Datenschutz bei Online-Schülerzeitungen (2/3): Grundlagen für die Internetplattform

Datenschutz bei Online-Schülerzeitungen
Inhalt

    In Teil 1 unse­rer Bei­trags­rei­he über Daten­schutz bei Online-Schü­ler­zei­tun­gen haben wir all­ge­mei­ne Daten­schutz-Maß­nah­men für die redak­tio­nel­le Arbeit behan­delt. Nun rich­ten wir den Blick auf Punk­te, die man spe­zi­ell bei Ein­rich­tung und Betrieb der Online-Platt­form für die Schü­ler­zei­tung berück­sich­ti­gen soll­te. Teil 3 geht dann dar­auf ein, wie sich die­se und wei­te­re Aspek­te kon­kret beim Ein­satz des Con­tent-Manage­ment-Sys­tems Wor­d­Press umset­zen lassen.

    Datenschutz auf der Onlineplattform

    Zunächst aber eini­ge grund­le­gen­de The­men, die unab­hän­gig von der ein­ge­setz­ten Tech­no­lo­gie gel­ten: Denn wo immer man per­so­nen­be­zo­ge­ne Daten auf einer Online­platt­form (und damit auto­ma­ti­siert) ver­ar­bei­tet, gilt es, die dafür anwend­ba­ren Anfor­de­run­gen zu erfüllen. 

    Auftragsverarbeitungsvertrag mit Webhoster abschließen 

    Schon bei der Vor­be­rei­tung der Online-Platt­form muss man den Daten­schutz im Auge behal­ten. Denn in den meis­ten Fäl­len nutzt man für eine Online-Schü­ler­zei­tung Webs­pace bei einem exter­nen Web­hos­ting-Anbie­ter. Dies umfasst auch die Spei­che­rung per­so­nen­be­zo­ge­ner Daten wie Namen oder E‑Mail-Adres­sen von Redak­ti­ons­mit­glie­dern oder Abon­nen­ten. In die­sem Fall for­dert die DS-GVO den Abschluss einer sog. Auf­trags­ver­ar­bei­tungs­ver­ein­ba­rung, in der u. a. daten­schutz­recht­li­che Pflich­ten des Web­hos­ters fest­ge­legt sind.

    Vie­le Web­hos­ter bie­ten hier­für Vor­la­gen an, mit denen Sie die Ver­ein­ba­rung mit weni­gen Maus­klicks direkt im Kun­den­kon­to abschlie­ßen kön­nen (sehen Sie ggf. in den FAQ oder Hil­fe­be­rei­chen nach oder fra­gen Sie beim Kun­den­sup­port an). Übri­gens: Wenn Sie über­le­gen, wel­cher Web­hos­ter sich für Ihre Online-Schü­ler­zei­tung eig­net, spre­chen Sie uns an. Ger­ne geben wir unse­re Erfah­run­gen weiter.

    Personenbezogene Daten der Redaktion

    Bei per­so­nen­be­zo­ge­nen Daten gilt das Gebot der Daten­spar­sam­keit: Das heißt: Wel­che Daten müs­sen zwin­gend ver­ar­bei­tet wer­den, auf wel­che kann man verzichten?

    So reicht es bei einer Online-Schü­ler­zei­tung oft­mals aus, Nut­zer­kon­ten von Redak­ti­ons­mit­glie­dern nur mit dem Vor­na­men anstel­le des vol­len Namens anzu­le­gen. Man könn­te auch nur Initia­len oder gar ein Pseud­onym ver­wen­den. Damit geht aber der per­sön­li­che Bezug ver­lo­ren, der eine Schü­ler­zei­tung gera­de so inter­es­sant macht. Außer­dem sind die Nachwuchs-Journalist*innen ja auch stolz auf die eige­nen Bei­trä­ge und wol­len die Urhe­ber­schaft mit dem eige­nen Namen sicht­bar machen.

    Für den Ein­stieg in das Pro­jekt und die Ein­ar­bei­tung in die Online­platt­form bie­tet es sich übri­gens an, dass die Redak­ti­ons­mit­glie­der Kurz­pro­fi­le erstel­len. Aber auch dabei dar­an den­ken, vor der Ver­öf­fent­li­chung im Inter­net ggf. die Ein­wil­li­gung der Eltern ein­zu­ho­len! Das kann man am ein­fachs­ten schon auf dem Anmel­dung-For­mu­lar zu einer Schü­ler­zei­tungs-AG erledigen.

    Personenbezogene Daten von Leser*innen

    Nicht nur die Redak­ti­on, auch Leser*innen haben einen Anspruch auf Daten­spar­sam­keit. Über­le­gen Sie daher z. B., ob Sie zur Abga­be von Kom­men­ta­ren oder Bewer­tun­gen zu einem Bei­trag unbe­dingt Name und/oder E‑Mail-Adres­se abfra­gen oder eine Regis­trie­rung fordern.

    Denn dahin­ter steht oft nur, dass man die Ver­öf­fent­li­chung von nega­ti­ven oder Spam-Kom­men­ta­ren ohne per­sön­li­che Absen­der­schaft ver­mei­den möch­te. Das aber lässt sich aber auch errei­chen, indem man Kom­men­ta­re erst nach einer Prü­fung durch die Redak­ti­on frei­schal­tet. Zudem erleich­tert das die bei einer Online-Schü­ler­zei­tung ja gera­de gewünsch­te Inter­ak­ti­on zwi­schen Redak­ti­on und Publi­kum deutlich.

    Verständliche Datenschutzerklärung

    Die Daten­schutz­er­klä­rung (DSE) soll: Daten­schutz erklä­ren. Klingt logisch, ist aber nicht ganz ein­fach. Jeden­falls funk­tio­niert es bei einer Online-Schü­ler­zei­tung nicht, einen zwar juris­tisch akku­ra­ten, aber sehr kom­pli­ziert for­mu­lier­ten Text aus Vor­la­gen oder DSE-Gene­ra­to­ren zu verwenden. 

    Erstel­len Sie daher eine Daten­schutz­er­klä­rung, die auch Kin­der und Jugend­li­che ver­ste­hen. Dabei soll­te man im Hin­ter­kopf behal­ten: Kein Mensch liest sich eine DSE kom­plett durch. Man kann aber bei ein­zel­nen Ele­men­ten der Web­sei­te wie Funk­tio­nen zum Tei­len von Inhal­ten oder ein­ge­bet­te­ten Inhal­ten ande­rer Anbie­ter (z. B. You­tube-Vide­os) auf den jewei­li­gen Abschnitt der Daten­schutz­er­klä­rung ver­lin­ken. Dort kön­nen Leser*innen (oder auch deren Eltern) sich dann ein­ge­hen­der informieren.

    Einzelne technische Maßnahmen 

    Webseite per SSL absichern

    Soweit eine Web­sei­te per­so­nen­be­zo­ge­ne Daten ver­wen­det, muss gemäß Arti­kel 5 Abs. 1 lit. f DS-GVO i.V.m. Art. 32 Abs. 1 lit. a DS-GVO eine ange­mes­se­ne Sicher­heit der Daten gewähr­leis­tet sein. Daher ist zumin­dest für Funk­tio­nen, mit denen z. B. Namen oder E‑Mail-Adres­sen ein­ge­ge­ben wer­den kön­nen (Kon­takt­for­mu­lar, Kom­men­tar­funk­ti­on etc.), eine ver­schlüs­sel­te Daten­über­tra­gung erfor­der­lich. Eini­ge for­dern sogar eine Pflicht zur Absi­che­rung der gesam­ten Web­sei­te, weil bei jedem Besuch zumin­dest tech­ni­sche Daten wie IP-Adres­sen ver­ar­bei­tet werden.

    Klingt sehr kom­pli­ziert, ist es aber zumeist nicht: Bei vie­len Pro­vi­dern kann mit weni­gen Maus­klicks selbst ein SSL-Zer­ti­fi­kat für eine Ver­schlüs­se­lung erstel­len und für die Web­sei­te instal­lie­ren. Am bes­ten erle­digt man dies gleich bei der Regis­trie­rung der Inter­net­do­main für die Online-Schü­ler­zei­tung, aber auch eine nach­träg­li­che Ein­rich­tung ist mög­lich. Ach­ten Sie bei der Aus­wahl des Pro­vi­ders dar­auf, ob ein sol­ches Zer­ti­fi­kat kos­ten­frei ist (Leis­tungs­ver­zeich­nis des Hos­ting-Tarifs che­cken), damit nicht über­ra­schend Zusatz­kos­ten ent­ste­hen. Kos­ten­freie Zer­ti­fi­ka­te kom­men oft auto­ma­ti­siert von dem exter­nen Anbie­ter Let’s encrypt, was für eine Online-Schü­ler­zei­tung völ­lig aus­rei­chend ist. Falls mög­lich, akti­vie­ren Sie eine auto­ma­ti­sche Erneue­rung des Zer­ti­fi­kats nach Ablauf der Basis­lauf­zeit (zumeist 1 Jahr).

    Cookies: So viel wie nötig, so wenig wie möglich

    Coo­kies sind für vie­le Funk­tio­nen moder­ner Web­sei­ten unent­behr­lich. So sor­gen Coo­kies etwa dafür, das man als ange­mel­de­ter Nut­zer einer Web­sei­te nicht bei jedem neu­en Sei­ten­auf­ruf erneut sei­ne Log­in-Daten ein­ge­ben muss. Aber auch hier gilt: Weni­ger ist mehr. Auf Coo­kies exter­ner Anbie­ter wie Face­book oder Goog­le kann man bei Online-Schü­ler­zei­tun­gen in der Regel getrost ver­zich­ten, auch ohne den Funk­ti­ons­um­fang wesent­lich ein­zu­schrän­ken. Ach ja: Genau wie die Daten­schutz­er­klä­rung soll­ten Sie auch Ihren Coo­kie-Hin­weis für Kin­der und Jugend­li­che ver­ständ­lich for­mu­lie­ren. Ein Ver­weis auf wei­te­füh­ren­de Infos in der Daten­schutz­er­klä­rung scha­det auch hier nicht. 

    Google Fonts und Font Awesome lokal einbinden

    Goog­le Fonts bie­ten zahl­rei­che kos­ten­freie Schrift­ar­ten für die indi­vi­du­el­le Gestal­tung von Web­sei­ten. Bin­det man die­se aber so ein, dass sie beim Auf­ruf der Web­sei­te von Goog­le-Ser­vern gela­den wer­den, erhält Goog­le dadurch per­so­nen­be­zo­ge­ne Daten wie die IP-Adres­se des Nut­zers . Dies ist nur mit vor­he­ri­ger daten­schutz­recht­li­cher Ein­wil­li­gung des Nut­zers zuläs­sig, deren rechts­kon­for­me Ein­ho­lung auf­wän­dig ist.

    Das heißt aber nicht, dass man kom­plett auf Goog­le Fonts ver­zich­ten müss­te. Man kann Die­se näm­lich auch her­un­ter­la­den, auf dem eige­nen Ser­ver able­gen und von dort ein­bin­den. Damit ist zwar ein­ma­lig ein (über­schau­ba­rer) Ent­wick­lungs­auf­wand ver­bun­den, für den es aber zahl­rei­che Anlei­tun­gen im Web gibt. Dafür ist man inso­weit anschlie­ßend daten­schutz­recht­lich auf der siche­ren Seite.

    Auch Font Awe­so­me, eine Samm­lung von ein­fa­chen und kos­ten­frei­en Sym­bo­len, ist für die Illus­tra­ti­on von Web­sei­ten sehr beliebt. Hier gilt aber das­sel­be wie für Goog­le Fonts: Font Awe­so­me soll­ten Sie eben­falls nur lokal, also vom eige­nen Webs­pace ein­bin­den, um kei­ne Anfra­gen an exter­ne Ser­ver abzu­set­zen, die nur mit daten­schutz­recht­li­cher Ein­wil­li­gung zuläs­sig wären.

    Wer sich ein­ge­hen­der über daten­schutz­recht­li­che Aspek­te bei der Nut­zung von Dritt­an­bie­ter­funk­tio­nen oder ‑tools infor­mie­ren möch­te, fin­det übri­gens bei heise.de einen sehr inter­es­san­ten Arti­kel zu dem The­ma.

    Weitere Infos und Ausblick

    Soweit ein ers­ter tech­ni­scher Ein­stieg über (hof­fent­lich) wich­ti­ge und hilf­rei­che Maß­nah­men zur Gestal­tung einer daten­schutz­kon­for­men Online-Schü­ler­zei­tung. Im Inter­net fin­den sich zahl­rei­che ver­tie­fen­de Infor­ma­tio­nen zu die­sen und wei­te­ren Aspekten.

    Wenn Sie Ihre Schü­ler­zei­tung auf Basis der belieb­ten Wor­d­Press-Platt­form betrei­ben (möch­ten), dürf­te auch der dem­nächst erschei­nen­de Teil 3 unse­rer Bei­trags­rei­he inter­es­sant sein. Die­ser befasst sich mit Tipps zur Umset­zung von Daten­schutz­aspek­ten bei Wor­d­Press. Um auto­ma­tisch über die Ver­öf­fent­li­chung infor­miert zu wer­den, abon­nie­ren Sie unse­re E‑Mail-Updates.

    Haben Sie Ergän­zungs­vor­schlä­ge zu die­ser Über­sicht oder auch kon­kre­te Fra­gen? Dann spre­chen Sie uns an, ger­ne als Kom­men­tar zu die­sem Bei­trag oder über unser Kon­takt­for­mu­lar. Bis bald!