ooligo
DE
English en Español es Português (Brasil) pt-BR 日本語 ja Français fr Deutsch de
Abonnieren
Tools Vergleiche Workflows Stacks Lernen
Branchen
RevOps Legal Ops Recruiting & TA Customer Success
Sprache
English Español Português (Brasil) 日本語 Français Deutsch
GitHub Abonnieren
ENTRY TYPE · definition

Colorado AI Act (SB 24-205, now SB 26-189)

By Marius Bughiu Last updated 2026-05-26 Recruiting & TA

Der Colorado AI Act begann als SB 24-205, das erste US-Bundesstaatsgesetz, das EU-AI-Act-artige Risikomanagementpflichten für “Hochrisiko-Systeme künstlicher Intelligenz” einführte, die für folgenreiche Entscheidungen in Beschäftigung, Kreditvergabe, Wohnen, Gesundheit, Bildung, Versicherungen und essenziellen staatlichen Diensten eingesetzt werden. Am 14. Mai 2026 unterzeichnete Gouverneur Jared Polis die SB 26-189, die SB 24-205 vollständig aufhob und durch ein schlankeres Offenlegungs- und Rechte-Rahmenwerk ersetzte, das auf “abgedeckte automatisierte Entscheidungstechnologie” (ADMT) abzielt. Das Ersatzgesetz tritt am 1. Januar 2027 in Kraft. Wenn Ihr Team ein Deployer ist, der AI in Hiring-Entscheidungen in Colorado einsetzt, bindet Sie die SB 26-189 — nicht der ursprüngliche SB-24-205-Text, der weiterhin in Vendor-Compliance-Decks zirkuliert.

Was der Colorado AI Act NICHT (mehr) ist

Der Colorado AI Act ist nicht mehr:

  • Ein Gesetz gegen algorithmische Diskriminierung. Die SB 26-189 hat die Sorgfaltspflicht-Bestimmungen, den Klagegrund wegen algorithmischer Diskriminierung, die verpflichtenden Impact Assessments und das Erfordernis eines AI-Risikomanagementprogramms gestrichen, die SB 24-205 ausmachten.
  • Ein EU-AI-Act-Analogon. Die SB 24-205 war am risikobasierten Regime des EU AI Act orientiert. Die SB 26-189 wendet sich von diesem Modell ab und bewegt sich auf ein Colorado-Privacy-Act-artiges Offenlegungs-Rahmenwerk zu.
  • In Kraft. Die ursprüngliche SB 24-205 sollte am 1. Februar 2026 in Kraft treten, wurde durch SB 25B-004 im August 2025 auf den 30. Juni 2026 verschoben, dann am 27. April 2026 von einem Bundesgericht pausiert (eine Klage eines AI-Entwicklers, in die das US-Justizministerium intervenierte) und schließlich von der SB 26-189 aufgehoben, bevor das Inkrafttretensdatum überhaupt erreicht wurde. Die SB 26-189 tritt am 1. Januar 2027 in Kraft.

Ein Vendor, der Ihnen im Mai 2026 ein “SB-24-205-Risikomanagementprogramm”-Attest übergibt, verkauft ein Compliance-Artefakt für ein Gesetz, das nicht mehr existiert. Die relevante Frage lautet, was die SB 26-189 am 1. Januar 2027 verlangen wird.

Wer von SB 26-189 erfasst wird

Das Gesetz erfasst Developer und Deployer abgedeckter ADMT, die in Colorado Geschäfte betreiben, sofern die ADMT personenbezogene Daten verarbeitet und eine folgenreiche Entscheidung in einem von sieben Bereichen wesentlich beeinflusst:

  • Beschäftigung (Hiring, Kündigung, Beförderung, Vergütung, Dienstplanung)
  • Bildung und Einschreibung
  • Wohnen und Wohnimmobilien
  • Finanz- und Kreditdienste
  • Versicherungen
  • Gesundheit
  • Essenzielle staatliche Dienste

Für Recruiting-Teams: Jedes AI-Tool, das eingesetzt wird, um eine Hiring-, Kündigungs-, Beförderungs-, Vergütungs- oder Dienstplan-Entscheidung über einen Bewerber oder Beschäftigten in Colorado zu filtern, zu ranken, zu bewerten oder anderweitig wesentlich zu beeinflussen, fällt in den Anwendungsbereich. Tools, die Daten ohne Scoring erfassen (Transkription, Scheduling, ATS-Routing), liegen außerhalb des Anwendungsbereichs — nach derselben Logik wie bei NYC LL 144.

Es gibt keine Mitarbeiterzahl-Schwelle und keine Ausnahme für Kleinunternehmen im erlassenen Gesetz.

Was die SB 26-189 von Deployern verlangt

Vier Pflichten sind für Recruiting-Teams relevant:

  1. Hinweis vor der Nutzung. Bevor die ADMT eingesetzt wird, um eine folgenreiche Entscheidung wesentlich zu beeinflussen, muss der Deployer dem betroffenen Consumer (Bewerber oder Beschäftigten) einen klaren und auffälligen Hinweis geben, dass eine ADMT eingesetzt wird, was sie tut und welche Daten sie verarbeitet. Eine versteckte Klausel in einer Datenschutzerklärung erfüllt das nicht — der Standard entspricht dem Hinweisstandard von LL144.
  2. Hinweis nach einer nachteiligen Entscheidung innerhalb von 30 Tagen. Wenn die ADMT zu einem nachteiligen Ergebnis beiträgt (kein Angebot, keine Beförderung, Kündigung, Ablehnung einer Leistung), muss der Deployer eine Beschreibung der Entscheidung in einfacher Sprache liefern, die Rolle der ADMT darin und Anweisungen, wie weitere Informationen angefordert werden können.
  3. Aussagekräftige menschliche Überprüfung auf Anforderung. Der Consumer kann eine menschliche Überprüfung und Neubewertung verlangen. Der Reviewer muss die Befugnis haben, zu überstimmen, muss relevante Belege berücksichtigen und muss geschult sein. Ein Recruiter, der das AI-generierte Ranking nur abnickt, erfüllt diesen Standard nicht.
  4. Drei-Jahres-Aufzeichnungen. Der Deployer hält Compliance-Aufzeichnungen — ADMT-Versionskennungen, Changelogs, Dokumentation wesentlicher Änderungen der Risikominderung — drei Jahre lang vor.

Die Developer-Pflichten (dem Deployer eine allgemeine Erklärung zu beabsichtigten und bekannten schädlichen Nutzungen, Datenkategorien, bekannten Einschränkungen und Nutzungsanweisungen bereitzustellen) sind vorgelagert. Die meisten Ops-Teams sitzen auf der Deployer-Seite, aber die Sorgfaltscheckliste des Deployers braucht jetzt die Developer-Offenlegung als Input.

Durchsetzung und die Rulemaking-Lücke

Der Attorney General von Colorado hat ausschließliche Durchsetzungskompetenz. Es gibt kein privates Klagerecht. Der Attorney General hat öffentlich erklärt, dass er die SB 26-189 nicht durchsetzen wird, bis das Rulemaking abgeschlossen ist — und das Rulemaking hat per Mai 2026 noch nicht begonnen. Das Gesetz sieht für nicht-vorsätzliche Verstöße eine Heilungsfrist vor Durchsetzungsmaßnahmen vor — 60 Tage in der verabschiedeten Fassung.

Praktische Lesart: Zwischen heute und dem 1. Januar 2027 ist die aktive rechtliche Exponierung für AI in Colorado-Hiring nicht der Colorado AI Act selbst. Es sind:

  • Bundesrechtliche Disparate-Impact-Analyse unter Title VII (bleibt unabhängig vom Auf und Ab des Bundesstaats-AI-Rechts vollständig in Kraft).
  • Der Fair Credit Reporting Act, wenn AI-Scores aus Consumer-Reporting-Agencies stammen.
  • NYC LL 144, wenn Sie Bewerber mit Wohnsitz NYC screenen.
  • Illinois AIVIA, wenn Sie AI-analysierte Video-Interviews bei Illinois-Bewerbern einsetzen.
  • Der EU AI Act für Hochrisiko-Beschäftigungs-AI, die auf EU-Bewerber angewendet wird (Hochrisiko-Pflichten unter der politischen Einigung zum Digital Omnibus der EU vom 7. Mai 2026 vorläufig auf den 2. Dezember 2027 verschoben, vorbehaltlich formaler Verabschiedung).

Der Colorado AI Act wird am 1. Januar 2027 zu einem bindenden Compliance-Artefakt — früher, wenn ein Deployer die SB-26-189-Bereitschaft als Procurement-Signal nutzen will.

Vorsicht für Recruiting-Teams

  • Das falsche Gesetz lesen. Vendor-Compliance-Seiten mit Datum vor dem 14. Mai 2026 verweisen weiterhin auf die Hochrisiko-Klassifizierung der SB 24-205, das Impact-Assessment-Template und den Klagegrund wegen algorithmischer Diskriminierung. Nichts davon bindet heute noch einen Deployer. Bestätigen Sie, dass die Compliance-Haltung des Vendors auf die SB 26-189 ausgerichtet ist, nicht auf den Vorgänger. Absicherung: Verlangen Sie vom Vendor, die Gesetzesversion zu benennen, auf die die Dokumentation abbildet, mit Zitat.
  • Nicht-Durchsetzung durch den Attorney General als Null-Exponierung behandeln. Die erklärte Absicht des Attorney General, bis zum Abschluss des Rulemaking nicht durchzusetzen, ist Politik, kein Gesetz. Das bestehende bundesrechtliche Antidiskriminierungsrecht ist davon unberührt. Absicherung: Setzen Sie Ihre Bias-Audit- und Hinweis-Haltung gegen LL144 + Title VII als Untergrenze; die SB-26-189-Vorbereitung kommt obendrauf.
  • “Abgedeckte ADMT” mit “jedem AI-Tool” verwechseln. Tools, die eine folgenreiche Entscheidung nicht wesentlich beeinflussen, sind unter SB 26-189 keine abgedeckte ADMT — aber der Materialitätstest ist sachverhaltsabhängig. Ein “Decision-Support”-Tool, dessen Ranking in 95% der Fälle befolgt wird, beeinflusst die Entscheidung wesentlich, unabhängig davon, wie der Vendor das Tool etikettiert. Absicherung: Dokumentieren Sie den menschlichen Überprüfungsprozess und die Override-Quote; wenn Reviewer die AI in weniger als 10% der Fälle überstimmen, behandeln Sie das Tool als erfasst.
  • Annehmen, Hinweis-vor-Nutzung = Boilerplate im Job-Posting. Die Hinweis-Anforderung der SB 26-189 ist strukturell ähnlich zu LL144, aber der Inhalt ist anders (Datenkategorien und ADMT-Beschreibung, nicht Bias-Audit-Zusammenfassung). Ein Team, das bereits einen LL144-Hinweis veröffentlicht, muss trotzdem die Inhaltsschwelle der SB 26-189 erreichen. Absicherung: Pflegen Sie zwei Hinweis-Templates nach Gerichtsbarkeit oder ein zusammengeführtes Template, das beide Anforderungen erfüllt.

Was Deployer jetzt tun sollten

  1. Inventarisieren Sie jedes AI-Tool, das eine folgenreiche Beschäftigungsentscheidung über einen Bewerber oder Beschäftigten in Colorado wesentlich beeinflusst — einschließlich Tools im Sourcing-, Screening-, Interview-, Scoring-, Scheduling- oder Vergütungsempfehlungs-Schritt.
  2. Holen Sie das SB-26-189-Mapping des Vendors ein (nicht SB 24-205). Wenn der Vendor noch keines hat, dokumentieren Sie die Lücke und nehmen Sie sie in die Renewal-Review-Checkliste auf.
  3. Entwerfen Sie das Hinweis-Template für vor der Nutzung und für nach einer nachteiligen Entscheidung gegen den Gesetzestext. Nutzen Sie die LL144-Hinweis-Infrastruktur weiter, wo vorhanden; ergänzen Sie den fehlenden SB-26-189-spezifischen Inhalt.
  4. Definieren Sie den menschlichen Überprüfungsprozess und benennen Sie den Reviewer-Pool, mit dokumentierter Override-Befugnis und Schulung. Diese Anforderung überrascht Teams am wahrscheinlichsten, die sich zu stark auf das AI-Scoring verlassen haben.
  5. Starten Sie die Drei-Jahres-Aufbewahrungsfrist am 1. Januar 2027. Bauen Sie die Datenerhebung in den ATS-Workflow ein, statt sie als separaten Audit-Vorbereitungs-Aufwand zu betreiben.

Konsultieren Sie Rechtsberatung für eine gerichtsbarkeitsspezifische Analyse. Die Regeln werden sich während des Rulemaking-Prozesses vor dem Inkrafttreten am 1. Januar 2027 erneut bewegen.

Verwandt

  • NYC Local Law 144 — das AEDT-Bias-Audit-Rahmenwerk, das heute den operativen Boden für AI-in-Hiring-Compliance bildet
  • AI-Policy für Recruiting-Teams — das interne Governance-Template, das die Pflichten aus SB 26-189, LL144, AIVIA und EU AI Act zusammenfasst
  • AI-Screening-Bias — wie Bias in AI-Hiring-Tools gelangt und was der Bias-Audit-Schritt tatsächlich misst
  • EU AI Act für Rechtsabteilungen — das EU-Regime, an dem die SB 24-205 ursprünglich orientiert war und von dem sich die SB 26-189 entfernt hat
Diese Seite auf GitHub bearbeiten