Standortdaten genießen in den USA künftig einen stärkeren verfassungsrechtlichen Schutz. Das hat der Supreme Court in einem Grundsatzurteil zu sogenannten „Geofence Warrants“ festgestellt. Für Datenschutzbeauftragte und Rechtsabteilungen in Deutschland, Österreich und der Schweiz ist die Entscheidung mehr als eine amerikanische Randnotiz: Sie befeuert die transatlantische Debatte um den Schutz von Bewegungsprofilen und wirft ein neues Licht auf künftige EU-US-Datentransfers.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDas Wichtigste in Kürze
- Der Supreme Court hat den behördlichen Zugriff auf Googles Standortdatenbank Sensorvault im Fall Chatrie zu einer Durchsuchung im Sinne des vierten Verfassungszusatzes erklärt.
- Betroffen sind Geofence Warrants, bei denen Ermittler ein geografisches Gebiet und einen Zeitraum statt einer konkreten Person definieren.
- Das Urteil reiht sich in die Traditionslinie von Carpenter v. United States (2018) ein und schränkt die bisherige Third-Party-Doctrine weiter ein.
- DACH-Unternehmen mit US-Cloud-Diensten oder Standort-Analytics sollten Transfer Impact Assessments und Auftragsverarbeitungsverträge überprüfen.
Was hat der Supreme Court konkret entschieden?

Im Zentrum des Verfahrens stand ein Zugriff der Ermittlungsbehörden auf Googles Sensorvault-Datenbank, in der Standortdaten von Millionen Android-Geräten gespeichert sind. Statt einen einzelnen Verdächtigen zu benennen, forderten Ermittler im Fall Chatrie sämtliche Geräte-IDs an, die sich innerhalb eines definierten Gebiets und Zeitfensters aufgehalten hatten.
Der Supreme Court hat dieses Vorgehen als eigenständige Durchsuchung eingestuft, weil Nutzer trotz Weitergabe ihrer Daten an einen Drittanbieter eine begründete Erwartung auf Privatsphäre gegenüber ihrem Bewegungsprofil behalten. Diese Argumentation bringt die bisherige Third-Party-Doctrine an ihre Grenzen: Ein Geofence Warrant erfasst faktisch tausende unbeteiligte Personen statt gezielt eine Zielperson.
Geofence Warrants gelten künftig als eigenständige Durchsuchung – mit Signalwirkung für Rechtsabteilungen und Datenschutzbeauftragte im DACH-Raum.
Der Weg zum Urteil
Ermittlungsbehörden nutzen erstmals geografische Suchbefehle statt gezielter Verdächtigen-Anfragen.
Der Supreme Court erklärt den Zugriff auf historische Mobilfunk-Standortdaten (CSLI) zur verfassungsrechtlichen Durchsuchung.
Der Zugriff auf Googles Standortdatenbank wird als eigenständige Durchsuchung eingestuft – die Third-Party-Doctrine gerät weiter unter Druck.
Ermittler definieren ein geografisches Gebiet und Zeitfenster – nicht eine konkrete Person. Tausende unbeteiligte Nutzer geraten so ins Visier.
Nutzer behalten trotz Weitergabe an Drittanbieter eine begründete Erwartung auf Privatsphäre gegenüber ihrem Bewegungsprofil.
Das Urteil in Zahlen & Fakten
Was DACH-Unternehmen jetzt prüfen sollten
Welche eingesetzten Dienste erheben Standortdaten – und wohin fließen sie?
Bestehende Bewertungen im Licht der neuen Rechtsprechung aktualisieren.
Klare Prozesse für Behördenanfragen aus Drittstaaten nach Art. 48 DSGVO festlegen.
Die Entscheidung stellt sich explizit in die Traditionslinie von Carpenter v. United States aus dem Jahr 2018. Damals hat der Supreme Court erstmals entschieden, dass der Zugriff auf historische Mobilfunk-Standortdaten (CSLI) verfassungsrechtlich als Durchsuchung gilt.
Geofence Warrants sind seit ihrer ersten Anwendung 2016 zu einem festen Ermittlungsinstrument geworden und bilden neben den ähnlich umstrittenen Keyword-Warrants eine eigene, wachsende Kategorie sogenannter Reverse-Suchbefehle.
Bei diesen Suchbefehlen bildet ein ganzer Datenpool statt der Zielperson den Ausgangspunkt. Das Urteil bestätigt damit einen Trend, den auch deutsche Aufsichtsbehörden in ihren Grundsatzpapieren zur Verarbeitung personenbezogener Standortdaten aufmerksam verfolgen.
Was bedeutet das für Unternehmen im DACH-Raum?
Für Unternehmen mit US-Cloud-Anbietern oder App-basierter Standortdatenverarbeitung verschärft das Urteil die Transferdebatte. Die Entscheidung zeigt, dass US-Gerichte den staatlichen Zugriff auf Standortdaten strenger prüfen als bisher angenommen. Das könnte in künftigen Schrems-Verfahren zur Bewertung des EU-US Data Privacy Framework relevant werden.
Unter der DSGVO gelten Standort- und Bewegungsdaten ohnehin als besonders schutzwürdige personenbezogene Daten. Datenschutzbeauftragte sollten prüfen, ob eingesetzte US-Dienste wie Werbe-SDKs, Flottenmanagement-Software oder Standort-Analytics Geodaten an US-Server übertragen, sollten bestehende Transfer Impact Assessments aktualisieren und interne Richtlinien für Behördenanfragen aus Drittstaaten nach Artikel 48 DSGVO festlegen.
Das Urteil ist ein Weckruf für jede Compliance-Abteilung, die glaubt, Standortdaten seien in den USA rechtlich unproblematisch.
— Michael Dobler, Herausgeber Dr. Web
Welche Schritte sollten Verantwortliche jetzt einleiten?
Konkret empfiehlt sich ein dreistufiges Vorgehen: eine Bestandsaufnahme, welche eingesetzten Dienste überhaupt Standortdaten erheben und wohin diese fließen; eine Aktualisierung der Transfer Impact Assessments unter Berücksichtigung der neuen Rechtsprechung; und eine klare interne Richtlinie für Behördenanfragen aus Drittstaaten, bevor der Ernstfall eintritt.
Gerade für den Mittelstand, der zunehmend auf eine heimische Cloud-Infrastruktur setzt, lohnt sich ein Blick auf die eigene Datenhoheit und die Frage, welche Anbieter Standortverarbeitung vertraglich transparent regeln.