Oregon · OCDPAWordPress-Hosting mit OCDPA-plugin in der Plattform integriert.
Oregon ist das einzige US-Bundesstaaten-Datenschutzgesetz, das Non-Profits genauso behandelt wie kommerzielle Anbieter. Das compliance-MU-plugin von Yovale macht keinen Unterschied — Opt-out-Signale fuer Verkauf, Targeted Advertising und Profiling, Opt-in fuer sensible Daten, Universal Opt-Out Mechanism seit 1. Januar 2026 honoriert, 45-Tage-Antwort-Workflow und ein Beschwerdekanal. Du installierst es nicht. Du aktualisierst es nicht. Du zahlst nichts dafuer. So laeuft jede Yovale-Site, in jedem Plan. Dieselbe Plattform handhabt auch CCPA, VCDPA, CPA, CTDPA, TDPSA und MCDPA — ein Stack, jedes US-Bundesstaaten-Datenschutzgesetz.
Nach dem OCDPA kannst du dem Verkauf personenbezogener Daten, Targeted Advertising und Profiling widersprechen. Du kannst die ueber dich gespeicherten Daten einsehen, korrigieren, loeschen oder exportieren — einschliesslich der Namen der konkreten Dritten, an die wir sie weitergegeben haben.
Sechs Pflichten, die du erfuellen musst.
Der Oregon Consumer Data Privacy Act trat am 1. Juli 2024 fuer kommerzielle Controller in Kraft und am 1. Juli 2025 fuer Non-Profits — damit ist Oregon der erste US-Bundesstaat, der ein umfassendes Verbraucher-Datenschutzregime auch auf gemeinnuetzige Einrichtungen ausdehnt. Er gilt fuer Controller, die personenbezogene Daten von 100.000 oder mehr Einwohnern Oregons verarbeiten, oder ab 25.000, wenn 25% oder mehr des Umsatzes aus dem Verkauf personenbezogener Daten stammen. Die Durchsetzung liegt beim Oregon Attorney General, mit zivilrechtlichen Strafen von bis zu $7,500 pro Verstoss. Die 30-Tage-Heilungsfrist ist am 1. Januar 2026 ausgelaufen.
- 01
Opt-out fuer Verkauf, Targeted Ads, Profiling
Einwohner Oregons koennen dem Verkauf personenbezogener Daten, dem Targeted Advertising und dem Profiling mit rechtlicher oder aehnlich erheblicher Wirkung widersprechen. Der Mechanismus muss klar, deutlich und frei von Dark Patterns sein.
- 02
Universal Opt-Out Mechanism (UOOM/GPC)
Seit dem 1. Januar 2026 muessen Controller browserseitige Signale wie Global Privacy Control als gueltiges Opt-out vom Verkauf und vom Targeted Advertising honorieren. Oregon war das letzte Bundesstaatsgesetz, das UOOM verpflichtend machte — und schloss damit eine Welle ab, die mit Kalifornien begann.
- 03
OPT-IN fuer sensible Daten
Sensible Daten duerfen nicht ohne ausdrueckliche Einwilligung verarbeitet werden. Sensible Daten umfassen ethnische Herkunft, nationale Herkunft, Religion, koerperliche und psychische Gesundheitszustaende, Sexualleben, sexuelle Orientierung, Transgender- oder non-binaeren Status, Staatsangehoerigkeit und Immigrationsstatus, Status als Opfer einer Straftat, genetische und biometrische Daten, praezise Geolokation sowie Daten eines bekannten Kindes.
- 04
Anwendbarkeit auf Non-Profits
Anders als jedes andere US-Bundesstaaten-Datenschutzgesetz gilt der OCDPA fuer Non-Profits zu denselben Bedingungen wie fuer kommerzielle Anbieter, mit Schwellenwert-Pruefung ab dem 1. Juli 2025. Wenn deine Stiftung, dein Museum, deine Interessenvertretung oder dein Verband 100.000 Einwohner Oregons ueberschreitet, faellst du in den Geltungsbereich.
- 05
Verbraucherrechte: Auskunft, Berichtigung, Loeschung, Portabilitaet, Empfaengerliste
Einwohner Oregons koennen Auskunft ueber die gespeicherten Daten verlangen, die Namen der konkreten Dritten erfragen, an die du sie weitergegeben hast, Ungenauigkeiten korrigieren, Daten loeschen lassen und eine portable Kopie erhalten. Du antwortest binnen 45 Tagen, einmal um 45 Tage verlaengerbar. Das Recht auf die Liste konkreter Empfaenger ist einzigartig fuer Oregon.
- 06
Beschwerdeprozess
Wenn du eine Verbraucheranfrage ablehnst, musst du dem Verbraucher einen klaren Weg geben, gegen die Entscheidung Beschwerde einzulegen, und binnen 45 Tagen darauf antworten. Wird die Beschwerde abgelehnt, gibst du eine schriftliche Erklaerung und einen Link zur Beschwerde beim Oregon Attorney General.
In der Plattform eingebaut. Kein plugin, das du installierst.
Yovale liefert OCDPA-compliance als signiertes must-use-plugin — Teil des hostings selbst, nichts, was du aus dem WordPress-Repository installierst. Es ist versions-gepinnt, wird von R2 mit SHA-256-Verifizierung geholt und beim Provisioning in ein pro Site bind-gemountetes mu-plugins-Verzeichnis abgelegt. Updates kommen ueber denselben Kanal wie deine hosting-Updates. Non-Profits und kommerzielle Anbieter bekommen dieselbe Konfiguration — kein separater Tarif, keine Ausnahmen, keine Checkbox zum Merken.
Oregon-bewusster Consent und UOOM
Besucher aus Oregon sehen OCDPA-Opt-out-Steuerungen fuer Verkauf, Targeted Advertising und Profiling sowie Opt-in-Abfragen, bevor eine sensible Datenkategorie verarbeitet wird. Browser-GPC-Signale werden automatisch am edge honoriert — kein Banner-Klick noetig, um den Zustand zu setzen. EU-Besucher sehen weiter GDPR-Opt-in, Kalifornien weiter CCPA. Eine Plattform, jede Regulierung.
Datenschutz-Portal mit Empfaengerliste
/.well-known/privacy auf jeder Yovale-Site. Einwohner Oregons koennen Auskunfts-, Berichtigungs-, Loesch- und Portabilitaetsanfragen einreichen und die Liste der konkreten Dritten anfordern, an die ihre Daten gegangen sind. Jede Anfrage erscheint im Compliance-Tab deines dashboards mit einem 45-Tage-SLA-Timer.
Audit log fuer jedes Signal
Jeder Opt-out — Banner-Klick, UOOM/GPC-Header, Portal-Einreichung — wird in einer eigenen Audit-Datenbank mit Zeitstempel, IP-abgeleiteter Region und Ursprungssignal protokolliert. Aus dem dashboard als JSON oder CSV exportierbar. Ueberlebt plugin-Updates, Theme-Wechsel und Hoster-Migration.
Unterzeichneter DPA — Non-Profit und kommerziell gleich
Vorab unterzeichneter Controller-Processor-Vertrag nach OCDPA. Listet jeden Unterauftragsverarbeiter (Cloudflare, Anexia, R2), Zweckbindung, Vertraulichkeit, Loeschung am Ende des Dienstes und Unterstuetzung bei Verbraucheranfragen. Gleiches Dokument fuer eine Stiftung in Portland und einen E-Commerce-Shop in Bend — Yovale macht keinen Unterschied.
Warum Infrastruktur ein plugin schlaegt.
Typisches WordPress-OCDPA-plugin
- 200-500ms zusaetzlich pro Seitenaufruf (banner-JS, Geo-Lookup, GPC-Parsing, DB-Schreibvorgaenge)
- Speichert Opt-out-Signale in wp_options — langsam, untypisiert, bricht mit object caching
- Updates ueber wp-admin — du wartest es, du brichst es, du debuggst Konflikte
- Kostet $49-149/Jahr pro Site und kommt mit Non-Profit-Konfiguration selten klar
- Bricht beim Hoster-Wechsel; Opt-out-Historie, UOOM-Logs und Beschwerde-Akten gehen verloren
Der eingebaute Ansatz von Yovale
- 0ms Latenz — Opt-out-Status und GPC-Header am edge worker berechnet, im CDN gecached
- Audit log in einer eigenen Datenbank, abfragbar, blockiert nie das Rendern
- Updates kommen ueber die Plattform — du siehst sie nicht, du brichst sie nicht
- In jedem Plan enthalten ($149 / $249 / $499 pro Jahr), gleiche Konfiguration fuer Non-Profits und kommerzielle Anbieter
- Wandert mit deiner Site fuer immer mit — Opt-out-, UOOM- und Beschwerde-Historie gehoert dir zum Export
14 regelwerke. je ein schalter. alles automatisch.
- Opt-out fuer Verkauf, Targeted Ads, Profiling
- UOOM/GPC honoriert seit 1. Januar 2026
- Opt-in fuer sensible Daten
- 45 Tage Antwort, 45 Tage Beschwerde
- Gilt fuer Non-Profits seit 1. Juli 2025
OCDPA + Yovale, beantwortet.
Gilt der OCDPA fuer meine Non-Profit-Organisation?
Ja, wenn sie in einem Kalenderjahr personenbezogene Daten von 100.000 oder mehr Einwohnern Oregons verarbeitet, oder ab 25.000, wenn 25% oder mehr des Bruttoumsatzes aus dem Verkauf personenbezogener Daten stammen. Oregon ist der erste US-Bundesstaat, in dem umfassende Verbraucher-Datenschutzpflichten ausdruecklich auch fuer 501(c)-Organisationen zu denselben Bedingungen wie fuer kommerzielle Anbieter gelten — dieser Teil ist am 1. Juli 2025 in Kraft getreten. Yovale behandelt beide Kategorien identisch: gleiches MU-plugin, gleiches dashboard, gleicher DPA, gleiches audit log.
Was ist der Universal Opt-Out Mechanism und seit wann ist er Pflicht?
Seit dem 1. Januar 2026 muessen Oregon-Controller browserseitige Opt-out-Signale honorieren — in der Praxis den Global-Privacy-Control-Header (GPC) — als gueltiges Opt-out vom Verkauf personenbezogener Daten und vom Targeted Advertising. Oregon war das letzte Bundesstaatsgesetz, das UOOM verpflichtend machte, und schloss damit eine Welle ab, die mit Kaliforniens CPRA begann. Yovale liest den GPC-Header am Cloudflare-edge worker und setzt das Opt-out um, bevor analytics, ad-pixel oder Drittanbieter-Tags ausgeloest werden — kein Banner-Klick noetig.
Wie unterscheidet sich der OCDPA von VCDPA, CPA, CTDPA und CCPA?
Alle geben Verbrauchern ein Opt-out fuer Verkauf und Targeted Advertising sowie Rechte auf Auskunft, Berichtigung, Loeschung und Portabilitaet. Der OCDPA ist in drei Punkten einzigartig: Er erfasst Non-Profits ausdruecklich, er laesst Verbraucher die Liste der konkreten Dritten anfordern, an die ihre Daten weitergegeben wurden (nicht nur die Kategorien), und er nutzt den niedrigeren 25%-Umsatz-Schwellenwert, der mit Colorado und Connecticut uebereinstimmt — und nicht mit Virginias 50%. Wie Colorado und Connecticut ist Opt-in fuer sensible Daten Pflicht und UOOM verpflichtend. Yovale handhabt alle aus einer Plattform.
Gibt es noch eine Heilungsfrist?
Nein. Die 30-Tage-Heilungsfrist ist am 1. Januar 2026 ausgelaufen. Davor musste der Oregon Attorney General einen Controller benachrichtigen und ihm 30 Tage zur Behebung eines Verstosses geben, bevor er ein Verfahren einleitete. Ab dem 1. Januar 2026 kann der AG direkt durchsetzen, mit zivilrechtlichen Strafen von bis zu $7,500 pro Verstoss. Genau deshalb ist die Yovale-Compliance standardmaessig aktiv und nicht opt-in — es gibt kein Zeitfenster mehr, um sie nachzuruesten.
Was gilt nach Oregons Definition als sensible Daten?
Sensible Daten nach dem OCDPA umfassen ethnische Herkunft, nationale Herkunft, Religion, koerperliche oder psychische Gesundheitszustaende oder Diagnosen, Sexualleben, sexuelle Orientierung, Transgender- oder non-binaeren Status, Staatsangehoerigkeit oder Immigrationsstatus, Status als Opfer einer Straftat, genetische und biometrische Daten zur eindeutigen Identifizierung einer Person, praezise Geolokation und personenbezogene Daten eines bekannten Kindes. Oregons Liste ist breiter als die der meisten Bundesstaaten — Transgender-/non-binaerer Status und Opferstatus sind ausdruecklich genannt. Das MU-plugin von Yovale blockiert jedes plugin und jedes script, das eine sensible Kategorie beruehrt, bis der Verbraucher aktiv zugestimmt hat.
Was passiert, wenn ich eine Verbraucheranfrage ablehne?
Die Plattform schickt dem Verbraucher eine Ablehnung mit einem Ein-Klick-Beschwerde-Link. Die Beschwerde oeffnet einen separaten 45-Tage-SLA-Fall im Compliance-dashboard mit der urspruenglichen Entscheidung im Anhang. Lehnst du auch die Beschwerde ab, haengt Yovale automatisch einen Link an, damit der Verbraucher eine Beschwerde beim Oregon Attorney General einreichen kann, wie der OCDPA verlangt.
Eine OCDPA-konforme WordPress-Site in 60 Sekunden live.
Jede Yovale-Site ist ab dem Deployment OCDPA-bereit — Non-Profit oder kommerziell, die Konfiguration ist identisch. Kein plugin zum Installieren. Keinem Processor-Vertrag hinterherrennen. Keinen UOOM-Parser anbauen. Starte den Growth-Test und sieh dir dein erstes Compliance-dashboard an.