Virginia verbietet den Verkauf von Standortdaten
(hunton.com)- Virginia verschärft mit einer Änderung des VCDPA die Beschränkungen für den Handel mit Standortdaten, indem der Verkauf von Standortdaten verboten wird
- Die Änderung wurde mit der Unterzeichnung von S.B. 388 beschlossen; das Verbot gilt ab dem 1. Juli 2026
- Die Definition von Verkauf (sale) im VCDPA ist auf die Weitergabe personenbezogener Daten an Dritte gegen eine geldwerte Gegenleistung beschränkt und damit enger gefasst als in anderen Bundesstaaten
- Maryland und Oregon haben den Verkauf von Standortdaten ebenfalls verboten, beziehen in ihre Verkaufsdefinition aber auch andere wertvolle Gegenleistungen neben Geld ein
- Ähnliche Gesetzentwürfe in California, Massachusetts, Vermont und Washington State sowie Ermittlungen des California Attorney General und ein FTC-Vergleich zeigen, dass der Verkauf von Standortdaten zunehmend in den Fokus der Regulierung rückt
Änderung des VCDPA in Virginia
- Virginias Gouverneurin Abigail Spanberger hat am 13. April 2026 S.B. 388 unterzeichnet
- Das Gesetz ändert den Virginia Consumer Data Protection Act (VCDPA) und verbietet den Verkauf von Standortdaten
- Im VCDPA wird ein Verkauf als „Austausch personenbezogener Daten durch einen Controller an einen Dritten gegen eine geldwerte Gegenleistung“ definiert
- Dadurch bleibt die Verkaufsdefinition in Virginia enger gefasst als in den umfassenden Datenschutzgesetzen anderer Bundesstaaten
Inkrafttreten und Unterschiede zu den Gesetzen anderer Bundesstaaten
- Das Verbot des Verkaufs von Standortdaten tritt am 1. Juli 2026 in Kraft
- Virginia folgt damit Maryland und Oregon, die den Verkauf von Standortdaten bereits verboten haben
- Maryland und Oregon definieren Verkauf weitergehend als Austausch personenbezogener Daten gegen „eine geldwerte Gegenleistung oder eine andere wertvolle Gegenleistung“
Ähnliche Gesetzentwürfe und regulatorische Untersuchungen
- Auch in mehreren anderen Bundesstaaten wurden ähnliche Gesetzentwürfe zum Verbot des Verkaufs von Standortdaten eingebracht
- Diese Gesetzesinitiativen fallen mit einer Welle regulatorischer Untersuchungen zum Verkauf von Standortdaten zusammen
- Der California Attorney General leitete im März 2025 eine Untersuchung der Standortdatenbranche ein
- Ein FTC-Vergleich aus dem Jahr 2024 untersagt einem Datenbroker den Verkauf präziser Standortdaten von Verbrauchern
1 Kommentare
Hacker-News-Kommentare
Wenn Menschen tatsächlich ausreichend informiert sind und eine Wahl ohne Zwang haben, lehnen sie diese Art der Datenerhebung und insbesondere den Verkauf ab.
Dasselbe gilt für die Nutzung zu Zwecken, die über Dienste hinausgehen, denen sie ihrer Meinung nach ausdrücklich zugestimmt haben, etwa Navigation oder Zeiteinstellungen. Es ist erfreulich, dass ein paar Schutzformulierungen enthalten sind, aber es braucht echte Durchsetzungskraft. Wenn Daten unter falschem Vorwand oder mit Zwangsmitteln erhoben wurden, sollte das nicht nur mit Bußgeldern, sondern auch mit strafrechtlicher Verfolgung geahndet werden.
Edit: Jetzt hat mein Gehirn die Information verarbeitet: Bei strafrechtlicher Verfolgung hätte das wohl etwas mehr Abschreckungswirkung. Natürlich würde niemand etwas Illegales tun ;)
Wäre ein Produkt möglich, das auf der Checkout-Seite groß anzeigt: „Wir werden deine Standortdaten verkaufen“? Ist es schon Zwang, nur weil man dieses Produkt haben will?
Ein guter Anfang. 2024 wurde berichtet, dass „eine Untersuchung ergab, dass ein Unternehmen Besuche in rund 600 Planned-Parenthood-Einrichtungen in 48 Bundesstaaten nachverfolgte und diese Daten einer der größten Anti-Abtreibungs-Werbekampagnen der USA zur Verfügung stellte“ – https://www.politico.com/news/2024/02/13/planned-parenthood-...
Was passiert zum Beispiel, wenn ein in Delaware gegründetes Unternehmen in Virginia erhobene Standortdaten verkauft, dieses Unternehmen aber nicht in Virginia geschäftlich tätig ist?
Umgekehrt liegt us-east-1 in Virginia, und wer weiß, wie viele Zahlungsabwicklungsserver dort laufen.
Allerdings dürfte der Umstand, dass us-east-1 in Virginia liegt, die Sache ziemlich verkomplizieren; das scheint eine Frage zu sein, die ein Gericht klären muss.
Vor einigen Jahren berichtete die NYTimes darüber, wie Autoversicherer solche Daten nutzen. Es ging darum, dass sie starkes Bremsen, nächtliches Fahren, Fahren mit mehr als 80 mph und Ähnliches verfolgten.
In ländlichen Gegenden von Utah gibt es Abschnitte mit 80 mph Tempolimit, und es gibt dort auch Geschwindigkeitsgesetze mit einer widerlegbaren Vermutung der Rechtswidrigkeit. Viele Fahrer in Utah fahren regelmäßig schneller als 80 mph, und ich denke, in manchen Fällen legal. Das ist eine seltsame Zahl als Maßstab.
Aus der Perspektive von jemandem, der im Bereich Medieneinkauf arbeitet, sind solche Gesetze wirklich gut. Solche Datenpunkte sollten von vornherein nicht zum Verkauf stehen.
Sie sorgen dafür, dass der Schutz von Menschen nicht allein dem guten Willen überlassen bleibt. Ein Schritt in die richtige Richtung.
Dieser Artikel ist vom April, und das Verbot ist am 1. Juli in Kraft getreten.
Wenn das tatsächlich auf den „Verkauf“ von Daten abzielt und Datenbroker sowie verschiedene böswillige Akteure strengen Beschränkungen unterwirft, bin ich voll dafür.
Wenn es dagegen wie das kalifornische Gesetz jede Datennutzung als „Datenverkauf“ bezeichnet, dabei aber den schlechten Akteuren der Branche keine wirklich wertvolle Regulierung auferlegt und nur die Begriffe verwässert, wäre das enttäuschend. Es hat auch einen Wert, die Bedeutung von Wörtern klar und konsistent zu halten. Dass Google seine eigenen Google-Maps-Daten nutzt, um bessere Empfehlungen zu geben, ist unproblematisch; dass AT&T leicht personenbeziehbare aggregierte Standortdaten an Dritte verkauft, ist ein großes Problem. Ich hoffe, es wird ein klarer Weg, Letzteres zu verbieten, ohne Ersteres anzutasten.
Wenn man sich schon die Mühe macht, ein solches Gesetz zu schaffen, frage ich mich, warum man nur den Verkauf verbietet und nicht jede Weitergabe.
Die Logik könnte sein, dass kommerzielle Dritte wie Telekommunikationsanbieter die Daten aus Notwendigkeit erheben und weitergeben, sie aber vermutlich nicht verkaufen. Allerdings entsteht damit auch eine interessante Lücke. Man kann eine Weitergabevereinbarung schließen und die eigentlich fällige Gebühr über einen anderen Mechanismus wieder hereinholen. Wenn Anbieter A Daten an Anbieter B verkaufen will und B sie kaufen möchte, das aber rechtlich nicht darf, kann A die Kosten einfach in einen anderen, sachfremden Vertrag mit B einpreisen und mit Augenzwinkern, Handschlag und Nicken die Standortdaten im Rahmen der „Beziehung“ „kostenlos“ weitergeben. Beide Seiten wissen, dass die Kosten in einem anderen Vertrag stecken, aber die einzelnen Kosten kennt nur A, während B lediglich kalkuliert, ob der Paketpreis und die freundschaftliche Weitergabe von Standortdaten insgesamt den Aufwand wert sind. Fairerweise muss man sagen, dass Menschen bei Informationsnutzung und Absichten weniger bösartig sind, bevor Geld ins Spiel kommt. Nicht immer, aber im Durchschnitt schon.
Dass der Verkauf der genauen Standortdaten von Menschen überhaupt einmal wie ein normales Geschäftsmodell behandelt wurde, ist ehrlich gesagt absurd.
Wir wissen bereits, dass Datenernte im großen Stil stattgefunden hat. Solche Gesetze sind nur das absolute Minimum, um verspätet aufzuholen. Ich wünschte, man könnte auch Gesetze schaffen, die diese Unternehmen so hart bestrafen, dass ihre Existenz unmöglich wird, aber damit ist wohl kaum zu rechnen.
Ich fand interessant, dass auch der grobe Standort einer IP-Adresse „Standortdaten“ wären, aber das Gesetz spricht von genauen Standortdaten und scheint sich damit auf von Geräten gemeldete Daten zu beschränken.