Colorado · CPAWordPress-Hosting mit CPA-plugin in der Plattform integriert.
Opt-out-Signale fuer Verkauf, Targeted Advertising und Profiling, OPT-IN fuer sensible Daten, ein 45-Tage-Antwort-Workflow und — einzigartig im Colorado-Recht — die Beachtung des Universal Opt-Out Mechanism via Global Privacy Control direkt am Cloudflare-edge worker. Uebernommen vom compliance-MU-plugin von Yovale. Du installierst es nicht. Du aktualisierst es nicht. Du zahlst nichts dafuer. Dieselbe Plattform handhabt auch CCPA, VCDPA, CT DPA und TDPSA — ein Stack, jedes US-Bundesstaaten-Datenschutzgesetz.
Nach dem Colorado Privacy Act kannst du dem Verkauf personenbezogener Daten, dem Targeted Advertising und dem Profiling fuer rechtlich erhebliche Entscheidungen widersprechen. Wir respektieren das Global Privacy Control-Signal deines browsers automatisch. Du kannst die ueber dich gespeicherten Daten auch einsehen, korrigieren, loeschen oder exportieren.
Sechs Pflichten, die du erfuellen musst.
Der Colorado Privacy Act trat am 1. Juli 2023 in Kraft und macht Colorado zum dritten US-Bundesstaat mit einem umfassenden Verbraucher-Datenschutzgesetz. Er gilt fuer Controller, die jaehrlich personenbezogene Daten von 100.000 oder mehr Einwohnern Colorados verarbeiten, oder ab 25.000, wenn 50% oder mehr des Umsatzes aus dem Verkauf personenbezogener Daten stammen. Durchsetzung liegt beim Colorado Attorney General und dem Colorado Department of Law mit zivilrechtlichen Strafen bis $20,000 pro Verstoss nach dem Colorado Consumer Protection Act. Die 60-Tage-Heilungsfrist ist am 1. Januar 2025 ausgelaufen — beim ersten Verstoss gibt es keinen Freischuss mehr.
- 01
Opt-out fuer Verkauf, Targeted Ads, Profiling
Verbraucher aus Colorado koennen dem Verkauf personenbezogener Daten, dem Targeted Advertising und dem Profiling mit rechtlicher oder aehnlich erheblicher Wirkung widersprechen. Der Mechanismus muss klar, deutlich, in der Auswahl symmetrisch und frei von Dark Patterns sein.
- 02
Universal Opt-Out Mechanism (UOOM)
Seit dem 1. Juli 2024 verpflichtend und in dieser Genauigkeit einzigartig fuer Colorado. Controller muessen browserseitige Opt-out-Signale wie Global Privacy Control respektieren. Das Signal gilt als gueltiges Opt-out fuer Verkauf und Targeted Advertising in dem Moment, in dem es ankommt — kein banner-Klick noetig.
- 03
OPT-IN fuer sensible Daten
Die Verarbeitung sensibler Daten erfordert ausdrueckliche Einwilligung. Sensible Daten umfassen ethnische Herkunft, Religion, Diagnosen zur psychischen oder koerperlichen Gesundheit, sexuelle Orientierung oder Sexualleben, Staatsangehoerigkeit und Immigrationsstatus, genetische und biometrische Daten zur Personenidentifikation, praezise Geolokation und Daten eines bekannten Kindes.
- 04
Verbraucherrechte: Auskunft, Berichtigung, Loeschung, Portabilitaet
Einwohner Colorados koennen Auskunft ueber die gespeicherten Daten verlangen, Ungenauigkeiten korrigieren, Daten loeschen lassen und eine portable Kopie in einem leicht nutzbaren Format erhalten. Du antwortest binnen 45 Tagen, einmal um weitere 45 Tage verlaengerbar, wenn vernuenftigerweise erforderlich.
- 05
Beschwerdeprozess
Wenn du eine Verbraucheranfrage ablehnst, musst du einen klaren Beschwerdeweg bieten und binnen 45 Tagen darauf antworten, verlaengerbar um 60 Tage, wenn vernuenftigerweise erforderlich. Wird die Beschwerde abgelehnt, lieferst du eine Erklaerung und einen Link zur Beschwerde beim Colorado Attorney General.
- 06
Pflichten von Controller und Processor
Vertraege zwischen Controllern und Processoren muessen Verarbeitungsanweisungen, Vertraulichkeit, Loeschung oder Rueckgabe von Daten am Ende des Dienstes und Unterstuetzung bei Verbraucheranfragen festhalten. Yovale agiert auf Basis eines schriftlichen Vertrags nach C.R.S. § 6-1-1305 als dein Processor.
In der Plattform eingebaut. Kein plugin, das du installierst.
Yovale liefert CPA-compliance als signiertes must-use-plugin — Teil des hostings selbst, nichts, was du aus dem WordPress-Repository installierst. Es ist versions-gepinnt, wird von R2 mit SHA-256-Verifizierung geholt und beim Provisioning in ein pro Site bind-gemountetes mu-plugins-Verzeichnis abgelegt. Updates kommen ueber denselben Kanal wie deine hosting-Updates.
GPC am edge worker respektiert
Jeder Request an eine Yovale-Site wird am Cloudflare-edge worker auf den Header Sec-GPC: 1 und jedes gleichwertige Universal-Opt-Out-Signal geprueft. Liegt das Signal vor und stammt der Besucher aus Colorado, werden Verkauf, Targeted Advertising und Profiling blockiert, bevor analytics, ad pixel oder Drittanbieter-Tag ausgefuehrt werden. Das Opt-out landet automatisch im audit log.
Datenschutz-Portal
/.well-known/privacy auf jeder Yovale-Site. Einwohner Colorados koennen Auskunfts-, Berichtigungs-, Loesch- und Portabilitaets-Anfragen ohne Support-Ticket einreichen. Jede Anfrage erscheint im Compliance-Tab deines dashboards mit einem 45-Tage-SLA-Timer und einem Ein-Klick-Beschwerde-Flow.
Beschwerde-Workflow
Wird eine Anfrage abgelehnt, erhaelt der Verbraucher einen Ein-Klick-Beschwerde-Link. Die Beschwerde oeffnet einen separaten 45-Tage-SLA-Fall in deinem dashboard, an dem die urspruengliche Entscheidung haengt. Lehnst du auch die Beschwerde ab, haengt die Plattform automatisch den Beschwerde-Link zum Colorado AG an.
Unterzeichneter Processor-Vertrag
Vorab unterzeichneter Controller-Processor-Vertrag nach C.R.S. § 6-1-1305, als PDF im dashboard. Listet jeden Unterauftragsverarbeiter (Cloudflare, Anexia, R2), Zweckbindung, Vertraulichkeit, Loeschung am Ende des Dienstes und Unterstuetzung bei Verbraucheranfragen und Datenschutz-Folgenabschaetzungen.
Warum Infrastruktur ein plugin schlaegt.
Typisches WordPress-CPA-plugin
- Kann GPC nicht zuverlaessig respektieren — banner-JS laeuft, nachdem analytics und ad-pixel laengst gefeuert haben
- Speichert Opt-out-Signale in wp_options — langsam, untypisiert, bricht mit object caching
- Updates ueber wp-admin — du wartest es, du brichst es, du debuggst Konflikte
- Kostet $49-149/Jahr pro Site und deckt den Beschwerde-Workflow selten ab
- Bricht beim Hoster-Wechsel; Opt-out-Historie und Beschwerde-Akten gehen verloren
Der eingebaute Ansatz von Yovale
- GPC am Cloudflare-edge worker respektiert — vor WordPress, vor pixel, vor analytics
- Audit log in einer eigenen Datenbank, abfragbar, blockiert nie das Rendern
- Updates kommen ueber die Plattform — du siehst sie nicht, du brichst sie nicht
- In jedem Plan enthalten ($149 / $249 / $499 pro Jahr), keine Compliance-Gebuehren pro Site
- Wandert mit deiner Site fuer immer mit — Opt-out- und Beschwerde-Historie gehoert dir zum Export
14 regelwerke. je ein schalter. alles automatisch.
- Opt-out fuer Verkauf, Targeted Ads, Profiling
- Universal Opt-Out Mechanism (GPC) respektieren
- Opt-in fuer sensible Daten
- Antwort auf Verbraucheranfragen binnen 45 Tagen
- Beschwerdeprozess binnen 45 Tagen
CPA + Yovale, beantwortet.
Gilt der CPA fuer meine Site?
Er gilt, wenn du in einem Kalenderjahr die personenbezogenen Daten von 100.000 oder mehr Einwohnern Colorados kontrollierst oder verarbeitest, oder ab 25.000, wenn du aus dem Verkauf personenbezogener Daten Umsatz erzielst oder Rabatte auf Waren oder Dienstleistungen erhaeltst. Anders als in Kalifornien gibt es keine Mindestumsatzschwelle. Behoerden, HIPAA-pflichtige Stellen und FERPA-pflichtige Bildungsdaten sind ausgenommen. Liegst du unter den Schwellen, bist du nicht direkt erfasst — aber Yovale aktiviert dieselben Schutzmechanismen standardmaessig, damit deine Site bereit ist, wenn du sie ueberschreitest.
Wie respektiert ihr Global Privacy Control konkret?
Jeder Request an eine Yovale-Site laeuft durch einen Cloudflare-edge worker, der den Sec-GPC-Header prueft. Wird der Besucher als Einwohner Colorados erkannt und ist Sec-GPC: 1 gesetzt, injiziert der worker einen Opt-out-Zustand in den Request, bevor WordPress ihn sieht. Analytics, ad-pixel und Drittanbieter-Tags, die sale- oder Targeted-Advertising-cookies gesetzt haetten, werden beim HTML-Rendering unterdrueckt. Das Opt-out wird mit Zeitstempel und der aus der IP abgeleiteten Region protokolliert. Kein banner-Klick noetig — das Signal ist die Wahl.
Worin unterscheidet sich der CPA vom CCPA und VCDPA?
Alle drei geben Verbrauchern aus Colorado, Kalifornien und Virginia ein Opt-out fuer Verkauf und Targeted Advertising sowie Rechte auf Auskunft, Loeschung und Portabilitaet. Der CPA ist beim Universal Opt-Out Mechanism am strengsten — Controller muessen browserseitige Signale wie GPC standardmaessig respektieren. Er stimmt mit Virginia darin ueberein, dass sensible Daten OPT-IN erfordern, waehrend Kalifornien nur ein Limit-Use-Opt-out anbietet. Die Obergrenze von $20,000 pro Verstoss liegt hoeher als die $7,500 des VCDPA. Yovale handhabt alle drei Regelwerke aus einer Plattform.
Was gilt nach dem CPA als sensible Daten?
Sensible Daten umfassen ethnische Herkunft, Religion, Diagnosen zur psychischen oder koerperlichen Gesundheit, sexuelle Orientierung oder Sexualleben, Staatsangehoerigkeit und Immigrationsstatus, genetische und biometrische Daten zur eindeutigen Identifizierung einer Person, praezise Geolokation und personenbezogene Daten eines bekannten Kindes. Das MU-plugin von Yovale blockiert jedes plugin und jedes script, das eine sensible Kategorie beruehrt, bis der Verbraucher in der Consent-UI aktiv zugestimmt hat.
Gilt die 60-Tage-Heilungsfrist noch?
Nein. Die 60-Tage-Heilungsfrist des Colorado Privacy Act ist am 1. Januar 2025 ausgelaufen. Seither kann der Colorado Attorney General einen Verstoss direkt nach dem Colorado Consumer Protection Act verfolgen, mit Strafen bis $20,000 pro Verstoss. Yovale liefert jede Site vom ersten Tag an mit voller Compliance-Posture aus, sodass bei einer Anfrage nichts zu heilen ist.
Was passiert, wenn ich eine Verbraucheranfrage ablehne?
Die Plattform schickt dem Verbraucher eine Ablehnung mit einem Ein-Klick-Beschwerde-Link. Die Beschwerde oeffnet einen separaten Fall im Compliance-dashboard mit eigenem 45-Tage-SLA, verlaengerbar um 60 Tage, wenn vernuenftigerweise erforderlich. Lehnst du auch die Beschwerde ab, haengt Yovale automatisch einen Link an, damit der Verbraucher eine Beschwerde beim Colorado Attorney General einreichen kann, wie C.R.S. § 6-1-1306 verlangt.
Eine CPA-konforme WordPress-Site in 60 Sekunden live.
Jede Yovale-Site ist ab dem Deployment CPA-bereit. GPC wird am edge respektiert. Opt-in-Flow fuer sensible Daten. Beschwerde-Workflow live im dashboard. Starte den Growth-Test und sieh dir dein erstes Compliance-dashboard an.