The Colorado AI Act: Implications for Health Care Providers

Künstliche Intelligenz (KI) wird zunehmend in den Gesundheitsbereich integriert, von Verwaltungsaufgaben wie Terminplanung und Abrechnung bis hin zu klinischen Entscheidungen, einschließlich Diagnosen und Behandlungsempfehlungen. Obwohl KI erhebliche Vorteile bietet, haben Bedenken hinsichtlich Voreingenommenheit, Transparenz und Verantwortlichkeit zu regulatorischen Maßnahmen geführt. Das Gesetz über künstliche Intelligenz in Colorado (das Gesetz), das am 1. Februar 2026 in Kraft treten soll, erlegt Unternehmen, die risikoreiche KI-Systeme einsetzen, insbesondere solchen, die an wichtigen Entscheidungen mit Auswirkungen auf das Gesundheitswesen und andere kritische Bereiche beteiligt sind, Governance- und Offenlegungspflichten auf.

Angesichts der weitreichenden Anwendbarkeit des Gesetzes, einschließlich seiner potenziellen extraterritorialen Reichweite für Unternehmen, die in Colorado geschäftlich tätig sind, müssen Gesundheitsdienstleister proaktiv ihre KI-Nutzung bewerten und sich auf die Einhaltung künftiger Vorschriften vorbereiten. Im Folgenden erörtern wir die Absicht des Gesetzes, die Arten von KI, auf die es Anwendung findet, künftige Vorschriften, mögliche Auswirkungen auf Anbieter, gesetzliche Compliance-Anforderungen und Durchsetzungsmechanismen.

1. Wovor soll das Gesetz schützen?

Das Gesetz zielt in erster Linie darauf ab, algorithmische Diskriminierung zu mindern, definiert als KI-gesteuerte Entscheidungsfindung, die zu einer unrechtmäßigen Ungleichbehandlung oder ungleichen Auswirkungen auf Personen aufgrund bestimmter Merkmale wie Rasse, Behinderung, Alter oder Sprachkenntnisse führt. Das Gesetz soll verhindern, dass KI bestehende Vorurteile verstärkt oder Entscheidungen trifft, die bestimmte Gruppen in unfairer Weise benachteiligen.

Beispiele für algorithmische Diskriminierung im Gesundheitswesen

Probleme beim Zugang zur Gesundheitsversorgung: KI-gestützte Telefonterminvereinbarungssysteme erkennen möglicherweise bestimmte Akzente nicht oder können Nicht-Englischsprachige nicht korrekt verarbeiten, was es für Nicht-Muttersprachler schwieriger macht, Arzttermine zu vereinbaren.
Voreingenommene Diagnosetools und Behandlungsempfehlungen: Einige KI-Diagnosetools empfehlen möglicherweise unterschiedliche Behandlungen für Patienten verschiedener Ethnien, nicht aufgrund medizinischer Erkenntnisse, sondern aufgrund von Verzerrungen in den Trainingsdaten. Beispielsweise könnte ein KI-Modell, das hauptsächlich mit Daten von weißen Patienten trainiert wurde, frühe Anzeichen einer Krankheit übersehen, die sich bei schwarzen oder hispanischen Patienten anders äußern, was zu ungenauen oder weniger wirksamen Behandlungsempfehlungen für historisch marginalisierte Bevölkerungsgruppen führen kann.
Durch die Bekämpfung dieser und anderer durch KI verursachter Ungleichheiten soll das Gesetz sicherstellen, dass automatisierte Systeme bestehende Ungleichheiten beim Zugang zur Gesundheitsversorgung und bei den Behandlungsergebnissen nicht verstärken oder verschärfen.

2. Welche Arten von KI werden durch das Gesetz geregelt?

Das Gesetz gilt allgemein für Unternehmen, die KI einsetzen, um mit Einwohnern von Colorado zu interagieren oder Entscheidungen über sie zu treffen. Obwohl bestimmte risikoreiche KI-Systeme – solche, die eine wesentliche Rolle bei der Entscheidungsfindung spielen – strengeren Anforderungen unterliegen, erlegt das Gesetz den meisten im Gesundheitswesen eingesetzten KI-Systemen Verpflichtungen auf.

Wichtige Definitionen im Gesetz

„Künstliches Intelligenzsystem“bezeichnet jedes maschinengestützte System, das Ergebnisse generiert – wie Entscheidungen, Vorhersagen oder Empfehlungen –, die reale Umgebungen beeinflussen können.
„Folgeentscheidung“ bezeichnet eine Entscheidung, die sich wesentlich auf den Zugang eines Verbrauchers zu Gesundheitsversorgung, Versicherungen oder anderen wesentlichen Dienstleistungen oder auf die damit verbundenen Kosten auswirkt.
„Hochriskante KI-Systeme“ bezeichnet alle KI-Tools, die wichtige Entscheidungen treffen oder diese maßgeblich beeinflussen.
„Wesentlicher Faktor“ bezeichnet einen Faktor, der bei einer folgenschweren Entscheidung hilfreich ist oder das Ergebnis einer folgenschweren Entscheidung beeinflussen kann und von einem KI-System generiert wird.
„Entwickler“bezeichnet die Schöpfer von KI-Systemen.
„Anwender“bezeichnet Nutzer von risikoreichen KI-Systemen.

3. Wie können Gesundheitsdienstleister die Einhaltung der Vorschriften sicherstellen?

Obwohl das Gesetz weit gefasste Verpflichtungen festlegt, stehen konkrete Vorschriften noch aus. Der Generalstaatsanwalt von Colorado wurde mit der Ausarbeitung von Vorschriften beauftragt, um die Compliance-Anforderungen zu präzisieren. Diese Vorschriften können Folgendes betreffen:

Risikomanagement- und Compliance-Rahmenwerke für KI-Systeme.
Offenlegungspflichten für den Einsatz von KI in Verbraucheranwendungen.
Leitfaden zur Bewertung und Minderung algorithmischer Diskriminierung.

Gesundheitsdienstleister sollten die Entwicklungen im Zusammenhang mit der Weiterentwicklung des regulatorischen Rahmens beobachten, um sicherzustellen, dass ihre KI-bezogenen Praktiken mit den staatlichen Gesetzen im Einklang stehen.

4. Wie könnte sich das Gesetz auf den Betrieb im Gesundheitswesen auswirken?

Das Gesetz verpflichtet Gesundheitsdienstleister dazu, die Nutzung von KI in verschiedenen Betriebsbereichen gezielt zu bewerten, da es allgemein für alle KI-Systeme gilt, die Einfluss auf Entscheidungsprozesse haben. Angesichts der zunehmenden Bedeutung von KI in der Patientenversorgung, in Verwaltungsfunktionen und im Finanzbereich sollten Gesundheitsorganisationen sich auf Compliance-Verpflichtungen in mehreren Bereichen einstellen.

Rechnungsstellung und Inkasso

KI-gesteuerte Abrechnungs- und Forderungsbearbeitungssysteme sollten auf mögliche Verzerrungen überprüft werden, die dazu führen könnten, dass bestimmte Patientengruppen unverhältnismäßig stark von Inkassomaßnahmen betroffen sind.
Die Betreiber sollten sicherstellen, dass ihre KI-Systeme nicht unbeabsichtigt finanzielle Hindernisse für bestimmte Patientengruppen schaffen.

Terminplanung und Patientenzugang

KI-gestützte Terminplanungsassistenten müssen so konzipiert sein, dass sie Patienten mit Behinderungen und eingeschränkten Englischkenntnissen berücksichtigen, um unbeabsichtigte Diskriminierung und verzögerten Zugang zur Versorgung zu verhindern.
Anbieter müssen prüfen, ob ihre KI-Tools bestimmte Patienten gegenüber anderen in einer Weise bevorzugen, die als diskriminierend angesehen werden könnte.

Klinische Entscheidungsfindung und Diagnose

KI-Diagnosetools müssen validiert werden, um sicherzustellen, dass sie keine verzerrten Ergebnisse für verschiedene Bevölkerungsgruppen liefern.
Gesundheitsorganisationen, die KI-gestützte Triage-Tools einsetzen, sollten Protokolle zur Überprüfung der von der KI generierten Empfehlungen festlegen, um Fairness und Genauigkeit zu gewährleisten.

5. Wenn Sie KI verwenden, welche Vorschriften müssen Sie einhalten?

Das Gesetz legt unterschiedliche Verpflichtungen für Entwickler und Anwender fest. Gesundheitsdienstleister sind in den meisten Fällen eher „Anwender“ von KI-Systemen als Entwickler. Gesundheitsdienstleister sollten ihre Vertragsbeziehungen mit Entwicklern im Hinblick auf eine angemessene Risikoverteilung und den Informationsaustausch genau prüfen, wenn sie KI-Tools in ihren Betrieb integrieren.

Verpflichtungen der Entwickler (KI-Anbieter)
- Offenlegung gegenüber Anwendern: Entwickler müssen Transparenz hinsichtlich der Trainingsdaten des KI-Systems, bekannter Verzerrungen und beabsichtigter Anwendungsfälle schaffen.
- Risikominderung: Entwickler müssen Maßnahmen zur Minimierung algorithmischer Diskriminierung dokumentieren.
- Folgenabschätzungen: Entwickler müssen vor der Einführung eines KI-Systems prüfen, ob dieses das Risiko einer Diskriminierung birgt.

Pflichten der Bereitsteller (z. B. Gesundheitsdienstleister)
- Pflicht zur Vermeidung algorithmischer Diskriminierung
  - Betreiber von risikoreichen KI-Systemen müssen angemessene Sorgfalt walten lassen, um Verbraucher vor bekannten oder vorhersehbaren Risiken algorithmischer Diskriminierung zu schützen.
- Risikomanagement-Richtlinie und -Programm
  - Die Verantwortlichen müssen eine Risikomanagementrichtlinie und ein Risikomanagementprogramm implementieren, das Risiken algorithmischer Diskriminierung identifiziert, dokumentiert und mindert.
  - Das Programm muss iterativ sein, regelmäßig aktualisiert werden und mit anerkannten Rahmenwerken für das KI-Risikomanagement abgestimmt sein.
  - Die Anforderungen variieren je nach Größe des Bereitstellers, Komplexität, Umfang des KI-Systems und Sensibilität der Daten.
- Folgenabschätzungen (regelmäßige und ereignisgesteuerte Überprüfungen)
  - Zeitliche Anforderungen: Die für die Bereitstellung Verantwortlichen müssen Folgenabschätzungen durchführen:
    - Vor dem Einsatz eines risikoreichen KI-Systems.
    - Mindestens einmal jährlich für jedes eingesetzte risikoreiche KI-System.
    - Innerhalb von 90 Tagen nach jeder vorsätzlichen und wesentlichen Änderung des KI-Systems.
  - Erforderliche Inhalte: Jede Folgenabschätzung muss den Zweck, den Verwendungszweck und den Nutzen des KI-Systems, eine Analyse der Risiken algorithmischer Diskriminierung und Maßnahmen zu deren Minderung, eine Beschreibung der verarbeiteten Daten (Eingaben, Ausgaben und etwaige Anpassungsdaten), Leistungskennzahlen und Systembeschränkungen, Transparenzmaßnahmen (einschließlich Offenlegungen gegenüber Verbrauchern) sowie Einzelheiten zur Überwachung und zu Schutzmaßnahmen nach der Einführung enthalten.
  - Besondere Anforderungen für Änderungen: Wenn aufgrund einer wesentlichen Änderung eine Folgenabschätzung durchgeführt wird, muss diese auch eine Erläuterung enthalten, inwiefern die tatsächliche Nutzung des KI-Systems mit dem ursprünglich beabsichtigten Zweck übereinstimmt oder davon abweicht.
- Benachrichtigungen & Transparenz
  - Öffentliche Bekanntmachung: Betreiber müssen auf ihrer Website eine Erklärung veröffentlichen, in der sie die von ihnen verwendeten risikoreichen KI-Systeme und ihren Umgang mit Diskriminierungsrisiken beschreiben.
  - Hinweise für Patienten/Mitarbeiter: Bevor ein KI-System eine folgenschwere Entscheidung trifft, müssen die betroffenen Personen über dessen Einsatz informiert werden.
  - Erläuterung nach der Entscheidung: Wenn KI zu einer nachteiligen Entscheidung beiträgt, müssen die Verantwortlichen ihre Rolle erläutern und der betroffenen Person die Möglichkeit geben, Einspruch einzulegen oder unrichtige Daten zu korrigieren.
  - Benachrichtigungen an den Generalstaatsanwalt: Wenn festgestellt wird, dass KI algorithmische Diskriminierung verursacht hat, müssen die Betreiber dies innerhalb von 90 Tagen dem Generalstaatsanwalt melden.

Kleine Anbieter (mit weniger als 50 Mitarbeitern), die KI-Modelle nicht mit ihren eigenen Daten trainieren, sind von vielen dieser Compliance-Verpflichtungen ausgenommen.

6. Wie wird das Gesetz durchgesetzt?

Nur der Generalstaatsanwalt von Colorado hat Vollstreckungsbefugnisse.
Eine widerlegbare Vermutung der Konformität besteht, wenn die Bereitsteller anerkannte Rahmenwerke für das KI-Risikomanagement befolgen.
Es besteht kein privates Klagerecht, d. h. Verbraucher können nicht direkt auf Grundlage des Gesetzes klagen.

Gesundheitsdienstleister sollten frühzeitig Maßnahmen ergreifen, um ihre KI-Nutzung zu bewerten und Compliance-Maßnahmen umzusetzen.

Abschließende Gedanken: Was Gesundheitsdienstleister jetzt tun sollten

Das Gesetz stellt eine bedeutende Veränderung in der Regulierung der KI dar, insbesondere für Gesundheitsdienstleister, die zunehmend auf KI-gestützte Tools für die Patientenversorgung, Verwaltungsaufgaben und Finanzgeschäfte setzen.
Obwohl das Gesetz darauf abzielt, die Transparenz zu erhöhen und algorithmische Diskriminierung zu verringern, erlegt es auch erhebliche Compliance-Verpflichtungen auf. Gesundheitsorganisationen müssen ihre KI-Nutzung bewerten, Risikomanagementprotokolle implementieren und detaillierte Dokumentationen führen.
Angesichts der sich wandelnden regulatorischen Rahmenbedingungen sollten Gesundheitsdienstleister proaktiv vorgehen, indem sie bestehende KI-Systeme überprüfen, ihre Mitarbeiter in Bezug auf Compliance-Anforderungen schulen und Governance-Rahmenwerke einrichten, die sich an bewährten Verfahren orientieren. Im Zuge der fortschreitenden Regelsetzung durch den Generalstaatsanwalt von Colorado wird es entscheidend sein, sich über zusätzliche regulatorische Anforderungen auf dem Laufenden zu halten, um die Einhaltung der Vorschriften zu gewährleisten und Risiken bei der Durchsetzung zu vermeiden.
Letztendlich spiegelt das Gesetz einen breiteren Trend zur Regulierung der KI wider, der wahrscheinlich über die Staatsgrenzen hinausgehen wird. Gesundheitsorganisationen, die jetzt in KI-Governance investieren, werden nicht nur rechtliche Risiken mindern, sondern auch das Vertrauen der Patienten in einer zunehmend KI-gesteuerten Branche aufrechterhalten.
Wenn Gesundheitsdienstleister planen, KI-Systeme in ihre Abläufe zu integrieren, ist eine gründliche rechtliche Analyse unerlässlich, um festzustellen, ob das Gesetz auf ihre spezifischen Anwendungsfälle Anwendung findet. Dazu gehört auch die sorgfältige Prüfung und Aushandlung von Dienstleistungsverträgen mit KI-Entwicklern, um sicherzustellen, dass der Anbieter über ausreichende Informationen und die Zusammenarbeit des Entwicklers verfügt, um das Gesetz einzuhalten und die Risiken zwischen den Parteien angemessen zu verteilen.

Compliance ist kein einheitlicher Prozess. Sie erfordert eine sorgfältige Bewertung der KI-Tools, ihrer Funktionen und ihres Potenzials, wichtige Entscheidungen zu beeinflussen. Unternehmen sollten eng mit Rechtsberatern zusammenarbeiten, um die Komplexität des Gesetzes zu bewältigen, Risikomanagement-Rahmenwerke zu implementieren und Protokolle für die kontinuierliche Compliance zu etablieren. Angesichts der Weiterentwicklung der KI-Vorschriften wird eine proaktive rechtliche Bewertung von entscheidender Bedeutung sein, um sicherzustellen, dass Gesundheitsdienstleister nicht nur die regulatorischen Anforderungen erfüllen, sondern auch ethische und faire KI-Praktiken einhalten, die mit den allgemeinen Branchenstandards im Einklang stehen.

Foley unterstützt Sie bei der Bewältigung der kurz- und langfristigen Auswirkungen von Gesetzesänderungen. Wir verfügen über die nötigen Ressourcen, um Sie bei diesen und anderen wichtigen rechtlichen Überlegungen im Zusammenhang mit Geschäftsabläufen und branchenspezifischen Fragen zu unterstützen. Bitte wenden Sie sich an die Autoren, Ihren Foley-Kontaktpartner, unseren Sektor Gesundheitswesen & Biowissenschaftenoder an unseren Sektor Innovative Technologie mit allen Fragen.

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

[email protected]

Denver 720.437.2041

[email protected]

Denver 720.437.2038

Das Colorado AI-Gesetz: Auswirkungen auf Gesundheitsdienstleister

Autor(en)

Charles S. Gass

Hailey Adler

Verwandte Einblicke

Die Zukunft der ACOs anführen: Neues langfristiges, verbessertes ACO-Designmodell

CMS ACCESS-Modell: Anbieter bereiten sich auf technologiegestützte, wertorientierte Versorgung vor

Episode 37: Chanda Center for Health: Reimagining Access to and Delivery of Long-term Disability Care