
Stoppt ein VPN den Verkauf Ihres Standorts durch Datenhändler? Was 2026 funktioniert
Hindert ein VPN Datenhändler daran, Ihren Standort zu verkaufen? Was 2026 wirklich funktioniert
Wenn Sie ein VPN gekauft haben, um Datenhändler daran zu hindern, zu verkaufen, wo Sie wohnen, arbeiten und schlafen, haben Sie Geld für das falsche Werkzeug ausgegeben. Ein VPN ist wirklich nützlich – es verbirgt Ihren IP-basierten Standort vor den Websites, die Sie besuchen, und hindert Ihren Internetanbieter daran, ein Profil Ihres Surfverhaltens zu erstellen. Aber die Standortdaten, die Datenhändler bündeln und weiterverkaufen, stammen so gut wie nie aus Ihrer IP-Adresse. Sie stammen aus dem GPS-Chip in Ihrem Smartphone und aus den App-Berechtigungen, die Sie vor Jahren erteilt haben.
Genau dieser Unterschied ist der springende Punkt, und das meiste VPN-Marketing umgeht ihn stillschweigend. Dieser Leitfaden zieht die Grenze ehrlich und zeigt Ihnen anschließend die Mechanismen, die 2026 tatsächlich funktionieren – angefangen mit Kaliforniens neuem zentralem Löschwerkzeug, das im Januar an den Start ging und Hunderte registrierte Datenhändler zwingt, Sie mit einer einzigen Anfrage zu löschen.
Die kurze Antwort: Ein VPN verbirgt die falsche Art von Standort
Ein VPN verschlüsselt die Verbindung zwischen Ihrem Gerät und einem entfernten Server und sendet Ihren Datenverkehr dann von der IP-Adresse dieses Servers aus. Websites und Tracker, die versuchen, Sie anhand Ihrer IP zu lokalisieren, sehen statt Ihrer Stadt die des VPN-Servers, und Ihr Internetanbieter sieht nur, dass Sie sich mit einem VPN verbunden haben – nicht, welche Seiten Sie geladen haben. Das ist echter Datenschutznutzen, und genau für diese Ebene ist ein VPN gemacht.
Datenhändler erstellen Standortprofile aber nicht in erster Linie aus IP-Adressen. Die IP-Geolokalisierung ist grob (oft nur eine Stadt oder ein großer Ballungsraum) und lässt sich genau durch solches Proxying leicht aushebeln. Das hochwertige Produkt, das Händler verkaufen – die Spur, die zeigt, wie ein bestimmtes Gerät Nacht für Nacht eine bestimmte Klinik, eine Kultstätte oder eine Adresse aufsucht –, wird aus GPS-Koordinaten und Gerätesensoren abgeleitet, von Apps abgeschöpft und durch die Werbe-Lieferkette gereicht. Ein VPN berührt diese Daten nie, weil sie nie über den Netzwerkpfad laufen, den ein VPN kontrolliert.
Ein VPN ändert die Absenderadresse Ihres Internetverkehrs. Es greift nicht in die App ein, die Ihr GPS bereits ausgelesen und die Koordinaten verkauft hat.
Woher Ihre Standortdaten wirklich stammen
Um zu verstehen, warum Verschlüsselung das nicht beheben kann, müssen Sie die beiden Pipelines kennen, die die Standortdaten-Wirtschaft speisen. Keine davon läuft über Ihren Browser oder Ihre IP-Adresse.
App-SDKs, die im Hintergrund GPS abschöpfen
Gewöhnliche Apps – Wetter, Gelegenheitsspiele, Navigation, Gutschein- und "kostenlose" Hilfsprogramm-Apps – binden oft Software Development Kits (SDKs) von Drittanbietern ein, deren eigentliches Geschäft die Datensammlung ist. Wenn Sie einer App die Standortberechtigung erteilen, kann dieses SDK präzise GPS-Koordinaten auslesen und nach Hause funken – gebündelt mit der Werbe-ID Ihres Geräts und einem Zeitstempel. Die App, die Sie eigentlich wollten, funktioniert; das SDK, von dem Sie nie gehört haben, ist der Kunde. Firmen wie Gravy Analytics, Venntel, Mobilewalla und Kochava haben ihre Bestände auf diese Weise aufgebaut und Milliarden von Standortsignalen aus Tausenden von Apps zusammengeführt.
Real-Time Bidding, das Ihre Koordinaten preisgibt
Die zweite Pipeline ist der Gebotsstrom der Werbebörsen. Jedes Mal, wenn eine App oder Website Ihnen eine programmatische Anzeige zeigt, sendet sie eine "Bid Request" (Gebotsanfrage) an Dutzende von Ad-Tech-Firmen, damit diese darum bieten können, Ihnen etwas anzuzeigen. Diese Gebotsanfragen können Ihren ungefähren oder präzisen Standort, Ihre Geräte-ID und weitere Merkmale enthalten. Bieter sollen die Daten eigentlich nur nutzen, um zu entscheiden, ob sie mitbieten – aber die Anfrage selbst ist ein Sturzbach persönlicher Daten, und manche Firmen sammeln und verkaufen schlicht weiter, was an ihnen vorbeifließt. Deshalb landen Standortdaten bei Händlern, die in keiner von Ihnen installierten App je vorkamen.
Der gemeinsame Nenner: Die Erfassung findet auf Ihrem Gerät (GPS + Berechtigungen) und in der Werbe-Lieferkette (Gebotsströme) statt. Die Lösung dreht sich daher um Berechtigungen und Löschung, nicht um Netzwerkverschlüsselung.
Kaliforniens DROP: eine Anfrage, über 500 Händler, live seit Januar 2026
Das mit Abstand mächtigste neue Werkzeug kam am 1. Januar 2026: die Delete Request and Opt-out Platform (DROP) der California Privacy Protection Agency. Sie wurde durch Kaliforniens Delete Act (SB 362, 2023 unterzeichnet) geschaffen und leistet etwas, das kein firmenweises Opt-out je geschafft hat – sie verwandelt eine einzige verifizierte Anfrage in eine dauerhafte Löschanordnung gegen jeden im Bundesstaat registrierten Datenhändler, mehr als 500 Unternehmen.
Sie legen ein Konto bei der CPPA an, verifizieren Ihre Identität und reichen eine einzige Löschanfrage ein. Registrierte Datenhändler sind dann verpflichtet, DROP zu prüfen, die über Sie gespeicherten personenbezogenen Daten zu löschen, deren Verkauf oder Weitergabe einzustellen und ihre eigenen Dienstleister anzuweisen, dasselbe zu tun. Sie müssen nicht jeden Händler ausfindig machen, jedes Formular ausfüllen oder jede Rückmeldung verfolgen. Das Register des Bundesstaates und die Plattform finden Sie über die California Privacy Protection Agency.
Die Durchsetzungskraft, die es real macht
Ein Opt-out ist nur so gut wie seine Frist. Der Delete Act setzt harte Fristen. Ab dem 1. August 2026 muss jeder registrierte Datenhändler mindestens alle 45 Tage auf DROP zugreifen, die dort wartenden Löschanfragen bearbeiten und passende Daten in diesem wiederkehrenden 45-Tage-Zyklus weiter löschen – nicht nur einmal. Diese wiederkehrende Pflicht ist die entscheidende Design-Entscheidung: Sie bedeutet, dass Händler Sie nicht einfach heute löschen und nächsten Monat wieder aufnehmen können, ohne die Vorschriften zu verletzen.
Verstöße ziehen von der CPPA durchgesetzte Bußgelder nach sich, darunter Strafen für Händler, die sich nicht registrieren (der Act sieht eine Strafe von 200 US-Dollar pro Tag für Registrierungsversäumnisse vor), sowie die Durchsetzung bei Missachtung von Löschpflichten. Die Registrierung selbst ist verpflichtend und jährlich – so pflegt der Bundesstaat die Liste der über 500 Händler, an die DROP Ihre Anfrage weiterleitet.
Das FTC-Vorgehen, das der ganzen Sache Nachdruck verlieh
Kaliforniens Werkzeug entstand nicht im luftleeren Raum. In den beiden Jahren zuvor führte die US-Handelsaufsicht Federal Trade Commission eine Welle von Durchsetzungsmaßnahmen speziell gegen den Verkauf sensibler Standortdaten und stellte klar, dass diese Praxis eine rechtliche Haftung ist, keine Grauzone:
Kochava – die FTC verklagte den Standortdaten-Händler 2022 mit der Behauptung, er habe präzise Geolokalisierungsdaten verkauft, mit denen sich Menschen zu sensiblen Orten wie Kliniken für reproduktive Gesundheit und Kultstätten verfolgen ließen; das Verfahren lief vor einem Bundesgericht in Idaho.
Gravy Analytics / Venntel – in Anordnungen, die im Dezember 2024 bekanntgegeben und 2025 finalisiert wurden, untersagte die FTC den Unternehmen den Verkauf sensibler Standortdaten und verpflichtete sie, ein Programm für sensible Standortdaten einzurichten. (Gravy Analytics gab im Januar 2025 gesondert eine schwerwiegende Datenpanne bekannt.)
Mobilewalla – die im Dezember 2024 angekündigte und 2025 finalisierte Maßnahme der FTC untersagte dem Unternehmen den Verkauf sensibler Standortdaten sowie das Sammeln von Verbraucherdaten über Real-Time Bidding zu anderen Zwecken als der Teilnahme an der Auktion selbst.
Dieser letzte Punkt ist wichtig: Die Mobilewalla-Anordnung benannte Real-Time Bidding direkt als Erfassungskanal und schränkte ihn ein – eine offizielle Bestätigung, dass die oben beschriebene Gebotsstrom-Pipeline genau der Weg ist, über den Händler Standortdaten beschaffen.
So werden Sie tatsächlich gelöscht – und bleiben es
Hier ist die konkrete Abfolge. Der erste Schritt ist rechtsraumabhängig; der Rest funktioniert für alle und ist das, was zukünftige Erfassung an der Quelle wirklich stoppt.
Reichen Sie eine kalifornische DROP-Anfrage ein (falls Sie in Kalifornien wohnen). Legen Sie ein Konto bei der CPPA an, verifizieren Sie Ihre Identität und reichen Sie eine einzige Löschanfrage ein. Sie geht an jeden registrierten Händler. Die Nutzung ist kostenlos.
Wenn Sie außerhalb Kaliforniens leben, aktivieren Sie Global Privacy Control (GPC) und nutzen Sie händlerspezifische Opt-outs. GPC ist ein Signal auf Browser-Ebene, das Websites mitteilt, dass Sie dem Verkauf und der Weitergabe Ihrer Daten widersprechen; nach dem CCPA muss es als gültiges Opt-out anerkannt werden. Aktivieren Sie es in einem unterstützenden Browser oder einer Erweiterung. Bei den größten Händlern müssen Sie zusätzlich individuelle Opt-out- oder Löschformulare einreichen.
Widerrufen Sie die Standortberechtigungen von Apps. Gehen Sie die Einstellungen Ihres Smartphones durch und setzen Sie den Standortzugriff für jede App, die ihn nicht wirklich braucht, auf "Nie" oder "Beim nächsten Mal fragen" und für die wenigen, die ihn benötigen, auf "Beim Verwenden" (niemals "Immer"). Das ist der wirksamste Einzelschritt gegen zukünftige Erfassung, weil er das SDK an der Quelle abschneidet.
Deaktivieren oder setzen Sie Ihre mobile Werbe-ID zurück. Löschen Sie unter Android die Werbe-ID vollständig (Einstellungen › Datenschutz › Werbung). Auf dem iPhone zwingt App Tracking Transparency Apps bereits, vor dem Tracking zu fragen – schalten Sie "Apps erlauben, Tracking anzufordern" aus, damit die Antwort immer Nein lautet. Ohne stabile Werbe-ID fällt es Händlern schwer, Ihre Standortspur zusammenzusetzen.
Setzen Sie den Standortverlauf zurück und prüfen Sie vergangene Weitergaben. Schalten Sie den gespeicherten Standortverlauf in Ihren Google- und Apple-Konten aus und löschen Sie ihn, und überprüfen Sie "Timeline"-artige Funktionen. Das löscht historische Spuren, die diese Plattformen aufbewahrt haben.
Wo ein VPN legitim seinen Platz hat
Nichts davon bedeutet, dass ein VPN nutzlos ist – es bedeutet, dass Sie es für das einsetzen sollten, was es wirklich leistet. Ein VPN reduziert das IP-basierte seitenübergreifende Tracking spürbar, sodass Ad-Tech-Firmen, die Sie teilweise über die IP identifizieren, ein verrauschteres Signal erhalten. Es hindert Ihren Internetanbieter daran, ein Surfprofil aufzubauen, um es zu verkaufen oder herauszugeben – eine reale Kategorie der Datenmonetarisierung. Und es schützt den Datenverkehr in nicht vertrauenswürdigen Netzwerken. Betrachten Sie es als unterstützende Datenschutzebene, die Ihren Netzwerkpfad absichert – nicht als das, was Sie aus der Standorthändler-Wirtschaft herauslöst. Diese Aufgabe gehört zur Löschung und zu den Berechtigungen.
Die ehrlichen Grenzen, mit denen Sie planen sollten
DROP gilt speziell für Kalifornien. Seine Rechtskraft erfasst Einwohner Kaliforniens. Andere US-Bundesstaaten sind auf ihre eigenen Datenschutzgesetze, GPC-Signale und händlerspezifische Opt-outs angewiesen, die stückwerkhafter sind.
Löschung ist nicht immer dauerhaft. Sie löschen Daten, die Händler derzeit halten. Neue Daten werden ständig aus Apps und Gebotsströmen neu erfasst – genau deshalb schreibt der Delete Act einen wiederkehrenden 45-Tage-Zyklus vor, und genau deshalb ist das Widerrufen von Berechtigungen ebenso wichtig wie das Löschen.
Die Abdeckung beschränkt sich auf registrierte Händler. DROP erreicht Händler, die sich in Kalifornien registriert haben. Eine Firma, die unrechtmäßig außerhalb des Registers operiert, ist Sache der Durchsetzung, nicht des Werkzeugs.
Eine Verifizierung ist erforderlich. Löschanfragen müssen überprüfbar sein, was bedeutet, dass Sie der Plattform genug Identitätsnachweise übergeben, um zu bestätigen, dass Sie es sind – ein vertretbarer Kompromiss, aber eben ein Kompromiss.
Praktisches Fazit
Wenn Ihr Ziel ist, Händler daran zu hindern, Ihren Standort zu verkaufen, erledigen Sie zuerst die Arbeit an der Quelle: Widerrufen Sie die Standortberechtigungen von Apps, deaktivieren Sie Ihre Werbe-ID und setzen Sie den Standortverlauf zurück – das stoppt die Neuerfassung. Löschen Sie dann, was bereits existiert: Reichen Sie eine kalifornische DROP-Anfrage ein, wenn Sie berechtigt sind, oder verlassen Sie sich andernfalls auf Global Privacy Control plus händlerspezifische Opt-outs. Behalten Sie ein VPN, wenn Ihnen wichtig ist, Ihre IP vor Websites und Ihrem Internetanbieter zu verbergen, aber begreifen Sie es als eine unterstützende Ebene, nicht als die Antwort. Das Werkzeug, das die Löschung bei Händlern endlich in großem Maßstab durchsetzbar macht, ist eine Datenschutzplattform mit gesetzlichen Fristen im Rücken – kein verschlüsselter Tunnel.
Häufig gestellte Fragen
Hindert ein VPN Datenhändler daran, meinen Standort zu verkaufen?
Nein. Ein VPN verbirgt Ihren IP-basierten Standort vor Websites und Ihrem Internetanbieter, aber Datenhändler erstellen Standortprofile aus GPS-Koordinaten, die von App-SDKs gesammelt und über die Gebotsströme der Werbebörsen preisgegeben werden. Diese Daten werden auf Ihrem Gerät und in der Werbe-Lieferkette erfasst, wo ein VPN keinen Zugriff hat. Um das zu stoppen, brauchen Sie Berechtigungsänderungen und Löschanfragen, keine Netzwerkverschlüsselung.
Was ist eine kalifornische DROP-Löschanfrage und wer kann sie nutzen?
DROP (Delete Request and Opt-out Platform) ist ein Werkzeug der California Privacy Protection Agency, das seit dem 1. Januar 2026 live ist. Einwohner Kaliforniens legen ein Konto an, verifizieren ihre Identität und reichen eine einzige Löschanfrage ein, die an jeden im Bundesstaat registrierten Datenhändler geht – mehr als 500 Unternehmen. Die Nutzung ist kostenlos, und Händler müssen sie nach dem Delete Act befolgen.
Wie widerspreche ich 2026 Datenhändlern, wenn ich nicht in Kalifornien lebe?
Aktivieren Sie Global Privacy Control (GPC) in einem unterstützenden Browser oder einer Erweiterung, damit Websites ein automatisches Signal zum Widerspruch gegen den Verkauf erhalten, das nach dem CCPA rechtlich anerkannt ist und von vielen Unternehmen landesweit befolgt wird. Bei den größten Händlern müssen Sie zusätzlich individuelle Opt-out- oder Löschformulare einreichen. Kombinieren Sie das mit dem Widerruf von Standortberechtigungen und dem Deaktivieren Ihrer Werbe-ID, um die Neuerfassung abzuschneiden.
Wie entferne ich personenbezogene Daten dauerhaft von Datenhändlern?
Eine dauerhafte einmalige Entfernung gibt es nicht, weil Händler kontinuierlich Daten aus Apps und Gebotsströmen neu erfassen. Deshalb verlangt Kaliforniens Delete Act, dass registrierte Händler Löschungen ab dem 1. August 2026 in einem wiederkehrenden 45-Tage-Zyklus erneut bearbeiten. Damit die Löschung Bestand hat, verbinden Sie Ihre DROP- oder Opt-out-Anfragen mit dem Ausschalten von App-Standortberechtigungen und dem Zurücksetzen Ihrer mobilen Werbe-ID.
Verhindert das Deaktivieren meiner Werbe-ID, dass mein Standort verkauft wird?
Es schwächt die Fähigkeit der Händler, ihn zu verkaufen, erheblich. Die Werbe-ID ist der Schlüssel, mit dem sie eine Standortspur über die Zeit hinweg einem einzelnen Gerät zuordnen; ohne stabile ID sind die Koordinaten weit schwerer zu einem Profil zusammenzusetzen. Unter Android können Sie die Werbe-ID vollständig löschen, und auf dem iPhone können Sie das App-Tracking deaktivieren, sodass Apps sie nicht anfordern können.
Ist das kalifornische DROP-Werkzeug kostenlos, und wie lange dauert die Löschung?
Ja, DROP ist für kalifornische Verbraucher kostenlos. Nachdem Sie eine verifizierte Anfrage eingereicht haben, müssen registrierte Datenhändler mit der Bearbeitung der Löschungen beginnen und ab dem 1. August 2026 mindestens alle 45 Tage auf die Plattform zugreifen, um passende Daten fortlaufend zu löschen. Rechnen Sie damit, dass die Löschung eher über Wochen als sofort erfolgt, da sie von der nächsten 45-Tage-Prüfung jedes Händlers abhängt.
Sollte ich dann trotzdem ein VPN für den Datenschutz nutzen?
Ja, für das, was es wirklich leistet. Ein VPN reduziert das IP-basierte seitenübergreifende Tracking und hindert Ihren Internetanbieter daran, Ihr Surfverhalten zu profilieren und zu monetarisieren – das ist echter Nutzen. Betrachten Sie es nur als unterstützende Ebene – Löschwerkzeuge wie DROP, GPC-Signale und das Zurücksetzen von Berechtigungen sind das, was das Problem der Standorthändler direkt angeht.



