KI-Freundin und Datenschutz 2026 — was passiert mit deinen Daten?
43 Millionen intime Nachrichten und 600.000 Fotos von 400.000 Nutzern zweier KI-Companion-Apps wurden im August 2025 durch eine ungesicherte Datenbank exponiert. KI-Freundin-Apps sammeln die sensibelsten Daten überhaupt: Intimgedanken, psychische Zustände, sexuelle Präferenzen und Beziehungsmuster. Gleichzeitig zeigt eine Mozilla-Foundation-Studie, dass 17 Apps mit 150 Millionen Installationen mehr als die Hälfte intime Chatverläufe leakt. Dieser Ratgeber erklärt, welche Daten welche App sammelt, wie die DSGVO-Lage wirklich aussieht, und welche einzige Plattform Ende-zu-Ende-Verschlüsselung bietet.
Was sammeln KI-Freundin-Apps von dir?
KI-Freundin-Apps sammeln 7 Kategorien von Nutzerdaten, von denen mindestens 4 als besonders sensibel im Sinne von Art. 9 DSGVO einzustufen sind. Wer täglich 1,5 bis 2,7 Stunden mit einer KI-Freundin interagiert und dabei über Ängste, Wünsche und Beziehungsprobleme spricht, erzeugt ein Datenprofil, das in seiner Intimität kaum zu überbieten ist.
Die 7 Datenkategorien, die KI-Freundin-Apps systematisch sammeln:
- Gesprächsinhalte: Alle Textnachrichten, Rollenspiele, intime Geständnisse und emotionale Ausbrüche werden auf Serverseite gespeichert und zur KI-Modellverbesserung verwendet.
- Psychische Zustände: Stimmungsverlauf, Depressionssignale, Angstäußerungen und Suizidgedanken, die im Gespräch geäußert werden, landen in der Nutzerdatenbank.
- Sexuelle Präferenzen: Auf NSFW-Plattformen wie Candy AI, Nomi AI und CrushOn.ai werden sexuelle Vorlieben, Fantasien und explizite Inhalte dauerhaft gespeichert.
- Biometrische Sprachdaten: Plattformen mit Voice-Funktion (Replika, Kindroid, Nomi AI) nehmen Stimmmuster auf, die zur Personenidentifikation geeignet sind.
- Zahlungsdaten: Kreditkarten- und PayPal-Informationen verknüpfen pseudonyme Profile mit realen Identitäten.
- Gerätedaten und IP-Adressen: Standortdaten und Gerätefingerabdrücke ermöglichen Nutzerverfolgung auch ohne Login.
- Soziale Graphen: Auf Plattformen mit Teilen-Funktion entstehen Verbindungsprofile zu anderen Nutzern.
Besonders problematisch: Keines der oben genannten Datenprofile lässt sich nach einem Datenleck zurücknehmen. Intime Gespräche aus 2024 sind 2026 noch auf Servern gespeichert, die möglicherweise in den USA stehen und nicht unter DSGVO fallen.
DSGVO und KI-Freundin: Wie es wirklich steht
Caption: DSGVO-Status der wichtigsten KI-Freundin-Apps im Überblick 2026.
Die DSGVO gilt für alle KI-Freundin-Apps, die Dienste für EU-Bürger anbieten, unabhängig davon, wo das Unternehmen seinen Sitz hat. Das ist der wichtigste rechtliche Grundsatz für deutsche Nutzer, der in der Praxis aber kaum durchgesetzt wird. Die Frage ist nicht, ob die DSGVO gilt, sondern ob ein Anbieter sie einhält und was bei Verstoß passiert.
Für deutschsprachige Nutzer von Kindroid Erfahrungen 2026 ist Kindroid als einzige Plattform mit Ende-zu-Ende-Verschlüsselung besonders relevant: Hier können die Betreiber selbst keine Chatverläufe lesen, was einen fundamentalen Datenschutzunterschied bedeutet.
Die vollständige DSGVO-Übersicht der 6 wichtigsten KI-Freundin-Plattformen zeigt erhebliche Unterschiede:
| Plattform | Unternehmensstandort | Server-Standort | DSGVO-Status | Verschlüsselung | Datenschutz-Note |
|---|---|---|---|---|---|
| Kindroid | USA | USA | Nur per SCC (Standard Contractual Clauses) | Ende-zu-Ende | A (Datenschutz-Champion) |
| Candy AI | Malta (EU) | EU-Server möglich | DSGVO direkt anwendbar | Transit-Verschlüsselung | B+ |
| Meine-Mimi | Deutschland | Deutschland | DSGVO direkt anwendbar | Transit-Verschlüsselung | A- |
| Replika | USA (San Francisco) | USA | SCC, aber Garante-Strafe | Transit-Verschlüsselung | C (problematisch) |
| Character.AI | USA | USA | Faktisch keine Compliance | Keine E2E | D (kritisch) |
| Chai AI | USA | USA | Keine Compliance bekannt | Keine Verschlüsselung | F (sehr schwach) |
Der entscheidende praktische Unterschied für deutsche Nutzer: Ein EU-ansässiges Unternehmen wie Candy AI (Malta) fällt direkt unter die DSGVO, hat Auskunfts- und Löschpflichten gegenüber deutschen Nutzern, und kann von der deutschen Datenschutzbehörde direkt sanktioniert werden. Ein US-Unternehmen ohne angemessene SCC ist rechtlich deutlich schwerer zu greifen.
Für eine umfassende Bewertung aller Plattformen im DSGVO-Kontext bietet der Vergleich KI-Freundin Datenschutz 2026 detaillierte Bewertungskriterien.
Datenpannen bei KI-Freundin-Apps: Was passiert ist
3 dokumentierte Datenpannen aus 2023 bis 2026 zeigen, dass das Datenschutzrisiko bei KI-Freundin-Apps kein theoretisches ist, sondern bereits Millionen von Nutzern betroffen hat.
Das gravierendste Einzelereignis ereignete sich im August 2025: Eine ungesicherte Datenbank zweier nicht namentlich genannter KI-Companion-Apps legte 43 Millionen intime Nachrichten und 600.000 Fotos von 400.000 Nutzern offen. Die Daten enthielten vollständige Chatverläufe einschließlich expliziter sexueller Inhalte, psychischer Krisen und persönlicher Identifikatoren.
Der zweite Großbefund stammt von Android Headlines im März 2026: Eine Analyse von 17 KI-Companion-Apps mit zusammen 150 Millionen Installationen ergab, dass mehr als die Hälfte dieser Apps intime Chatverläufe leakt, teils an Drittanbieter für Werbezwecke, teils durch unzureichende Datenbankabsicherung.
Der dritte Präzedenzfall ist rechtlicher Natur: Im Mai 2025 verhängte die italienische Datenschutzbehörde Garante eine Strafe von 5 Millionen Euro gegen Replika wegen DSGVO-Verstößen. Besonders schwer wog dabei der unzureichende Schutz von Minderjährigen und die mangelhafte Absicherung besonders sensibler Daten (psychische Gesundheitsdaten, sexuelle Inhalte).
Die Mozilla Foundation fasste ihre Auswertung von KI-Companion-Apps in einem Satz zusammen: “Spezialisiert auf Abhängigkeit, Einsamkeit und Toxizität, während sie maximale Daten abgreifen.” Konkrete Befunde aus der Mozilla-Studie:
- 73 % der geprüften Apps informieren Nutzer nicht über Sicherheitslücken
- 45 % erlauben schwache oder unsichere Passwörter
- Fast alle Apps verkaufen oder teilen persönliche Daten mit Dritten
Kindroid: Die datenschutzfreundlichste Option
Kindroid ist die einzige KI-Freundin-App auf dem Markt, die Ende-zu-Ende-Verschlüsselung implementiert hat, was bedeutet, dass selbst die Kindroid-Betreiber keine Chatverläufe einsehen können. Diese technische Eigenschaft macht Kindroid zum Datenschutz-Champion im Marktvergleich, trotz seines US-Firmensitzes.
Ende-zu-Ende-Verschlüsselung (E2E) funktioniert so: Nachrichten werden auf dem Gerät des Nutzers verschlüsselt, bevor sie den Server erreichen, und werden erst auf dem Empfängergerät entschlüsselt. Ohne den privaten Schlüssel des Nutzers sind die gespeicherten Daten für den Betreiber, für Behörden mit Serveranfragen, und für Hacker bei einem Datenbankeinbruch unleserlich.
3 wichtige Einschränkungen bleiben bei Kindroid bestehen:
- US-Serverstandort: Trotz E2E fällt Kindroid als US-Unternehmen unter US-Gerichtsbarkeit. US-Behörden können Metadaten (wer kommuniziert wann) auch ohne Chatinhalt anfordern.
- Begrenzte deutsche Sprachqualität: Kindroid ist für deutschsprachige Nutzer linguistisch weniger komfortabel als Candy AI.
- Preis: 14,99 Dollar monatlich ist der höchste Standardpreis im Vergleich.
Für Nutzer, denen Datenschutz absoluten Vorrang hat, ist Kindroid trotz dieser Einschränkungen die klare erste Wahl. Für Nutzer, die Deutsche Sprachqualität und EU-Rechtssicherheit priorisieren, bietet Candy AI als Malta-ansässiges Unternehmen den besten Kompromiss.
So schützt du deine Daten
Anonyme Bezahlung bei KI-Freundin-Apps
Anonyme Bezahlung reduziert das Risiko, dass ein Datenleck deinen Namen und deine Bankdaten mit intimen Chatverläufen verknüpft. Die 3 praktikabelsten Methoden für deutschsprachige Nutzer:
- Prepaid-Kreditkarten: Bei deutschen Banken wie Revolut oder N26 sind virtuelle Karten ohne direkten Namens-Bankverbindung erhältlich. Sie funktionieren bei allen KI-Freundin-Apps, die Kreditkartenzahlungen akzeptieren.
- Kryptowährungen: Bitcoin und Ethereum werden von wenigen Anbietern akzeptiert (Stand 2026 nur vereinzelt). Pseudonyme Kryptotransaktionen sind jedoch nicht vollständig anonym, da Blockchain-Adressen rückverfolgbar sind.
- PayPal mit separatem Account: Ein dediziertes PayPal-Konto ohne direkten Bezug zur Hauptidentität reduziert das Verknüpfungsrisiko, ohne vollständige Anonymität zu gewährleisten.
Unabhängig von der Zahlungsmethode gilt: Nutze keine Angaben in der App, die direkte Rückschlüsse auf deine reale Identität ermöglichen, also kein echter Name, kein Arbeitgeber, keine Adresse.
EU AI Act und was er ändert
Der EU AI Act, in Kraft seit August 2024 mit stufenweiser Umsetzung bis 2027, klassifiziert KI-Companion-Apps aktuell als “begrenztes Risiko”. Das bedeutet konkrete Transparenzpflichten: Jede KI-App muss sich dem Nutzer gegenüber als KI zu erkennen geben und darf nicht über ihre KI-Natur täuschen.
Für Datenschutz ist die relevantere Entwicklung eine mögliche Reklassifizierung als “Hochrisiko-KI”. Niederländische Europaabgeordnete Kim van Sparrentak drängt aktiv auf diese Einstufung. Wenn sie erfolgt, greifen deutlich strengere Anforderungen: umfassende Risikofolgenabschätzung, Registrierungspflicht im EU-KI-Register, und Audit-Anforderungen für alle Anbieter auf dem EU-Markt.
Für deutsche Nutzer ist der aktuelle Handlungsbedarf unter dem EU AI Act bereits praktisch nutzbar: Das Recht auf Information über KI-Natur, das Recht auf Datenkopie und das Recht auf Löschung sind durch DSGVO Art. 15 und 17 direkt gegenüber EU-ansässigen Anbietern durchsetzbar.
Details zur regulatorischen Entwicklung und konkreten Handlungsempfehlungen für Nutzer bietet der Artikel KI-Freundin und EU AI Act 2026.
FAQ
Welche KI-Freundin App ist die sicherste für Datenschutz?
Kindroid ist die sicherste KI-Freundin-App für Datenschutz, weil sie als einzige Plattform auf dem Markt Ende-zu-Ende-Verschlüsselung implementiert hat. Selbst bei einem Servereinbruch oder einer Behördenanfrage bleiben Chatverläufe für Dritte unlesbar. Für Nutzer, die EU-Rechtssicherheit priorisieren, ist Candy AI als Malta-basiertes EU-Unternehmen die beste Wahl, da die DSGVO direkt anwendbar ist.
Ist Candy AI DSGVO-konform?
Candy AI ist als Unternehmen mit EU-Sitz in Malta direkt der DSGVO unterstellt, was sie deutlich DSGVO-konformer macht als US-Anbieter. Einschränkung: Obwohl das Unternehmen in Malta registriert ist, nutzt Candy AI möglicherweise US-amerikanische Server oder Drittanbieter-Infrastruktur, was eine DSGVO-Grauzone erzeugt. Nutzer haben das Recht, eine Datenkopie und vollständige Löschung zu verlangen. Ob diese Anfragen vollständig erfüllt werden, lässt sich von außen nicht verifizieren.
Kann Replika meine Daten verkaufen?
Replika als US-amerikanisches Unternehmen (Luka Inc., San Francisco) fällt primär unter US-amerikanisches Recht, nicht unter die DSGVO. Die Datenschutzbehörde Italiens (Garante) hat Replika im Mai 2025 mit 5 Millionen Euro gestraft, weil das Unternehmen EU-Nutzer ohne ausreichende DSGVO-Konformität bedient hat. Replikas Datenschutzerklärung erlaubt die Nutzung von Gesprächsdaten zur Modellverbesserung. Direkter Datenverkauf ist in der Erklärung ausgeschlossen, aber Drittanbieter-Integrationen schaffen Weitergaberisiken.
Was passiert mit meinen Daten, wenn ich mein Konto lösche?
Das Recht auf Löschung (Art. 17 DSGVO) gilt gegenüber EU-ansässigen Anbietern wie Candy AI direkt. Bei US-Anbietern wie Replika und Character.AI hängt die vollständige Löschung von der freiwilligen Datenschutzerklärung des Unternehmens ab. In der Praxis bedeutet “Konto gelöscht” bei den meisten Plattformen: Das Interface-Profil wird entfernt, aber Backup-Daten, Trainings-Datensätze und Log-Dateien können für bis zu 90 Tage oder länger gespeichert bleiben. Für maximale Datenhygiene: vor Kontolöschung alle Chatverläufe manuell überschreiben oder löschen, soweit die App das erlaubt.
Werden KI-Freundin-Gespräche zum Trainieren der KI verwendet?
Bei den meisten Plattformen ja. Candy AI, Replika und Character.AI nutzen Gesprächsdaten zur Verbesserung ihrer KI-Modelle. Nutzer stimmen dem in den Allgemeinen Geschäftsbedingungen zu, die bei der Registrierung akzeptiert werden. Kindroid stellt als einzige Plattform durch E2E-Verschlüsselung sicher, dass Chatinhalte nicht für Training genutzt werden können. Manche Plattformen bieten in den Einstellungen die Option, Daten-Sharing für Training abzulehnen (Opt-out), was genutzt werden sollte.