In Teil 1 unserer Beitragsreihe über Datenschutz bei Online-Schülerzeitungen haben wir allgemeine Datenschutz-Maßnahmen für die redaktionelle Arbeit behandelt. Nun richten wir den Blick auf Punkte, die man speziell bei Einrichtung und Betrieb der Online-Plattform für die Schülerzeitung berücksichtigen sollte. Teil 3 geht dann darauf ein, wie sich diese und weitere Aspekte konkret beim Einsatz des Content-Management-Systems WordPress umsetzen lassen.
Datenschutz auf der Onlineplattform
Zunächst aber einige grundlegende Themen, die unabhängig von der eingesetzten Technologie gelten: Denn wo immer man personenbezogene Daten auf einer Onlineplattform (und damit automatisiert) verarbeitet, gilt es, die dafür anwendbaren Anforderungen zu erfüllen.
Auftragsverarbeitungsvertrag mit Webhoster abschließen
Schon bei der Vorbereitung der Online-Plattform muss man den Datenschutz im Auge behalten. Denn in den meisten Fällen nutzt man für eine Online-Schülerzeitung Webspace bei einem externen Webhosting-Anbieter. Dies umfasst auch die Speicherung personenbezogener Daten wie Namen oder E‑Mail-Adressen von Redaktionsmitgliedern oder Abonnenten. In diesem Fall fordert die DS-GVO den Abschluss einer sog. Auftragsverarbeitungsvereinbarung, in der u. a. datenschutzrechtliche Pflichten des Webhosters festgelegt sind.
Viele Webhoster bieten hierfür Vorlagen an, mit denen Sie die Vereinbarung mit wenigen Mausklicks direkt im Kundenkonto abschließen können (sehen Sie ggf. in den FAQ oder Hilfebereichen nach oder fragen Sie beim Kundensupport an). Übrigens: Wenn Sie überlegen, welcher Webhoster sich für Ihre Online-Schülerzeitung eignet, sprechen Sie uns an. Gerne geben wir unsere Erfahrungen weiter.
Personenbezogene Daten der Redaktion
Bei personenbezogenen Daten gilt das Gebot der Datensparsamkeit: Das heißt: Welche Daten müssen zwingend verarbeitet werden, auf welche kann man verzichten?
So reicht es bei einer Online-Schülerzeitung oftmals aus, Nutzerkonten von Redaktionsmitgliedern nur mit dem Vornamen anstelle des vollen Namens anzulegen. Man könnte auch nur Initialen oder gar ein Pseudonym verwenden. Damit geht aber der persönliche Bezug verloren, der eine Schülerzeitung gerade so interessant macht. Außerdem sind die Nachwuchs-Journalist*innen ja auch stolz auf die eigenen Beiträge und wollen die Urheberschaft mit dem eigenen Namen sichtbar machen.
Für den Einstieg in das Projekt und die Einarbeitung in die Onlineplattform bietet es sich übrigens an, dass die Redaktionsmitglieder Kurzprofile erstellen. Aber auch dabei daran denken, vor der Veröffentlichung im Internet ggf. die Einwilligung der Eltern einzuholen! Das kann man am einfachsten schon auf dem Anmeldung-Formular zu einer Schülerzeitungs-AG erledigen.
Personenbezogene Daten von Leser*innen
Nicht nur die Redaktion, auch Leser*innen haben einen Anspruch auf Datensparsamkeit. Überlegen Sie daher z. B., ob Sie zur Abgabe von Kommentaren oder Bewertungen zu einem Beitrag unbedingt Name und/oder E‑Mail-Adresse abfragen oder eine Registrierung fordern.
Denn dahinter steht oft nur, dass man die Veröffentlichung von negativen oder Spam-Kommentaren ohne persönliche Absenderschaft vermeiden möchte. Das aber lässt sich aber auch erreichen, indem man Kommentare erst nach einer Prüfung durch die Redaktion freischaltet. Zudem erleichtert das die bei einer Online-Schülerzeitung ja gerade gewünschte Interaktion zwischen Redaktion und Publikum deutlich.
Verständliche Datenschutzerklärung
Die Datenschutzerklärung (DSE) soll: Datenschutz erklären. Klingt logisch, ist aber nicht ganz einfach. Jedenfalls funktioniert es bei einer Online-Schülerzeitung nicht, einen zwar juristisch akkuraten, aber sehr kompliziert formulierten Text aus Vorlagen oder DSE-Generatoren zu verwenden.
Erstellen Sie daher eine Datenschutzerklärung, die auch Kinder und Jugendliche verstehen. Dabei sollte man im Hinterkopf behalten: Kein Mensch liest sich eine DSE komplett durch. Man kann aber bei einzelnen Elementen der Webseite wie Funktionen zum Teilen von Inhalten oder eingebetteten Inhalten anderer Anbieter (z. B. Youtube-Videos) auf den jeweiligen Abschnitt der Datenschutzerklärung verlinken. Dort können Leser*innen (oder auch deren Eltern) sich dann eingehender informieren.
Einzelne technische Maßnahmen
Webseite per SSL absichern
Soweit eine Webseite personenbezogene Daten verwendet, muss gemäß Artikel 5 Abs. 1 lit. f DS-GVO i.V.m. Art. 32 Abs. 1 lit. a DS-GVO eine angemessene Sicherheit der Daten gewährleistet sein. Daher ist zumindest für Funktionen, mit denen z. B. Namen oder E‑Mail-Adressen eingegeben werden können (Kontaktformular, Kommentarfunktion etc.), eine verschlüsselte Datenübertragung erforderlich. Einige fordern sogar eine Pflicht zur Absicherung der gesamten Webseite, weil bei jedem Besuch zumindest technische Daten wie IP-Adressen verarbeitet werden.
Klingt sehr kompliziert, ist es aber zumeist nicht: Bei vielen Providern kann mit wenigen Mausklicks selbst ein SSL-Zertifikat für eine Verschlüsselung erstellen und für die Webseite installieren. Am besten erledigt man dies gleich bei der Registrierung der Internetdomain für die Online-Schülerzeitung, aber auch eine nachträgliche Einrichtung ist möglich. Achten Sie bei der Auswahl des Providers darauf, ob ein solches Zertifikat kostenfrei ist (Leistungsverzeichnis des Hosting-Tarifs checken), damit nicht überraschend Zusatzkosten entstehen. Kostenfreie Zertifikate kommen oft automatisiert von dem externen Anbieter Let’s encrypt, was für eine Online-Schülerzeitung völlig ausreichend ist. Falls möglich, aktivieren Sie eine automatische Erneuerung des Zertifikats nach Ablauf der Basislaufzeit (zumeist 1 Jahr).
Cookies: So viel wie nötig, so wenig wie möglich
Cookies sind für viele Funktionen moderner Webseiten unentbehrlich. So sorgen Cookies etwa dafür, das man als angemeldeter Nutzer einer Webseite nicht bei jedem neuen Seitenaufruf erneut seine Login-Daten eingeben muss. Aber auch hier gilt: Weniger ist mehr. Auf Cookies externer Anbieter wie Facebook oder Google kann man bei Online-Schülerzeitungen in der Regel getrost verzichten, auch ohne den Funktionsumfang wesentlich einzuschränken. Ach ja: Genau wie die Datenschutzerklärung sollten Sie auch Ihren Cookie-Hinweis für Kinder und Jugendliche verständlich formulieren. Ein Verweis auf weiteführende Infos in der Datenschutzerklärung schadet auch hier nicht.
Google Fonts und Font Awesome lokal einbinden
Google Fonts bieten zahlreiche kostenfreie Schriftarten für die individuelle Gestaltung von Webseiten. Bindet man diese aber so ein, dass sie beim Aufruf der Webseite von Google-Servern geladen werden, erhält Google dadurch personenbezogene Daten wie die IP-Adresse des Nutzers . Dies ist nur mit vorheriger datenschutzrechtlicher Einwilligung des Nutzers zulässig, deren rechtskonforme Einholung aufwändig ist.
Das heißt aber nicht, dass man komplett auf Google Fonts verzichten müsste. Man kann Diese nämlich auch herunterladen, auf dem eigenen Server ablegen und von dort einbinden. Damit ist zwar einmalig ein (überschaubarer) Entwicklungsaufwand verbunden, für den es aber zahlreiche Anleitungen im Web gibt. Dafür ist man insoweit anschließend datenschutzrechtlich auf der sicheren Seite.
Auch Font Awesome, eine Sammlung von einfachen und kostenfreien Symbolen, ist für die Illustration von Webseiten sehr beliebt. Hier gilt aber dasselbe wie für Google Fonts: Font Awesome sollten Sie ebenfalls nur lokal, also vom eigenen Webspace einbinden, um keine Anfragen an externe Server abzusetzen, die nur mit datenschutzrechtlicher Einwilligung zulässig wären.
Wer sich eingehender über datenschutzrechtliche Aspekte bei der Nutzung von Drittanbieterfunktionen oder ‑tools informieren möchte, findet übrigens bei heise.de einen sehr interessanten Artikel zu dem Thema.
Weitere Infos und Ausblick
Soweit ein erster technischer Einstieg über (hoffentlich) wichtige und hilfreiche Maßnahmen zur Gestaltung einer datenschutzkonformen Online-Schülerzeitung. Im Internet finden sich zahlreiche vertiefende Informationen zu diesen und weiteren Aspekten.
Wenn Sie Ihre Schülerzeitung auf Basis der beliebten WordPress-Plattform betreiben (möchten), dürfte auch der demnächst erscheinende Teil 3 unserer Beitragsreihe interessant sein. Dieser befasst sich mit Tipps zur Umsetzung von Datenschutzaspekten bei WordPress. Um automatisch über die Veröffentlichung informiert zu werden, abonnieren Sie unsere E‑Mail-Updates.
Haben Sie Ergänzungsvorschläge zu dieser Übersicht oder auch konkrete Fragen? Dann sprechen Sie uns an, gerne als Kommentar zu diesem Beitrag oder über unser Kontaktformular. Bis bald!