Datenschutz bei Online-Schülerzeitungen (3/3): Einsatz von WordPress

Datenschutz für Online-Schülerzeitungen beim Einsatz von WordPress
Inhalt

    In den vor­aus­ge­hen­den Tei­len die­ser Bei­trags­rei­he haben wir uns mit Daten­schutz­maß­nah­men für die redak­tio­nel­le Arbeit und Daten­schutz-Grund­la­gen für die Web­sei­te befasst. 

    Nun wol­len wir noch eini­ge kon­kre­te Tipps für den Ein­satz der kos­ten­frei­en Soft­ware Wor­d­Press (offi­zi­el­le Web­sei­te) geben. Denn Wor­d­Press ist nicht nur eine der belieb­tes­ten Platt­for­men für den Betrieb von Web­sei­ten über­haupt. Aus vie­len Grün­den eig­net sie sich auch für die Publi­ka­ti­on einer Schü­ler­zei­tung im Inter­net in beson­de­rer Weise.

    Wor­d­Press bie­tet zahl­rei­che Mög­lich­kei­ten, Funk­tio­nen daten­schutz­kon­form umzu­set­zen. Davon wol­len wir hier eini­ge vor­stel­len wol­len (eine voll­stän­di­ge Dar­stel­lung wür­de die Gren­zen die­ses Bei­trags spren­gen). Zunächst betrach­ten wir Wor­d­Press in der Stan­dard­ver­si­on (Set­up ohne indi­vi­du­el­le Anpas­sun­gen). Anschlie­ßend gehen wir auf Daten­schutz­funk­tio­nen ein, die sich über sog. Plugins rea­li­sie­ren lassen.

    Datenschutz in der WordPress-Standardversion

    Bei der Nut­zung von Wor­d­Press instal­liert man die Platt­form zunächst in einer Grund­ver­si­on auf einem Web­ser­ver bei einem Inter­net-Pro­vi­der oder in einem ande­ren Rechen­zen­trum. Bei vie­len Anbie­tern funk­tio­niert das mit weni­gen Maus­klicks. Aller­dings soll­te man schon dabei eini­ge Aspek­te im Hin­ter­kopf haben, um daten­schutz­recht­li­che Rah­men­be­din­gun­gen einzuhalten: 

    Integrierte Datenschutzfunktionen

    Zum einen – das ist die gute Nach­richt – bringt Wor­d­Press schon in der Stan­dard­in­stal­la­ti­on Funk­tio­nen zur Umset­zung von Daten­schutz­vor­ga­ben mit. Die meis­ten davon erreicht man über das Ver­wal­tungs­sys­tem, den soge­nann­ten „Wor­d­Press-Admin“.

    So kann man in den Ein­stel­lun­gen eine Sei­te aus­wäh­len, auf der die Daten­schutz­er­klä­rung (DSE) zu fin­den ist. Ist die­se noch nicht vor­han­den, lässt sich auch eine neue Sei­te hier­für erstel­len (sie­he hier­zu auch Teil 2, Bereich „Ver­ständ­li­che Daten­schutz­er­klä­rung“). Das erleich­tert die Ver­lin­kung der DSE bei­spiels­wei­se in den Menüs der Web­sei­te. Sogar einen eige­nen Leit­fa­den zur Erstel­lung der DSE bringt Wor­d­Press mit. Man soll­te aber nicht den Hin­weis über­le­sen, dass es in der Ver­ant­wor­tung des Web­site-Anbie­ters liegt, eine voll­stän­di­ge und inhalt­lich rich­ti­ge Daten­schutz­er­klä­rung zu erstellen. 

    Zudem bie­tet der Wor­d­Press-Admin unter „Werk­zeu­ge“ die Funk­tio­nen „Per­so­nen­be­zo­ge­ne Daten expor­tie­ren“ und „Per­so­nen­be­zo­ge­ne Daten löschen“. Damit las­sen sich ent­spre­chen­de Anfra­gen von Nut­zern recht kom­for­ta­bel, zum Teil sogar auto­ma­ti­siert bearbeiten.

    Anpassungen

    Eini­ge Punk­te Ihrer neu­en Wor­d­Press-Instal­la­ti­on müs­sen Sie aber auch über­prü­fen und erfor­der­li­chen­falls anpas­sen. Dazu gehört die Opti­on „Ava­tare anzei­gen“ in den Wor­d­Press-Ein­stel­lun­gen unter „Dis­kus­si­on“. Ist die­se Opti­on akti­viert, gleicht das Sys­tem Ver­fas­ser von Kom­men­ta­ren mit einer exter­nen Daten­bank ab, um einen dort ggf. hin­ter­leg­ten Ava­tar, also ein klei­nes Sym­bol­bild anzu­zei­gen. Dabei wer­den per­so­nen­be­zo­ge­ne Daten (ins­be­son­de­re die E‑Mail-Adres­se) über­mit­telt. Dies aber bedarf der vor­he­ri­gen Zustim­mung des Nut­zers . Daher emp­feh­len wir, die­se Opti­on zu deaktivieren.

    Stan­dard­mä­ßig wer­den auch IP-Adres­sen von Kom­men­ta­to­ren erfasst. Dies kann Sinn machen, etwa um rechts­wid­ri­ge Äuße­run­gen im Kom­men­tar­be­reich ver­fol­gen zu las­sen. Dann aber muss man dies dem Nut­zer gegen­über offen­le­gen. Alter­na­tiv kann auch die­ses IP-Log­ging deak­ti­viert wer­den. Dazu ist ent­we­der eine klei­ne Code-Ände­rung not­wen­dig (Anlei­tun­gen dafür fin­den sich im Inter­net (Goog­le-Suche). Oder man nutzt – für den „Durch­schnitts­an­wen­der“ deut­lich ein­fa­cher – ein Plugin. Dar­auf gehen wir wei­ter unten noch ein. 

    Datenschutz mit Plugins

    Plugins, von der Wor­d­Press-Ent­wick­ler­ge­mein­de erstell­te, sepa­rat instal­lier­ba­re Zusatz­mo­du­le, erwei­tern die Funk­tio­na­li­tät von Wor­d­Press um unter­schied­li­che Funk­tio­nen. Der­zeit gibt es nahe­zu 60.000 die­ser Plugins.

    Ein wich­ti­ger Hin­weis vor­ab: Eini­ge Plugins sind daten­schutz­recht­lich kri­tisch zu sehen: Sie grei­fen nicht nur auf per­so­nen­be­zo­ge­ne Daten der Wor­d­Press-Platt­form zu, son­dern über­mit­teln die­se auch an Drit­te, zum Bei­spiel die Ent­wick­ler. In vie­len Fäl­len bedarf dies zwar der akti­ven Frei­ga­be nach der Instal­la­ti­on, was zumin­dest eine gewis­se Sen­si­bi­li­tät zeigt. Den­noch soll­te man sich vor dem Ein­satz eines Plugins infor­mie­ren, ob die­ses daten­schutz­kon­form nutz­bar ist. Auch dabei erweist sich das Inter­net als Quel­le der Weis­heit (Goog­le-Suche).

    Datenschutz-Komplettlösung: DSGVO-Plugins

    Die Wor­d­Press-Ent­wick­ler­ge­mein­de hat anläss­lich des Inkraft­tre­tens der Daten­schutz-Grund­ver­ord­nung (DSGVO) zahl­rei­che „Kom­plett­lö­sun­gen“ ent­wi­ckelt. Die­se neh­men einem bei der Umset­zung der erfor­der­li­chen Maß­nah­men nicht nur „an die Hand“, son­dern auch viel Arbeit ab. Ein Bei­spiel dafür ist das Plugin „DSGVO All in one for WP“ (kurz: DSGVO AIO), das Sie mit zahl­rei­chen Funk­tio­nen vom Coo­kie-Hin­weis über das Impres­sum bis hin zur Daten­schutz­er­klä­rung oder der Ertei­lung einer Daten­aus­kunft unter­stützt. Schon die kos­ten­freie Ver­si­on bedient die grund­sätz­li­chen Erfor­der­nis­se der DSGVO und ist für eine Online-Schü­ler­zei­tung aus unse­rer Sicht bes­tens. Wer mehr Funk­tio­nen benö­tigt, kann auch auf eine kos­ten­pflich­ti­ge Ver­si­on upgraden. 

    Hauptpasswort mit „Password Protected“ 

    Eine Schü­ler­zei­tung und ihre Inhal­te rich­ten sich oft pri­mär an Schüler*innen einer Schu­le sowie ihr enges per­sön­li­ches Umfeld, also Fami­lie, Freun­de und Bekann­te. Gera­de bei Grund­schu­len ist daher zu über­le­gen, ob der Zugriff auf die Schü­ler­zei­tung durch ein (ein­heit­li­ches) Haupt­pass­wort gesi­chert wer­den soll, so dass „exter­ne“ Besu­cher die Sei­te nicht oder nur ein­ge­schränkt ein­se­hen kön­nen (in Bay­ern sind Online-Schü­ler­zei­tun­gen sogar grund­sätz­lich in pass­wort­ge­schütz­ten Berei­chen ein­zu­rich­ten). Bei Wor­d­Press kann ein sol­ches Haupt­pass­wort ohne Ent­wick­lungs­auf­wand z. B. durch das Plugin „Pass­word Pro­tec­ted“ ein­ge­rich­tet werden.

    Das Haupt­pass­wort kann man in der Schu­le (Rund­schrei­ben, News­let­ter, Schwar­zes Brett etc.) bekannt geben. Das bie­tet dann natür­lich kei­nen per­fek­ten Schutz, aber doch eine ggf. gewoll­te ein­ge­schränk­te Öffent­lich­keit der Inhal­te. Auch begeg­net man damit Beden­ken von Eltern, die viel­leicht nicht wol­len, dass Infor­ma­tio­nen über ihre Kin­der kom­plett frei im Inter­net abruf­bar sind. Ande­rer­seits ist ein sol­ches Haupt­pass­wort natür­lich auch für inter­ne Leser eine gewis­se Hür­de bei der Nut­zung der Schü­ler­zei­tung, wenn man es z. B. gera­de nicht zur Hand hat. Die­se Vor- und Nach­tei­le gilt es gegen­ein­an­der abzuwägen.

    „Statify“: Datenschutzkonforme Reichweitenmessung

    „Wie kommt unse­re Schü­ler­zei­tung bei den Lesern an?“ Die­se Fra­ge stel­len sich vie­le Schü­ler­re­dak­tio­nen. Neben direk­ten Rück­mel­dun­gen z. B. in Kom­men­ta­ren kön­nen auch die Zugriffs­zah­len eine Ant­wort dar­auf geben. Wenn Sie die Reich­wei­te Ihrer Online-Schü­ler­zei­tung mes­sen wol­len, nut­zen Sie dafür das Wor­d­Press-Plugin „Sta­ti­fy“, ggf. mit der Erwei­te­rung „Sta­ti­fy – Erwei­ter­te Aus­wer­tung“. Die­ses zählt – anders als z. B. exter­ne Online-Platt­for­men wie Goog­le Ana­ly­tics – nicht die Besu­cher, son­dern die Besu­che der Web­sei­te. Das klingt ähn­lich, macht aber einen Unter­schied: Im ers­ten Fall wird das Ver­hal­ten ein­zel­ner Nut­zer auf­ge­zeich­net, etwa die Auf­ent­halts­dau­er auf der Sei­te. Sta­ti­fy lässt sich daga­gen so ein­rich­ten, dass es nur erfasst, wel­cher Bei­trag wie oft abge­ru­fen wur­de – ohne Bezug zu ein­zel­nen Nut­zern. Für eine Schü­ler­zei­tung ist dies in der Regel völ­lig aus­rei­chend, um ein ers­tes Ver­ständ­nis für Online-Metri­ken zu erhal­ten und den Erfolg der Web­sei­te zu beur­tei­len. Außer­dem wer­den dabei kei­ner­lei Infor­ma­tio­nen an Dritt­an­bie­ter übermittelt.

    YouTube-Videos mit „WP YouTube Lyte“ einbetten

    Die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten wie der IP-Adres­se an Drit­te ist auch ein Pro­blem bei der Ein­bet­tung exter­ner Inhal­te wie You­Tube-Vide­os: Wor­d­Press macht es leicht, ein You­Tube-Video (bzw. den You­Tube-Video­play­er) so in die Schü­ler­zei­tung ein­zu­bet­ten, dass es z. B. inner­halb eines Bei­trags und ohne Wech­sel auf die Web­sei­te von You­Tube erscheint. Dann ruft die Wor­d­Press-Platt­form das Video beim Auf­ruf des Bei­trags auf dem Ser­ver von You­Tube ab, was die Über­mitt­lung der IP-Adres­se des betref­fen­den Nut­zers erfordert.

    Das Wor­d­Press-Plugin „WP You­tube Lyte“ schal­tet hier einen Zwi­schen­schritt ein: Beim Abruf eines Bei­trags mit ein­ge­bet­te­tem Video lädt Wor­d­Press zunächst nicht den You­tube-Video­play­er, son­dern ein Vor­schau­bild, das auf dem eige­nen Ser­ver abge­legt ist. Erst wenn Leser*innen aktiv auf das Vor­schau­bild kli­cken, lädt Wor­d­Press das Video nach. Hier­über kön­nen Sie vor­ab in einem kur­zen Daten­schutz-Hin­weis unter dem Video infor­mie­ren, so dass Leser*innen sich der Über­mitt­lun­gen ihrer IP-Adres­se bewusst sind und mit dem Klick eine akti­ve Ein­wil­li­gung ertei­len – oder sich dage­gen ent­schei­den – können.

    RemoveIP: IP-Logging bei Kommentaren abschalten

    Die oben bereits ange­spro­che­ne Spei­che­rung indi­vi­du­el­ler IP-Adres­sen von Kom­men­ta­to­ren schal­ten Sie mit dem Plugin „Remo­veIP“ ab. Die­ses Plugin tut nichts ande­res, als die IP-Adres­sen von Nut­zern durch die anony­me Adres­se 127.0.0.1 zu erset­zen. Bereits gespei­cher­te IP-Adres­sen löscht das Plugin aller­dings nicht. Daher soll­ten Sie das Plugin direkt nach der Ein­rich­tung Ihrer Wor­d­Press-Platt­form instal­lie­ren. Denn die Löschung bereits gespei­cher­ter IP erfor­dert einen manu­el­len Ein­griff in die Daten­bank (Goog­le-Suche), der nur von tech­nisch ver­sier­ten Anwen­dern – und nach einem vor­he­ri­gen Back­up der Daten­bank – aus­ge­führt wer­den sollte.

    Zusammenfassung

    Lie­be Lese­rin­nen und Leser, wir hof­fen, dass wir Ihnen mit unse­rer Bei­trags­rei­he zum Daten­schutz bei Online-Schü­ler­zei­tun­gen einen Über­blick über Mög­lich­kei­ten ver­mit­teln konn­ten, dass und wie daten­schutz­recht­li­che Vor­ga­ben bei Schü­ler­zei­tun­gen umsetz­bar sind. Dass dies kei­nen Anspruch auf Voll­stän­dig­keit hat, ver­steht sich von selbst. Denn hier­über könn­te man Bücher schrei­ben (die ver­mut­lich im Zeit­punkt der Ver­öf­fent­li­chung schon ver­al­tet wären). Aber Sie sehen, dass Daten­schutz kei­ne „Black Box“ sein muss, son­dern sich mit etwas Aus­ein­an­der­set­zung und Ver­ständ­nis recht gut in den Griff bekom­men lässt.

    Falls Sie tie­fer in das The­ma ein­stei­gen möch­ten, fin­den Sie im Inter­net natür­lich zahl­rei­che wei­te­re Infor­ma­tio­nen zur Anpas­sung von Wor­d­Press aus tech­ni­scher und recht­li­cher Sicht.

    Ger­ne kön­nen Sie sich aber auch an uns wen­den, wenn Sie den Daten­schutz Ihrer Schü­ler­zei­tung ver­bes­sern möch­ten. Durch den juris­ti­schen Hin­ter­grund von Rock a Robot!-Gründer Oli­ver Bey­er, der selbst meh­re­re Jah­re Daten­schutz­be­auf­trag­ter eines Unter­neh­mens war, ver­fü­gen wir hier über fun­dier­tes Know-how. Spre­chen Sie uns an: mit einem Kom­men­tar zu die­sem Bei­trag oder über unser Kon­takt­for­mu­lar.

    Ger­ne hal­ten wir Sie auch über unse­re E‑Mail-Updates über neue Bei­trä­ge im Rock a Robot!-Blog auf dem Lau­fen­den. Hier kön­nen Sie sich anmel­den (und natür­lich jeder­zeit wie­der abmelden).