KI-Regulierung in den USA: Executive Order, NIST und State Laws

Das Wichtigste in Kürze

• Die USA verfolgen einen fragmentierten Regulierungsansatz: Es gibt kein einheitliches Bundesgesetz für KI, sondern eine Kombination aus Executive Orders, Behördenrichtlinien und einzelstaatlichen Gesetzen.
• Die Executive Order 14110 (Oktober 2023) war der bisher umfassendste Vorstoß der US-Bundesregierung zur KI-Regulierung -- ihr Status ist unter der neuen Regierung jedoch unsicher.
• Das NIST AI Risk Management Framework (AI RMF 1.0) ist der de-facto-Standard für freiwilliges KI-Risikomanagement in den USA und international anerkannt.
• Einzelne Bundesstaaten wie Colorado, New York City, Illinois und Kalifornien haben eigene KI-Gesetze verabschiedet, die teilweise strenger sind als Bundesvorgaben.
• Europäische Unternehmen mit US-Geschäft müssen sich auf eine doppelte Compliance einstellen: EU AI Act plus US-spezifische Anforderungen je nach Bundesstaat und Branche.

US-Ansatz vs. EU-Ansatz: Zwei Welten der KI-Regulierung

Wer die KI-Regulierung der USA verstehen will, muss zunächst den fundamentalen Unterschied zum europäischen Modell begreifen. Während die EU mit dem AI Act (VO (EU) 2024/1689) einen einheitlichen, horizontalen Rechtsrahmen geschaffen hat, der für alle Branchen und alle Mitgliedstaaten gilt, setzen die USA auf einen sektorspezifischen, dezentralen Ansatz.

Diese Unterschiede haben direkte Auswirkungen auf europäische Unternehmen, die in den USA tätig sind -- und umgekehrt. Es gibt keinen einzelnen Ansprechpartner, kein einheitliches Register und keine zentrale Konformitätsbewertung wie in der EU.

Executive Order 14110: Der bisher größte Bundesvorstoß

Am 30. Oktober 2023 unterzeichnete Präsident Biden die Executive Order 14110 ("Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence"). Es war der bis dahin umfassendste Versuch der US-Bundesregierung, KI-Entwicklung und -Einsatz zu regulieren.

Kerninhalte der EO 14110

Die Executive Order umfasste acht zentrale Handlungsfelder:

1. Sicherheitsstandards für KI-Modelle: Entwickler von Foundation Models ab einer bestimmten Rechenleistungsschwelle (>10²⁶ FLOP) mussten Sicherheitstestergebnisse ("Red-Teaming"-Berichte) an die US-Regierung melden.
2. Schutz vor KI-generierten Fälschungen: Entwicklung von Standards zur Kennzeichnung und Authentifizierung KI-generierter Inhalte (Wasserzeichen, Content Provenance).
3. Datenschutz: Aufruf an den Kongress, ein Bundesdatenschutzgesetz zu verabschieden, sowie Förderung von Privacy-Enhancing Technologies (PETs).
4. Gleichstellung und Bürgerrechte: Richtlinien gegen algorithmische Diskriminierung, insbesondere im Strafjustizsystem, im Gesundheitswesen und bei Wohnungsvergabe.
5. Verbraucherschutz: Auftrag an Behörden, bestehende Verbraucherschutzgesetze auch auf KI-Anwendungen anzuwenden.
6. Arbeitsmarkt: Untersuchung der Auswirkungen von KI auf Arbeitnehmer, Förderung von Umschulungsprogrammen.
7. Innovation und Wettbewerb: Erleichterung der Visa-Vergabe für KI-Fachkräfte, Förderung der KI-Forschung.
8. Internationale Zusammenarbeit: Engagement in internationalen Standardisierungsgremien und bilaterale KI-Abkommen.

Status unter der neuen Regierung

Die EO 14110 ist als Executive Order kein Gesetz im eigentlichen Sinne -- sie ist eine Anweisung des Präsidenten an die Bundesbehörden. Das bedeutet: Eine nachfolgende Regierung kann sie jederzeit widerrufen oder ändern, ohne den Kongress einzubeziehen.

Die im Januar 2025 angetretene Regierung hat tatsächlich wesentliche Teile der EO 14110 zurückgenommen. Die Meldepflichten für Foundation-Model-Entwickler wurden ausgesetzt, und der politische Fokus hat sich von Regulierung hin zu Innovationsförderung und Deregulierung verschoben.

Für europäische Unternehmen bedeutet das: Man kann sich nicht darauf verlassen, dass die EO 14110 langfristig Bestand hat. Wer auf dem US-Markt tätig ist, sollte stattdessen auf die dauerhafteren Regulierungsquellen setzen -- insbesondere das NIST AI RMF und einzelstaatliche Gesetze.

NIST AI Risk Management Framework 1.0 (AI RMF)

Das National Institute of Standards and Technology (NIST) veröffentlichte im Januar 2023 das AI Risk Management Framework (NIST AI 100-1). Es ist der wichtigste freiwillige Standard für KI-Risikomanagement in den USA und hat auch international erhebliche Bedeutung erlangt.

Die vier Kernfunktionen

Das NIST AI RMF basiert auf vier Kernfunktionen, die zusammen einen vollständigen Risikomanagement-Zyklus abbilden:

1. Govern (Steuern)

Die Govern-Funktion bildet das organisatorische Fundament. Sie umfasst:

• Etablierung einer KI-Governance-Struktur mit klaren Verantwortlichkeiten
• Definition von Richtlinien und Prozessen für den gesamten KI-Lebenszyklus
• Sicherstellung von Accountability auf Führungsebene
• Förderung einer Risikomanagement-Kultur in der gesamten Organisation

2. Map (Erfassen)

Die Map-Funktion dient der systematischen Erfassung des Kontexts:

• Identifikation aller KI-Systeme und ihrer Einsatzzwecke
• Analyse der Stakeholder und betroffenen Personengruppen
• Erfassung der Risiken entlang des gesamten Lebenszyklus
• Bewertung des regulatorischen Umfelds und der geltenden Anforderungen

3. Measure (Messen)

Die Measure-Funktion quantifiziert und bewertet die identifizierten Risiken:

• Entwicklung geeigneter Metriken und Benchmarks
• Regelmäßiges Testing und Monitoring der KI-Systeme
• Bewertung von Bias, Fairness, Transparenz und Erklärbarkeit
• Dokumentation der Ergebnisse und Trends über die Zeit

4. Manage (Steuern)

Die Manage-Funktion setzt die Erkenntnisse in Maßnahmen um:

• Priorisierung der Risiken nach Schwere und Eintrittswahrscheinlichkeit
• Umsetzung konkreter Risikominderungsmaßnahmen
• Etablierung von Eskalations- und Incident-Response-Prozessen
• Kontinuierliche Verbesserung des Risikomanagement-Systems

Relevanz des NIST AI RMF für europäische Unternehmen

Obwohl das NIST AI RMF freiwillig ist, hat es erhebliche praktische Bedeutung:

• Viele US-Unternehmen erwarten von ihren Zulieferern und Partnern die Einhaltung des Frameworks.
• Die Struktur des Frameworks ist mit dem EU AI Act und der ISO 42001 kompatibel -- ein NIST-konformes Risikomanagement erleichtert daher auch die EU-Compliance.
• In US-Gerichtsverfahren kann die Einhaltung des NIST AI RMF als Nachweis für angemessene Sorgfalt dienen.

State Laws: Die eigentliche Regulierung findet in den Bundesstaaten statt

Da der US-Kongress bisher kein umfassendes KI-Bundesgesetz verabschiedet hat, füllen die Bundesstaaten das Vakuum. Die Dynamik ist bemerkenswert: Laut der National Conference of State Legislatures wurden allein zwischen 2023 und 2025 über 600 KI-bezogene Gesetzesvorlagen in den US-Bundesstaaten eingebracht.

Colorado AI Act (SB 24-205)

Colorado verabschiedete im Mai 2024 mit SB 24-205 das bisher umfassendste einzelstaatliche KI-Gesetz. Es tritt am 1. Februar 2026 in Kraft.

Kernanforderungen:

• Gilt für "High-Risk AI Systems", die bei wesentlichen Entscheidungen über Verbraucher eingesetzt werden (Beschäftigung, Bildung, Finanzen, Gesundheit, Wohnung, Versicherung).
• Betreiber ("Deployers") müssen ein Risikomanagement-System implementieren, eine Folgenabschätzung durchführen und Verbraucher über den KI-Einsatz informieren.
• Entwickler ("Developers") müssen Dokumentation bereitstellen, bekannte Einschränkungen offenlegen und bei festgestellter algorithmischer Diskriminierung den Generalstaatsanwalt informieren.
• Opt-out-Recht für Verbraucher bei KI-gestützten Entscheidungen.

Der Colorado AI Act weist strukturelle Ähnlichkeiten mit dem EU AI Act auf -- insbesondere beim risikobasierten Ansatz und den Transparenzpflichten. Er gilt jedoch nur innerhalb Colorados und nur für Verbraucherentscheidungen.

NYC Local Law 144 (Automated Employment Decision Tools)

New York City war eine Pionierin der KI-Regulierung. Local Law 144, seit Juli 2023 in Kraft, reguliert den Einsatz automatisierter Entscheidungsinstrumente ("Automated Employment Decision Tools" -- AEDT) im Einstellungsprozess.

Wesentliche Pflichten:

• Vor dem Einsatz eines AEDT muss ein unabhängiges Bias-Audit durchgeführt werden -- jährlich wiederholt.
• Die Ergebnisse des Audits müssen öffentlich zugänglich auf der Website des Arbeitgebers veröffentlicht werden.
• Bewerber müssen mindestens 10 Arbeitstage vor dem Einsatz des AEDT informiert werden.
• Bewerber können eine alternative Bewerbungsmethode verlangen.

Für europäische Unternehmen mit Recruiting-Aktivitäten in New York City ist dieses Gesetz unmittelbar relevant -- insbesondere, wenn sie KI-gestützte Screening-Tools einsetzen.

Illinois Biometric Information Privacy Act (BIPA)

Das Illinois Biometric Information Privacy Act (740 ILCS 14) ist zwar kein reines KI-Gesetz, hat aber erhebliche Auswirkungen auf KI-Anwendungen, die biometrische Daten verarbeiten -- etwa Gesichtserkennung, Stimmerkennung oder Fingerabdruck-Scans.

Wesentliche Bestimmungen:

• Unternehmen müssen vorher die informierte schriftliche Einwilligung einholen, bevor sie biometrische Daten erfassen.
• Es gelten strenge Aufbewahrungs- und Löschfristen.
• BIPA sieht ein privates Klagerecht vor: Betroffene können selbst klagen, ohne den Umweg über eine Behörde nehmen zu müssen.
• Schadensersatz: 1.000 USD pro fahrlässigem Verstoß, 5.000 USD pro vorsätzlichem Verstoß.

BIPA hat bereits zu Hunderten von Sammelklagen geführt und ist für Unternehmen, die KI-Systeme mit biometrischer Datenverarbeitung in Illinois einsetzen, ein erhebliches Haftungsrisiko.

Kalifornien: Der Regulierungsmotor

Kalifornien hat zwar den umstrittenen SB 1047 (Safe and Secure Innovation for Frontier Artificial Intelligence Models Act) im September 2024 per Gouverneursveto gestoppt, bleibt aber der aktivste Bundesstaat bei der KI-Gesetzgebung. Relevante bestehende und geplante Regelungen umfassen:

• California Consumer Privacy Act (CCPA/CPRA): Gilt bereits für automatisierte Entscheidungsfindung und Profiling mit Opt-out-Rechten.
• AB 2013 (2024): Verpflichtet Entwickler generativer KI, Trainingsdaten-Zusammenfassungen offenzulegen.
• Zahlreiche weitere Gesetzesinitiativen zu Deepfakes, KI im Gesundheitswesen und algorithmischer Diskriminierung befinden sich im Gesetzgebungsverfahren.

Sektorspezifische Regulierung: FDA, SEC und FTC

Neben den horizontalen Regelungen regulieren US-Bundesbehörden KI in ihrem jeweiligen Zuständigkeitsbereich. Für europäische Unternehmen sind insbesondere drei Behörden relevant:

FDA (Food and Drug Administration)

Die FDA reguliert KI-basierte Medizinprodukte und Software as a Medical Device (SaMD). Bis 2025 hat die FDA über 950 KI-gestützte Medizinprodukte zugelassen. Der regulatorische Rahmen umfasst:

• Premarket Review für KI-basierte Diagnosesoftware und Entscheidungsunterstützungssysteme
• Leitlinien für Predetermined Change Control Plans -- also Pläne, wie sich ein KI-System nach der Zulassung weiterentwickeln darf
• Anforderungen an klinische Validierung und Real-World-Performance-Monitoring

Europäische Medizintechnik-Unternehmen, die ihre KI-Produkte in den USA vermarkten, müssen sowohl den EU AI Act als auch die FDA-Anforderungen erfüllen.

SEC (Securities and Exchange Commission)

Die SEC hat ihren Fokus auf KI im Finanzsektor verstärkt:

• Proposed Rules zur Regulierung von KI-gestützten Anlageberatungstools und Robo-Advisors
• Verschärfte Prüfung von "AI Washing" -- also irreführenden Marketing-Aussagen über KI-Fähigkeiten
• Anforderungen an das Risikomanagement beim Einsatz von KI-Modellen für Handelsentscheidungen

FTC (Federal Trade Commission)

Die FTC ist die wohl aktivste Bundesbehörde bei der KI-Durchsetzung. Sie nutzt bestehende Verbraucherschutzgesetze, um gegen KI-bezogene Verstöße vorzugehen:

• Verfahren gegen unfaire oder täuschende KI-Praktiken nach Section 5 des FTC Act
• Durchsetzung gegen algorithmische Diskriminierung im Kreditwesen (Equal Credit Opportunity Act)
• Maßnahmen gegen irreführende KI-Behauptungen in Werbung und Marketing
• Anordnung zur Löschung von Algorithmen, die auf rechtswidrig erhobenen Daten trainiert wurden ("Algorithmic Disgorgement")

Vergleichstabelle: EU AI Act vs. US-Regulierung

Was bedeutet das für europäische Unternehmen mit US-Geschäft?

Europäische Unternehmen, die KI-Systeme auf dem US-Markt anbieten oder einsetzen, stehen vor einer doppelten Compliance-Herausforderung. Anders als in der EU gibt es in den USA keinen einheitlichen Ansprechpartner und kein zentrales Regelwerk.

Praktische Handlungsempfehlungen

1. Jurisdiktions-Mapping durchführen

Identifizieren Sie alle US-Bundesstaaten, in denen Ihre KI-Systeme eingesetzt werden oder Wirkung entfalten. Prüfen Sie für jeden Bundesstaat die geltenden KI-spezifischen Gesetze. Besondere Vorsicht ist in Colorado, Illinois, Kalifornien und New York City geboten.

2. Sektorbehörden identifizieren

Ermitteln Sie, welche US-Bundesbehörden für Ihre Branche zuständig sind. Ein KI-gestütztes Medizinprodukt unterliegt der FDA, ein Finanzprodukt der SEC, ein Verbraucherprodukt der FTC. Häufig sind mehrere Behörden gleichzeitig zuständig.

3. NIST AI RMF als Brücke nutzen

Das NIST AI RMF ist strukturell kompatibel mit den Anforderungen des EU AI Act und der ISO 42001. Unternehmen, die bereits ein EU AI Act-konformes Risikomanagement implementiert haben, können dieses mit überschaubarem Aufwand um NIST-spezifische Elemente ergänzen.

4. Vertragliche Absicherung

Stellen Sie sicher, dass Ihre Verträge mit US-Partnern und -Kunden klare Regelungen zu KI-Compliance enthalten: Welche Partei ist für die Einhaltung welcher Vorschriften verantwortlich? Wie werden Änderungen der Rechtslage adressiert?

5. Monitoring der Rechtsentwicklung

Die US-KI-Regulierung ist hochdynamisch. Was heute gilt, kann morgen geändert sein -- wie das Beispiel der EO 14110 zeigt. Ein systematisches regulatorisches Monitoring ist unverzichtbar.

Häufige Fragen (FAQ)

Gibt es ein einheitliches KI-Gesetz in den USA?

Nein. Die USA haben kein mit dem EU AI Act vergleichbares Bundesgesetz für KI. Die Regulierung erfolgt über eine Kombination aus Executive Orders (die von der jeweiligen Regierung geändert werden können), Behördenrichtlinien (FTC, FDA, SEC), einzelstaatlichen Gesetzen (Colorado AI Act, NYC Local Law 144) und freiwilligen Standards (NIST AI RMF). Ein umfassendes Bundesgesetz wird im Kongress diskutiert, ist aber nicht absehbar.

Gilt der Colorado AI Act auch für europäische Unternehmen?

Ja, wenn das KI-System bei wesentlichen Entscheidungen über Verbraucher in Colorado eingesetzt wird. SB 24-205 knüpft an den Einsatzort an, nicht an den Firmensitz. Ein europäisches Unternehmen, das ein KI-gestütztes Kreditscoring-Tool an ein in Colorado tätiges Unternehmen lizenziert, kann als "Developer" unter das Gesetz fallen. Das Gesetz tritt am 1. Februar 2026 in Kraft.

Wie verhält sich das NIST AI RMF zum EU AI Act?

Das NIST AI RMF und der EU AI Act verfolgen ähnliche Ziele, unterscheiden sich aber grundlegend in der Verbindlichkeit. Der EU AI Act ist geltendes Recht mit Bußgeldandrohung; das NIST AI RMF ist ein freiwilliger Standard. Inhaltlich gibt es jedoch erhebliche Überschneidungen -- insbesondere bei Risikomanagement, Dokumentation und Testing. Unternehmen, die das NIST AI RMF implementieren, schaffen eine gute Grundlage für die EU AI Act-Compliance und umgekehrt. NIST selbst hat ein "AI RMF Crosswalk" veröffentlicht, das die Zuordnung zum EU AI Act erleichtert.

Was ist "Algorithmic Disgorgement" und warum ist es relevant?

Algorithmic Disgorgement ist eine Durchsetzungsmaßnahme der FTC, bei der ein Unternehmen angewiesen wird, Algorithmen und Modelle zu löschen, die auf rechtswidrig erhobenen Daten trainiert wurden. Die FTC hat dieses Instrument bereits in mehreren Fällen eingesetzt. Für europäische Unternehmen ist dies relevant, weil es zeigt, dass die US-Behörden KI-spezifische Sanktionen verhängen können, die über bloße Geldbußen hinausgehen -- der Verlust eines trainierten Modells kann wirtschaftlich verheerend sein.

Müssen europäische Unternehmen sowohl den EU AI Act als auch US-Gesetze einhalten?

Ja, wenn sie auf beiden Märkten tätig sind. Es gibt keine gegenseitige Anerkennung zwischen EU AI Act und US-Regulierung. Eine EU AI Act-Konformitätserklärung befreit nicht von der Einhaltung des Colorado AI Act, NYC Local Law 144 oder FDA-Anforderungen. Allerdings gibt es inhaltliche Überschneidungen: Wer ein robustes Risikomanagement nach dem EU AI Act implementiert hat, erfüllt damit in vielen Fällen auch die Anforderungen des NIST AI RMF und der einzelstaatlichen Gesetze -- es bedarf aber einer gezielten Gap-Analyse, um sicherzustellen, dass alle jurisdiktionsspezifischen Anforderungen abgedeckt sind.

---

Fazit: Fragmentierung erfordert Strategie

Die KI-Regulierung in den USA ist das Gegenteil der EU-Strategie: fragmentiert, dynamisch und dezentral. Für europäische Unternehmen mit US-Geschäft bedeutet das einen höheren Compliance-Aufwand -- aber auch die Chance, mit einem einmal aufgebauten Risikomanagement-System beide Märkte abzudecken.

Der Schlüssel liegt in einem systematischen Ansatz: Jurisdiktionen erfassen, sektorspezifische Anforderungen identifizieren, das NIST AI RMF als Brücke nutzen und die Rechtsentwicklung kontinuierlich monitoren.

Sie möchten Ihr Team auf die KI-Compliance-Anforderungen in den USA und der EU vorbereiten? KI Comply bietet praxisnahe Schulungen, die sowohl den EU AI Act als auch internationale Regulierungsansätze abdecken -- damit Ihre Mitarbeiter sicher und rechtskonform mit KI arbeiten können.

Jetzt Schulung starten