Kentucky verklagt KI-Chatbot-Firma unter neuem Datenschutzgesetz

Kentuckys Verbraucherschutzbehörde geht mit einem Präzedenzfall gegen eine KI-Firma vor – nur Tage nach Inkrafttreten eines neuen Datenschutzgesetzes. Die Klage richtet sich gegen den Umgang mit Kinderdaten.

Frankfort – Der US-Bundesstaat Kentucky setzt sein neues Datenschutzgesetz mit ungewöhnlicher Entschlossenheit durch. Nur eine Woche nach dem Jahreswechsel hat die Staatsanwaltschaft die erste Klage eingereicht. Ziel ist ein Unternehmen für künstliche Intelligenz, das Kinderdaten verarbeitet haben soll. Der Schritt sendet ein klares Signal an die Tech-Branche: Auch mittelgroße Bundesstaaten nehmen den Datenschutz jetzt ernst.

Erste Klage trifft KI-Unternehmen

Gegenstand der Klage ist Character Technologies, ein Anbieter von KI-Chatbots. Die Staatsanwaltschaft wirft dem Unternehmen vor, die Daten Minderjähriger unzureichend geschützt und keine elterliche Einwilligung eingeholt zu haben. Das verstößt gegen das neue Kentucky Consumer Data Protection Act (KCDPA), das seit dem 1. Januar 2026 in Kraft ist.

Passend zum Thema Datenschutz: Viele Unternehmen unterschätzen die Anforderungen an Datenschutz-Folgenabschätzungen – und riskieren empfindliche Bußgelder. Das kostenlose E‑Book erklärt Schritt für Schritt, wann eine DSFA Pflicht ist, wie Sie Risikoanalysen praxisgerecht durchführen und die Dokumentation so aufbauen, dass Aufsichtsbehörden sie akzeptieren. Enthalten sind klare Checklisten und editierbare Vorlagen, speziell zugeschnitten auf KI‑Systeme. Jetzt DSFA-Guide mit Vorlagen anfordern

„Die Klage zeigt, dass die 30-tägige Nachbesserungsfrist des Gesetzes keine Schonzeit bedeutet“, kommentiert ein Datenschutzexperte. Kentucky folgt damit dem Vorbild Virginias und setzt auf ein vergleichsweise unternehmensfreundliches Modell – allerdings mit scharfen Zähnen. Verstöße können mit bis zu 7.500 Dollar pro Fall geahndet werden.

Neue Rechte für Verbraucher, neue Pflichten für Firmen

Das KCDPA verleiht den Bürgern Kentuckys umfangreiche Kontrollrechte über ihre personenbezogenen Daten. Sie können künftig Auskunft verlangen, Daten korrigieren oder löschen lassen. Besonders bedeutsam ist das Recht auf Widerspruch: Verbraucher können die Verarbeitung ihrer Daten für gezielte Werbung, den Verkauf an Datenhändler oder risikobehaftete Profilerstellung untersagen.

Für Unternehmen gelten strikte Melde- und Sicherungspflichten. Das Gesetz betrifft Firmen, die entweder Daten von mindestens 100.000 Einwohnern Kentuckys verarbeiten oder mehr als 50 Prozent ihres Umsatzes mit dem Verkauf personenbezogener Daten erzielen. Sie müssen Datensparsamkeit walten lassen, angemessene Sicherheitsvorkehrungen treffen und transparent über ihre Datenverarbeitung informieren.

KI und Kinderdaten im Fokus der Aufsicht

Dass sich die erste Klage ausgerechnet gegen eine KI-Firma richtet, ist kein Zufall. Es spiegelt die wachsende regulatorische Aufmerksamkeit für neuartige Technologien wider – besonders wenn es um den Schutz Minderjähriger geht. Die Klage beruft sich auch auf den bundesweiten Children’s Online Privacy Protection Act (COPPA), der die Verarbeitung von Kinderdaten streng regelt.

Kentucky reiht sich damit in eine wachsende Zahl von US-Bundesstaaten ein, die in Ermangelung eines einheitlichen Bundesgesetzes eigene Datenschutzregeln erlassen. Anders als im strengen kalifornischen Recht können Verbraucher in Kentucky jedoch nicht selbst klagen; die Durchsetzung obliegt allein der Staatsanwaltschaft.

Was kommt als Nächstes?

Für Unternehmen bleibt keine Zeit zum Abwarten. Bis zum 1. Juni 2026 müssen sie für riskante Datenverarbeitungen – wie gezielte Werbung oder den Umgang mit sensiblen Daten – Schutzfolgenabschätzungen durchführen und dokumentieren. Die frühe Klage in Kentucky macht deutlich: Die Aufseher wollen von Anfang an Präsenz zeigen.

Die Entwicklung wird auch in Europa aufmerksam verfolgt. Könnten ähnliche Musterklappen gegen KI-Firmen auch unter der DSGVO denkbar sein? Die Antwort wird nicht nur in Kentucky, sondern in vielen Hauptstädten mit Spannung erwartet.

Übrigens: Bis zum 1. Juni 2026 müssen viele Firmen DSFAs für riskante KI‑Verarbeitungen nachweisen. Unser Gratis‑Leitfaden enthält fertige Checklisten, editierbare Vorlagen und eine praxisnahe Schritt‑für‑Schritt‑Anleitung, mit der Sie DSFA‑Prozesse rechtssicher dokumentieren, Zuständigkeiten klären und Prüfungen souverän bestehen. Speziell zugeschnitten auf KI‑Anwendungen – sofort umsetzbar. DSFA‑Vorlagen & Checklisten jetzt kostenlos herunterladen