Montana · MCDPAWordPress-Hosting mit MCDPA-plugin in der Plattform integriert.
Opt-out-Signale fuer Verkauf und Targeted Advertising, Opt-in fuer sensible Daten, Universal Opt-Out Mechanism (UOOM) seit dem 1. Januar 2025, ein 45-Tage-Antwort-Workflow und ein Beschwerdekanal — uebernommen vom compliance-MU-plugin von Yovale. Du installierst es nicht. Du aktualisierst es nicht. Du zahlst nichts dafuer. Mit der niedrigsten Anwendungsschwelle im US-Bundesstaaten-Datenschutzrecht — 50.000 Einwohner aus Montana — sind selbst kleinere Sites mit Montana-Publikum erfasst. Dieselbe Plattform handhabt auch CCPA, VCDPA, CPA, CTDPA, TDPSA und OCDPA — ein Stack, jedes US-Bundesstaaten-Datenschutzgesetz.
Nach dem MCDPA kannst du dem Verkauf personenbezogener Daten, Targeted Advertising und Profiling widersprechen. Du kannst die ueber dich gespeicherten Daten einsehen, korrigieren, loeschen oder exportieren und gegen eine abgelehnte Anfrage Beschwerde einlegen.
Sechs Pflichten, die du erfuellen musst.
Der Montana Consumer Data Privacy Act trat am 1. Oktober 2024 in Kraft und hat die niedrigste Anwendungsschwelle aller US-Bundesstaaten-Datenschutzgesetze: 50.000 Einwohner aus Montana, oder 25.000, wenn 25% oder mehr des Umsatzes aus dem Verkauf personenbezogener Daten stammen. Da Montanas Bevoelkerung klein ist, liegt die Schwelle entsprechend tief — viele Sites, die unter dem Radar von CCPA oder VCDPA bleiben, loesen den MCDPA dennoch aus. Die Durchsetzung liegt beim Montana Attorney General, mit zivilrechtlichen Strafen von bis zu $7,500 pro Verstoss nach dem Montana Unfair Trade Practices Act. Das 60-taegige Heilungsrecht laeuft am 1. April 2026 aus.
- 01
Verbraucherrechte: Auskunft, Berichtigung, Loeschung, Portabilitaet
Verbraucher aus Montana koennen Auskunft ueber die gespeicherten Daten verlangen, Ungenauigkeiten korrigieren, Daten loeschen lassen und eine portable Kopie in einem leicht nutzbaren Format erhalten. Du antwortest binnen 45 Tagen, einmal um weitere 45 Tage verlaengerbar, wenn vernuenftigerweise erforderlich.
- 02
Opt-out fuer Verkauf, Targeted Ads, Profiling
Verbraucher koennen dem Verkauf personenbezogener Daten, dem Targeted Advertising und dem Profiling mit rechtlicher oder aehnlich erheblicher Wirkung widersprechen. Der Mechanismus muss klar, deutlich und frei von Dark Patterns sein.
- 03
OPT-IN fuer sensible Daten
Sensible Daten duerfen nicht ohne ausdrueckliche Einwilligung verarbeitet werden. Sensible Daten umfassen ethnische Herkunft, Religion, Diagnosen zur psychischen oder koerperlichen Gesundheit, sexuelle Orientierung, Staatsangehoerigkeit und Immigrationsstatus, genetische und biometrische Daten, praezise Geolokation sowie Daten eines bekannten Kindes.
- 04
Universal Opt-Out Mechanism (UOOM)
Seit dem 1. Januar 2025 muessen Controller universelle Opt-out-Signale wie Global Privacy Control (GPC) anerkennen und befolgen. Das browserseitige Signal gilt als gueltige Opt-out-Anfrage fuer Verkauf und Targeted Advertising — ohne dass der Verbraucher in einer Consent-UI klicken muss.
- 05
Niedrige 50.000-Einwohner-Schwelle
Der MCDPA gilt fuer Controller, die personenbezogene Daten von 50.000 oder mehr Einwohnern aus Montana verarbeiten, oder ab 25.000, wenn 25% oder mehr des Umsatzes aus Datenverkaeufen stammen. Das ist die niedrigste Schwelle aller US-Bundesstaaten — auch kleinere Sites mit Montana-Publikum sind erfasst.
- 06
Beschwerdeprozess und 45-Tage-Antwort
Antworte auf Verbraucheranfragen binnen 45 Tagen. Lehnst du eine Anfrage ab, gib dem Verbraucher einen klaren Weg zur Beschwerde und antworte binnen 60 Tagen. Wird die Beschwerde abgelehnt, gibst du eine Erklaerung und einen Link zur Beschwerde beim Montana Attorney General.
In der Plattform eingebaut. Kein plugin, das du installierst.
Yovale liefert MCDPA-compliance als signiertes must-use-plugin — Teil des hostings selbst, nichts, was du aus dem WordPress-Repository installierst. Es ist versions-gepinnt, wird von R2 mit SHA-256-Verifizierung geholt und beim Provisioning in ein pro Site bind-gemountetes mu-plugins-Verzeichnis abgelegt. Updates kommen ueber denselben Kanal wie deine hosting-Updates.
Geo-bewusster Consent und UOOM-Erkennung
Besucher aus Montana sehen MCDPA-Opt-out-Steuerungen fuer Verkauf, Targeted Advertising und Profiling. Der Cloudflare-edge worker liest das GPC-Signal bei jedem Request und wendet den Opt-out an, bevor analytics oder ad pixel ausgeloest werden — ohne Banner-Klick, genau wie der MCDPA seit Januar 2025 verlangt.
Datenschutz-Portal
/.well-known/privacy auf jeder Yovale-Site. Verbraucher aus Montana koennen Auskunfts-, Berichtigungs-, Loesch- und Portabilitaets-Anfragen ohne Support-Ticket einreichen. Jede Anfrage erscheint im Compliance-Tab deines dashboards mit einem 45-Tage-SLA-Timer.
Beschwerde-Workflow
Wird eine Anfrage abgelehnt, erhaelt der Verbraucher einen Ein-Klick-Beschwerde-Link. Die Beschwerde oeffnet einen separaten 60-Tage-SLA-Fall in deinem dashboard, an dem die urspruengliche Entscheidung haengt. Lehnst du auch die Beschwerde ab, haengt die Plattform automatisch den Beschwerde-Link zum Montana AG an.
Unterzeichneter Processor-Vertrag
Vorab unterzeichneter Controller-Processor-Vertrag nach MCDPA-Anforderungen, als PDF im dashboard. Listet jeden Unterauftragsverarbeiter (Cloudflare, Anexia, R2), Zweckbindung, Vertraulichkeit, Loeschung am Ende des Dienstes und Unterstuetzung bei Verbraucheranfragen.
Warum Infrastruktur ein plugin schlaegt.
Typisches WordPress-MCDPA-plugin
- 200-500ms zusaetzlich pro Seitenaufruf (banner-JS, Geo-Lookup, DB-Schreibvorgaenge)
- Speichert Opt-out-Signale in wp_options — langsam, untypisiert, bricht mit object caching
- Kaum ein Consent-plugin honoriert GPC serverseitig — die UOOM-Pflicht scheitert lautlos
- Kostet $49-149/Jahr pro Site und deckt den Beschwerde-Workflow selten ab
- Bricht beim Hoster-Wechsel; Opt-out-Historie und Beschwerde-Akten gehen verloren
Der eingebaute Ansatz von Yovale
- 0ms Latenz — Opt-out-Status am edge worker berechnet, im CDN gecached
- GPC bei jedem Request am edge honoriert und im audit log protokolliert
- Audit log in einer eigenen Datenbank, abfragbar, blockiert nie das Rendern
- In jedem Plan enthalten ($149 / $249 / $499 pro Jahr), keine Compliance-Gebuehren pro Site
- Wandert mit deiner Site fuer immer mit — Opt-out- und Beschwerde-Historie gehoert dir zum Export
14 regelwerke. je ein schalter. alles automatisch.
- Opt-out fuer Verkauf, Targeted Ads, Profiling
- Opt-in fuer sensible Daten
- Universal Opt-Out Mechanism seit 1. Januar 2025
- Antwort auf Verbraucheranfragen binnen 45 Tagen
- Beschwerdeprozess binnen 60 Tagen
MCDPA + Yovale, beantwortet.
Gilt der MCDPA fuer meine Site?
Er gilt, wenn du in einem Kalenderjahr die personenbezogenen Daten von 50.000 oder mehr Einwohnern aus Montana kontrollierst, oder ab 25.000, wenn 25% oder mehr deines Bruttoumsatzes aus dem Verkauf personenbezogener Daten stammen. Diese 50.000-Einwohner-Schwelle ist die niedrigste aller US-Bundesstaaten-Datenschutzgesetze — Montanas Bevoelkerung ist klein, daher die proportional niedrigere Schwelle. Behoerden, bestimmte Non-Profits, HIPAA-pflichtige Stellen und FERPA-pflichtige Bildungsdaten sind ausgenommen. Hast du ein nennenswertes Montana-Publikum, geh davon aus, dass du erfasst bist, und nutze Yovales Standardschutz ab Tag eins.
Was ist der Universal Opt-Out Mechanism, und ab wann ist er verpflichtend?
Seit dem 1. Januar 2025 muessen Controller in Montana ein universelles Opt-out-Signal anerkennen und befolgen — in der Praxis der Global Privacy Control (GPC) Header, den browser wie Brave, DuckDuckGo und Firefox senden. Das Signal gilt als gueltiges Opt-out fuer Verkauf und Targeted Advertising, ohne dass der Verbraucher etwas anklicken muss. Yovales Cloudflare-edge worker liest GPC bei jedem Request und wendet den Opt-out an, bevor analytics, ad-pixel oder Drittanbieter-Tags ausgeloest werden.
Worin unterscheidet sich der MCDPA von CCPA, VCDPA und den anderen Bundesstaatsgesetzen?
Der MCDPA folgt der VCDPA-Vorlage — Opt-out fuer Verkauf und Targeted Advertising, OPT-IN fuer sensible Daten, formale Beschwerde, kein privates Klagerecht — hat aber zwei Besonderheiten. Erstens ist die 50.000-Einwohner-Schwelle die niedrigste im Land, daher sind kleinere Sites mit Montana-Publikum erfasst, die unter dem VCDPA-Boden von 100.000 nicht waeren. Zweitens ist die UOOM-Erkennung seit Januar 2025 verpflichtend und aktiv. Yovale handhabt alle US-Bundesstaats-Regelwerke aus einer Plattform.
Gibt es weiterhin eine Heilungsfrist bei Verstoessen?
Ja, aber nur bis zum 1. April 2026. In der urspruenglich verabschiedeten Fassung gewaehrt der MCDPA Controllern ein 60-Tage-Heilungsrecht, nachdem der Montana Attorney General eine Verstossmeldung verschickt hat. Diese Bestimmung laeuft am 1. April 2026 aus; danach kann der AG sofort Strafen nach dem Montana Unfair Trade Practices Act verhaengen — bis zu $7,500 pro Verstoss. Yovales Standardkonfiguration ist so gebaut, dass es gar nicht erst zu einer Heilungsmeldung kommt.
Was gilt als sensible Daten und wie laeuft das Opt-in?
Sensible Daten nach dem MCDPA umfassen ethnische Herkunft, religioese Ueberzeugungen, Diagnosen zur psychischen oder koerperlichen Gesundheit, sexuelle Orientierung, Staatsangehoerigkeit und Immigrationsstatus, genetische und biometrische Daten zur eindeutigen Identifizierung einer Person, praezise Geolokation sowie personenbezogene Daten eines bekannten Kindes. Das MU-plugin von Yovale blockiert jedes plugin und jedes script, das eine sensible Kategorie beruehrt, bis der Verbraucher in der Consent-UI aktiv zugestimmt hat.
Stellt ihr einen Processor-Vertrag bereit?
Ja. Ein vorab unterzeichneter Controller-Processor-Vertrag nach MCDPA-Anforderungen ist als PDF im dashboard verfuegbar. Wir sind als dein Processor eingetragen, du bist der Controller. Er listet jeden Unterauftragsverarbeiter (Cloudflare, Anexia, R2), Zweckbindung, Vertraulichkeit, Rueckgabe oder Loeschung am Ende des Dienstes sowie unsere Pflicht zur Unterstuetzung bei Verbraucheranfragen und Datenschutz-Folgenabschaetzungen.
Eine MCDPA-konforme WordPress-Site in 60 Sekunden live.
Jede Yovale-Site ist ab dem Deployment MCDPA-bereit. UOOM-Erkennung, Beschwerde-Workflow, Processor-Vertrag — bereits ausgeliefert. Starte den Growth-Test und sieh dir dein erstes Compliance-dashboard an.