Falls Ihr Unternehmen die letzten achtzehn Monate damit verbracht hat, ein Compliance-Programm für den Colorado AI Act aufzubauen – basierend auf Risikomanagement-Richtlinien, jährlichen Folgenabschätzungen und Sorgfaltspflichten bezüglich algorithmischer Diskriminierung –, haben sich die Regeln gerade grundlegend geändert. Am 14. Mai 2026 unterzeichnete Colorados Gouverneur Jared Polis den Senatsentwurf SB 26-189, der den ursprünglichen Colorado AI Act aufhob und ersetzte, noch bevor dessen Kernverpflichtungen überhaupt in Kraft traten. Das neue Rahmenwerk streicht den Sorgfaltsstandard, die Anforderung eines formalen Risikomanagementprogramms und die Pflicht zur jährlichen Folgenabschätzung. An deren Stelle tritt ein enger gefasstes Transparenzregime, das auf Vorabmitteilungen, Offenlegungen nach negativen Ergebnissen und einem kleinen Bündel von Verbraucherrechten im Zusammenhang mit „erfasster automatisierter Entscheidungsfindungstechnologie“ (ADMT) basiert.
Für Gründer, HR-Leiter, Kreditgeber, Versicherer, Gesundheitsverwalter, Vermieter und SaaS-Betreiber, die bereits Beratungskosten für das ursprüngliche SB 24-205-Rahmenwerk investiert haben, ist die natürliche Reaktion Erleichterung. Diese Erleichterung sollte jedoch gedämpft werden. Das neue Gesetz legt Unternehmen nahezu jeder Größe immer noch echte Verpflichtungen auf, birgt weiterhin Durchsetzungsrisiken durch den Colorado Attorney General und erfordert nach wie vor eine Analyse darüber, wo automatisierte Entscheidungsfindungstechnologie in Ihren Abläufen folgenreiche Entscheidungen beeinflusst. Die Compliance-Last ist geringer, aber sie ist nicht null, und das Inkrafttreten am 1. Januar 2027 rückt schneller näher, als die meisten Teams erwarten, wenn Budgetzyklen und Neuverhandlungen mit Anbietern berücksichtigt werden.
Dieser Leitfaden erläutert, was sich geändert hat, was erhalten blieb, wer betroffen ist, was Sie konkret vor dem 1. Januar 2027 tun müssen und wie Sie die Verpflichtungen in Colorado mit dem Flickenteppich anderer KI-Regeln auf Bundes- und Staatsebene koordinieren, die nun auf Unternehmen zukommen, die in mehreren Rechtsgebieten tätig sind.
Was mit dem ursprünglichen Colorado AI Act geschah
Der ursprüngliche Colorado AI Act, kodifiziert als SB 24-205, wurde im Mai 2024 unterzeichnet und sollte am 1. Februar 2026 in Kraft treten. Es war das erste umfassende staatliche KI-Gesetz in den Vereinigten Staaten und orientierte sich lose am risikobasierten Ansatz des KI-Gesetzes der Europäischen Union. Das ursprüngliche Rahmenwerk stieß auf anhaltende Kritik von Technologieunternehmen, Wirtschaftsgruppen und überparteilichen Gesetzgebern, die argumentierten, dass es Innovationen im Bundesstaat bestrafen, Kosten verursachen würde, die in keinem Verhältnis zum tatsächlichen Risiko algorithmischer Diskriminierung stünden, und kleine Unternehmen dazu zwingen würde, Governance-Programme aufzubauen, die mit denen regulierter Finanzinstitute vergleichbar wären.
Während der Legislaturperiode 2025 verlängerte die Generalversammlung das Inkrafttreten vom 1. Februar 2026 auf den 30. Juni 2026, um den Gesetzgebern Zeit zur Überarbeitung des Statuts zu geben. Im Mai 2026 wurde SB 26-189 verabschiedet und unterzeichnet, wodurch das ursprüngliche Gesetz aufgehoben und durch ein wesentlich enger gefasstes Rahmenwerk ersetzt wurde, das am 1. Januar 2027 in Kraft tritt. Der Colorado Attorney General ist verpflichtet, die implementierende Regelsetzung bis zum selben Datum abzuschließen. Die Behörde hat signalisiert, dass die Durchsetzung erst beginnen wird, wenn die Regelsetzung abgeschlossen ist und die Unternehmen eine angemessene Gelegenheit hatten, sich anzupassen.
Das praktische Ergebnis für Ihr Compliance-Team: Alle Dokumentationen, Vendor-Diligence-Pakete oder Vorlagen für Folgenabschätzungen, die Sie auf Basis des SB 24-205-Rahmenwerks erstellt haben, behalten als Grundlage ihren Wert, müssen jedoch an die Verpflichtungen von SB 26-189 angepasst werden, anstatt am ursprünglichen Sorgfaltsstandard festzuhalten.
Was blieb und was verschwand
Das Verständnis des Unterschieds zwischen dem alten und dem neuen Gesetz ist wichtig, da Berater und Anbieter immer noch SB 24-205-Rahmenwerke verkaufen. Hier ist eine Übersicht, was weggefallen ist, was neu ist und was inhaltlich erhalten blieb.
Aus dem ursprünglichen Gesetz entfernt:
- Die Sorgfaltspflicht (Reasonable Care Duty) zum Schutz der Verbraucher vor algorithmischer Diskriminierung.
- Die Anforderung einer formalen Risikomanagement-Richtlinie und eines entsprechenden Programms.
- Das Mandat zur jährlichen Folgenabschätzung, das Zweck, Dateneingaben, Schadensbegrenzung, Überwachung und Diskriminierungsrisiko abdeckte.
- Die 90-tägige Ermittlungs- und Offenlegungspflicht im Zusammenhang mit entdeckter algorithmischer Diskriminierung.
- Das Ausnahmeregelwerk für kleine Bereitsteller mit seinem vierstufigen Test (dieses wurde umstrukturiert, nicht wortwörtlich übernommen).
Neu unter SB 26-189:
- Ein engerer Geltungsbereich, der sich auf „erfasste automatisierte Entscheidungsfindungstechnologie“ statt auf „Hochrisiko-Systeme künstlicher Intelligenz“ konzentriert.
- Ein zweistufiges Mitteilungsverfahren: Vorabmitteilung vor dem Einsatz bei einer folgenreichen Entscheidung sowie eine Offenlegung nach einem negativen Ergebnis innerhalb von 30 Tagen.
- Ein Recht für Verbraucher auf Zugriff und Korrektur personenbezogener Daten, die von der erfassten ADMT verwendet werden.
- Ein Recht auf Beantragung einer aussagekräftigen menschlichen Überprüfung folgenreicher Entscheidungen, sofern technisch machbar.
- Eine Barrierefreiheitsanforderung, wonach alle Mitteilungen Verbraucher mit Behinderungen und eingeschränkten Englischkenntnissen erreichen müssen.
- Eine Safe-Harbor-Regelung, die es Bereitstellern erlaubt, die Vorabmitteilungspflicht durch einen gut sichtbaren öffentlichen Aushang in angemessener Nähe zur Interaktion mit dem Verbraucher zu erfüllen.
Im Wesentlichen beibehalten:
- Die Liste der Kategorien für folgenreiche Entscheidungen: Bildung, Beschäftigung, Finanz- oder Kreditdienstleistungen, wesentliche staatliche Dienstleistungen, Gesundheitsdienstleistungen, Wohnraum, Versicherungen und juristische Dienstleistungen.
- Exklusive Durchsetzung durch den Colorado Attorney General ohne privates Klagerecht.
- Behandlung von Verstößen als irreführende Geschäftspraktiken unter dem Colorado Consumer Protection Act.
- Die generelle Unterscheidung zwischen Entwicklern (die ADMT erstellen oder wesentlich modifizieren) und Bereitstellern (die diese nutzen, um folgenreiche Entscheidungen über Verbraucher in Colorado zu treffen).
Wer in den Anwendungsbereich fällt
Das neue Gesetz gilt für jeden Entwickler oder Anwender einer erfassten automatisierten Entscheidungsfindungstechnologie (ADMT), die weitreichende Entscheidungen über Verbraucher in Colorado trifft oder maßgeblich beeinflusst. Die Zuständigkeit richtet sich nach dem Wohnsitz des Verbrauchers, nicht nach dem Standort Ihres Unternehmens. Daher fallen ein Remote-First-SaaS-Unternehmen mit Hauptsitz in Austin oder eine New Yorker Personalvermittlungsagentur, die Kandidaten an Arbeitgeber in Colorado vermittelt, direkt in den Anwendungsbereich.
Eine weitreichende Entscheidung gemäß SB 26-189 ist jede Entscheidung, die eine wesentliche rechtliche oder ähnlich bedeutsame Auswirkung auf die Bereitstellung, Ablehnung, Kosten oder Bedingungen von Dienstleistungen in acht Kategorien hat: Bildungszulassung oder -chancen, Beschäftigung oder Beschäftigungsmöglichkeiten, Finanz- oder Kreditdienstleistungen, wesentliche staatliche Dienstleistungen, Gesundheitsdienstleistungen, Wohnraum, Versicherungen oder juristische Dienstleistungen. Die Liste erfasst die meisten der folgenschweren Entscheidungen, die kleine und mittlere Unternehmen täglich über Menschen treffen.
Praxisbeispiele für abgedeckte Anwendungsfälle sind Tools zur Vorauswahl von Lebensläufen, die Bewerber bewerten, Kreditprüfungskritierien, die Kredite genehmigen oder ablehnen, Preisalgorithmen für Versicherungen, die Prämien festlegen, Mieterüberprüfungstools, die Mietbewerber filtern, klinische Entscheidungshilfen, die die Terminplanung oder Überweisung von Patienten beeinflussen, KI-Tutoren oder Zulassungstools von Online-Bildungsanbietern sowie Aufnahme- oder Triage-Tools bei Rechtshilfestellen oder Websites von Anwaltskanzleien. Kundenservice-Chatbots, Marketing-Personalisierung, interne Produktivitätstools und generative KI zur Inhaltserstellung fallen im Allgemeinen nicht in den Anwendungsbereich, es sei denn, sie beeinflussen maßgeblich eine der aufgeführten weitreichenden Entscheidungen.
Die Informationspflicht vor der Nutzung
Bevor ein Anwender eine erfasste ADMT einsetzt, um eine weitreichende Entscheidung maßgeblich zu beeinflussen, muss er dem Verbraucher einen klaren und deutlichen Hinweis geben, dass ADMT eingesetzt wird oder eingesetzt werden soll. Der Hinweis muss in verständlicher Sprache den Zweck des Systems beschreiben, die Art der weitreichenden Entscheidung, in die es einfließt, und wie der Verbraucher die gesetzlich gewährten Rechte ausüben kann.
Hier ist die Safe-Harbor-Regelung von Bedeutung. Anstatt bei jeder Interaktion eine individuelle Benachrichtigung zuzustellen, erlaubt das Gesetz, diese Verpflichtung durch einen auffälligen öffentlichen Aushang zu erfüllen, der an den Punkten der Verbraucherinteraktion angemessen zugänglich ist. In der Praxis bedeutet dies, dass eine deutlich verlinkte KI-Offenlegungsseite auf Ihrem Anwendungsportal, Ihrem Kreditantragsprozess, Ihrer Landingpage für die Mieterüberprüfung oder Ihrem Patientenportal im Allgemeinen ausreicht, sofern der Link visuell nahe an der relevanten Transaktion platziert ist und der Offenlegungstext für Laien verständlich verfasst ist.
Drei Fehler bei der Formulierung sind zu vermeiden. Erstens: Verstecken Sie die Offenlegung nicht in einer allgemeinen Datenschutzrichtlinie; das Gesetz verlangt, dass sie in angemessener Nähe zur relevanten Transaktion steht. Zweitens: Verlassen Sie sich nicht auf Branchenjargon wie „automatisierte Entscheidungsfindungstechnologie“ oder „ADMT“, ohne diese zu erläutern; die Anforderung an die Barrierefreiheit umfasst die kognitive und sprachliche Zugänglichkeit, nicht nur die Kompatibilität mit Screenreadern. Drittens: Verfassen Sie keine Hinweise, die die Rolle der KI bei der Entscheidung verschleiern; vage Formulierungen wie „wir verwenden möglicherweise Technologien, die uns unterstützen“ werden einem Standard für verständliche Sprache, der der Prüfung durch den Generalstaatsanwalt standhält, nicht gerecht.
Die 30-Tage-Offenlegung bei nachteiligen Ergebnissen
Wenn eine erfasste ADMT eine weitreichende Entscheidung maßgeblich beeinflusst, die zu einem nachteiligen Ergebnis für den Verbraucher führt, muss der Anwender innerhalb von 30 Tagen nach der Entscheidung eine in verständlicher Sprache verfasste Beschreibung der Rolle der ADMT bereitstellen. Ein nachteiliges Ergebnis umfasst die Ablehnung eines Antrags, die Kündigung einer bestehenden Dienstleistung, eine wesentlich ungünstigere Preisgestaltung oder jede Entscheidung, die eine Leistung verringert, die der Verbraucher andernfalls erhalten würde.
Die Offenlegung erfordert nicht die Preisgabe von Geschäftsgeheimnissen, Modellgewichten oder proprietären Algorithmen. Erforderlich ist vielmehr eine für einen durchschnittlichen Verbraucher verständliche Beschreibung dessen, was das System berücksichtigt hat, welche Rolle es bei der Entscheidung gespielt hat, welche Kategorien personenbezogener Daten verarbeitet wurden und wie der Verbraucher seine Rechte auf Auskunft, Berichtigung und menschliche Überprüfung ausüben kann. Branchenspezifische Abweichungen im Inhalt sind zulässig, sodass sich die Offenlegung eines Kreditgebers bei Ablehnungsbescheiden an bestehende Formate nach Regulation B des Equal Credit Opportunity Act anlehnen kann und die Offenlegung eines Gesundheitsdienstleisters auf bestehenden Normen der Patientenkommunikation aufbauen kann.
Koordinieren Sie dies mit angrenzenden bundesstaatlichen Offenlegungspflichten, anstatt es als parallelen Prozess zu behandeln. Wenn Sie bereits einen Bescheid nach dem Fair Credit Reporting Act, eine Mitteilung über getroffene Maßnahmen nach dem Equal Credit Opportunity Act oder eine HIPAA-konforme Mitteilung versenden, erweitern Sie die bestehende Mitteilung, anstatt ein redundantes Colorado-spezifisches Schreiben zu erstellen. Die 30-Tage-Frist gemäß SB 26-189 ist im Allgemeinen mit den Fristen dieser bundesstaatlichen Mitteilungen kompatibel, obwohl Sie die Fristen von Fall zu Fall prüfen sollten, da Ausnahmen bestehen.
Verbraucherrechte auf Auskunft, Berichtigung und menschliche Überprüfung
Unter dem neuen Rahmenwerk bestehen drei Verbraucherrechte. Verbraucher können Auskunft über die personenbezogenen Daten verlangen, die die erfasste ADMT über sie verarbeitet hat. Verbraucher können die Berichtigung unrichtiger personenbezogener Daten verlangen. Und Verbraucher können eine aussagekräftige menschliche Überprüfung der weitreichenden Entscheidung verlangen, sofern dies technisch machbar ist.
Die Rechte auf Auskunft und Berichtigung überschneiden sich erheblich mit Rechten, die nach dem Colorado Privacy Act (CPA) bereits allgemein für personenbezogene Daten bestehen. Operativ ist der sinnvollste Ansatz, Ihren bestehenden Workflow für CPA-Anfragen betroffener Personen so zu erweitern, dass er auch ADMT-spezifische Anfragen abdeckt, anstatt einen separaten Aufnahmekanal einzurichten. Erfassen Sie, welche Systeme welche Kategorien personenbezogener Daten enthalten, die in der ADMT verwendet werden, schulen Sie Ihr Datenschutz- oder HR-Team in den neuen Kategorien und dokumentieren Sie Ihre Antwortfristen.
Das Recht auf menschliche Überprüfung ist die interessantere Compliance-Frage. Das Gesetz verlangt eine aussagekräftige menschliche Überprüfung, sofern dies technisch machbar ist, was nicht dasselbe ist wie das bloße Abzeichnen des algorithmischen Ergebnisses durch einen Menschen. Eine aussagekräftige Überprüfung erfordert in der Regel, dass eine Person, die befugt ist, die Entscheidung aufzuheben, die Umstände des Verbrauchers tatsächlich prüft, Informationen berücksichtigt, die über die algorithmische Bewertung hinausgehen, und die praktische Möglichkeit hat, zu einem anderen Ergebnis zu gelangen. Der Vorbehalt der „technischen Machbarkeit“ entschuldigt Fälle, in denen die zugrunde liegende Entscheidung überhaupt nicht sinnvoll von einem Menschen überprüft werden kann, rechtfertigt jedoch keine bloßen Unannehmlichkeiten oder Kosten.
Pflichten der Entwickler
Entwickler von abgedeckten ADMT (Automated Decision-Making Technology) haben parallele Verpflichtungen, die darauf ausgerichtet sind, den Bereitstellern das zu geben, was sie für die Einhaltung in der nachgelagerten Kette benötigen. Das ursprüngliche SB 24-205-Rahmenwerk verlangte von den Entwicklern eine umfassende Dokumentation über Trainingsdatenquellen, Leistungsmetriken, beabsichtigte Anwendungsfälle und bekannte Risiken algorithmischer Diskriminierung. Unter SB 26-189 werden diese Verpflichtungen reduziert, aber nicht abgeschafft.
Ein Entwickler muss den Bereitstellern eine Dokumentation zur Verfügung stellen, die ausreicht, damit der Bereitsteller seine Benachrichtigungs- und Offenlegungspflichten erfüllen kann. Dies umfasst eine Beschreibung der beabsichtigten Anwendungsfälle der ADMT, die Kategorien der verarbeiteten personenbezogenen Daten, die Kategorien der generierten Ausgaben sowie bekannte Einschränkungen, die für den Kontext folgenreicher Entscheidungen relevant sind. Entwickler müssen außerdem eine öffentliche Erklärung veröffentlichen, in der sie die von ihnen angebotenen abgedeckten ADMT zusammenfassen und darlegen, wie sie Risiken im Zusammenhang mit folgenreichen Entscheidungen verwalten.
Wenn Sie KI-Tools an Bereitsteller in Colorado verkaufen oder lizenzieren, hat das Gespräch über den Anbietervertrag bereits begonnen. Erwarten Sie, dass Bereitsteller-Kunden standardisierte Model Cards, Datenblätter und ADMT-spezifische vertragliche Zusicherungen anfordern. Gehen Sie dem zuvor, indem Sie eine einseitige ADMT-Offenlegung vorbereiten, die Sie an Rahmenverträge (MSAs) und Verlängerungspakete anhängen können.
Überlegungen für kleine Unternehmen
Die ursprüngliche Ausnahme für kleine Bereitsteller in SB 24-205 war eine vierstufige Prüfung, die Bereitsteller mit weniger als 50 Vollzeitäquivalenten unter engen Bedingungen von der Anforderung zur Folgenabschätzung befreite. SB 26-189 strukturiert die Behandlung kleiner Unternehmen neu, anstatt die Ausnahme wortwörtlich beizubehalten, da die zugrunde liegende Anforderung zur Folgenabschätzung nicht mehr existiert.
Für die meisten kleinen und mittelgroßen Bereitsteller ist der praktische Compliance-Aufwand unter dem neuen Gesetz tatsächlich bescheiden: Führen Sie eine klare ADMT-Offenlegungsseite, die am Punkt der Interaktion mit dem Verbraucher angemessen zugänglich ist, erstellen Sie einen 30-tägigen Prozess zur Reaktion auf negative Ergebnisse, erweitern Sie Ihren bestehenden Workflow für Anfragen betroffener Personen auf den Zugriff und die Korrektur von ADMT-Daten und dokumentieren Sie einen menschlichen Überprüfungsprozess für Entscheidungen, die der Algorithmus maßgeblich beeinflusst. Die meisten gut geführten Unternehmen können dies in wenigen Wochen konzentrierter Arbeit umsetzen, insbesondere wenn sie bereits ein Programm für den Colorado Privacy Act implementiert haben.
Die größten Kostentreiber für kleine Unternehmen sind nicht die Mitteilungen selbst, sondern die vorgelagerte Arbeit der Bestandsaufnahme, wo im Unternehmen abgedeckte ADMT existieren. Eine häufige Überraschung ist die Entdeckung, dass ein Standard-SaaS-Tool mit vom Anbieter eingebetteten KI-Funktionen als abgedeckte ADMT für Zwecke folgenreicher Entscheidungen fungiert, obwohl das bereitstellende Unternehmen nie daran gedacht hat, KI einzusetzen. Plattformen zur Mieterüberprüfung, automatisierte Underwriting-Assistenten, KI-gestützte Einstellungstools und in EHR-Systeme (elektronische Patientenakten) eingebettete Module zur klinischen Entscheidungsunterstützung sind allesamt häufige Überraschungen.
Koordination mit anderen KI- und Datenschutzgesetzen
Colorado gesetzgebebt nicht im luftleeren Raum, und ein koordiniertes Compliance-Programm ist wesentlich kostengünstiger zu betreiben als eine Reihe von Silos in den einzelnen Bundesstaaten. Die wichtigsten Koordinationspunkte für die Planung in den Jahren 2026 und 2027:
Colorado Privacy Act. Der CPA gewährt Verbrauchern in Colorado bereits Rechte auf Datenzugriff, -korrektur und -löschung und legt Controllern, die „Profiling zur Förderung von Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung“ durchführen, bereits Opt-out-Verpflichtungen im Zusammenhang mit Profiling und Verpflichtungen zur Datenschutz-Folgenabschätzung auf. Ihr CPA-Programm ist die natürliche Grundlage für Ihr SB 26-189-Programm, da sich die Workflows für Anfragen betroffener Personen, Vertragsvorlagen für Anbieter und die Infrastruktur für Verbrauchermitteilungen stark überschneiden.
NYC Local Law 144. New York City verlangt jährliche unabhängige Bias-Audits für automatisierte Einstellungstools, die zur Überprüfung von Einwohnern von NYC verwendet werden. SB 26-189 erfordert kein Bias-Audit, aber die für ein LL 144-Audit erstellte Dokumentation ist ein nützlicher Beweis dafür, dass Sie das Risiko algorithmischer Diskriminierung berücksichtigt haben, falls der Generalstaatsanwalt von Colorado nachfragt.
Illinois AI Video Interview Act und California AB 2930. Beide erlegen KI-Mitteilungspflichten im Einstellungskontext auf, die sich mit den Offenlegungen im Beschäftigungskontext in Colorado überschneiden. Erstellen Sie eine einheitliche KI-Mitteilung für Einstellungen, die alle drei erfüllt, anstatt drei separate Mitteilungen.
EU-KI-Gesetz. Wenn Sie auch Nutzer in der EU bedienen, sind die Anforderungen des EU-KI-Gesetzes an die Dokumentation von Hochrisikosystemen und die menschliche Aufsicht wesentlich strenger als der neue Rahmen in Colorado. Die EU-Dokumentation kann im Allgemeinen die Verpflichtungen in Colorado mit leichten Anpassungen erfüllen.
Durchsetzung durch EEOC und DOJ. Die technische Unterstützung des EEOC vom Mai 2023 zu Title VII in Bezug auf KI-Einstellungsverfahren und die Durchsetzungsprioritäten des Justizministeriums (DOJ) gemäß ADA schaffen beide ein bundesweites Risiko für Antidiskriminierung in der KI-Beschäftigung, das unabhängig von staatlichen Mitteilungsgesetzen besteht. Die Einhaltung der Mitteilungspflichten von Colorado schützt Sie nicht vor der Durchsetzung von Bürgerrechten auf Bundesebene.
NIST AI RMF. Die Ausrichtung Ihrer internen Governance am NIST AI Risk Management Framework 1.0 ist durch SB 26-189 nicht gesetzlich vorgeschrieben, wird jedoch von Regulierungsbehörden in verschiedenen Gerichtsbarkeiten und von Unternehmenskunden, die eine Due-Diligence-Prüfung von KI-Anbietern durchführen, weithin als vertretbare Ausgangsbasis akzeptiert.
Ein praktischer zwölfwöchiger Compliance-Fahrplan
Für ein kleines oder mittelständisches Unternehmen, das bei Null anfängt, gliedert sich die Arbeit zur Vorbereitung auf den 1. Januar 2027 in vier Phasen.
Wochen 1 bis 3 – Bestandsaufnahme. Identifizieren Sie jedes Tool, jeden Anbieter oder jedes interne System, das Entscheidungen in den acht Kategorien mit erheblichen Auswirkungen auf Verbraucher in Colorado trifft oder maßgeblich beeinflusst. Berücksichtigen Sie auch integrierte KI-Funktionen in SaaS-Lösungen von Drittanbietern. Klassifizieren Sie für jedes System, ob es unter die ADMT-Regelungen fällt, und dokumentieren Sie den jeweiligen Entwickler.
Wochen 4 bis 6 – Abstimmung mit Anbietern. Kontaktieren Sie jeden Entwickler der betroffenen ADMT und fordern Sie das Dokumentationspaket an, das zur Unterstützung Ihrer Benachrichtigungs- und Offenlegungspflichten bereitgestellt wird. Verhandeln Sie alle erforderlichen Vertragsänderungen in Bezug auf Haftungsfreistellung, Unterstützung bei der Datenberichtigung und Zusammenarbeit bei der Reaktion auf nachteilige Ergebnisse.
Wochen 7 bis 9 – Design von Benachrichtigungen und Prozessen. Entwerfen Sie die Benachrichtigungsseite vor der Nutzung, die Vorlage für die Offenlegung nachteiliger Ergebnisse, die Erweiterungen des Workflows für Anfragen betroffener Personen und den Prozess der menschlichen Überprüfung. Unterziehen Sie jedes Dokument einer Prüfung auf verständliche Sprache und Barrierefreiheit. Schulen Sie Mitarbeiter mit Kundenkontakt sowie Personal aus den Bereichen HR und Underwriting.
Wochen 10 bis 12 – Einführung und Prüfungsvorbereitung. Veröffentlichen Sie die Benachrichtigungen, nehmen Sie die neuen Prozesse in Betrieb und erstellen Sie die Dokumentationsakte, die ein Ermittler der Generalstaatsanwaltschaft anfordern würde: Anbieterverträge, Screenshots der Benachrichtigungen, Antwortprotokolle, Aufzeichnungen der menschlichen Überprüfung und Schulungslisten. Planen Sie ein internes Audit nach sechs Monaten ein.
Ein Team, das Mitte 2026 beginnt, hat einen komfortablen Zeitpuffer. Ein Team, das bis zum vierten Quartal wartet, wird unter Zeitdruck geraten, insbesondere angesichts des Zyklus für Vertragsänderungen bei Anbietern, der bei großen Unternehmen routinemäßig 60 bis 90 Tage in Anspruch nimmt.
Halten Sie Ihre Compliance-Unterlagen so transparent wie Ihre Bücher
Ob Sie ADMT-Bestände erfassen, Offenlegungen zu nachteiligen Ergebnissen nachverfolgen oder die prüfungsfeste Dokumentationsakte erstellen, die ein Ermittler der Generalstaatsanwaltschaft anfordern könnte – für Compliance-Unterlagen gilt derselbe Grundsatz wie für Finanzunterlagen: Transparenz, Versionskontrolle und die Fähigkeit, jede Zahl zu jedem beliebigen Zeitpunkt zu rekonstruieren, sind wichtiger als das Format. Beancount.io bietet Plain-Text-Accounting, das Ihnen vollständige Sichtbarkeit Ihrer Finanzdaten ermöglicht – ohne Blackboxen und ohne Vendor-Lock-in. Kostenlos starten und erfahren, warum Entwickler, Finanzteams und Compliance-orientierte Akteure auf Plain-Text-Accounting umsteigen.
Quellen: