Utahs SB 73 tritt am 6. Mai 2026 in Kraft und macht Utah zum ersten US-Bundesstaat, der kommerzielle Websites rechtlich für Nutzer haftbar macht, die über ein VPN oder einen Proxy auf altersbeschränkte Inhalte zugreifen, um ihren geografischen Standort zu fälschen. Das Gesetz regelt nicht nur, welche Inhalte Websites zeigen dürfen - es zielt direkt auf die Nutzung von Anonymisierungstools als Umgehungsmechanismus ab und schafft eine Haftung, die Plattformen weltweit erreicht.
Was SB 73 tatsächlich über VPNs sagt
Die zentrale Neuerung des Gesetzes ist jurisdiktioneller Natur: Anstatt sich auf die Geolocation per IP-Adresse zu verlassen, die jedes VPN in Sekunden ändern kann, macht SB 73 Websites für die physische Anwesenheit von Nutzern in Utah verantwortlich. Eine Website ist haftbar, unabhängig davon, ob die IP-Adresse des Nutzers nach Utah aufgelöst wird, solange sich dieser Nutzer physisch im Bundesstaat befindet. Dies ist ein fundamentaler Bruch mit der Art und Weise, wie Internet-Jurisdiktion seit Jahrzehnten funktioniert.
Das Statut geht noch weiter. Websites ist es explizit untersagt, Anleitungen, Links oder Ermutigungen zur Nutzung von VPN-Diensten bereitzustellen, um Altersverifikationsanforderungen zu umgehen. Das Verlinken auf einen Leitfaden zur VPN-Nutzung - oder sogar die Erwähnung von VPNs als Workaround in einem FAQ - wird nach dem Gesetz zu einem potenziellen rechtlichen Risiko. Das vom Gouverneur von Utah am 19. März 2026 unterzeichnete Gesetz aktiviert die Bestimmungen zur Altersverifikation und zu VPNs am 6. Mai, während eine separate Verbrauchssteuer von 2% auf Einnahmen aus Inhalten für Erwachsene am 1. Oktober 2026 in Kraft tritt.
Die Haftungsfalle der EFF: Kein sauberer Ausweg für Plattformen
Die Electronic Frontier Foundation hat SB 73 als "Haftungsfalle" bezeichnet - ein Gesetz, das so strukturiert ist, dass eine technische Einhaltung praktisch unmöglich ist, ohne den Nutzern, die nichts mit Utah zu tun haben, erhebliche Kosten aufzuerlegen. Da keine Technologie mit Sicherheit feststellen kann, ob sich ein Nutzer hinter einem hochwertigen VPN physisch im Bundesstaat befindet, stehen Websites vor einer binären Entscheidung ohne Mittelweg.
Die erste Option besteht darin, alle bekannten VPN-IP-Adressbereiche weltweit zu blockieren. Dies würde legitime VPN-Nutzer weltweit ausschließen - Journalisten, Datenschützer, Fernarbeiter und jeden, der einfach nur verschlüsseltes Surfen bevorzugt -, die keine Verbindung zu Utah haben und kein regulatorisches Problem darstellen. Die zweite Option besteht darin, von 100% ihrer Besucher einen staatlichen Ausweis oder eine biometrische Altersverifikation zu verlangen, unabhängig davon, wo sich diese Besucher befinden. Beide Ergebnisse bauen eine Infrastruktur auf, die zuvor nicht erforderlich war: Das eine schafft eine globale VPN-Blockliste; das andere schafft eine websiteübergreifende Datenbank, die die reale Identität mit dem Surfverhalten verknüpft.
Welche Websites betroffen sind und wie Compliance aussieht
SB 73 gilt für kommerzielle Unternehmen, bei denen ein "wesentlicher Teil" des Inhalts als jugendgefährdend eingestuft wird - in der Praxis primär Plattformen für Erwachsene. Um den Standard einer "angemessenen Altersverifikation" zu erfüllen, wird von den Websites erwartet, dass sie staatliche IDs, biometrische Altersschätzungssysteme oder Identitätsverifizierungsdienste von Drittanbietern nutzen. Alle drei Methoden erfordern die Erhebung sensibler personenbezogener Daten von jedem Nutzer, der sein Alter nachweisen muss - nicht nur von Minderjährigen.
Die VPN-spezifischen Bestimmungen üben jedoch Druck auf eine viel breitere Kategorie von Websites aus. Jede Website, die die Haftung in Utah vermeiden und gleichzeitig die Kosten einer universellen Identitätsverifizierung umgehen möchte, hat eine einzige realistische Option: VPN-IP-Bereiche vollständig blockieren. Sicherheitsforscher und Bürgerrechtsgruppen weisen darauf hin, dass VPN-Blocklisten von Natur aus unpräzise sind und häufig legitime Nutzer, Unternehmensnetzwerke und Tor-Exit-Nodes neben dem VPN-Verkehr blockieren, auf den sie eigentlich abzielen.
Utah im nationalen Kontext: Über 25 Bundesstaaten und steigend
Seit 2022 haben über 25 US-Bundesstaaten Gesetze zur Altersverifikation verabschiedet. Nebraska (LB 383, gültig ab 1. Juli 2026), West Virginia (HB 4412, gültig ab 12. Juni 2026), Ohio (HB 96) und Florida (HB 3) gehören zu den Bundesstaaten mit aktiven oder ausstehenden Anforderungen. Die Rechtslandschaft bewegt sich auf einen Flickenteppich zu, bei dem Plattformen den Standard des restriktivsten Bundesstaates erfüllen müssen, um landesweit ohne Haftungsrisiko operieren zu können.
Was SB 73 auszeichnet, ist die explizite Bekämpfung der VPN-basierten Umgehung. Kein anderes staatliches Gesetz hat die VPN-Nutzung direkt in einen Haftungsrahmen für die Einhaltung der Altersverifikation eingefügt. Das Gesetz scheint teilweise darauf ausgelegt zu sein, dem dokumentierten Anstieg der VPN-Nutzung entgegenzuwirken, der auf frühere Mandate zur Altersverifikation folgte - auch in Utah selbst, wo die VPN-Downloads nach früherer Gesetzgebung sprunghaft anstiegen. Die Gesetzgeber haben effektiv eskaliert: Wenn Nutzer das erste Gesetz mit einem VPN umgehen können, machen sie die VPN-Nutzung selbst zu einem Auslöser für die Plattformhaftung.
Was SB 73 für VPN-Nutzer bedeutet
Ein VPN bleibt unerlässlich, um Ihren Netzwerkverkehr zu schützen, Daten in öffentlichen Netzwerken zu verschlüsseln und Ihr Surfen vor Ihrem ISP und Trackern von Drittanbietern abzuschirmen. Nichts davon ändert sich unter SB 73. Was sich ändert, ist das regulatorische Umfeld, in dem die VPN-Nutzung stattfindet.
SB 73 markiert einen qualitativen Wandel darin, wie Gesetzgeber die VPN-Nutzung behandeln: nicht als Verbrechen für den Nutzer, sondern als Haftungsmultiplikator für die Plattform. Das praktische Ergebnis für datenschutzbewusste Nutzer ist vermehrtes Blockieren. Da immer mehr Bundesstaaten das Utah-Modell übernehmen - bei dem die Compliance-Verpflichtungen auf der physischen Präsenz und nicht auf dem IP-Standort basieren -, werden Plattformen unter zunehmendem Druck stehen, VPN-Verbindungen als nicht verifizierbar und daher riskant zu behandeln. Der Raum, in dem ein VPN sowohl Zugang als auch Anonymität bewahrt, wird mit jedem Bundesstaat, der dem Beispiel Utahs folgt, enger.
Verwandte Berichterstattung auf vpnlab.io
Die Welle der Altersverifikations-Compliance prägt die Datenschutzlandschaft weltweit weiter:
- EU stellt Verstoß von Meta gegen DSA fest: Instagram und Facebook scheitern daran, Kinder unter 13 von Plattformen fernzuhalten - die vorläufigen Ergebnisse der Europäischen Kommission gegen Meta zeigen, wie Regulatoren auf beiden Seiten des Atlantiks dasselbe fordern: eine identitätsgebundene Altersprüfung, die anonymen Zugang unmöglich macht.
- Apple macht die Apple ID zum Ausweis: iOS 26.4 bringt obligatorische UK-Altersverifikation - wenn die Verifizierungsebene in das Betriebssystem wandert, ändert nicht einmal ein VPN etwas an der Gleichung.
- Sony erzwingt Altersverifikation auf PlayStation in UK und Irland: Kein Ausweis, kein Gaming - Hardware-Plattformen, die ID-Anforderungen einführen, zeigen denselben Trend, der nun auch offline-verwurzelte Geräte erreicht.
Fazit
• Utah SB 73: The VPN Liability Trap - Electronic Frontier Foundation
• SB 73 Offizieller Text - Gesetzgebung des Staates Utah
• Gouverneur von Utah unterzeichnet SB 73 Änderungen zur Altersverifikation - DataGuidance
• Utahs neues Altersverifikationsgesetz schafft eine VPN-Falle - TechRadar
