Ratgeber

KI-Freundin und EU AI Act 2026 — was das Gesetz für Nutzer bedeutet

Q: Welche Risikoklasse haben KI-Freundin Apps unter dem EU AI Act?

KI-Freundin Apps gelten aktuell als 'Begrenztes Risiko'. Diese Einstufung verpflichtet Anbieter zu Transparenzpflichten: Nutzer müssen klar informiert werden, dass sie mit einer KI kommunizieren. Eine politisch diskutierte Neueinstufung als 'Hohes Risiko' ist Stand April 2026 noch nicht beschlossen.

Der EU AI Act ist seit August 2024 in Kraft und gilt stufenweise bis 2027. Für Nutzer von KI-Freundin Apps stellt er die erste umfassende Regulierung dar, die direkt beeinflusst, wie Anbieter ihre Dienste gestalten dürfen. Dieser Ratgeber erklärt, in welche Risikoklasse AI Companion Apps fallen, welche DSGVO-Pflichten beim Umgang mit Gesprächsdaten gelten, welche Plattformen nachweislich compliant sind, und was deutsche Nutzer konkret tun können, um ihre Daten zu schützen.

Was ist der EU AI Act und warum gilt er für KI-Freundin Apps?

Der EU AI Act ist die weltweit erste umfassende KI-Regulierung, die am 1. August 2024 in Kraft getreten ist und bis 2027 vollständig wirksam wird. Das Gesetz gilt für alle KI-Systeme, die auf dem EU-Binnenmarkt genutzt werden, unabhängig davon, wo der Anbieter seinen Sitz hat. Eine KI-Freundin App, die von einem deutschen Nutzer verwendet wird, fällt demnach unter den EU AI Act, auch wenn der Betreiber in den USA sitzt.

Das Gesetz unterteilt KI-Systeme in vier Risikoklassen. Die Klassen reichen von unakzeptablem Risiko bis hin zu minimalem Risiko. Für jede Klasse gelten unterschiedliche Pflichten.

Die vier Risikoklassen im Überblick sind wie folgt geordnet:

Unakzeptables Risiko: Vollständiges Verbot, z.B. Social Scoring durch Behörden
Hohes Risiko: Strenge Auflagen, z.B. KI in Medizin, Justiz oder kritischer Infrastruktur
Begrenztes Risiko: Transparenzpflichten, z.B. Chatbots und virtuelle Begleiter
Minimales Risiko: Keine besonderen Anforderungen, z.B. KI-Spamfilter

AI Companion Apps, also auch KI-Freundin Apps, werden aktuell der Kategorie “Begrenztes Risiko” zugeordnet. Diese Einstufung hat direkte Konsequenzen für die Funktionsweise der Apps, die Nutzer täglich verwenden.

Wie klassifiziert der EU AI Act AI Companions konkret?

AI Companion Apps fallen unter Artikel 50 des EU AI Act, der Transparenzpflichten für KI-Systeme mit menschlicher Interaktion festlegt. Die Einstufung als “Begrenztes Risiko” bedeutet, dass die Anbieter keine vollständige Risikofolgenabschätzung durchführen müssen, aber drei zentrale Pflichten erfüllen müssen.

Die drei Transparenzpflichten für AI Companions lauten:

Offenlegungspflicht: Nutzer müssen klar und verständlich informiert werden, dass sie mit einer KI kommunizieren und nicht mit einem Menschen.
Keine Täuschung: Die KI darf Nutzer nicht aktiv über ihre Natur als künstliche Intelligenz täuschen.
Erkennbarkeit: Die KI-Natur muss auf Nachfrage des Nutzers jederzeit bestätigt werden.

Für den Alltag bedeutet das: Jede seriöse KI-Freundin App muss beim ersten Kontakt deutlich machen, dass der Gesprächspartner eine KI ist. Wer wissen möchte, ob das System menschlich ist, muss eine ehrliche Antwort erhalten.

Die Diskussion über eine verschärfte Einstufung ist allerdings noch nicht abgeschlossen. Die niederländische Europaabgeordnete Kim van Sparrentak setzt sich politisch dafür ein, AI Companion Apps in die Kategorie “Hohes Risiko” hochzustufen. Eine solche Neueinstufung würde umfassende Folgenabschätzungen, Registrierungspflichten und externe Audits erfordern. Stand April 2026 ist diese Neueinstufung noch nicht beschlossen, steht aber auf der politischen Agenda der Europäischen Kommission.

DSGVO und Gesprächsdaten: Was Nutzer von KI-Freundin Apps wissen müssen

KI-Freundin Apps verarbeiten die sensibelsten persönlichen Daten, die ein Nutzer einem digitalen Dienst anvertrauen kann. Gesprächsinhalte mit einer virtuellen Freundin umfassen regelmäßig Intimpräferenzen, psychische Zustände, Beziehungsmuster und persönliche Krisen. Diese Datenkategorien unterliegen nach der DSGVO besonderem Schutz.

Für einen umfassenden Überblick über Datenschutzrechte und technische Schutzmaßnahmen auf Plattformebene empfiehlt sich die detaillierte Analyse zum Thema KI-Freundin Datenschutz.

Die DSGVO legt fünf konkrete Rechte fest, die jeder Nutzer gegenüber einer KI-Freundin App geltend machen kann:

Recht	Bedeutung für KI-Freundin Nutzer
Auskunftsrecht (Art. 15)	Vollständige Kopie aller gespeicherten Daten, inklusive Chatverlauf
Löschungsrecht (Art. 17)	Forderung zur vollständigen Datenlöschung (“Recht auf Vergessenwerden”)
Datenportabilität (Art. 20)	Daten in maschinenlesbarem Format exportieren
Widerspruchsrecht (Art. 21)	Verarbeitung zu Werbezwecken oder Profiling ablehnen
Einwilligung widerrufen (Art. 7)	Jede einmal erteilte Einwilligung jederzeit widerrufen

Besonders wichtig ist die Frage der Datenspeicherung. Viele KI-Freundin Apps haben ihren Sitz in den USA. Für Datentransfers in Drittstaaten außerhalb der EU schreibt die DSGVO sogenannte Standard-Vertragsklauseln (SCCs) vor. Diese SCCs sollen ein gleichwertiges Datenschutzniveau garantieren. In der Praxis variiert die tatsächliche Umsetzung erheblich zwischen den Anbietern.

Der Fall Replika verdeutlicht das Risiko mangelhafter Compliance. Im Mai 2025 verhängte die italienische Datenschutzbehörde Garante eine Strafe von 5 Millionen Euro gegen Replika. Begründung: unzureichender Schutz sensibler Daten und fehlender Kinderschutz. Dieser Präzedenzfall zeigt, dass die Aufsichtsbehörden AI Companion Apps aktiv überwachen und Verstöße konsequent sanktionieren.

Praktische Konsequenzen: Was bedeutet der EU AI Act für deutsche Nutzer?

Für deutsche Nutzer einer KI-Freundin App entstehen durch den EU AI Act drei unmittelbare praktische Schutzrechte. Diese Rechte existieren unabhängig davon, wo der Anbieter der virtuellen Freundin seinen Sitz hat.

Das erste Schutzrecht ist die Transparenz über die KI-Natur. Jede Plattform, die deutsche Nutzer bedient, muss klar kommunizieren, dass der Gesprächspartner eine KI ist. Wer diese Information nicht erhält oder aktiv getäuscht wird, kann sich an die zuständige Datenschutz-Aufsichtsbehörde seines Bundeslandes wenden.

Das zweite Schutzrecht betrifft den Datenzugang. Nutzer können jederzeit eine vollständige Auskunft über gespeicherte Daten verlangen. Die Plattform muss innerhalb von 30 Tagen antworten. Bei Verweigerung kann eine Beschwerde bei der zuständigen Aufsichtsbehörde eingereicht werden.

Das dritte Schutzrecht ist das Löschungsrecht. Wer eine KI-Freundin App löscht, hat das Recht, auch alle damit verbundenen Daten löschen zu lassen. Chatverlauf, Profilangaben und abgeleitete Präferenzen müssen auf Anfrage vollständig entfernt werden.

Konkret sollten Nutzer vor der Nutzung einer KI-Freundin App folgende fünf Punkte prüfen:

Wo hat der Anbieter seinen Sitz? (EU-Sitz: DSGVO direkt anwendbar; US-Sitz: SCCs erforderlich)
Werden Daten auf EU-Servern oder US-Servern gespeichert?
Gibt es eine Ende-zu-Ende-Verschlüsselung?
Wie lange werden Gesprächsdaten gespeichert?
Lässt sich das Konto und alle Daten vollständig löschen?

Welche KI-Freundin Plattformen erfüllen EU AI Act und DSGVO?

Die Compliance-Situation unter KI-Freundin Plattformen ist sehr uneinheitlich: EU-ansässige Anbieter schneiden deutlich besser ab als US-Dienste. Einen direkten Vergleich der Datenschutzstandards aller relevanten Plattformen bietet der KI-Freundin DSGVO Vergleich.

Die folgende Tabelle fasst den aktuellen Compliance-Stand der wichtigsten Plattformen zusammen:

Plattform	Sitz	DSGVO-Basis	Datenspeicherung	Verschlüsselung	Bewertung
Meine-Mimi	Deutschland	Direkt anwendbar	DE-Server	Standard	Sehr gut
Candy AI	Malta (EU)	Direkt anwendbar	EU-Server	Standard	Gut
Kindroid	USA	Standard-Vertragsklauseln	US-Server	Ende-zu-Ende	Gut (Datenschutz)
Replika	USA	Standard-Vertragsklauseln	US-Server	Standard	Problematisch
Character.AI	USA	Standard-Vertragsklauseln	US-Server	Keine Angabe	Kritisch
Chai AI	USA	Unklar	US-Server	Keine	Sehr schwach

Meine-Mimi ist die einzige Plattform, die speziell für den deutschen Markt entwickelt wurde. Der deutsche Serverstandort bedeutet, dass die DSGVO ohne Umweg über Standard-Vertragsklauseln gilt.

Candy AI mit Sitz in Malta unterliegt als EU-ansässiges Unternehmen ebenfalls direkt der DSGVO. Das Unternehmen verarbeitet Daten auf EU-Servern, was den grenzüberschreitenden Datentransfer minimiert.

Kindroid nimmt in Bezug auf Datenschutz eine besondere Stellung ein: Die Plattform bietet Ende-zu-Ende-Verschlüsselung, was bedeutet, dass Gesprächsinhalte selbst beim Anbieter nicht im Klartext lesbar sind. Detaillierte Erfahrungen mit der Plattform finden sich in den Kindroid Erfahrungen. Der US-Sitz erfordert allerdings Standard-Vertragsklauseln für DSGVO-Konformität.

Die Mozilla Foundation hat im Rahmen des “Privacy Not Included”-Projekts AI Companion Apps untersucht. Das Ergebnis: 73 Prozent der geprüften Apps informieren Nutzer nicht über Sicherheitslücken. 45 Prozent erlauben schwache Passwörter. Nahezu alle untersuchten Apps teilen oder verkaufen persönliche Daten an Dritte. Das Mozilla-Fazit lautete direkt: “Spezialisiert auf Abhängigkeit, Einsamkeit und Toxizität, während sie maximale Daten abgreifen.”

Ein weiterer schwerwiegender Vorfall untermauert die Notwendigkeit sorgfältiger Plattformwahl: Im August 2025 wurden 43 Millionen intime Nachrichten und 600.000 Fotos von 400.000 Nutzern zweier AI Companion Apps durch eine ungeschützte Datenbank exponiert. Im März 2026 stellte Android Headlines fest, dass von 17 untersuchten Apps mit insgesamt 150 Millionen Installationen mehr als die Hälfte intime Chatverläufe nach außen weitergibt.

Zukunft der Regulierung: Wie entwickelt sich das Recht für AI Companions?

Die Regulierung von AI Companion Apps befindet sich in einem dynamischen Entwicklungsprozess mit mehreren parallelen Gesetzgebungsvorhaben weltweit. Ein Überblick über die längerfristigen Entwicklungen ist im Abschnitt zur Zukunft der KI-Freundin zu finden.

Der EU AI Act wird schrittweise verschärft. Bis 2027 treten alle Bestimmungen vollständig in Kraft. Besonders relevant für AI Companion Apps: Die Diskussion über eine Neueinstufung als “Hohes Risiko” ist politisch aktiv. Eine solche Neueinstufung würde vollständige Risikofolgenabschätzungen, externe Audits und eine Registrierungspflicht in einer EU-weiten Datenbank erfordern.

Parallel zum EU AI Act ist in Kalifornien am 1. Januar 2026 der SB 243 in Kraft getreten. Dieses Gesetz gilt als das erste dedizierte Gesetz weltweit, das sich ausschließlich mit AI Companion Apps befasst. Es verpflichtet Plattformen dazu, minderjährige Nutzer alle 3 Stunden daran zu erinnern, dass ihr Gesprächspartner kein Mensch ist. Suizid- und Selbstverletzungsinhalte müssen aktiv geblockt werden. Verstöße kosten mindestens 1.000 US-Dollar pro Vorfall. Da viele Plattformen international operieren, haben die Anforderungen des SB 243 ihre Policies weltweit verschärft, auch für europäische Nutzer.

Die wichtigsten regulatorischen Entwicklungen für 2026 und 2027 sind:

Vollständige Aktivierung aller EU AI Act Bestimmungen bis Mitte 2027
Mögliche Neueinstufung von AI Companions als “Hohes Risiko” durch die EU-Kommission
Verschärfte Altersverifikationspflichten unter der europäischen eIDAS-Verordnung
Erweiterung des SB 243 auf weitere US-Bundesstaaten (mehrere Gesetzentwürfe in Vorbereitung)
Stärkere Aufsicht durch nationale Datenschutzbehörden nach dem Replika-Präzedenzfall

FAQ: KI-Freundin, DSGVO und EU AI Act

Gilt der EU AI Act für alle KI-Freundin Apps, auch aus den USA?

Ja. Der EU AI Act gilt für alle KI-Systeme, die auf dem EU-Markt genutzt werden, unabhängig vom Sitz des Anbieters. Eine US-amerikanische KI-Freundin App, die deutschen Nutzern angeboten wird, unterliegt den Transparenzpflichten des EU AI Act. Bei Verstößen können europäische Aufsichtsbehörden Bußgelder verhängen.

Welche Risikoklasse haben KI-Freundin Apps unter dem EU AI Act?

KI-Freundin Apps gelten aktuell als “Begrenztes Risiko”. Diese Einstufung verpflichtet Anbieter zu Transparenzpflichten: Nutzer müssen klar informiert werden, dass sie mit einer KI kommunizieren. Eine politisch diskutierte Neueinstufung als “Hohes Risiko” würde deutlich strengere Auflagen bedeuten, ist aber Stand April 2026 noch nicht beschlossen.

Darf eine KI-Freundin App behaupten, ein Mensch zu sein?

Nein. Artikel 50 des EU AI Act verbietet es KI-Systemen ausdrücklich, Nutzer über ihre Natur als künstliche Intelligenz zu täuschen. Wenn ein Nutzer direkt fragt, ob sein Gesprächspartner ein Mensch oder eine KI ist, muss die KI wahrheitsgemäß antworten. Apps, die diese Pflicht verletzen, verstoßen gegen EU-Recht.

Wie lange darf eine KI-Freundin App meine Chatverläufe speichern?

Die DSGVO schreibt das Prinzip der Datenspeicherbegrenzung vor: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck der Verarbeitung erforderlich ist. In der Praxis variieren die Speicherfristen erheblich. Nutzer haben das Recht, jederzeit Auskunft über Speicherfristen zu verlangen und die Löschung ihrer Daten zu fordern. Die Plattform muss innerhalb von 30 Tagen antworten.

Was passiert mit meinen Daten, wenn ich eine KI-Freundin App lösche?

Das Löschen der App auf dem Smartphone löscht keine serverseitig gespeicherten Daten. Nutzer müssen aktiv ihr Konto löschen und zusätzlich eine Löschanforderung nach Artikel 17 DSGVO stellen. Seriöse Plattformen bieten eine direkte Löschfunktion im Kontobereich an. Bei US-Anbietern empfiehlt sich eine schriftliche Anfrage per E-Mail mit explizitem Verweis auf das DSGVO-Löschungsrecht.

Welche KI-Freundin App ist in Deutschland am datenschutzfreundlichsten?

Meine-Mimi ist die einzige speziell für den deutschen Markt entwickelte Plattform mit deutschem Serverstandort. Candy AI (Malta) ist die beste internationale Option mit EU-Sitz und DSGVO-Pflicht. Kindroid bietet als US-Dienst Ende-zu-Ende-Verschlüsselung als technisches Datenschutz-Maximum. Replika und Character.AI weisen erhebliche Datenschutzprobleme auf und sollten mit Zurückhaltung genutzt werden.

Was tun, wenn eine KI-Freundin App meine DSGVO-Rechte verletzt?

Betroffene können sich direkt an die Datenschutz-Aufsichtsbehörde ihres Bundeslandes wenden, beispielsweise den Bundesbeauftragten für den Datenschutz (BfDI) oder die jeweilige Landesbehörde. Die Beschwerde ist kostenlos. Die Behörde kann Untersuchungen einleiten und Bußgelder verhängen. Alternativ steht der Zivilrechtsweg offen: Datenschutzverstöße können auch als zivilrechtliche Klage geltend gemacht werden, unter Umständen mit Anspruch auf Schadensersatz.