Aktiv auf jeder WordPress-Site

Connecticut · CTDPA

WordPress-Hosting mit CTDPA-plugin in der Plattform integriert.

Opt-out-Signale fuer Verkauf und Targeted Advertising, Opt-in fuer sensible Daten, ein 45-Tage-Antwort-Workflow und ein Universal Opt-Out Mechanism, der Global Privacy Control direkt am Cloudflare-Edge erkennt — uebernommen vom compliance-MU-plugin von Yovale. Du installierst es nicht. Du aktualisierst es nicht. Du zahlst nichts dafuer. So laeuft jede Yovale-Site, in jedem Plan. Dieselbe Plattform handhabt auch CCPA, VCDPA, CPA, TDPSA, OCDPA und MCDPA — ein Stack, jedes US-Bundesstaaten-Datenschutzgesetz.

Gueltig seit: 1. Juli 2023Strafe: bis zu $5,000 pro VerstossGeltungsbereich: Connecticut, USA

Kostenlosen Test starten Preise ansehen

deine-site.com

Deine Datenschutzrechte in ConnecticutConnecticut erkannt

Nach dem CTDPA kannst du dem Verkauf personenbezogener Daten, Targeted Advertising und Profiling widersprechen. Du kannst die ueber dich gespeicherten Daten einsehen, korrigieren, loeschen oder exportieren und gegen jede Ablehnung Beschwerde einlegen.

uebernommen von Yovale · kein plugin installiert

was der CTDPA verlangt

Sechs Pflichten, die du erfuellen musst.

Der Connecticut Data Privacy Act trat am 1. Juli 2023 in Kraft und macht Connecticut zum fuenften US-Bundesstaat mit einem umfassenden Verbraucher-Datenschutzgesetz, neben Kalifornien, Virginia, Colorado und Utah. Er gilt fuer Controller, die personenbezogene Daten von 100.000 oder mehr Einwohnern aus Connecticut verarbeiten, oder ab 25.000 Einwohnern, wenn 25% oder mehr des Umsatzes aus dem Verkauf personenbezogener Daten stammen. Die Durchsetzung liegt beim Connecticut Attorney General nach dem Connecticut Unfair Trade Practices Act (CUTPA), mit zivilrechtlichen Strafen von bis zu $5,000 pro Verstoss. Die 60-taegige Heilungsfrist ist am 31. Dezember 2024 ausgelaufen.

01
Opt-out fuer Verkauf, Targeted Ads, Profiling
Verbraucher koennen dem Verkauf personenbezogener Daten, dem Targeted Advertising und dem Profiling zur Foerderung rechtlich oder aehnlich erheblicher Entscheidungen widersprechen. Der Mechanismus muss klar, deutlich und frei von Dark Patterns sein.
02
Universal Opt-Out Mechanism (UOOM)
Seit dem 1. Januar 2025 muessen Controller einen Universal Opt-Out Mechanism wie Global Privacy Control (GPC) erkennen und befolgen. Ein Browser-Signal gilt als gueltiger Opt-out fuer Verkauf und Targeted Advertising — kein Klick auf den Consent-Banner erforderlich. Die Nichtachtung von GPC ist der haeufigste Anlass fuer eine CTDPA-Durchsetzung.
03
OPT-IN fuer sensible Daten
Sensible Daten duerfen nicht ohne ausdrueckliche Einwilligung verarbeitet werden. Sensible Daten umfassen ethnische Herkunft, Religion, Diagnosen zur psychischen oder koerperlichen Gesundheit, sexuelle Orientierung, Staatsangehoerigkeit und Immigrationsstatus, genetische und biometrische Daten, praezise Geolokation sowie personenbezogene Daten eines bekannten Kindes.
04
Verbraucherrechte: Auskunft, Berichtigung, Loeschung, Portabilitaet
Einwohner aus Connecticut koennen Auskunft ueber die gespeicherten Daten verlangen, Ungenauigkeiten korrigieren, Daten loeschen lassen und eine portable Kopie in einem leicht nutzbaren Format erhalten. Du antwortest binnen 45 Tagen, einmal um weitere 45 Tage verlaengerbar, wenn vernuenftigerweise erforderlich.
05
Beschwerdeprozess binnen 60 Tagen
Wenn du eine Verbraucheranfrage ablehnst, musst du dem Einwohner einen klaren Weg geben, gegen die Entscheidung Beschwerde einzulegen, und binnen 60 Tagen darauf antworten. Wird die Beschwerde abgelehnt, gibst du eine schriftliche Erklaerung und einen Online-Mechanismus zur Einreichung einer Beschwerde beim Connecticut Attorney General.
06
Vertraege zwischen Controller und Processor
Vertraege zwischen Controllern und Processoren muessen Verarbeitungsanweisungen, Vertraulichkeit, Loeschung oder Rueckgabe von Daten am Ende des Dienstes, Pruefungsrechte sowie Unterstuetzung bei Verbraucheranfragen festhalten. Yovale agiert auf Basis eines schriftlichen Vertrags als dein Processor.

wie Yovale damit umgeht

In der Plattform eingebaut. Kein plugin, das du installierst.

Yovale liefert CTDPA-compliance als signiertes must-use-plugin — Teil des hostings selbst, nichts, was du aus dem WordPress-Repository installierst. Es ist versions-gepinnt, wird von R2 mit SHA-256-Verifizierung geholt und beim Provisioning in ein pro Site bind-gemountetes mu-plugins-Verzeichnis abgelegt. Die GPC-Erkennung laeuft am Cloudflare-edge worker, bevor irgendein WordPress-Code ausgefuehrt wird, sodass Opt-out-Signale auch auf gecachtem HTML wirken.

GPC-bewusster Consent-Banner

Besucher aus Connecticut sehen CTDPA-Opt-out-Steuerungen fuer Verkauf, Targeted Advertising und Profiling. Der Sec-GPC-Header und das DOM-Global-Privacy-Control-Signal werden am Edge gelesen — bei aktiviertem GPC werden Verkauf und Targeted Ads blockiert, noch bevor der Banner rendert, und der Opt-out wird im audit log mit GPC-Quelle protokolliert.

Datenschutz-Portal

/.well-known/privacy auf jeder Yovale-Site. Einwohner aus Connecticut koennen Auskunfts-, Berichtigungs-, Loesch- und Portabilitaets-Anfragen ohne Support-Ticket einreichen. Jede Anfrage erscheint im Compliance-Tab deines dashboards mit einem 45-Tage-SLA-Timer. Die Identitaetspruefung uebernimmt die Plattform — du pruefst und genehmigst nur.

Beschwerde-Workflow mit AG-Beschwerde-Link

Wird eine Anfrage abgelehnt, erhaelt der Einwohner einen Ein-Klick-Beschwerde-Link. Die Beschwerde oeffnet einen separaten 60-Tage-SLA-Fall in deinem dashboard, an dem die urspruengliche Entscheidung haengt. Lehnst du auch die Beschwerde ab, haengt die Plattform automatisch die URL zum Online-Beschwerde-Formular des Connecticut AG an, wie der CTDPA verlangt.

Unterzeichneter Processor-Vertrag

Vorab unterzeichneter Controller-Processor-Vertrag nach CTDPA Public Act 22-15 § 7, als PDF im dashboard. Listet jeden Unterauftragsverarbeiter (Cloudflare, Anexia, R2), Zweckbindung, Vertraulichkeit, Pruefungsrechte, Loeschung am Ende des Dienstes und Unterstuetzung bei Verbraucheranfragen und Datenschutz-Folgenabschaetzungen.

plugin vs Plattform

Warum Infrastruktur ein plugin schlaegt.

Typisches WordPress-CTDPA-plugin

200-500ms zusaetzlich pro Seitenaufruf (banner-JS, Geo-Lookup, DB-Schreibvorgaenge)
Verpasst GPC-Signale — die meisten plugins lesen Sec-GPC nicht, die haeufigste CTDPA-Luecke
Speichert Opt-out-Signale in wp_options — langsam, untypisiert, bricht mit object caching
Updates ueber wp-admin — du wartest es, du brichst es, du debuggst Konflikte
Kostet $49-149/Jahr pro Site und deckt den Beschwerde-Workflow oder AG-Link selten ab
Bricht beim Hoster-Wechsel; Opt-out-Historie und Beschwerde-Akten gehen verloren

Der eingebaute Ansatz von Yovale

0ms Latenz — GPC- und Opt-out-Status am edge worker berechnet, im CDN gecached
Sec-GPC- und DOM-Signale werden am Edge gelesen, bevor der Banner rendert — ohne Heilungsfrist zaehlt das
Audit log in einer eigenen Datenbank, abfragbar, blockiert nie das Rendern
Updates kommen ueber die Plattform — du siehst sie nicht, du brichst sie nicht
In jedem Plan enthalten ($149 / $249 / $499 pro Jahr), keine Compliance-Gebuehren pro Site
Wandert mit deiner Site fuer immer mit — Opt-out- und Beschwerde-Historie gehoert dir zum Export

dein dashboard

14 regelwerke. je ein schalter. alles automatisch.

Regelwerke14

OPT-IN

CTDPA

Connecticut Data Privacy Act

OPT-IN

CCPA

California Consumer Privacy Act

VCDPA

Virginia Consumer Data Protection Act

CPA

Colorado Privacy Act

TDPSA

Texas Data Privacy and Security Act

+ 9 weitere Vorschriften · alle opt-in

CTDPA

Connecticut Data Privacy Act

OPT-IN

Gültig seit

1. Juli 2023

Consent-modus

Opt-out + GPC (Opt-in fuer sensible Daten)

Behörde

Connecticut AG

Max. strafe

$5,000

Wichtige anforderungen

Opt-out fuer Verkauf, Targeted Ads, Profiling
GPC und UOOM beachten (seit 1. Januar 2025)
Opt-in fuer sensible Daten
Antwort auf Verbraucheranfragen binnen 45 Tagen
Beschwerdeprozess binnen 60 Tagen

haeufige Fragen

CTDPA + Yovale, beantwortet.

Gilt der CTDPA fuer meine Site?

Er gilt, wenn du in einem Kalenderjahr die personenbezogenen Daten von 100.000 oder mehr Einwohnern aus Connecticut kontrollierst, oder ab 25.000, wenn 25% oder mehr deines Bruttoumsatzes aus dem Verkauf personenbezogener Daten stammen — die Schwelle liegt damit niedriger als die 50% des VCDPA. Behoerden, bestimmte Non-Profits, HIPAA-pflichtige Stellen und FERPA-pflichtige Bildungsdaten sind ausgenommen. Liegst du unter den Schwellen, bist du nicht direkt erfasst — aber Yovale aktiviert dieselben Schutzmechanismen standardmaessig, damit deine Site bereit ist, wenn du sie ueberschreitest.

Was hat sich am 1. Januar 2025 geaendert?

Zwei Dinge. Erstens ist die 60-taegige Heilungsfrist am 31. Dezember 2024 ausgelaufen — der Connecticut AG muss dir keine Chance mehr geben, einen Verstoss zu beheben, bevor er ein Durchsetzungsverfahren einleitet. Zweitens muessen Controller einen Universal Opt-Out Mechanism wie Global Privacy Control beachten. Ein Browser, der den Header Sec-GPC: 1 sendet, gilt als gueltiger Opt-out fuer Verkauf und Targeted Advertising, und du musst darauf reagieren, auch wenn der Besucher deinen Consent-Banner nie anklickt. Der Yovale-edge-worker liest sowohl Sec-GPC-Header als auch das DOM-Signal, wendet den Opt-out vor jedem Render an und protokolliert ihn.

Worin unterscheidet sich der CTDPA vom CCPA?

Beide geben Verbrauchern ein Opt-out fuer Verkauf und Targeted Advertising sowie Rechte auf Auskunft, Loeschung und Portabilitaet. Der CTDPA geht bei sensiblen Daten weiter — er verlangt OPT-IN, waehrend Kalifornien ein Opt-out-Signal verwendet. Der CTDPA schreibt zudem ein formales Beschwerdeverfahren bei abgelehnten Anfragen vor und wird vom Connecticut Attorney General nach CUTPA durchgesetzt; ein privates Klagerecht besteht nicht. Die zivilrechtliche Strafe liegt bei bis zu $5,000 pro Verstoss, gegenueber $7,500 nach CCPA. Yovale handhabt beide Regelwerke aus einer Plattform.

Was gilt als sensible Daten und wie laeuft das Opt-in?

Sensible Daten nach dem CTDPA umfassen rassische oder ethnische Herkunft, religioese Ueberzeugungen, Diagnosen oder Befunde zur psychischen oder koerperlichen Gesundheit, sexuelle Orientierung, Staatsangehoerigkeit oder Immigrationsstatus, genetische und biometrische Daten zur eindeutigen Identifizierung einer Person, praezise Geolokation innerhalb von 1.750 Fuss sowie personenbezogene Daten eines bekannten Kindes unter 13. Das MU-plugin von Yovale blockiert jedes plugin und jedes script, das eine sensible Kategorie beruehrt, bis der Verbraucher in der Consent-UI aktiv zugestimmt hat.

Was passiert, wenn ich eine Verbraucheranfrage ablehne?

Die Plattform schickt dem Verbraucher eine Ablehnung mit einem Ein-Klick-Beschwerde-Link. Die Beschwerde oeffnet einen separaten Fall im Compliance-dashboard mit eigenem 60-Tage-SLA. Lehnst du auch die Beschwerde ab, haengt Yovale automatisch einen Link an das Online-Beschwerde-Formular des Connecticut Attorney General an, wie der CTDPA verlangt. Jeder Schritt wird im audit log mit Zeitstempel festgehalten.

Stellt ihr einen Processor-Vertrag bereit?

Ja. Ein vorab unterzeichneter Controller-Processor-Vertrag, der die Anforderungen des CTDPA an Processor-Vertraege erfuellt, ist als PDF im dashboard verfuegbar. Wir sind als dein Processor eingetragen, du bist der Controller. Er listet jeden Unterauftragsverarbeiter (Cloudflare, Anexia, R2), Zweckbindung, Vertraulichkeit, Pruefungsrechte, Rueckgabe oder Loeschung am Ende des Dienstes sowie unsere Pflicht zur Unterstuetzung bei Verbraucheranfragen und Datenschutz-Folgenabschaetzungen.

Eine CTDPA-konforme WordPress-Site in 60 Sekunden live.

Jede Yovale-Site ist ab dem Deployment CTDPA-bereit. GPC wird am Edge erkannt. Opt-in fuer sensible Daten durchgesetzt. Beschwerde-Workflow aktiv. AG-Beschwerde-Link verdrahtet. Starte den Growth-Test und sieh dir dein erstes Compliance-dashboard an.

Kostenlosen Test startenGrowth-Test · keine Kreditkarte · CTDPA ab Minute eins aktiv