Ein einzelnes Bundesland zieht dem Handel mit Bewegungsprofilen den Stecker. Virginia untersagt ab dem 1. Juli 2026 den Verkauf präziser Standortdaten und trifft damit ein Geschäftsmodell, das auch in der EU längst unter Druck steht.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Der Verkauf präziser Standortdaten wird in Virginia zum ersten Mal komplett verboten, nicht bloß an eine Einwilligung geknüpft. Mit dem Gesetz SB 338, unterzeichnet von Gouverneurin Abigail Spanberger am 13. April 2026, verschärft der US-Bundesstaat seinen Consumer Data Protection Act (VCDPA) an einer für die Werbebranche empfindlichen Stelle.

Das Wichtigste in Kürze

  • Komplettverbot statt Opt-in: Data Controller dürfen präzise Standortdaten von Verbrauchern gar nicht mehr verkaufen.
  • Enger Radius: Als präzise gilt jede Ortung, die eine Person auf 1.750 Fuß (rund 533 Meter) genau bestimmt.
  • Dritter US-Staat: Nach Maryland und Oregon zieht Virginia nach, weitere Staaten haben Entwürfe in Arbeit.
  • DACH-Bezug: Die EU kennt kein solches Verkaufsverbot, obwohl Standortdaten unter der DSGVO als personenbezogen gelten.

Was genau verbietet Virginia?

Roter Pin auf Sockel, Mini-Haus, Anhänger mit durchgestrichenem Preis und
Data Controller dürfen präzise Standortdaten von Verbrauchern nicht verkaufen. Präzise bedeutet hier eine Genauigkeit von etwa 500 Metern oder besser

Verboten ist der Verkauf präziser Standortdaten von Verbrauchern durch einen Data Controller. Als präzise gilt jede Information, die den Aufenthaltsort einer Person auf 1.750 Fuß eingrenzt, also etwa einen halben Kilometer. Die Details analysiert die Kanzlei Hunton Andrews Kurth in ihrem Datenschutz-Blog.

Der Kniff liegt in der Definition von Verkauf. Virginia fasst den Begriff bewusst eng und meint nur den Tausch personenbezogener Daten gegen Geld. Anders als Maryland und Oregon, deren Gesetze auch jede sonstige werthaltige Gegenleistung erfassen, bleibt der Tausch ohne direkten Geldfluss außen vor. Genau hier entsteht das Schlupfloch, das Datenhändler als Nächstes ausloten dürften.

US-Regulierung & DSGVO-Vergleich
Virginia verbietet Geolokationsdaten-Handel
Was SB 338 bedeutet – und was das für Ihr Unternehmen in der DACH-Region ändert
In Kraft ab 1. Juli 2026
533 m
Präzisionsgrenze – genauere Standortdaten dürfen nicht mehr verkauft werden
3+
US-Bundesstaaten mit Geolokations-Verkaufsverboten (Virginia, Maryland, Oregon)
>50%
der US-Bevölkerung sollen bis 2027 unter vergleichbare Verbote fallen
Was SB 338 verbietet
Verkauf von Standortdaten mit Genauigkeit unter 533 Metern gegen Geld
Weitergabe von App-Telemetrie, Connected-Car- und Retail-Tracking-Daten an Dritte
Bewegungsprofile aus aggregierten Mobilgerätedaten kommerziell lizenzieren
Verkauf trotz erteilter Einwilligung der betroffenen Person
Datentausch ohne Geldfluss (Barter-Modelle) vorerst noch erlaubt
Standortdaten auf PLZ- oder Stadtebene (> 533 m Unschärfe) weiterhin nutzbar
Warum das Adtech-Geschäftsmodell trifft
Einwilligung allein genügt nicht mehr – das Verbot gilt unabhängig vom Consent
Nachgelagerte Abnehmer haften ebenfalls – Herkunftsnachweis wird Pflicht
Anbieterverträge und Einwilligungsdokumentation müssen neu geprüft werden
Maryland & Oregon gehen weiter: auch „andere wertvolle Gegenleistungen“ eingeschlossen
FTC-Prazis hat 2024 bereits einen Data Broker per Settlement-Verfahren gestoppt
Muster ähnelt Illinois-BIPA: Pionier-Staat setzt Standard, weitere folgen
Status der US-Bundesstaaten im Überblick
Virginia
In Kraft seit 1. Juli 2026 – SB 338 unterzeichnet
Maryland
Verabschiedet – auch Barter-Modelle eingeschlossen
Oregon
Verabschiedet – weite Definition von Gegenleistung
Kalifornien
Gesetzgebungsinitiative läuft parallel
Massachusetts
Gesetzgebungsinitiative läuft parallel
Washington State & Vermont
Gesetzgebungsinitiativen in Vorbereitung
In Kraft
Verabschiedet
Initiative läuft
Branchenprognose bis 2027
Mehr als 50 % der US-Bevölkerung unter vergleichbaren Geolokations-Verkaufsverboten
Analysten vergleichen das Muster mit dem Illinois BIPA-Effekt bei Biometrie-Daten – ein Pionier-Staat, dann eine Welle.
DSGVO vs. Virginia SB 338 – Regulierungs-Vergleich
Aspekt DSGVO (EU/DACH) Virginia SB 338
Rechtsgrundlage Art. 6 + ggf. Art. 9 DSGVO; Opt-in-Pflicht VCDPA-Änderung; Verbot unabhängig von Consent
Einwilligung ausreichend? Grundsätzlich ja, mit strengen Anforderungen Nein – Verkaufsverbot gilt absolut
Standortdaten-Klassifizierung Personenbezogene Daten; ggf. Art. 9 (sensibel) Präzisionsdaten unter 533 m als Sonderkategorie
Barter-/Tausch-Modelle Verboten wenn personenbezogen ohne Rechtsgrundlage Vorerst erlaubt – kein Geldfluss = kein Verbot
Drittland-Transfer-Risiko Schrems II / EU-US-DPF muss erfüllt sein US-Anbieter, die SB 338 verletzen, erhöhen DSGVO-Risiko
Datenschutz-Folgenabschätzung Pflicht bei Art. 9-Daten (DSFA nach Art. 35) Nicht explizit, aber Herkunftsnachweis Pflicht
Ihre 3 konkreten Maßnahmen jetzt
Schritt 1
Verträge prüfen
Bestandsverträge mit US-Adtech- und Data-Broker-Partnern auf Geolokations-Klauseln prüfen und Virginia-Compliance als Vertragsvoraussetzung einfordern.
Schritt 2
Rechtsgrundlage re-evaluieren
Eigene Geo-Targeting-Kampagnen auf DSGVO-Art. 6-Rechtsgrundlage und ggf. Art. 9-Schwelle überprüfen – inklusive Datenschutz-Folgenabschätzung.
Schritt 3
Datenminimierung umsetzen
Standortdaten nur noch auf PLZ- oder Stadtebene verarbeiten, wo Kampagnenziele das erlauben – technische Datenminimierung als Standardprozess einführen.

Warum trifft das die Data-Broker-Branche im Kern?

Präzise Standortdaten sind der Rohstoff eines milliardenschweren Zwischenhandels. Broker kaufen Positionsdaten aus Apps auf, bündeln sie zu Bewegungsprofilen und verkaufen diese weiter, oft an Werbekunden, teils an Behörden. Ein halber Kilometer genügt, um Wohnort, Arbeitsplatz und den Besuch einer Klinik oder Moschee sichtbar zu machen.

Virginia steht nicht allein. Die US-Handelsaufsicht FTC hat den Datenhändler Kochava im Mai 2026 nach vier Jahren Verfahren per Vergleich vom Verkauf sensibler Standortdaten ausgeschlossen, zuvor traf es Gravy Analytics, Mobilewalla und X-Mode. Aus Einzelfällen ist ein Muster geworden: Der freie Handel mit metergenauen Positionen gilt in den USA regulatorisch als toter Zweig.

Was bedeutet das für Unternehmen im DACH-Raum?

Die DSGVO stuft Standortdaten als personenbezogene Daten ein, ein pauschales Verkaufsverbot wie in Virginia kennt sie aber nicht. Der Handel bleibt grundsätzlich erlaubt, sofern eine wirksame Einwilligung vorliegt. Genau daran hakt es in der Praxis: Fließen Positionen an Hunderte Empfänger, lässt sich kaum informiert einwilligen, und die Zweckbindung nach Artikel 5 DSGVO bricht zusammen.

Die Recherche „Databroker Files“ von netzpolitik.org hat 2024 und 2025 belegt, dass metergenaue Standortdaten von Millionen Menschen in Deutschland offen gehandelt werden, darunter Profile von Personal aus Sicherheitsbehörden und dem Militär. Diese Erkenntnis fehlt in der US-Analyse, macht das Thema aber erst brisant: Das in Virginia verbotene Geschäft läuft in Europa weitgehend ungestört weiter. Die belgische Datenschutzbehörde hat dem Werbe-Framework der IAB Europe zwar DSGVO-Verstöße bescheinigt und ein Bußgeld von 250.000 € bestätigt, das Real-Time-Bidding als solches aber nicht gestoppt.

Für Betreiber von Apps und Websites folgt daraus ein klarer Auftrag. Prüfen Sie, an welche Dritten Standortdaten abfließen, und behandeln Sie präzise Ortung als sensibles Datum mit eigener Risikoabwägung, nicht als Nebenprodukt des Trackings. Der US-Trend zum Verkaufsverbot dürfte die europäische Debatte mittelfristig antreiben, der heutige Handel mit Positionsdaten trägt ein Verfallsdatum. Grundlagen liefert unser Überblick zu den Cybersecurity-Grundlagen für KMU, die Fachbegriffe erklärt das Cybersecurity-Glossar.

Wie schnell regulatorische Fundamente wanken, zeigt der Fall um den zertrümmerten EU-US-Datentransfer. Dass selbst vermeintlich anonyme Kennungen personenbezogen bleiben, unterstreicht die Apple-Lücke bei Hide My Email, und wie datensparsame Verfahren aussehen, führt Googles Zero-Knowledge-Altersnachweis vor.

Mehr Newshunger?

4,1 12 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?