Was ist Utah SB 73 und wann tritt es in Kraft?

Utah Senate Bill 73 — formell die Online Age Verification Amendments — wurde am 19. März 2026 von Gouverneur Spencer Cox unterzeichnet, und der VPN-bezogene Abschnitt tritt am 6. Mai 2026 in Kraft. Der Gesetzentwurf ändert Section 78B-3-1002 des bestehenden Altersverifizierungsgesetzes von Utah. Sein Abschnitt 14 spricht VPN-Nutzung ausdrücklich an: Er behandelt Nutzer als Besucher einer Website aus Utah, sobald sie sich physisch im Bundesstaat befinden — unabhängig davon, ob sie sich über ein VPN, einen Proxyserver oder ein anderes Werkzeug zur Standortverschleierung verbinden. Eine separate Bestimmung, die eine 2-prozentige Steuer auf Einnahmen aus Online-Inhalten für Erwachsene vorsieht, tritt im Oktober 2026 in Kraft.

Verbietet Utah SB 73 VPNs?

Nein — SB 73 verzichtet auf ein direktes VPN-Verbot. Anders als ein ähnlicher Vorschlag in Wisconsin, der aus verfassungsrechtlichen Gründen entschärft wurde, setzt Utahs Gesetz auf das, was die EFF als „don't ask, don't tell" -Durchsetzungsmodell bezeichnet. Websites, die „einen wesentlichen Anteil an für Minderjährige schädlichem Material" hosten, haften, sobald sie erfahren, dass ein Nutzer sich physisch in Utah aufhält und ein VPN nutzt; zugleich dürfen sie keine Anleitungen mehr veröffentlichen, wie ein VPN zur Umgehung von Alterskontrollen einzusetzen ist. Die VPN-Nutzung selbst bleibt für Einwohner Utahs legal; das Gesetz lädt die regulatorische Last auf kommerzielle Websites ab, nicht auf einzelne Nutzer.

Warum lehnen digitale Bürgerrechtsgruppen das Gesetz ab?

Die Electronic Frontier Foundation, NordVPN, das Cato Institute und weitere Verfechter digitaler Bürgerrechte haben drei Kerneinwände formuliert. Erstens schaffe das Gesetz eine „Haftungsfalle" : Da keine Website den tatsächlichen Standort jedes VPN-Nutzers zuverlässig erkennen kann, könnten Seiten reagieren, indem sie entweder alle bekannten VPN-IP-Bereiche sperren oder weltweit von jedem Besucher eine Altersverifizierung auf Ausweisniveau verlangen — auch von Nutzern, die nicht in Utah leben. Zweitens werfe das Verbot, dass Websites wahrheitsgemäße Informationen über VPNs teilen, First-Amendment-Bedenken auf. Drittens sei das Gesetz in der Praxis technisch nicht durchsetzbar (mehr dazu weiter unten).

Wird SB 73 Menschen tatsächlich davon abhalten, VPNs zu nutzen?

Mit ziemlicher Sicherheit nicht. Wie die EFF anmerkt, ist das Sperren aller bekannten VPN- und Proxy-IPs ein „technisches Whack-a-Mole, das vermutlich kein Unternehmen gewinnen kann" — Anbieter fügen ständig neue IP-Bereiche hinzu, und keine umfassende Sperrliste existiert. Motivierte Nutzer wechseln schlicht zu nicht-kommerziellen Proxies, privaten Cloud-Tunnel-Setups (etwa einer selbstgehosteten Instanz auf AWS) oder Residential-Proxies, die von normalem Heimverkehr praktisch nicht zu unterscheiden sind. Der Kollateralschaden trifft stattdessen Unternehmen, Journalisten und Überlebende von Missbrauch, die für Datensicherheit im Alltag auf kommerzielle VPNs angewiesen sind, während ein technisch versierter Minderjähriger auf der Suche nach Inhalten für Erwachsene binnen Minuten einen Workaround findet.

Folgen andere Bundesstaaten Utahs Beispiel?

Ja — Utah ist der erste Bundesstaat, der ein solches Gesetz erlässt, aber das Muster ist global. Wisconsin hat ähnliche Bestimmungen vorgeschlagen und unter Druck zurückgenommen. Florida, Missouri und Texas haben bereits Altersverifizierungsgesetze umgesetzt, die VPN-Nutzungsschübe unter den Einwohnern auslösten. International hat die Children's Commissioner des UK VPNs als „Schlupfloch, das geschlossen werden muss" bezeichnet, und France' Beauftragte Ministerin für Künstliche Intelligenz und digitale Angelegenheiten benannte VPNs öffentlich als „nächstes Thema" nach dem Social-Media-Verbot für Unter-15-Jährige. Australia und Indonesia haben ebenfalls Altersverifizierungsverpflichtungen erlassen, die ähnliche Spitzen bei der VPN-Nutzung ausgelöst haben.

Wie können Einwohner Utahs ihre Privatsphäre 2026 schützen?

Der einfachste Weg ist ein renommiertes kommerzielles VPN mit starker Verschleierung. Achten Sie auf: eine geprüfte No-Logs-Richtlinie, Unterstützung des WireGuard-Protokolls (Tunneling mit geringer Latenz), obfuscated Server (damit der VPN-Verkehr nicht trivial per Fingerprint erfasst werden kann) und einen Kill switch, der verhindert, dass Ihre echte IP durchsickert, sollte die Verbindung abreißen. Verzichten Sie auf kostenlose VPNs — sie protokollieren und verkaufen typischerweise Verkehrsdaten, also genau jenen Datenschutzschaden, den ein VPN verhindern soll. Für Nutzer, die eine feste echte ISP-Exit-IP benötigen (statt rotierender Bereiche kommerzieller VPNs), bietet ein Dedicated Residential IP-Plan eines Anbieters wie CometVPN die Datenschutzvorteile eines VPN mit einer IP, die sich für Websites deutlich schwerer markieren und sperren lässt.

Utah SB 73 erklärt: Erstes US-Bundesstaatsgesetz gegen VPNs (Mai 2026)

Heute, am 6. Mai 2026, wird Utah zum ersten US-Bundesstaat, der VPN-Nutzer ins juristische Fadenkreuz eines Altersverifizierungsgesetzes rückt. Senate Bill 73 — formell betitelt als Online Age Verification Amendments und am 19. März 2026 von Gouverneur Spencer Cox unterzeichnet — tritt heute in Kraft, und sein Abschnitt 14 verändert das Verhältnis zwischen Einwohnern Utahs, VPN-Anbietern und den von diesen Einwohnern besuchten Websites grundlegend.

Wenn Sie als Einwohner Utahs diesen Beitrag lesen: Das Gesetz macht Ihr VPN nicht illegal. Aber es markiert den Moment, in dem Gesetzgeber in den Vereinigten Staaten begonnen haben, kommerzielle VPNs nicht mehr als das gewöhnliche Datenschutzwerkzeug zu behandeln, das sie seit zwei Jahrzehnten sind — täglich genutzt von Unternehmen, Journalisten, Studenten in öffentlichen WLANs und allen, die sich aus dem Café in eine Banking-App einloggen — sondern als regulatorisches Schlupfloch, das geschlossen werden muss.

Hier erfahren Sie, was SB 73 tatsächlich tut, warum Verfechter digitaler Bürgerrechte von der Electronic Frontier Foundation bis NordVPN es eine „Haftungsfalle" nennen, warum es sein erklärtes Ziel mit ziemlicher Sicherheit verfehlen wird und was es 2026 für Ihre Privatsphäre bedeutet.

Was Utah SB 73 tatsächlich bewirkt

Der Großteil von SB 73 betrifft eine 2-prozentige Steuer auf Einnahmen aus Online-Inhalten für Erwachsene (gilt ab Oktober 2026). Die heute in Kraft tretenden Bestimmungen sind anders gelagert — sie ändern Section 78B-3-1002 des bestehenden Altersverifizierungsgesetzes Utahs und nehmen die VPN-Nutzung in zweifacher Weise ausdrücklich ins Visier:

Maßgeblich ist der Standort der Person, nicht die IP. Nach dem neuen Gesetz gilt eine Person als Nutzerin einer Website aus Utah, sofern sie sich physisch in Utah aufhält — unabhängig davon, ob sie ein VPN, einen Proxyserver oder ein anderes Werkzeug zur Verschleierung ihres geografischen Standorts einsetzt. Mit anderen Worten: Auch wenn Ihre IP Sie in Wyoming verortet, behandelt das Gesetz Sie als Utah-Nutzerin, sobald Ihr Telefon in Salt Lake City liegt.
Websites werden mit einem Maulkorb für VPN-Informationen belegt. Kommerzielle Betreiber, die „einen wesentlichen Anteil an für Minderjährige schädlichem Material" hosten, dürfen die Nutzung eines VPN zur Umgehung von Alterskontrollen nicht mehr fördern oder erleichtern. Das umfasst auch das Veröffentlichen von Anleitungen dazu, wie ein VPN zu nutzen ist — eine Formulierung, die so weit gefasst ist, dass die EFF darin ein First-Amendment-Problem sieht.

Das Gesetz verzichtet darauf, die VPN-Nutzung selbst ausdrücklich zu verbieten. Für einzelne Einwohner Utahs, die sich über ein kommerzielles VPN verbinden, sind keine Bußgelder vorgesehen. Der rechtliche Druck richtet sich genau gegen die Websites — und genau dort beginnen die Probleme.

Die „Haftungsfalle", die Datenschützer beunruhigt

Der größte Einwand digitaler Bürgerrechtsgruppen betrifft das, was die EFF eine Haftungsfalle nennt: Nach SB 73 muss eine Website das Alter jedes physisch in Utah befindlichen Nutzers verifizieren — auch derjenigen, die für die Website scheinbar woanders sind. Da keine kommerzielle Website den tatsächlichen Standort jedes VPN-Nutzers zuverlässig erkennen kann, bleiben zwei wenig attraktive Optionen:

Jede bekannte VPN-Exit-IP blockieren. Eine ständig wachsende Sperrliste pflegen, die Kollateralschäden durch Falschmeldungen in Kauf nehmen (legitime VPN-Kunden, die ausgesperrt werden) und hoffen, mit den neuen IP-Bereichen Schritt zu halten, sobald Anbieter sie rotieren.
Globale Altersverifizierung von jedem Besucher verlangen. Jeden Nutzer so behandeln, als könnte er ein Einwohner Utahs mit VPN sein, und von allen einen Altersnachweis auf Ausweisniveau verlangen — auch von den Millionen Menschen, die nicht in Utah leben und nicht unter das Gesetz fallen.

Das Policy-Team von NordVPN nannte es genau so — „a liability trap" — in Aussagen gegenüber TechRadar. Beide Optionen weiten den Wirkungskreis eines Bundesstaatsgesetzes zu einem globalen Identitätsprüfregime aus, und beide verursachen reale Kosten für Journalisten, Überlebende von Missbrauch, Geschäftsreisende und ganz gewöhnliche, datenschutzbewusste Nutzer, die kommerzielle VPNs aus legitimen Gründen der Datensicherheit einsetzen.

Das First-Amendment-Problem

Die zweite Bestimmung — der Maulkorb für Websites, die Informationen über VPNs teilen — ist der Teil, der mit größter Wahrscheinlichkeit eine verfassungsrechtliche Anfechtung erfahren wird. SB 73 verlangt von erfassten Plattformen nicht nur, Altersschranken durchzusetzen; es verbietet ihnen, ihren Nutzern überhaupt von einer völlig legalen Software zu erzählen, die in der Welt existiert.

Die EFF, das Cato Institute und Verfechter der Meinungsfreiheit weisen darauf hin, dass dies wahrheitsgemäße, nicht irreführende Aussagen über ein legales Datenschutzwerkzeug einschränkt. Wie das Cato Institute es formulierte: „Wenn eine Internetregelung durch eine vergleichsweise verbreitete Technologie umgangen werden kann, die häufig erhebliche Datenschutz- und Sicherheitsvorteile bietet, ist möglicherweise die Regelung das Problem."

Wird SB 73 tatsächlich funktionieren? Die technische Realität

Die kurze Antwort lautet nein. Die längere Antwort lautet: Selbst teilweiser Erfolg würde ein Niveau an Netzwerk-Fingerprinting erfordern, das kein einzelner Bundesstaat erzwingen und kein Website-Betreiber liefern kann. Was motivierte Nutzer tun werden — innerhalb von Stunden nach Inkrafttreten, nicht erst nach Monaten:

Auf Residential-Proxies umsteigen. Residential-Proxies leiten den Verkehr über echte ISP-IPs gewöhnlicher Verbraucher und sind von normalem Heimverkehr nicht zu unterscheiden. Sie existieren seit Jahren für legitime Zwecke wie Web-Scraping, Werbeprüfung und Markenschutz — und sie umgehen Sperrlisten kommerzieller VPNs trivial leicht, weil sie auf diesen Listen schlicht nicht stehen.
Eigene Cloud-Tunnel aufsetzen. Ein VPS für 5 $/Monat bei AWS, DigitalOcean oder Hetzner mit WireGuard verschafft einer technisch versierten Nutzerin eine persönliche VPN-Exit-IP, die keine Sperrliste je erfassen wird — denn es ist eine einzelne IP, die gestern noch nicht existierte und nie in einem kommerziellen VPN-Bereich auftauchen wird.
Tor oder selbstgehostetes Shadowsocks/V2Ray nutzen. Open-Source-Verschleierungswerkzeuge, die für Einwohner von Ländern mit strengen Internetkontrollen entwickelt wurden, schlagen weit ausgefeiltere Erkennungssysteme als alles, was Utahs Gesetz vorsieht.

Der Kollateralschaden trifft die gewöhnlichen Einwohner Utahs, die einfach ihren Banking-Verkehr im Hotel-WLAN verschlüsseln möchten — nicht die technisch versierten Minderjährigen, vor denen das Gesetz angeblich schützen sollte. Wie die EFF feststellte: „Diese Bestimmungen werden keinen technisch versierten Teenager aufhalten, aber sie werden ganz sicher die Privatsphäre jedes ganz normalen Einwohners Utahs beeinträchtigen, der einfach seine Daten von Datenhändlern und Schadakteuren fernhalten möchte."

Utah ist nicht allein — das globale Bild im Jahr 2026

SB 73 ist die US-Hochwassermarke, aber es ist Teil eines globalen Musters: Regierungen reagieren auf den Anstieg der VPN-Nutzung, der jeder Altersverifizierungsverpflichtung folgt. Die Geschichte hat sich in den letzten drei Jahren in mehr als einem Dutzend Rechtsräumen auf dieselbe Weise abgespielt:

US-Bundesstaaten mit Altersverifizierungsgesetzen, die VPN-Spitzen auslösen: Florida, Missouri, Texas, Utah (seit 2023), Louisiana, Mississippi, Virginia, Tennessee, North Carolina, Idaho und weitere — Utah ist nun der erste, der mit einem Gegenschlag gegen den Anstieg der VPN-Nutzung das Werkzeug selbst angreift.
Wisconsin: Schlug ähnliche, gegen VPNs gerichtete Formulierungen vor; Bürgerrechtler erzwangen aus verfassungsrechtlichen und technischen Gründen erfolgreich deren Streichung. Utah hielt trotz derselben Einwände am eigenen Vorhaben fest.
UK: Die Children's Commissioner bezeichnete VPNs öffentlich als „Schlupfloch, das geschlossen werden muss", nachdem der Online Safety Act einen massiven Anstieg der VPN-Nutzung ausgelöst hatte.
France: Die Beauftragte Ministerin für Künstliche Intelligenz und digitale Angelegenheiten benannte VPNs als „nächstes Thema" auf der regulatorischen Agenda, nachdem das Land ein Social-Media-Verbot für Kinder unter 15 erlassen hatte.
Australia, Indonesia: Beide haben Altersverifizierungsgesetze umgesetzt, die einen VPN-Nutzungsschub auslösten; regulatorische Folgemaßnahmen werden aktiv diskutiert.

Das Muster ist konsistent: Die Politik erzeugt die Nachfrage nach dem Werkzeug, dann wendet sich die Politik gegen das Werkzeug. Ob SB 73 rechtlichen Anfechtungen standhält oder still und leise wieder zurückgenommen wird wie die Wisconsin-Variante, ist eine der wichtigsten US-Internetpolitikgeschichten des Jahres 2026.

Was das für Einwohner Utahs bedeutet

Wenn Sie in Utah leben und ein VPN aus denselben Gründen nutzen wie die meisten Menschen — Banking im öffentlichen WLAN, Remote-Arbeit aus dem Café, Trennung von Beruflichem und Privatem, Schutz vor Doxing oder schlicht der Wunsch, dass Ihr ISP nicht jede besuchte Seite mitprotokolliert — dann ist an Ihrer alltäglichen VPN-Nutzung nach SB 73 nichts illegal. Das Gesetz richtet sich an Websites, nicht an Nutzer.

Was sich ändert, ist die Erfahrung beim Besuch bestimmter Seiten über ein VPN:

Manche Erwachsenen-Seiten könnten künftig sämtlichen VPN-Verkehr blockieren. Wenn eine Seite den sichereren Compliance-Weg wählt und alle erkennbaren VPN-IPs sperrt, sehen Sie CAPTCHA-Wände oder harte Blockaden — selbst wenn Sie in Utah leben und das VPN aus legitimen Gründen einsetzen.
Manche Seiten könnten eine globale Altersverifizierung verlangen. Wenn sie stattdessen den Weg „alle verifizieren" wählen, sehen Sie Aufforderungen zur Altersprüfung auf Ausweisniveau, die es vor einer Woche noch nicht gab — auch auf Seiten, die eindeutig keine Inhalte für Erwachsene anbieten.
Sie werden auf erfassten Plattformen weniger Informationen über VPNs sehen. Die Maulkorb-Bestimmung sorgt dafür, dass Tutorials, Empfehlungen und selbst grundlegende Erklärtexte zu VPNs auf Seiten, die unter den SB-73-Compliance-Schirm fallen, verschwinden könnten.

Wie Sie 2026 Ihre Privatsphäre (legitim) schützen

Wie auch immer Sie zur Altersverifizierungspolitik stehen — die technische Frage „Wie halte ich meinen normalen Internetverkehr 2026 privat und sicher?" hat dieselbe Antwort wie vor einer Woche. Wählen Sie ein renommiertes kommerzielles VPN mit folgenden Eigenschaften:

Geprüfte No-Logs-Richtlinie mit unabhängigen Audit-Berichten, die Sie einsehen können.
WireGuard-Protokollunterstützung (geringe Latenz, moderne Kryptografie).
Obfuscated Server, damit der VPN-Verkehr selbst nicht per Fingerprint erfasst wird.
Kill switch, der verhindert, dass Ihre echte IP durchsickert, falls der Tunnel zusammenbricht.
Standort außerhalb des Geheimdienstbündnisses 14 Eyes — Panama, die Britischen Jungferninseln und die Schweiz sind verbreitete Optionen.

Für Nutzer, die einen Schritt weiter gehen möchten als kommerzielle VPN-Pool-Bereiche — insbesondere Einwohner Utahs, die damit rechnen, in Sperrlisten kommerzieller VPNs auf Seiten mit strengster SB-73-Compliance zu geraten — bietet ein Dedicated Residential IP-Plan eines Anbieters wie CometVPN eine feste echte ISP-Exit-IP, die wie ein gewöhnlicher Heimanschluss aussieht und nicht auf Sperrlisten kommerzieller VPNs erscheint. CometVPN läuft auf WireGuard, enthält einen Kill switch, liefert obfuscated Server, hat seinen Sitz in Panama und startet im Zweijahrestarif bei 1,89 $/Monat, wobei die Dedicated Residential IP als Add-on verfügbar ist.

Power-User, die feinere Kontrolle benötigen — etwa für Browser-Automatisierung, Multi-Account-Workflows oder Scraping — können auch Residential-Proxies von MarsProxies oder IPRoyal einsetzen, die einen echten ISP-IP-Ursprung wie eine Dedicated Residential VPN-Stufe liefern, dabei aber pro Anwendung getrennte Routings ermöglichen.

Das größere Bild

VPNs sind im Kern die Werkzeuge, die das moderne datenschutzbewusste Internet überhaupt möglich machen. Sie anzugreifen — sei es durch Utahs Maulkorb-Haftungsfalle, durch das „Schlupfloch"-Framing des UK oder durch das „nächste Thema"-Programm Frankreichs — ist im Kern ein Angriff auf die Architektur, die Journalisten, Geschäftsreisende, Überlebende von Missbrauch und gewöhnliche Nutzer schützt, die schlicht nicht möchten, dass ihre Daten an den Höchstbietenden verkauft werden.

SB 73 ist das erste US-Bundesstaatsgesetz, das diesen Schritt geht. Es wird vermutlich nicht das letzte sein. Die regulatorische Frage für den Rest des Jahres 2026 lautet, ob die rechtlichen Anfechtungen, die technischen Workarounds und der öffentliche Gegenwind ausreichen, um diesen Trend zu bremsen — oder ob die nächste Runde an Altersverifizierungsgesetzen auf bundesstaatlicher Ebene Utahs Drehbuch Wort für Wort kopieren wird.

Vorerst steht der 6. Mai 2026 als der Tag in den Büchern, an dem die Vereinigten Staaten eine Linie überschritten haben. Wir werden beobachten, was als Nächstes geschieht.

Quellen: Electronic Frontier Foundation, Utah Legislature SB 73 enrolled text, TechRadar / NordVPN, Tom's Hardware, CyberInsider, Cato Institute.

Utah SB 73: Das erste US-Gesetz, das VPN-Nutzer ins Visier nimmt, tritt am 6. Mai 2026 in Kraft

Was Utah SB 73 tatsächlich bewirkt

Die „Haftungsfalle", die Datenschützer beunruhigt

Das First-Amendment-Problem

Wird SB 73 tatsächlich funktionieren? Die technische Realität

Utah ist nicht allein — das globale Bild im Jahr 2026

Was das für Einwohner Utahs bedeutet

Wie Sie 2026 Ihre Privatsphäre (legitim) schützen

Das größere Bild

Häufig gestellte Fragen

Lieber ein VPN?

Lieber Proxies?

xHamster Altersverifizierung umgehen: Funktionierende Methoden 2026