In den vorausgehenden Teilen dieser Beitragsreihe haben wir uns mit Datenschutzmaßnahmen für die redaktionelle Arbeit und Datenschutz-Grundlagen für die Webseite befasst.
Nun wollen wir noch einige konkrete Tipps für den Einsatz der kostenfreien Software WordPress (offizielle Webseite) geben. Denn WordPress ist nicht nur eine der beliebtesten Plattformen für den Betrieb von Webseiten überhaupt. Aus vielen Gründen eignet sie sich auch für die Publikation einer Schülerzeitung im Internet in besonderer Weise.
WordPress bietet zahlreiche Möglichkeiten, Funktionen datenschutzkonform umzusetzen. Davon wollen wir hier einige vorstellen wollen (eine vollständige Darstellung würde die Grenzen dieses Beitrags sprengen). Zunächst betrachten wir WordPress in der Standardversion (Setup ohne individuelle Anpassungen). Anschließend gehen wir auf Datenschutzfunktionen ein, die sich über sog. Plugins realisieren lassen.
Datenschutz in der WordPress-Standardversion
Bei der Nutzung von WordPress installiert man die Plattform zunächst in einer Grundversion auf einem Webserver bei einem Internet-Provider oder in einem anderen Rechenzentrum. Bei vielen Anbietern funktioniert das mit wenigen Mausklicks. Allerdings sollte man schon dabei einige Aspekte im Hinterkopf haben, um datenschutzrechtliche Rahmenbedingungen einzuhalten:
Integrierte Datenschutzfunktionen
Zum einen – das ist die gute Nachricht – bringt WordPress schon in der Standardinstallation Funktionen zur Umsetzung von Datenschutzvorgaben mit. Die meisten davon erreicht man über das Verwaltungssystem, den sogenannten „WordPress-Admin“.
So kann man in den Einstellungen eine Seite auswählen, auf der die Datenschutzerklärung (DSE) zu finden ist. Ist diese noch nicht vorhanden, lässt sich auch eine neue Seite hierfür erstellen (siehe hierzu auch Teil 2, Bereich „Verständliche Datenschutzerklärung“). Das erleichtert die Verlinkung der DSE beispielsweise in den Menüs der Webseite. Sogar einen eigenen Leitfaden zur Erstellung der DSE bringt WordPress mit. Man sollte aber nicht den Hinweis überlesen, dass es in der Verantwortung des Website-Anbieters liegt, eine vollständige und inhaltlich richtige Datenschutzerklärung zu erstellen.
Zudem bietet der WordPress-Admin unter „Werkzeuge“ die Funktionen „Personenbezogene Daten exportieren“ und „Personenbezogene Daten löschen“. Damit lassen sich entsprechende Anfragen von Nutzern recht komfortabel, zum Teil sogar automatisiert bearbeiten.
Anpassungen
Einige Punkte Ihrer neuen WordPress-Installation müssen Sie aber auch überprüfen und erforderlichenfalls anpassen. Dazu gehört die Option „Avatare anzeigen“ in den WordPress-Einstellungen unter „Diskussion“. Ist diese Option aktiviert, gleicht das System Verfasser von Kommentaren mit einer externen Datenbank ab, um einen dort ggf. hinterlegten Avatar, also ein kleines Symbolbild anzuzeigen. Dabei werden personenbezogene Daten (insbesondere die E‑Mail-Adresse) übermittelt. Dies aber bedarf der vorherigen Zustimmung des Nutzers . Daher empfehlen wir, diese Option zu deaktivieren.
Standardmäßig werden auch IP-Adressen von Kommentatoren erfasst. Dies kann Sinn machen, etwa um rechtswidrige Äußerungen im Kommentarbereich verfolgen zu lassen. Dann aber muss man dies dem Nutzer gegenüber offenlegen. Alternativ kann auch dieses IP-Logging deaktiviert werden. Dazu ist entweder eine kleine Code-Änderung notwendig (Anleitungen dafür finden sich im Internet (Google-Suche). Oder man nutzt – für den „Durchschnittsanwender“ deutlich einfacher – ein Plugin. Darauf gehen wir weiter unten noch ein.
Datenschutz mit Plugins
Plugins, von der WordPress-Entwicklergemeinde erstellte, separat installierbare Zusatzmodule, erweitern die Funktionalität von WordPress um unterschiedliche Funktionen. Derzeit gibt es nahezu 60.000 dieser Plugins.
Ein wichtiger Hinweis vorab: Einige Plugins sind datenschutzrechtlich kritisch zu sehen: Sie greifen nicht nur auf personenbezogene Daten der WordPress-Plattform zu, sondern übermitteln diese auch an Dritte, zum Beispiel die Entwickler. In vielen Fällen bedarf dies zwar der aktiven Freigabe nach der Installation, was zumindest eine gewisse Sensibilität zeigt. Dennoch sollte man sich vor dem Einsatz eines Plugins informieren, ob dieses datenschutzkonform nutzbar ist. Auch dabei erweist sich das Internet als Quelle der Weisheit (Google-Suche).
Datenschutz-Komplettlösung: DSGVO-Plugins
Die WordPress-Entwicklergemeinde hat anlässlich des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) zahlreiche „Komplettlösungen“ entwickelt. Diese nehmen einem bei der Umsetzung der erforderlichen Maßnahmen nicht nur „an die Hand“, sondern auch viel Arbeit ab. Ein Beispiel dafür ist das Plugin „DSGVO All in one for WP“ (kurz: DSGVO AIO), das Sie mit zahlreichen Funktionen vom Cookie-Hinweis über das Impressum bis hin zur Datenschutzerklärung oder der Erteilung einer Datenauskunft unterstützt. Schon die kostenfreie Version bedient die grundsätzlichen Erfordernisse der DSGVO und ist für eine Online-Schülerzeitung aus unserer Sicht bestens. Wer mehr Funktionen benötigt, kann auch auf eine kostenpflichtige Version upgraden.
Hauptpasswort mit „Password Protected“
Eine Schülerzeitung und ihre Inhalte richten sich oft primär an Schüler*innen einer Schule sowie ihr enges persönliches Umfeld, also Familie, Freunde und Bekannte. Gerade bei Grundschulen ist daher zu überlegen, ob der Zugriff auf die Schülerzeitung durch ein (einheitliches) Hauptpasswort gesichert werden soll, so dass „externe“ Besucher die Seite nicht oder nur eingeschränkt einsehen können (in Bayern sind Online-Schülerzeitungen sogar grundsätzlich in passwortgeschützten Bereichen einzurichten). Bei WordPress kann ein solches Hauptpasswort ohne Entwicklungsaufwand z. B. durch das Plugin „Password Protected“ eingerichtet werden.
Das Hauptpasswort kann man in der Schule (Rundschreiben, Newsletter, Schwarzes Brett etc.) bekannt geben. Das bietet dann natürlich keinen perfekten Schutz, aber doch eine ggf. gewollte eingeschränkte Öffentlichkeit der Inhalte. Auch begegnet man damit Bedenken von Eltern, die vielleicht nicht wollen, dass Informationen über ihre Kinder komplett frei im Internet abrufbar sind. Andererseits ist ein solches Hauptpasswort natürlich auch für interne Leser eine gewisse Hürde bei der Nutzung der Schülerzeitung, wenn man es z. B. gerade nicht zur Hand hat. Diese Vor- und Nachteile gilt es gegeneinander abzuwägen.
„Statify“: Datenschutzkonforme Reichweitenmessung
„Wie kommt unsere Schülerzeitung bei den Lesern an?“ Diese Frage stellen sich viele Schülerredaktionen. Neben direkten Rückmeldungen z. B. in Kommentaren können auch die Zugriffszahlen eine Antwort darauf geben. Wenn Sie die Reichweite Ihrer Online-Schülerzeitung messen wollen, nutzen Sie dafür das WordPress-Plugin „Statify“, ggf. mit der Erweiterung „Statify – Erweiterte Auswertung“. Dieses zählt – anders als z. B. externe Online-Plattformen wie Google Analytics – nicht die Besucher, sondern die Besuche der Webseite. Das klingt ähnlich, macht aber einen Unterschied: Im ersten Fall wird das Verhalten einzelner Nutzer aufgezeichnet, etwa die Aufenthaltsdauer auf der Seite. Statify lässt sich dagagen so einrichten, dass es nur erfasst, welcher Beitrag wie oft abgerufen wurde – ohne Bezug zu einzelnen Nutzern. Für eine Schülerzeitung ist dies in der Regel völlig ausreichend, um ein erstes Verständnis für Online-Metriken zu erhalten und den Erfolg der Webseite zu beurteilen. Außerdem werden dabei keinerlei Informationen an Drittanbieter übermittelt.
YouTube-Videos mit „WP YouTube Lyte“ einbetten
Die Übermittlung personenbezogener Daten wie der IP-Adresse an Dritte ist auch ein Problem bei der Einbettung externer Inhalte wie YouTube-Videos: WordPress macht es leicht, ein YouTube-Video (bzw. den YouTube-Videoplayer) so in die Schülerzeitung einzubetten, dass es z. B. innerhalb eines Beitrags und ohne Wechsel auf die Webseite von YouTube erscheint. Dann ruft die WordPress-Plattform das Video beim Aufruf des Beitrags auf dem Server von YouTube ab, was die Übermittlung der IP-Adresse des betreffenden Nutzers erfordert.
Das WordPress-Plugin „WP Youtube Lyte“ schaltet hier einen Zwischenschritt ein: Beim Abruf eines Beitrags mit eingebettetem Video lädt WordPress zunächst nicht den Youtube-Videoplayer, sondern ein Vorschaubild, das auf dem eigenen Server abgelegt ist. Erst wenn Leser*innen aktiv auf das Vorschaubild klicken, lädt WordPress das Video nach. Hierüber können Sie vorab in einem kurzen Datenschutz-Hinweis unter dem Video informieren, so dass Leser*innen sich der Übermittlungen ihrer IP-Adresse bewusst sind und mit dem Klick eine aktive Einwilligung erteilen – oder sich dagegen entscheiden – können.
RemoveIP: IP-Logging bei Kommentaren abschalten
Die oben bereits angesprochene Speicherung individueller IP-Adressen von Kommentatoren schalten Sie mit dem Plugin „RemoveIP“ ab. Dieses Plugin tut nichts anderes, als die IP-Adressen von Nutzern durch die anonyme Adresse 127.0.0.1 zu ersetzen. Bereits gespeicherte IP-Adressen löscht das Plugin allerdings nicht. Daher sollten Sie das Plugin direkt nach der Einrichtung Ihrer WordPress-Plattform installieren. Denn die Löschung bereits gespeicherter IP erfordert einen manuellen Eingriff in die Datenbank (Google-Suche), der nur von technisch versierten Anwendern – und nach einem vorherigen Backup der Datenbank – ausgeführt werden sollte.
Zusammenfassung
Liebe Leserinnen und Leser, wir hoffen, dass wir Ihnen mit unserer Beitragsreihe zum Datenschutz bei Online-Schülerzeitungen einen Überblick über Möglichkeiten vermitteln konnten, dass und wie datenschutzrechtliche Vorgaben bei Schülerzeitungen umsetzbar sind. Dass dies keinen Anspruch auf Vollständigkeit hat, versteht sich von selbst. Denn hierüber könnte man Bücher schreiben (die vermutlich im Zeitpunkt der Veröffentlichung schon veraltet wären). Aber Sie sehen, dass Datenschutz keine „Black Box“ sein muss, sondern sich mit etwas Auseinandersetzung und Verständnis recht gut in den Griff bekommen lässt.
Falls Sie tiefer in das Thema einsteigen möchten, finden Sie im Internet natürlich zahlreiche weitere Informationen zur Anpassung von WordPress aus technischer und rechtlicher Sicht.
Gerne können Sie sich aber auch an uns wenden, wenn Sie den Datenschutz Ihrer Schülerzeitung verbessern möchten. Durch den juristischen Hintergrund von Rock a Robot!-Gründer Oliver Beyer, der selbst mehrere Jahre Datenschutzbeauftragter eines Unternehmens war, verfügen wir hier über fundiertes Know-how. Sprechen Sie uns an: mit einem Kommentar zu diesem Beitrag oder über unser Kontaktformular.
Gerne halten wir Sie auch über unsere E‑Mail-Updates über neue Beiträge im Rock a Robot!-Blog auf dem Laufenden. Hier können Sie sich anmelden (und natürlich jederzeit wieder abmelden).