Pryvii
Alle Beiträge
Case Studies
25. Februar 2026

FTC-Warnschreiben an 13 Datenhändler: PADFA-Compliance jetzt

Am 9. Februar 2026 hat die FTC Warnschreiben an 13 Datenhändler wegen Verstößen gegen PADFAA gesendet und den Verkauf sensibler Daten wie Standort- und Gesundheitsinformationen an ausländische Gegner wie China und Russland untersagt. Website-Betreiber erfahren, wie sie Drittanbieter prüfen und Geldstrafen von bis zu 53.088 $ pro Verstoß vermeiden können.

Teilen:

FTC-Warnschreiben an 13 Datenhändler: PADFA-Compliance jetzt

Stellen Sie sich vor, Sie wachen auf und stellen fest, dass Ihr Website-Analysetool, Ihr Anzeigennetzwerk oder Ihre Kunden-Datenplattform unter Beobachtung der FTC steht – nicht wegen eines Datenlecks, sondern weil es stillschweigend sensible Benutzerdaten an einen ausländischen Gegner wie China oder Russland weitergeleitet hat. Am 9. Februar 2026 hat die Federal Trade Commission (FTC) Warnschreiben an 13 Datenhändler gesendet und dabei Verstöße gegen das Gesetz zum Schutz der Daten von Amerikanern vor ausländischen Gegnern von 2024 (PADFAA) aufgedeckt.1 2 3 Dieser Schritt signalisiert eine neue Ära der Durchsetzung, in der auch indirekte Datenflüsse durch Drittanbieter Ihr Unternehmen Geldstrafen von bis zu 53.088 $ pro Verstoß aussetzen können.4 2 3 Für Website-Betreiber, die auf diese Händler für Marketing, Personalisierung oder Analysen angewiesen sind, ist die Botschaft klar: Prüfen Sie Ihre Anbieter jetzt, um nicht zum nächsten Ziel zu werden.

Was ist PADFAA und warum ist es wichtig?

PADFAA, das 2024 in Kraft trat, zielt auf eine kritische nationale Sicherheitslücke ab: den unkontrollierten Verkauf sensibler persönlicher Daten von Amerikanern an ausländische Gegner.1 2 Es verbietet Datenhändlern, persönlich identifizierbare sensible Daten von US-Bürgern an Länder wie China, Russland, Nordkorea oder Iran oder an von ihnen kontrollierte Einheiten zu verkaufen, zu lizenzieren, zu übertragen, offenzulegen, zugänglich zu machen oder anderweitig verfügbar zu machen.1 4 5 3

Ein Datenhändler im Sinne von PADFAA wird weit definiert als jede Einheit, die gegen Entgelt Daten über US-Bürger verwaltet, die sie nicht direkt von diesen gesammelt hat. Dies umfasst Anbieter, die Standortverfolgung, Gesundheitsdaten aus Fitness-Apps oder sogar Einblicke in den Militärstatus anbieten – genau das, was die FTC in diesen Schreiben beanstandet hat.1 2 6 Die Behörde identifizierte Fälle, in denen Empfänger "Lösungen und Einblicke in den Status einer Person als Mitglied der Streitkräfte" anboten, und betrachtete diese als sensible Daten, die unter das Gesetz fallen.2 6 3

Verstöße gelten als unfaire oder täuschende Praktiken im Sinne von Section 5 des FTC Act (15 U.S.C. § 45), was den Weg für einstweilige Verfügungen, Durchsetzungsmaßnahmen und jene hohen zivilrechtlichen Geldstrafen ebnet.4 3 Der Geltungsbereich von PADFAA überschneidet sich mit Datenschutzgesetzen wie CCPA (Cal. Civ. Code § 1798.100 et seq.), das von Unternehmen verlangt, ihre Datenflüsse zu kennen, und GDPR Artikel 28 zu den Pflichten von Auftragsverarbeitern – was Compliance zu einer mehrschichtigen Herausforderung macht.1 4

Aufschlüsselung der Warnschreiben

Die Schreiben der FTC, unterzeichnet von Christopher Mufarrige, Direktor des Büros für Verbraucherschutz, mahnten die Empfänger, "eine umfassende Überprüfung ihrer Praktiken durchzuführen und ihre Handlungen und Praktiken sofort in Übereinstimmung zu bringen".1 2 3 Es handelte sich nicht um Anschuldigungen der Illegalität, sondern um deutliche Erinnerungen: Die FTC beobachtet, und Mitarbeiter der Abteilung für Datenschutzdurchsetzung sind bereit, nachzufassen.1

Wichtige Elemente aus dem Musterbrief umfassen:

  • Verbotene Datentypen: Gesundheits-, Finanz-, genetische, biometrische, Standort-, sexuelle Verhaltensinformationen, Anmeldedaten für Konten/Geräte und staatlich ausgestellte IDs wie Sozialversicherungsnummern, Reisepässe oder Führerscheine.4 2 6 5
  • Durchsetzungsgrundlage: PADFAA ist direkt mit Section 5(m)(1)(A) des FTC Act verknüpft, was Geldstrafen ohne Nachweis von Verbraucherschäden ermöglicht.3
  • Aufruf zum Handeln: Stellen Sie nicht konforme Praktiken sofort ein und gewährleisten Sie fortlaufende Einhaltung.3

Dies ist nicht isoliert; es ist Teil des breiteren Vorgehens der FTC gegen Datenhändler, das frühere Maßnahmen nach dem Gramm-Leach-Bliley Act und COPPA widerspiegelt.2 Mit 13 Schreiben und möglicherweise weiteren ist die Branche aufgeschreckt.1 7

Wer gilt als Datenhändler? Es könnte Ihr Anbieter sein

Man könnte denken, Datenhändler seien zwielichtige Firmen, von denen man noch nie gehört hat, aber PADFAAs Definition erfasst viele Website-Standards:

  • Analyseanbieter, die aggregierte, aber identifizierbare Standortdaten verkaufen.
  • Ad-Tech-Plattformen, die Benutzerprofile mit präzisen Standortdaten handeln.
  • CRM-Tools, die Gesundheits- oder Finanzstatus aus dem Verhalten ableiten.

Wenn Ihr Drittanbieter die Kriterien erfüllt – Umgang mit Daten von US-Personen, die nicht direkt von ihnen gesammelt wurden, gegen Entgelt – ist er ein Datenhändler.1 3 Websites, die diese für Personalisierung oder Targeting verwenden, erhöhen das Risiko: Ihre Zustimmungsbanner decken möglicherweise die gesetzlichen Grundlagen nach Artikel 6 GDPR ab, aber sie berühren nicht den nationalen Sicherheitsaspekt von PADFAA.2

Realwelt-Überlappung: Ein Kartendienst verfolgt die Standortdaten der Benutzer für Ihre Website und lizenziert sie dann an eine Handelskette weiter, die sie an ausländische Einheiten weitergibt. Selbst wenn es unbeabsichtigt geschieht, haften Sie, wenn Sie nicht geprüft haben.4 5

Handlungsschritte: Prüfen Sie Ihre Drittanbieter

Website-Betreiber können sich keine Untätigkeit leisten. Hier ist ein praktischer, schrittweiser Prüfrahmen, um die PADFAA-Exposition zu bewerten – passen Sie ihn neben Ihren CCPA-Risikobewertungen für Anbieter oder den PIPEDA-Grundsatz 4.1.3 zur Rechenschaftspflicht an.

1. Inventarisieren Sie Ihre Anbieter

Bilden Sie jeden Drittanbieter- Script, API oder Service ab, der Benutzerdaten berührt:

  • Verwenden Sie Tools wie CSP-Berichte oder Netzwerkprotokolle, um Tracker aufzulisten (z.B. Google Analytics, Facebook Pixel).
  • Kategorisieren Sie nach Datentyp: Greift es auf Standortdaten (Breite/Länge), Gesundheitsdaten (von Wearables) oder präzise Kennungen zu?4 2
  • Tipp: Exportieren Sie das Audit-Log Ihres Tag-Managers (z.B. GTM) für einen vollständigen Überblick.

2. Klassifizieren Sie sensible Datenflüsse

Dokumentieren Sie für jeden Anbieter:

  • Erfasste Daten: IP-abgeleitete Standorte, Geräte-IDs, Browserverlauf.
  • PADFAA-Kategorien, die übereinstimmen: Standortdaten, wenn <1.850 Fuß Präzision; Regierungs-IDs, wenn abgegriffen.2 5
  • Empfänger: Fordern Sie Data Processing Agreements (DPAs) an, die die Weitergabe an Dritte detailliert beschreiben. Überprüfen Sie gegen Listen ausländischer Gegner (China, Russland usw.).1 4
DatentypBeispielePADFAA-Risiko bei Weitergabe an Gegner
StandortGPS-Koordinaten, IP-kartierte AdressenHoch – Ermöglicht Überwachung4 2
Gesundheit/FinanzenAbgeleitet von App-Daten, KaufhistorieHoch – Profile für Targeting6
Biometrie/GenetikGesichtsscans, DNA-UploadsExtrem – Irreversibler Schaden5
MilitärstatusAbgeleitet von Jobtiteln, Besuchen von MilitärbasenVon der FTC beanstandet2 3
KennungSSNs, LoginsHoch – Identitätsdiebstahl-Vektor4

3. Überprüfung und Vertragsgestaltung

  • Fordern Sie PADFAA-Zertifizierungen an: Bitten Sie um Zusicherungen, dass keine Verkäufe an Gegner erfolgen, ähnlich wie bei GDPR Artikel 28(3)(h)-Mitteilungen über Unterauftragnehmer.
  • Aktualisieren Sie Verträge: Nehmen Sie Prüfungsrechte, Meldepflichten bei Sicherheitsvorfällen innerhalb von 72 Stunden (ähnlich wie CCPA §1798.150) und Kündigungsgründe bei PADFAA-Verstößen auf.
  • Red Flags: Anbieter in oder im Besitz von Gegnerrändern; vage Datenschutzbestimmungen; Vorgeschichte von FTC-Untersuchungen.

4. Implementieren Sie Kontrollen

  • Technische Anpassungen:
    • Sperren Sie IPs von Gegnern auf der Edge-Ebene (Cloudflare, Akamai).
    • Anonymisieren Sie Daten: Aggregieren Sie Standortdaten auf Volkszählungsblockebene; hashen Sie Kennungen.1
  • Überwachung:
    • Quartalsweise Fragebögen an Anbieter.
    • Automatisierte Scans nach neuen Trackern (z.B. via Browser-Erweiterungen).
  • Schulung: Bilden Sie Teams über PADFAA neben PIPEDA-Grundsatz 7 zu Sicherheitsvorkehrungen.

5. Reaktion auf Vorfälle und Meldung

Wenn Sie einen Verstoß feststellen:

  • Stoppen Sie Datenflüsse sofort.
  • Dokumentieren Sie die Sanierung (die FTC schätzt Beweise für guten Glauben).3
  • Melden Sie sich selbst, wenn ein erhebliches Risiko besteht, was möglicherweise Geldstrafen mindert.

Dieser Prozess dauert typischerweise 2-4 Wochen für mittelgroße Websites, skaliert aber mit Automatisierung. Kleine Unternehmen: Beginnen Sie mit den Top 10 Anbietern, die 80 % der Daten verarbeiten.

Breitere Auswirkungen auf die Website-Compliance

PADFAA steht nicht isoliert. Es überschneidet sich mit Landesgesetzen wie CCPA/CPRA, das "Verkaufs"-Mitteilungen (Opt-outs für Weitergabe) erfordert, und internationalen Regimen:

  • GDPR: Auftragsverarbeiter müssen sicherstellen, dass Unterauftragnehmer nicht in "Drittländer" exportieren, ohne dass ein Angemessenheitsbeschluss vorliegt (Russland/China fehlt es daran – Artikel 45).4
  • PIPEDA: Organisationen sind für übertragene Daten verantwortlich (Grundsatz 4.1.3), mit Sicherheitsvorkehrungen gegen unbefugten Zugriff.

Durchsetzungstrends zeigen eine Eskalation: Nach der Warnung sind FTC-Klagen wie die 520-Mio.-$-COPPA-Strafe gegen Epic Games zu erwarten. Websites, die Anbieter-Risiken ignorieren, haften gemeinsam, wie in CCPA §1798.145(c)(6)-Klagen gegen Plattformen gesehen.2

Für Entwickler: Integrieren Sie PADFAA-Checks in SDK-Reviews. Produktmanager: Priorisieren Sie in RFPs. Eigentümer: Budgetieren Sie 5.000-20.000 $ jährlich für Prüfungen – günstiger als 53.000 $-Geldstrafen.

Kernbotschaften

  • Handeln Sie jetzt: Die Schreiben der FTC vom 9. Februar an 13 Händler beweisen, dass PADFAA-Durchsetzung live ist – prüfen Sie Anbieter heute.1 2
  • Sensible Daten sind weit gefasst: Standort, Gesundheit, Militärstatus – alles ist gegenüber Gegnern tabu.4 6
  • Geldstrafen schmerzen: Bis zu 53.088 $ pro Verstoß nach Section 5 des FTC Act.3
  • Prüfen Sie systematisch: Inventarisieren, klassifizieren, vertraglich regeln, kontrollieren, überwachen – wiederholen Sie quartalsweise.
  • Ganzheitliche Compliance: Schicht PADFAA über CCPA, GDPR, PIPEDA für robusten Schutz.

Indem Websites PADFAA als Signal für Anbieter-Risiken behandeln, stärken sie Datenschutz und nationale Sicherheit. Bleiben Sie wachsam; die FTC ist es auch.

(Wortzahl: 1.128)

Sources

Footnotes

  1. wiley.law

  2. ftc.gov

  3. ftc.gov

  4. jdsupra.com

  5. digitalpolicyalert.org

  6. thewbkfirm.com

  7. ftc.gov

Teilen:

Ähnliche Beiträge

Case Studies

CA's Todd Snyder CCPA-Strafe: Fallstricke beim Opt-out über Drittanbieter

Kaliforniens Vergleich mit Todd Snyder über 345.000 $ wegen verzögerter Opt-outs durch unbeaufsichtigte Drittanbieter-Tools warnt Websites, ihre Datenschutz-Anbieter sorgfältig auszuwählen und die Bearbeitung von Verbraucheranfragen nach CCPA zu optimieren.

Bleiben Sie konform mit Pryvii

Scannen Sie Ihre Website auf Datenschutz-Compliance-Probleme gemäß 17 Vorschriften einschließlich DSGVO, CCPA und UK GDPR.