Virginia · VCDPAWordPress-Hosting mit VCDPA-plugin in der Plattform integriert.
Opt-out-Signale fuer Verkauf und Targeted Advertising, Opt-in fuer sensible Daten, ein 45-Tage-Antwort-Workflow und ein Beschwerdekanal — uebernommen vom compliance-MU-plugin von Yovale. Du installierst es nicht. Du aktualisierst es nicht. Du zahlst nichts dafuer. So laeuft jede Yovale-Site, in jedem Plan. Dieselbe Plattform handhabt auch CCPA, CO CPA, CT DPA und UT UCPA — ein Stack, jedes US-Bundesstaaten-Datenschutzgesetz.
Nach dem VCDPA kannst du dem Verkauf personenbezogener Daten, Targeted Advertising und Profiling widersprechen. Du kannst die ueber dich gespeicherten Daten auch einsehen, korrigieren, loeschen oder exportieren.
Sechs Pflichten, die du erfuellen musst.
Der Virginia Consumer Data Protection Act trat am 1. Januar 2023 in Kraft und macht Virginia nach Kalifornien zum zweiten US-Bundesstaat mit einem umfassenden Verbraucher-Datenschutzgesetz. Er gilt fuer Controller, die personenbezogene Daten von 100.000 oder mehr Verbrauchern aus Virginia verarbeiten, oder ab 25.000, wenn 50% oder mehr des Umsatzes aus dem Verkauf personenbezogener Daten stammen. Die Durchsetzung liegt beim Virginia Attorney General, mit zivilrechtlichen Strafen von bis zu $7,500 pro Verstoss.
- 01
Opt-out fuer Verkauf, Targeted Ads, Profiling
Verbraucher koennen dem Verkauf personenbezogener Daten, dem Targeted Advertising und dem Profiling mit rechtlicher oder aehnlich erheblicher Wirkung widersprechen. Der Mechanismus muss klar, deutlich und frei von Dark Patterns sein.
- 02
OPT-IN fuer sensible Daten
Sensible Daten duerfen nicht ohne ausdrueckliche Einwilligung verarbeitet werden. Sensible Daten umfassen ethnische Herkunft, Religion, Diagnosen zur psychischen oder koerperlichen Gesundheit, sexuelle Orientierung, Staatsangehoerigkeit und Immigrationsstatus, genetische und biometrische Daten, praezise Geolokation sowie Daten eines bekannten Kindes.
- 03
Verbraucherrechte: Auskunft, Berichtigung, Loeschung, Portabilitaet
Verbraucher aus Virginia koennen Auskunft ueber die gespeicherten Daten verlangen, Ungenauigkeiten korrigieren, Daten loeschen lassen und eine portable Kopie in einem leicht nutzbaren Format erhalten. Du antwortest binnen 45 Tagen, einmal um weitere 45 Tage verlaengerbar, wenn vernuenftigerweise erforderlich.
- 04
Beschwerdeprozess
Wenn du eine Verbraucheranfrage ablehnst, musst du dem Verbraucher einen klaren Weg geben, gegen die Entscheidung Beschwerde einzulegen, und binnen 60 Tagen darauf antworten. Wird die Beschwerde abgelehnt, gibst du eine Erklaerung und einen Link zur Beschwerde beim Virginia Attorney General.
- 05
Pflichten von Controller und Processor
Vertraege zwischen Controllern und Processoren muessen Verarbeitungsanweisungen, Vertraulichkeit, Loeschung oder Rueckgabe von Daten am Ende des Dienstes sowie Unterstuetzung bei Verbraucheranfragen festhalten. Yovale agiert auf Basis eines schriftlichen Vertrags als dein Processor.
- 06
Datenschutz-Folgenabschaetzungen
Fuehre eine dokumentierte Datenschutz-Folgenabschaetzung fuer jede Verarbeitung mit erhoehtem Schadensrisiko durch — Targeted Advertising, Verkauf personenbezogener Daten, Profiling mit erheblicher Wirkung und jede Verarbeitung sensibler Daten.
In der Plattform eingebaut. Kein plugin, das du installierst.
Yovale liefert VCDPA-compliance als signiertes must-use-plugin — Teil des hostings selbst, nichts, was du aus dem WordPress-Repository installierst. Es ist versions-gepinnt, wird von R2 mit SHA-256-Verifizierung geholt und beim Provisioning in ein pro Site bind-gemountetes mu-plugins-Verzeichnis abgelegt. Updates kommen ueber denselben Kanal wie deine hosting-Updates.
Geo-bewusster Consent und Opt-out
Besucher aus Virginia sehen VCDPA-Opt-out-Steuerungen fuer Verkauf, Targeted Advertising und Profiling sowie Opt-in-Abfragen, bevor eine sensible Datenkategorie verarbeitet wird. EU-Besucher sehen GDPR-Opt-in. Besucher aus Kalifornien sehen CCPA. Eine Plattform, jede Regulierung.
Datenschutz-Portal
/.well-known/privacy auf jeder Yovale-Site. Verbraucher aus Virginia koennen Auskunfts-, Berichtigungs-, Loesch- und Portabilitaets-Anfragen ohne Support-Ticket einreichen. Jede Anfrage erscheint im Compliance-Tab deines dashboards mit einem 45-Tage-SLA-Timer.
Beschwerde-Workflow
Wird eine Anfrage abgelehnt, erhaelt der Verbraucher einen Ein-Klick-Beschwerde-Link. Die Beschwerde oeffnet einen separaten 60-Tage-SLA-Fall in deinem dashboard, an dem die urspruengliche Entscheidung haengt. Lehnst du auch die Beschwerde ab, haengt die Plattform automatisch den Beschwerde-Link zum Virginia AG an.
Unterzeichneter Processor-Vertrag
Vorab unterzeichneter Controller-Processor-Vertrag nach VCDPA § 59.1-579, als PDF im dashboard. Listet jeden Unterauftragsverarbeiter (Cloudflare, Anexia, R2), Zweckbindung, Vertraulichkeit, Loeschung am Ende des Dienstes und Unterstuetzung bei Verbraucheranfragen.
Warum Infrastruktur ein plugin schlaegt.
Typisches WordPress-VCDPA-plugin
- 200-500ms zusaetzlich pro Seitenaufruf (banner-JS, Geo-Lookup, DB-Schreibvorgaenge)
- Speichert Opt-out-Signale in wp_options — langsam, untypisiert, bricht mit object caching
- Updates ueber wp-admin — du wartest es, du brichst es, du debuggst Konflikte
- Kostet $49-149/Jahr pro Site und deckt den Beschwerde-Workflow selten ab
- Bricht beim Hoster-Wechsel; Opt-out-Historie und Beschwerde-Akten gehen verloren
Der eingebaute Ansatz von Yovale
- 0ms Latenz — Opt-out-Status am edge worker berechnet, im CDN gecached
- Audit log in einer eigenen Datenbank, abfragbar, blockiert nie das Rendern
- Updates kommen ueber die Plattform — du siehst sie nicht, du brichst sie nicht
- In jedem Plan enthalten ($149 / $249 / $499 pro Jahr), keine Compliance-Gebuehren pro Site
- Wandert mit deiner Site fuer immer mit — Opt-out- und Beschwerde-Historie gehoert dir zum Export
14 regelwerke. je ein schalter. alles automatisch.
- Opt-out fuer Verkauf, Targeted Ads, Profiling
- Opt-in fuer sensible Daten
- Antwort auf Verbraucheranfragen binnen 45 Tagen
- Beschwerdeprozess binnen 60 Tagen
- Datenschutz-Folgenabschaetzungen
VCDPA + Yovale, beantwortet.
Gilt der VCDPA fuer meine Site?
Er gilt, wenn du in einem Kalenderjahr die personenbezogenen Daten von 100.000 oder mehr Verbrauchern aus Virginia kontrollierst, oder ab 25.000, wenn 50% oder mehr deines Bruttoumsatzes aus dem Verkauf personenbezogener Daten stammen. Behoerden, bestimmte Non-Profits, HIPAA-pflichtige Stellen und FERPA-pflichtige Bildungsdaten sind ausgenommen. Liegst du unter den Schwellen, bist du nicht direkt erfasst — aber Yovale aktiviert dieselben Schutzmechanismen standardmaessig, damit deine Site bereit ist, wenn du sie ueberschreitest.
Worin unterscheidet sich der VCDPA vom CCPA?
Beide geben Verbrauchern ein Opt-out fuer Verkauf und Targeted Advertising sowie Rechte auf Auskunft, Loeschung und Portabilitaet. Der VCDPA geht bei sensiblen Daten weiter — er verlangt OPT-IN, waehrend Kalifornien ein Opt-out-Signal verwendet. Der VCDPA schreibt zudem ein formales Beschwerdeverfahren bei abgelehnten Anfragen vor und wird vom Virginia Attorney General durchgesetzt; ein privates Klagerecht besteht nicht. Yovale handhabt beide Regelwerke aus einer Plattform.
Wie funktioniert das Opt-out konkret?
Besucher aus Virginia sehen eine deutliche Opt-out-Steuerung im consent-banner und im Datenschutz-Portal unter /.well-known/privacy. Ein Klick stoppt Verkauf, Targeted Advertising und Profiling sofort am Cloudflare-edge worker — bevor analytics, ad-pixel oder Drittanbieter-Tags ausgeloest werden. Der Opt-out wird im audit log mit Zeitstempel und der aus der IP abgeleiteten Region protokolliert.
Was gilt als sensible Daten und wie laeuft das Opt-in?
Sensible Daten nach dem VCDPA umfassen ethnische Herkunft, Religion, Diagnosen zur psychischen oder koerperlichen Gesundheit, sexuelle Orientierung, Staatsangehoerigkeit und Immigrationsstatus, genetische und biometrische Daten zur eindeutigen Identifizierung einer Person, praezise Geolokation und personenbezogene Daten eines bekannten Kindes. Das MU-plugin von Yovale blockiert jedes plugin und jedes script, das eine sensible Kategorie beruehrt, bis der Verbraucher in der Consent-UI aktiv zugestimmt hat.
Was passiert, wenn ich eine Verbraucheranfrage ablehne?
Die Plattform schickt dem Verbraucher eine Ablehnung mit einem Ein-Klick-Beschwerde-Link. Die Beschwerde oeffnet einen separaten Fall im Compliance-dashboard mit eigenem 60-Tage-SLA. Lehnst du auch die Beschwerde ab, haengt Yovale automatisch einen Link an, damit der Verbraucher eine Beschwerde beim Virginia Attorney General einreichen kann, wie VCDPA § 59.1-577(C) verlangt.
Stellt ihr einen Processor-Vertrag bereit?
Ja. Ein vorab unterzeichneter Controller-Processor-Vertrag nach VCDPA § 59.1-579 ist als PDF im dashboard verfuegbar. Wir sind als dein Processor eingetragen, du bist der Controller. Er listet jeden Unterauftragsverarbeiter (Cloudflare, Anexia, R2), Zweckbindung, Vertraulichkeit, Rueckgabe oder Loeschung am Ende des Dienstes sowie unsere Pflicht zur Unterstuetzung bei Verbraucheranfragen und Datenschutz-Folgenabschaetzungen.
Eine VCDPA-konforme WordPress-Site in 60 Sekunden live.
Jede Yovale-Site ist ab dem Deployment VCDPA-bereit. Kein plugin zum Installieren. Keinem Processor-Vertrag hinterherrennen. Keinen Beschwerde-Workflow bauen. Starte den Growth-Test und sieh dir dein erstes Compliance-dashboard an.