Ein einzelnes Bundesland zieht dem Handel mit Bewegungsprofilen den Stecker. Virginia untersagt ab dem 1. Juli 2026 den Verkauf präziser Standortdaten und trifft damit ein Geschäftsmodell, das auch in der EU längst unter Druck steht.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDer Verkauf präziser Standortdaten wird in Virginia zum ersten Mal komplett verboten, nicht bloß an eine Einwilligung geknüpft. Mit dem Gesetz SB 338, unterzeichnet von Gouverneurin Abigail Spanberger am 13. April 2026, verschärft der US-Bundesstaat seinen Consumer Data Protection Act (VCDPA) an einer für die Werbebranche empfindlichen Stelle.
Das Wichtigste in Kürze
- Komplettverbot statt Opt-in: Data Controller dürfen präzise Standortdaten von Verbrauchern gar nicht mehr verkaufen.
- Enger Radius: Als präzise gilt jede Ortung, die eine Person auf 1.750 Fuß (rund 533 Meter) genau bestimmt.
- Dritter US-Staat: Nach Maryland und Oregon zieht Virginia nach, weitere Staaten haben Entwürfe in Arbeit.
- DACH-Bezug: Die EU kennt kein solches Verkaufsverbot, obwohl Standortdaten unter der DSGVO als personenbezogen gelten.
Was genau verbietet Virginia?

Verboten ist der Verkauf präziser Standortdaten von Verbrauchern durch einen Data Controller. Als präzise gilt jede Information, die den Aufenthaltsort einer Person auf 1.750 Fuß eingrenzt, also etwa einen halben Kilometer. Die Details analysiert die Kanzlei Hunton Andrews Kurth in ihrem Datenschutz-Blog.
Der Kniff liegt in der Definition von Verkauf. Virginia fasst den Begriff bewusst eng und meint nur den Tausch personenbezogener Daten gegen Geld. Anders als Maryland und Oregon, deren Gesetze auch jede sonstige werthaltige Gegenleistung erfassen, bleibt der Tausch ohne direkten Geldfluss außen vor. Genau hier entsteht das Schlupfloch, das Datenhändler als Nächstes ausloten dürften.
| Aspekt | DSGVO (EU/DACH) | Virginia SB 338 |
|---|---|---|
| Rechtsgrundlage | Art. 6 + ggf. Art. 9 DSGVO; Opt-in-Pflicht | VCDPA-Änderung; Verbot unabhängig von Consent |
| Einwilligung ausreichend? | Grundsätzlich ja, mit strengen Anforderungen | Nein – Verkaufsverbot gilt absolut |
| Standortdaten-Klassifizierung | Personenbezogene Daten; ggf. Art. 9 (sensibel) | Präzisionsdaten unter 533 m als Sonderkategorie |
| Barter-/Tausch-Modelle | Verboten wenn personenbezogen ohne Rechtsgrundlage | Vorerst erlaubt – kein Geldfluss = kein Verbot |
| Drittland-Transfer-Risiko | Schrems II / EU-US-DPF muss erfüllt sein | US-Anbieter, die SB 338 verletzen, erhöhen DSGVO-Risiko |
| Datenschutz-Folgenabschätzung | Pflicht bei Art. 9-Daten (DSFA nach Art. 35) | Nicht explizit, aber Herkunftsnachweis Pflicht |
Warum trifft das die Data-Broker-Branche im Kern?
Präzise Standortdaten sind der Rohstoff eines milliardenschweren Zwischenhandels. Broker kaufen Positionsdaten aus Apps auf, bündeln sie zu Bewegungsprofilen und verkaufen diese weiter, oft an Werbekunden, teils an Behörden. Ein halber Kilometer genügt, um Wohnort, Arbeitsplatz und den Besuch einer Klinik oder Moschee sichtbar zu machen.
Virginia steht nicht allein. Die US-Handelsaufsicht FTC hat den Datenhändler Kochava im Mai 2026 nach vier Jahren Verfahren per Vergleich vom Verkauf sensibler Standortdaten ausgeschlossen, zuvor traf es Gravy Analytics, Mobilewalla und X-Mode. Aus Einzelfällen ist ein Muster geworden: Der freie Handel mit metergenauen Positionen gilt in den USA regulatorisch als toter Zweig.
Was bedeutet das für Unternehmen im DACH-Raum?
Die DSGVO stuft Standortdaten als personenbezogene Daten ein, ein pauschales Verkaufsverbot wie in Virginia kennt sie aber nicht. Der Handel bleibt grundsätzlich erlaubt, sofern eine wirksame Einwilligung vorliegt. Genau daran hakt es in der Praxis: Fließen Positionen an Hunderte Empfänger, lässt sich kaum informiert einwilligen, und die Zweckbindung nach Artikel 5 DSGVO bricht zusammen.
Die Recherche „Databroker Files“ von netzpolitik.org hat 2024 und 2025 belegt, dass metergenaue Standortdaten von Millionen Menschen in Deutschland offen gehandelt werden, darunter Profile von Personal aus Sicherheitsbehörden und dem Militär. Diese Erkenntnis fehlt in der US-Analyse, macht das Thema aber erst brisant: Das in Virginia verbotene Geschäft läuft in Europa weitgehend ungestört weiter. Die belgische Datenschutzbehörde hat dem Werbe-Framework der IAB Europe zwar DSGVO-Verstöße bescheinigt und ein Bußgeld von 250.000 € bestätigt, das Real-Time-Bidding als solches aber nicht gestoppt.
Für Betreiber von Apps und Websites folgt daraus ein klarer Auftrag. Prüfen Sie, an welche Dritten Standortdaten abfließen, und behandeln Sie präzise Ortung als sensibles Datum mit eigener Risikoabwägung, nicht als Nebenprodukt des Trackings. Der US-Trend zum Verkaufsverbot dürfte die europäische Debatte mittelfristig antreiben, der heutige Handel mit Positionsdaten trägt ein Verfallsdatum. Grundlagen liefert unser Überblick zu den Cybersecurity-Grundlagen für KMU, die Fachbegriffe erklärt das Cybersecurity-Glossar.
Wie schnell regulatorische Fundamente wanken, zeigt der Fall um den zertrümmerten EU-US-Datentransfer. Dass selbst vermeintlich anonyme Kennungen personenbezogen bleiben, unterstreicht die Apple-Lücke bei Hide My Email, und wie datensparsame Verfahren aussehen, führt Googles Zero-Knowledge-Altersnachweis vor.
Mehr Newshunger?
- Datenschutz: Supreme Court zertrümmert EU-US-Datentransfer
- Apple „Hide My Email“: Sicherheitslücke deckt echte Adressen auf
- Altersnachweis: Google öffnet Zero-Knowledge-Technologie
- Check Point VPN-Lücke CVE-2026-50751: ohne Passwort rein
- Cyberabwehr-Gesetz: Darf der Staat jetzt zurückschlagen?
- Ungemeldete Zero-Days auf GitHub: Wie reagieren?