Prüfung DSGVO-Konform bei Plugins

Wie Hans-Gerd bereits geschrieben hat, können wir dir hier keine rechtsverbindlichen Auskünfte zur DSGVO geben. Zur Frage, ob Plugins DSGVO-konform sind möchte ich aber (verkürzt und laienhaft) ein paar Tipps geben, worauf du achten solltest:

Die DSGVO soll die Besucher von Webseiten davor schützen, dass persönliche Daten ungefragt gespeichert und dan Dritte weitergegeben werden. Wenn du morgens eine Abfrage in einer Suchmaschine wie Google machst, wird deine IP-Adresse übertragen. Wenn du eine Webseite besuchst, die Google Webfonts verwendet, wird durch einen Abruf des Webfont ebenfalls deine IP-Adresse an Google weitergegeben. Daraus lässt sich theoretisch ein Bewegungsmuster erstellen: „Der bei Google registrierte Nutzer mit dem Nutzernamen X hat an diesem Tag mit der IP-Adresse die folgenden Webseiten besucht …“ (Ich behaupte nicht, dass Google auf diese Weise ein Tracking durchführt aber es ist technisch möglich und davor sollen Webseitenbesucher mit der DSGVO geschützt werden.)
Ob die IP-Adresse bei Besuch deiner Website nur an deinen Webserver übertragen wird oder noch an andere lässt sich recht einfach feststellen, wenn du die Entwickler-Tools deines Browsers öffnest (Taste F12), in den Tab Netzwerk gehst und die Seite neu lädst. Dort wird dann für jede übertragene Datei angezeigt, von welchem Server sie kommt – und da darf dann eben ausschließlich dein Server stehen.

Das Einbinden externer Medien und Dienste (z.B. Youtube, Google Maps) ist damit zunächst ebenfalls untersagt, aber du kannst Nutzer darauf hinweisen, dass deine Webseite externe Medien oder Dienste enthält und anbieten, sie auf Wunsch des Webseitenbesuchers anzuzeigen. Bestätigt der Besucher die Anzeige, erfolgt die Weitergabe der IP-Adresse auf seinen ausdrücklichen Wunsch.

Neben der DSGVO gibt es auch noch eine Cookie-Richtlinie, die regelt, bei welchen Cookies Webseitenbesucher um eine Zustimmung gebeten werden müssen. Damit sollen Webseitenbesucher ebenfalls vor einem Tracking geschützt werden. Für essenzielle Cookies, die für den Betrieb der Webseite notwending sind (Anmelde-Cookies, Warenkorb-Cookies, …) und vor allem kein Tracking ermöglichen, reicht der Hinweis, dass Cookies eingesetzt werden. Welche Plugins für deine Webseite gesetzt werden, kannst du ebenfalls über die Entwicklertools deines Browsers herausfinden. Das Borlabs Cookie-Plugin hilft dir ebenso dabei und klassifiziert die Cookies auch entsprechend, wobei du darauf achten musst, dass z.B. Tracking-Code auch über das Borlabs-Plugin eingefügt wird, damit bei Nicht-Zustimmung das Cookie nicht doch gesetzt wird.

Das ist wie gesagt eine verkürzte, laienhafte Darstellung ohne Anspruch auf Volltständigkeit, gibt dir aber hoffentlich eine grobe Vorstellung worauf du bei der Auswahl von Plugins achten solltest. Das Online-Meetup im September bietet eine tolle Gelegenheit, wenn du mehr Informationen (und das auch noch von einem Juristen!) haben möchtest.

Ihr lauft ja sicherlich auch nicht für jedes ach so kleine Plugin zum Rechtsanwalt, oder?

Sicher nicht. Aber ich denke, mehr als das, was wir dir hier bis jetzt bereits geschrieben haben, ist in diesem Rahmen nicht möglich. Daher ist ja ein Meetup zu diesem Thema sicher hilfreich.
Bezogen auf social links kannst du dir ja mal shariff wrapper ansehen.

Wie prüft Ihr ein Tool wie den Shariff Wrapper? Ich möchte einfach keinem TOOL blind vertrauen.

Das ist ja nun gerade ein Plugin, das im Gegensatz zu anderen Plugins nicht ungefragt eine Verbindung zu Social-Media-Diensten aufbaut (und damit ungefragt die IP-Adresse des Webseitenbesuchers weitergibt), sondern erst einmal Icons für die Social-Media-Dienste anzeigt und erst bei Klick auf eines der Icons die Verbindung zu diesem Social-Media-Dienst herstellt. Das Plugin wurde so programmiert, um der DSGVO zu entsprechen.

Wie du prüfen kannst, ob ein Plugin der DSGVO entspricht, habe ich ausführlich beschrieben: Du rufst im Browser die Entwickler-Tools auf und schaust dir an, ob Verbindungen zu Drittanbietern aufgebaut werden.
Ob und welche Daten von Webseitenbesuchern gesammelt werden, sollte sich aus der Funktion des Plugins ergeben: Ein Kontaktformular, dass Name, Adresse, Geburtsdatum, Blutgruppe und Schuhgröße abfragt, sammelt Daten. Ein Plugin, dass deine Fotos als Slideshow darstellt, mit größter Wahrscheinlichkeit nicht.
Ob und welche Cookies gesetzt werden, lässt sich wieder in den Entwicklertools des Browsers nachvollziehen.

Von „blind vertrauen“ kann eigentlich keine Rede sein. Der Code ist für alle einsehbar und die Verwendung der Entwicklertools deines Browsers steht dir jederzeit offen.

dann markiere ich das Thema mal als gelöst.