Pryvii
Alle Beiträge
Best Practices
20. Februar 2026

Oregons Geolokalisierungsverbot: Warum präzise Standortdaten riskanter geworden sind

Oregon verbietet nun den Verkauf von Geolokalisierungsdaten mit einer Genauigkeit von 1.750 Fuß – ein wichtiger Erfolg für den Verbraucherschutz mit erheblichen Auswirkungen auf die Compliance. Erfahren Sie, was als "präziser Standort" gilt, wie sich dies auf Analytics und Ad-Tech auswirkt und wie Sie Ihre Datenpraktiken überprüfen können.

Teilen:

Die Geolokalisierungslandschaft in Oregon hat sich geändert

Wenn Ihr Unternehmen Standortdaten sammelt, verarbeitet oder verkauft, operieren Sie in einem grundlegend anderen regulatorischen Umfeld als noch vor sechs Wochen. Am 1. Januar 2026 trat Oregons geändertes Verbraucherschutzgesetz (OCPA) in Kraft, das ein umfassendes Verbot enthält: der Verkauf präziser Geolokalisierungsdaten ist nun gänzlich verboten, unabhängig davon, ob Verbraucher zustimmen.1 2 Dies ist kein Zustimmungs- und Offenlegungsrahmen wie die meisten Datenschutzgesetze. Es ist ein harter Stopp.

Für Datenbroker, Ad-Tech-Plattformen, Analytics-Anbieter und jedes Unternehmen, das Standortdaten monetarisiert, stellt dies eine erhebliche operative Umstellung dar. Und angesichts Oregons Ruf, Datenschutztrends zu setzen, denen andere Staaten folgen, könnte dies nur der Anfang sein.

Verständnis von Oregons Definition präziser Geolokalisierung

Der erste Schritt zur Compliance besteht darin, zu verstehen, was Oregon tatsächlich verbietet. Das Gesetz definiert präzise Geolokalisierungsdaten als Daten, die "innerhalb eines Radius von 1.750 Fuß den aktuellen oder früheren Standort eines Verbrauchers oder den aktuellen oder früheren Standort eines Geräts, das mit einem Verbraucher verknüpft oder verknüpfbar ist", mittels GPS, Mobilfunkmast-Triangulation oder ähnlicher Technologien, genau identifizieren.2

Dieser Radius von 1.750 Fuß ist kritisch. Er ist spezifisch genug, um einen Verbraucher an einem bestimmten Geschäft, Bürogebäude oder in einer bestimmten Nachbarschaft zu lokalisieren, aber nicht so granular, dass jede Standorttechnologie unter das Verbot fällt. Hier ist, was dies in der Praxis bedeutet:

  • GPS-Koordinaten: Verboten
  • Mobilfunkmast-Daten: Verboten (wenn sie die 1.750-Fuß-Präzisionsschwelle erreichen)
  • WLAN-basierte Standortbestimmung: Verboten (typischerweise innerhalb von 30-150 Fuß genau)
  • Aggregierte Daten auf Nachbarschaftsebene: Wahrscheinlich erlaubt (wenn sie keine spezifischen Standorte innerhalb von 1.750 Fuß identifizieren)
  • IP-basierte Geolokalisierung: Erlaubt (typischerweise nur auf Stadt- oder Regionalebene genau, nicht präzise genug, um die Definition zu erfüllen)

Die Unterscheidung zwischen präzisen und ungefähren Standortdaten ist für die Compliance-Strategie von entscheidender Bedeutung. Ein Unternehmen, das Standortdaten auf Postleitzahl- oder Stadtebene anonymisiert, kann das Verbot möglicherweise ganz umgehen, während ein Unternehmen, das Daten auf Block- oder Straßenebene teilt, die Grenze überschreitet.1

Die "Verkaufs"-Definition erweitert die Reichweite des Verbots

Oregons Gesetz definiert "Verkauf" breit: jeglicher Austausch von personenbezogenen Daten gegen Geld oder andere geldwerte Leistungen.2 3 Dies ist breiter als es klingt. Es umfasst nicht nur den direkten Kauf von Standortdatensätzen, sondern auch:

  • Gebündelte Datenpakete: Verkauf von Standortdaten als Teil eines größeren Kundenprofils
  • Lizenzvereinbarungen: Bereitstellung von Standortdaten an Dritte unter Lizenzvereinbarungen
  • Ad-Tech-Sharing: Offenlegung von Standortdaten an Werbepartner für standortbasiertes Targeting
  • Datenpartnerschaften: Austausch von Standortdaten mit anderen Unternehmen zum gegenseitigen Nutzen

Die praktische Implikation ist deutlich: Wenn Sie derzeit präzise Standortdaten mit Werbenetzwerken, Datenbrokern oder Analytics-Partnern teilen – auch als Teil eines größeren Datenaustauschs –, verstößt diese Vereinbarung wahrscheinlich gegen das Gesetz Oregons ab dem 1. Januar 2026.3

Wen dies betrifft (und wie weitreichend)

Das Geolokalisierungsverbot gilt für jedes Unternehmen, das Daten von Einwohnern Oregons verarbeitet, nicht nur für solche mit Sitz in diesem Staat. Dies umfasst:

  • Verleger und App-Entwickler: Wenn Ihre Website oder App Standortdaten sammelt und über Werbenetzwerke oder Datenverkäufe monetarisiert
  • Ad-Tech-Plattformen: Netzwerke, Börsen und DSPs, die Standortdaten kaufen, verkaufen oder handeln
  • Datenbroker: Aggregatoren und Wiederverkäufer von Verbraucherdaten
  • Analytics-Anbieter: Dienste, die Standortdaten sammeln und verkaufen
  • Einzelhandel und standortbasierte Dienste: Unternehmen, die Kundenbewegungen verfolgen und diese Daten weitergeben
  • Marketingplattformen: Tools, die Standortdaten für die Zielgruppensegmentierung und -zielsetzung verwenden

Der entscheidende Schwellenwert ist, ob Ihr Unternehmen tatsächliches Wissen darüber hat, dass es Daten von Einwohnern Oregons verarbeitet, oder ob es diese Möglichkeit bewusst ignoriert.1 In der Praxis sollten die meisten Online-Unternehmen davon ausgehen, dass sie Daten von Verbrauchern aus Oregon verarbeiten.

Compliance-Strategien: Von der Prüfung zur Umsetzung

Um Ihre Praktiken in Übereinstimmung mit den Vorschriften zu bringen, ist ein strukturierter Ansatz erforderlich:

1. Dateninventar und -prüfung

Beginnen Sie damit, alle Datenflüsse zu kartieren:

  • Identifizieren Sie jede Quelle von Geolokalisierungsdaten (GPS, Mobilfunkmast, WLAN, IP-basiert)
  • Dokumentieren Sie, wo diese Daten gespeichert sind
  • Verfolgen Sie jeden Empfänger oder jede nachgelagerte Verwendung
  • Kategorisieren Sie nach Präzisionsgrad (liegt er innerhalb von 1.750 Fuß?)

Dieses Inventar ist unerlässlich, da Sie wissen müssen, was Sie haben, bevor Sie ändern können, wie Sie es handhaben.1

2. Oregon-Daten trennen

Datenbroker und große Plattformen sollten technische Trennungsstrategien in Betracht ziehen:

  • Speichern Sie Standortdaten von Einwohnern Oregons getrennt von Daten anderer Staaten
  • Markieren oder kennzeichnen Sie Oregon-Datensätze in Ihren Datenbanken
  • Anwenden Sie eingeschränkte Verarbeitungsregeln auf Oregon-spezifische Datensätze
  • Implementieren Sie geografische Filterung beim Verkauf oder Transfer3

3. Daten anonymisieren oder aggregieren

Wenn Sie weiterhin standortbasierte Erkenntnisse anbieten müssen, ziehen Sie in Betracht:

  • Präzise Kennungen entfernen: Entfernen Sie genaue Koordinaten und ersetzen Sie sie durch Aggregationen auf Postleitzahl- oder Nachbarschaftsebene
  • Über mehrere Verbraucher aggregieren: Berichten Sie über Muster (z.B. "Fußgängerfrequenz in diesem Einzelhandelsgebiet stieg um 15%") anstatt individueller Standorte
  • Daten anonymisieren: Entfernen oder verschlüsseln Sie die Verbindung zwischen Standortdaten und individuellen Verbrauchern

Die Herausforderung hierbei ist, dass die Anonymisierung den Wert von Standortdaten erheblich reduziert. Eine Einzelhandels-Analytics-Plattform, die nur Trends auf Nachbarschaftsebene melden kann, ist weit weniger nützlich als eine, die Einblicke auf Blockebene bietet.3

4. Datenverarbeitungsvereinbarungen überarbeiten

Wenn Sie mit Anbietern, Partnern oder Kunden zusammenarbeiten, die Standortdaten verarbeiten:

  • Aktualisieren Sie Datenverarbeitungsvereinbarungen (DPAs), um den Verkauf präziser Geolokalisierungsdaten für Einwohner Oregons ausdrücklich zu verbieten
  • Verlangen Sie von den Anbietern, ihre Compliance zu bestätigen
  • Fügen Sie Prüfungsrechte und Schadloshaltungsklauseln hinzu
  • Dokumentieren Sie, welche Parteien für die Oregon-Compliance verantwortlich sind1

5. Datenschutzerklärungen und -richtlinien aktualisieren

Ihre Datenschutzerklärung sollte klar offenlegen:

  • Welche Standortdaten Sie sammeln
  • Der Präzisionsgrad (falls zutreffend)
  • Ob und wie Sie diese Daten weitergeben oder verkaufen
  • Für Einwohner Oregons speziell: Bestätigen Sie, dass Sie keine präzisen Geolokalisierungsdaten verkaufen

Transparenz ist sowohl eine gesetzliche Anforderung als auch eine praktische Absicherung – sie zeigt, dass Sie sich redlich um Compliance bemühen.1

Der breitere Datenschutz-Kontext

Oregons Geolokalisierungsverbot steht nicht isoliert. Es ist Teil einer größeren Verschärfung der Datenschutzbestimmungen:

Die OCPA verbot bereits den Verkauf von personenbezogenen Daten von Kindern unter 16 Jahren ab dem 1. Januar 2026, unabhängig von der Zustimmung.2 Zusammen mit dem Geolokalisierungsverbot schafft dies eine erhebliche Einschränkung für Datenmonetarisierungsstrategien, die sich auf Minderjährige oder standortbasiertes Profiling stützen.

Darüber hinaus hat Oregon einen universellen Opt-out-Mechanismus zum 1. Januar 2026 eingeführt, der es Verbrauchern ermöglicht, ihre Präferenz, dass ihre Daten nicht verkauft oder für gezielte Werbung verwendet werden, über eine Browsereinstellung oder -erweiterung zu signalisieren.4 5 Unternehmen müssen diese Signale beachten und schränken damit die Rentabilität von standortbasierten Datenverkäufen weiter ein.

Die "Heilungsfrist" – eine 30-tägige Gnadenfrist für Verstöße – lief ebenfalls am 1. Januar 2026 aus, was bedeutet, dass die Justizbehörde Oregons nun Verstöße sofort ahnden kann, ohne vorher zu warnen.6

Wesentliche Erkenntnisse und nächste Schritte

Oregons Geolokalisierungsverbot stellt eine erhebliche Eskalation der Datenschutzregulierung dar. Anders als der zustimmungsbasierte Rahmen der DSGVO oder das Opt-out-Modell des CCPA verfolgt Oregon einen Verbotsansatz: bestimmte Daten können einfach nicht verkauft werden.

Hier ist, was Sie tun müssen:

  • Sofort prüfen: Kartieren Sie alle Standortdatenflüsse und identifizieren Sie, welche unter Oregons 1.750-Fuß-Definition fallen
  • Geschäftliche Auswirkungen bewerten: Bestimmen Sie, welche Einnahmequellen oder Dienstleistungsangebote vom Verkauf präziser Standortdaten abhängen
  • Technische Kontrollen implementieren: Trennen, anonymisieren oder entfernen Sie präzise Geolokalisierungsdaten für Einwohner Oregons
  • Rechtliche Dokumentation aktualisieren: Überarbeiten Sie Datenschutzerklärungen, Datenverarbeitungsvereinbarungen und Anbieter-Verträge
  • Auf ähnliche Gesetze achten: Beobachten Sie, ob andere Staaten vergleichbare Beschränkungen einführen – Maryland hat bereits ähnliche Bestimmungen in Erwägung gezogen3

Der Regulierungs-Pendel hat sich entschieden in Richtung einer Beschränkung der Monetarisierung von Standortdaten bewegt. Unternehmen, die dies als bloße Compliance-Übung betrachten, anstatt als strategische Umstellung ihrer Umgangsweise mit Standortdaten, werden wahrscheinlich mit Durchsetzungsmaßnahmen konfrontiert. Unternehmen, die Datenschutz-by-Design-Prinzipien in ihre Standortdatenpraktiken integrieren, werden diese neue Landschaft erfolgreicher meistern.

Sources

Footnotes

  1. commlawgroup.com

  2. dwt.com

  3. proskauer.com

  4. jamn1075.iheart.com

  5. doj.state.or.us

  6. mslawgroup.com

Teilen:

Ähnliche Beiträge

Best Practices

FTC-Workshop zur Altersüberprüfung: Schritte für eine Website-Konformität

Die Erkenntnisse des FTC-Workshops zur Altersüberprüfung im Februar 2026 zu COPPA-Integration und skalierbarer Technologie werden aufgeschlüsselt, um Website-Betreibern umsetzbare Schritte an die Hand zu geben, um ihre Cookie-Banner zu überprüfen und Altersüberprüfungen ohne Blockierung der Nutzer zu implementieren.

Best Practices

FTC geht gegen Dark Patterns vor: Cookie-Banner-Rotlichter, die Sie jetzt beheben sollten

Die Durchsetzungsmaßnahme der FTC im Februar 2026 gegen einen großen Einzelhändler wegen manipulierter Cookie-Einwilligungsoberflächen zeigt, was eine Einwilligung rechtlich ungültig macht. Praktische Lösungen für Ihr Einwilligungsmanagement.

Bleiben Sie konform mit Pryvii

Scannen Sie Ihre Website auf Datenschutz-Compliance-Probleme gemäß 17 Vorschriften einschließlich DSGVO, CCPA und UK GDPR.

Oregons Geolokalisierungsverbot: Warum präzise Standortdaten riskanter geworden sind — Pryvii Blog | Pryvii