werden.

  • Planung jaehrlicher Pruefungen
  • Aktualisierung von Leistungsmetriken
  • Wirksamkeit der Risikominderung
  • Dokumentation von Aenderungen

Bereiche folgenschwerer Entscheidungen

Hochrisiko-KI-Systeme sind solche, die in Entscheidungen eingesetzt werden, die diese Bereiche wesentlich betreffen

Beschaeftigung

Einstellung, Kuendigung, Befoerderung, Verguetung, Arbeitszuweisung

Bildung

Einschreibung, Stipendien, Finanzhilfen, Zulassungen

Finanzdienstleistungen

Kredit, Kreditvergabe, Kreditgenehmigung, Finanzprodukte

Gesundheitswesen

Diagnose, Behandlung, Versorgungszugang, Versicherungsschutz

Wohnen

Mietantraege, Mieterauswahl, Wohnungszugang

Versicherung

Preisgestaltung, Underwriting, Schadensentscheidungen, Deckung

Rechtliche Dienstleistungen

Zugang zu Rechtsvertretung, Fallbewertung

Regierungsdienste

Anspruch auf Leistungen, Zugang zu oeffentlichen Diensten

Bereitsteller- vs. Entwicklerpflichten

Unterschiedliche Anforderungen basierend auf Ihrer Rolle im KI-Lebenszyklus

Bereitsteller

Organisationen, die Hochrisiko-KI-Systeme nutzen, um folgenschwere Entscheidungen zu treffen oder wesentlich zu unterstuetzen

Kernpflichten

  • Risikomanagement-Richtlinie und -Programm implementieren
  • Folgenabschaetzungen vor der Bereitstellung durchfuehren
  • Verbraucherbenachrichtigungen bereitstellen
  • Opt-out-Mechanismen einrichten
  • Jaehrliche Pruefungen durchfuehren
  • Compliance-Dokumentation pflegen
  • Diskriminierungsentdeckungen an den AG melden
Compliance-Frist: 1. Februar 2026

Entwickler

Personen oder Unternehmen, die KI-Systeme entwickeln oder absichtlich und wesentlich modifizieren

Kernpflichten

  • Allgemeine Informationserklaerung bereitstellen
  • Bekannte Einschraenkungen dokumentieren
  • Beabsichtigte Hochrisiko-Verwendungen identifizieren
  • Anforderungen an die Datennutzung offenlegen
  • Bereitsteller-Managementmaterialien bereitstellen
  • Dokumentation oeffentlich zugaenglich machen
  • Diskriminierungsentdeckungen an den AG melden
Compliance-Frist: 1. Februar 2026

12-Monats-Implementierungsfahrplan

Ein praktischer Weg zur Colorado AI Act-Compliance vor dem 1. Februar 2026

Phase 1Monate 1-3

Inventar und Klassifizierung

  • Alle eingesetzten KI-Systeme identifizieren
  • Hochrisiko- vs. Nicht-Hochrisiko-Systeme klassifizieren
  • Bereitsteller- vs. Entwicklerrollen bestimmen
  • Folgenschwere Entscheidungspunkte identifizieren
  • Governance-Komitee einrichten
Phase 2Monate 4-6

Risikomanagement-Grundlagen

  • Risikomanagement-Richtlinie entwickeln
  • Vorlagen fuer Folgenabschaetzungen erstellen
  • Verbraucherbenachrichtigungsprozesse gestalten
  • Opt-out-Mechanismen einrichten
  • Dokumentationssysteme implementieren
Phase 3Monate 7-10

Folgenabschaetzungen

  • Folgenabschaetzungen fuer Hochrisiko-Systeme durchfuehren
  • Zweck und Nutzen dokumentieren
  • Bereitstellungsmetriken analysieren
  • Diskriminierungsrisiken bewerten
  • Minderungsmassnahmen implementieren
Phase 4Monate 11-12

Compliance-Aktivierung

  • Verbraucherbenachrichtigungssysteme aktivieren
  • Opt-out-Mechanismen bereitstellen
  • Jaehrliche Pruefungszyklen planen
  • Mitarbeiter zu Pflichten schulen
  • Nachweise fuer Affirmative Defense vorbereiten

Strafen und Durchsetzung

Die Durchsetzungslandschaft und Affirmative Defenses verstehen

Durchsetzung durch den Colorado Attorney General

Der Colorado Attorney General hat die alleinige Durchsetzungsbefugnis unter dem Gesetz. Kein privates Klagerecht verfuegbar. Der AG kann Verstoesse untersuchen, zivilrechtliche Ermittlungsanordnungen erlassen und Durchsetzungsmassnahmen bei Nichteinhaltung einleiten. Kontaktieren Sie das AG-Buero unter coag.gov.

Bereitsteller-Verstoesse

20.000 $ pro Verstoss

Pro betroffener folgenschwerer Entscheidung

Entwickler-Verstoesse

20.000 $ pro Verstoss

Pro betroffenem Bereitsteller

Diskriminierungsentdeckung (Nichtmeldung)

Zusaetzliche Strafen

Fuer Nichtbenachrichtigung des AG innerhalb von 90 Tagen

Nachbesserungsfrist verfuegbar

60 Tage zur Nachbesserung

Erster Verstoss bei Compliance in gutem Glauben

Affirmative Defense durch Framework-Compliance

Organisationen, die im Wesentlichen einem anerkannten KI-Risikomanagement-Rahmenwerk entsprechen und weiterhin angemessene Compliance-Bemuehungen unternehmen, koennen eine Affirmative Defense gegen monetaere Strafen etablieren (jedoch nicht gegen andere Durchsetzungsmassnahmen).

NIST AI RMF

Einhaltung des NIST AI Risk Management Framework

Anwendungsfall: Demonstriert systematischen Risikomanagement-Ansatz

VerifyWise: Vollstaendige NIST AI RMF-Implementierung und Nachweiserstellung

ISO 42001

Zertifizierung nach ISO 42001 AI Management System

Anwendungsfall: Zeigt anerkannten internationalen KI-Governance-Standard

VerifyWise: ISO 42001-Bereitschaftsbewertung und Controls-Mapping

Richtlinienvorlagen

Colorado AI Act Richtlinienvorlagen

Zugriff auf gebrauchsfertige Richtlinienvorlagen, abgestimmt auf Colorado AI Act-Anforderungen, NIST AI RMF und ISO 42001

Bereitsteller-Richtlinien

  • • Risikomanagement-Richtlinie
  • • Folgenabschaetzungs-Richtlinie
  • • Verbraucherbenachrichtigungs-Richtlinie
  • • Opt-out-Verfahren
  • • Jaehrliche Pruefungsrichtlinie
  • • Diskriminierungsmeldung
  • + 3 weitere Richtlinien

Entwickler-Richtlinien

  • • Dokumentationsstandards
  • • Offenlegung bekannter Einschraenkungen
  • • Richtlinie fuer Hochrisiko-Anwendungsfaelle
  • • Anforderungen an die Datennutzung
  • • Bereitsteller-Supportmaterialien
  • • Richtlinie fuer oeffentliche Informationen
  • + 2 weitere Richtlinien

Gemeinsame Richtlinien

  • • Vermeidung algorithmischer Diskriminierung
  • • Ueberwachung geschuetzter Klassen
  • • Bias-Erkennung & -Minderung
  • • AG-Meldeverfahren
  • • Vorbereitung Affirmative Defense
  • • Multi-State-Compliance
  • + 4 weitere Richtlinien
Alle Richtlinienvorlagen durchsuchen

Haeufig gestellte Fragen

Gaengige Fragen zur Colorado AI Act-Compliance

Der Colorado Artificial Intelligence Act (SB 24-205) wurde am 17. Mai 2024 unterzeichnet und tritt am 1. Februar 2026 in Kraft. Organisationen haben bis zu diesem Datum Zeit, Compliance-Programme einzurichten. Siehe den offiziellen Gesetzestext unter leg.colorado.gov/bills/sb24-205.
Ein Hochrisiko-KI-System ist jedes KI-System, das bei Bereitstellung folgenschwere Entscheidungen trifft oder ein wesentlicher Faktor dabei ist. Folgenschwere Entscheidungen umfassen solche, die Beschaeftigung, Bildung, Finanzdienstleistungen, Gesundheitswesen, Wohnen, Versicherung, Rechtsdienste oder staatliche Leistungen und Dienste betreffen.
Sie sind Bereitsteller, wenn Sie ein Hochrisiko-KI-System nutzen, um folgenschwere Entscheidungen in Colorado zu treffen. Sie sind Entwickler, wenn Sie KI-Systeme erstellen oder wesentlich modifizieren, die als Hochrisiko-Systeme eingesetzt werden sollen. Einige Organisationen koennen sowohl Bereitsteller (fuer KI, die sie nutzen) als auch Entwickler (fuer KI, die sie bauen) sein.
Bereitsteller muessen Risikomanagement-Richtlinien implementieren, Folgenabschaetzungen durchfuehren, Verbraucher benachrichtigen und Opt-out-Mechanismen bereitstellen. Entwickler muessen Dokumentation bereitstellen, bekannte Einschraenkungen offenlegen, Hochrisiko-Verwendungen identifizieren und bestimmte Informationen oeffentlich zugaenglich machen. Beide muessen Diskriminierungsentdeckungen dem Colorado Attorney General melden.
Algorithmische Diskriminierung liegt vor, wenn ein KI-System unrechtmaessig in Behandlung oder Auswirkung auf Basis geschuetzter Klassifizierungen wie Alter, Rasse, Behinderung, Ethnizitaet, Religion, Geschlecht oder andere nach Colorado- oder Bundesrecht geschuetzte Klassen differenziert. Das Gesetz verbietet dies in folgenschweren Entscheidungen.
Folgenabschaetzungen muessen den Zweck des KI-Systems, beabsichtigte Anwendungsfaelle und Nutzen, Kategorien verarbeiteter Daten, bekannte Einschraenkungen, Transparenzmassnahmen, Metriken zur Leistungs- und Fairness-Bewertung, Risikominderungsschritte und Ueberwachungsverfahren nach der Bereitstellung dokumentieren. Bewertungen muessen jaehrlich ueberprueft werden.
Wenn Sie Hochrisiko-KI-Systeme in folgenschweren Entscheidungen einsetzen, muessen Sie betroffene Verbraucher klar und auffaellig benachrichtigen. Die Benachrichtigung muss erklaeren, dass KI verwendet wird, den Zweck des Systems, die Art der folgenschweren Entscheidung und wie man sich abmelden oder ein alternatives Verfahren anfordern kann.
Bereitsteller muessen Verbrauchern die Moeglichkeit geben, sich vom Profiling abzumelden, das Entscheidungen mit rechtlichen oder aehnlich bedeutsamen Auswirkungen foerdert. Dies bedeutet, einen alternativen menschenbasierten Entscheidungsprozess anzubieten, wenn Verbraucher dies anfordern, obwohl begrenzte Ausnahmen gelten.
Ja. Wenn Sie im Wesentlichen einem anerkannten Risikomanagement-Rahmenwerk wie NIST AI RMF oder ISO 42001 entsprechen und weiterhin angemessene Bemuehungen zur Einhaltung des Gesetzes unternehmen, koennen Sie eine Affirmative Defense gegen Strafen etablieren. Dies eliminiert keine Durchsetzungsmassnahmen, schuetzt aber vor finanziellen Strafen.
Das Gesetz gilt, wenn Hochrisiko-KI-Systeme zur Treffung folgenschwerer Entscheidungen bezueglich Colorado-Einwohnern verwendet werden, unabhaengig davon, wo sich der Bereitsteller oder Entwickler befindet. Wenn Ihre KI-Systeme Personen in Colorado in abgedeckten Entscheidungsbereichen betreffen, muessen Sie compliant sein.
Sowohl Bereitsteller als auch Entwickler muessen den Colorado Attorney General innerhalb von 90 Tagen nach Entdeckung benachrichtigen, dass ein Hochrisiko-KI-System algorithmische Diskriminierung verursacht hat. Das AG-Buero ist ueber coag.gov erreichbar. Die Nichtmeldung kann zu zusaetzlichen Strafen fuehren.
Ja. Das Gesetz befreit KI-Systeme, die ausschliesslich zur Erkennung, Verhuetung oder Untersuchung von Betrug eingesetzt werden; enge verfahrenstechnische Aufgaben ausfuehren; Anti-Malware-/Cybersicherheitsfunktionen durchfuehren; und bestimmte KI, die in Uebereinstimmung mit Bundesgesetzen verwendet wird. Finanzinstitute, die bundesstaatliche KI-Risikomanagement-Anforderungen erfuellen, erhalten ebenfalls begrenzte Ausnahmen.
Waehrend Colorado sich auf algorithmische Diskriminierung in folgenschweren Entscheidungen konzentriert, verwendet der EU AI Act ein breiteres Risikostufen-Klassifizierungssystem. Beide sind risikobasierte Ansaetze. Organisationen, die global taetig sind, sollten Kontrollen implementieren, die die Anforderungen beider Rahmenwerke erfuellen.
Sie muessen Folgenabschaetzungen, Risikomanagement-Richtlinien, Verbraucherbenachrichtigungen, Opt-out-Anfragen und -Antworten, jaehrliche Pruefungsdokumentation und Aufzeichnungen ueber Diskriminierungsentdeckungen und Abhilfemassnahmen pflegen. Diese Aufzeichnungen koennen vom Colorado Attorney General bei Durchsetzungsmassnahmen angefordert werden.
Ja, VerifyWise bietet Workflows fuer Folgenabschaetzungen, Vorlagen fuer Risikomanagement-Richtlinien, Tracking von Verbraucherbenachrichtigungen, Planung jaehrlicher Pruefungen und Vorbereitung der Affirmative Defense. Wir ordnen Ihre Kontrollen NIST AI RMF und ISO 42001 zu, um den Schutz der Affirmative Defense zu etablieren.

Bereit fuer die Colorado AI Act-Compliance?

Starten Sie Ihren Compliance-Weg mit unserer Colorado AI Act-Bewertung und Implementierungstools. Bereiten Sie sich vor dem Inkrafttreten am 1. Februar 2026 vor.

Compliance-Bewertung startenBeratung vereinbaren
Colorado AI Act (SB 24-205) compliance: deadlines, cure period, affirmative defense