Kentucky geht mit einem neuen Datenschutzgesetz sofort gegen eine KI-Firma vor – ein Signal an die gesamte Tech-Branche. Der Bundesstaat setzt damit einen national beachteten Präzedenzfall, besonders beim Schutz Minderjähriger.
Seit dem 1. Januar 2026 gilt in Kentucky der Kentucky Consumer Data Protection Act (KCDPA). Die Staatsanwaltschaft ließ nicht lange auf sich warten: Bereits am 8. Januar reichte Generalstaatsanwalt Russell Coleman eine Klage gegen das KI-Unternehmen Character.AI ein. Der Vorwurf: Die Plattform habe keine wirksame Altersverifikation implementiert und Minderjährige schädlichen Inhalten ausgesetzt. Damit testet der Staat sein neues Gesetz erstmals an einem heißen Eisen – der Regulierung Künstlicher Intelligenz.
„Die Schonfrist für die Compliance ist effektiv null, besonders wenn es um die Sicherheit von Kindern geht“, kommentieren Rechtsexperten den schnellen Zugriff. Die Klage zielt auf eine einstweilige Verfügung ab, um die Datenpraktiken des Unternehmens zu ändern. Sie markiert die Schnittstelle von traditionellem Verbraucherschutz und modernen Datenschutzrechten.
Staaten und Regulatoren verschärfen die Regeln für KI – Kentucky klagt bereits gegen Character.AI. Die EU-KI-Verordnung verlangt Kennzeichnung, Risikoklassifizierung und ausführliche Dokumentation, andernfalls drohen Sanktionen. Unser kostenloser Umsetzungsleitfaden erklärt praxisnah, welche Pflichten für Anbieter und Entwickler gelten und welche ersten Schritte Ihre Compliance sichern. Kostenlosen KI-Verordnungs-Leitfaden herunterladen
Neue Rechte für Verbraucher, neue Pflichten für Unternehmen
Kentuckys Einwohner verfügen nun über ein Bündel an Rechten, das sich an Gesetzen in Virginia oder Colorado orientiert. Dazu zählen das Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. Besonders relevant ist das Recht auf Opt-Out: Verbraucher können der Verarbeitung ihrer Daten für gezielte Werbung, den Verkauf von Daten und bestimmte Profilerstellungen widersprechen.
Anders als im kalifornischen Recht müssen Unternehmen jedoch keine universellen Opt-Out-Signale von Browsern honorieren – ein Punkt, den Wirtschaftsverbände begrüßen, Datenschützer aber kritisch sehen.
Das Gesetz trifft nicht jeden kleinen Laden. Es gilt für Unternehmen, die in Kentucky Geschäfte machen oder ihre Produkte an Einwohner richten und eines von zwei Kriterien erfüllen: Sie verarbeiten Daten von mindestens 100.000 Verbrauchern oder von 25.000 Verbrauchern, wenn sie mehr als 50 % ihres Umsatzes mit dem Verkauf personenbezogener Daten erzielen.
Die Tücken der „Nachbesserungsfrist“
Eine scheinbar großzügige Regelung ist der 30-tägige „Right to Cure“. Unternehmen können nach einer Beanstandung durch den Generalstaatsanwalt Verstöße binnen eines Monats beheben, bevor Geldstrafen fällig werden. Doch Juristen weisen auf eine entscheidende Lücke hin: Diese Frist könnte nur für Schadensersatzklagen gelten, nicht aber für einstweilige Verfügungen.
Genau diesen Weg geht der Staat gegen Character.AI. Das bedeutet: Unternehmen können sich nicht blind auf die Schonfrist verlassen. Bei dringenden Fällen, besonders im Jugendschutz, kann die Staatsanwaltschaft sofort auf Unterlassung klagen.
Strengere Regeln für sensible Daten und Kinder
Ein Kernstück des KCDPA ist der Umgang mit sensiblen Daten. Dazu zählen Informationen über ethnische Herkunft, religiöse Überzeugungen, Gesundheitsdiagnosen, Sexualität oder präzise Geolokationsdaten. Für deren Verarbeitung ist nun eine ausdrückliche Opt-in-Einwilligung nötig. Ein Verstecken in den Datenschutzbestimmungen reicht nicht mehr aus.
Für Daten von Kindern unter 13 Jahren gilt eine automatische Einstufung als sensibel. Hier ist eine überprüfbare elterliche Einwilligung nach dem Bundesgesetz COPPA erforderlich – genau hier setzt die Klage gegen Character.AI an.
Was bedeutet das für 2026?
Der aggressive Start des Jahres zeigt: Kentucky will eine aktive Rolle in der Datenschutz-Durchsetzung spielen. Der Fokus von Generalstaatsanwalt Coleman auf KI und Jugendschutz signalisiert, dass der Staat über reine Datenschutzverletzungen hinausblickt und die Risiken neuer Technologien adressiert.
Für Unternehmen heißt die Botschaft: Datenbestände überprüfen, Datenschutzerklärungen aktualisieren und Einwilligungsmechanismen für sensible Daten aufsetzen. Die „Abwarten“-Strategie ist nach den schnellen Klagen dieses Monats riskant geworden.
Die Tech-Branche und Datenschutzexperten blicken nun gespannt auf das Franklin Circuit Court. Das Urteil im Fall Character.AI wird maßgeblich beeinflussen, wie in Kentucky künftig der Spagat zwischen Verbraucherrechten und Geschäftsinteressen gemeistert wird.
PS: Entwickeln oder betreiben Sie KI-Systeme? Dieses gratis E-Book fasst die wichtigsten Anforderungen der EU-KI-Verordnung kompakt zusammen – von Risikoklassifizierung über Kennzeichnungspflichten bis zu Dokumentations-Checklisten. Sofort einsatzbereite Hinweise helfen Ihnen, rechtliche Lücken zu schließen und Prüfungen vorzubereiten. Jetzt gratis Umsetzungsleitfaden zur KI-Verordnung anfordern
