Noch einmal Danke an Danke @haderner und @elfchen. Wie bereits gesagt, ich habe keinerlei Fachwissen im Thema Datenschutz. Aus Euren Kommentaren und eigenen „Entdeckungen“ habe ich folgenden Entwurf gefertigt; Fragen in Doppelklammern ((Frage)) , Änderungen und Ergänzung gerne …
„Unser“ Sportverein wickelt neuerdings seine Trainings-Anmeldungen ausschließlich über die Plattform Yolawo.de an. Die Datenschutz-Standards dieser Plattform sehe ich kritisch und bitte Sie deshalb um Prüfung. Die Trainingsangebote des Vereins werden intensiv auch von minderjährigen Jugendlichen genutzt.
((Prüfung oder Beschwerde))
((diese Diskussion verlinken?))
Folgende Einzelheiten sind uns aufgefallen:
- Je nach Browser(-Einstellung) wird bei Aufruf der ein Banner mit bereits ausgefüllten Zustimmungen eingeblendet (Google Tagmanager). ((kann jemand einen Screenshot machen, bei mir taucht das nicht auf …))
- Vorangekreuzte Kästchen bei einem Consent-Banner stellen jedoch keine wirksame Form der Einwilligung dar; Quelle: https://www.datenschutz-wiki.de/DSGVO:EG_42
- Außerdem dürfte die Verwendung bereits angekreuzter Kästchen im Kontext „Stillschweigen oder Untätigkeit der betroffenen Person (…)“ gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen; siehe: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf
- Die „Notwendigkeit“ der Cookies erscheint dubios; Insbesondere sollte es nicht notwendig sein, das Nichteinwilligen bzw. Nichtentscheiden mit einem Cookie zu dokumentieren.
- Die Schaltfläche „Details zeigen“ verdeckt die Pflichtinformationen (siehe auch https://social.tchncs.de/@lacrosse/110110942392000663).
- Nach Abwahl aller außer den notwendigen Punkten zeigen die „Details“ viel überflüssige Dinge, incl. Trecking.
- Eine Prüfung von yolawo.de über webbkoll | dataskydd.net ergibt u.a.:
Zertifikat
Gegenstandsname: yolawo.de 1
Alternativer Gegenstandsname: yolawo.dewww.yolawo.de
Aussteller: Amazon RSA 2048 M02
Protokoll: TLS 1.3
Gültig ab: 2023-02-24 00:00:00Z
Gültig bis: 2023-06-29 23:59:59Z
Content Security Policy: Keine Content Security Policy (CSP) Header gefunden.- Die „Datenschutzerklärung“ umfasst ca. 50 Seiten (ca. 14.000 Wörter), mein Browser schätzt die Lesezeit dafür mit ca. zwei Stunden ab.
- Bereits im Abschnitt „Zwecke der Verarbeitung“ tauchen Stichworte wie Remarketing, Tracking, Profiling, Cross-Device Tracking, Direktmarketing (z.B. per E-Mail oder postalisch) uvm. auf.
- Für die Auftragverarbeiter https://assets.yolawo.net/Auftragsverarbeitungsvertrag_Yolawo.pdf kommen noch einmal 16 Textseiten hinzu. Die Liste der Unterauftragnehmer (ab Seite 12) ist sehr umfangreich und beinhaltet auch Unternehmen aus USA (Google Inc., AMAZON WebServices etc.); dies wird erst mit dem Öffnen der verlinkten PDF-Datei transparent.
- Die HTML-Anker auf der Seite „Datenschutz“ haben keine Funktion; eine Navigation in der Seite ist faktisch unmöglich.
- Der Datenschutzbeauftragte ist gleichzeitig Geschäftsführer der GmbH ist (siehe https://yolawo.de/impressum/); damit dürfte ein Interessenkonflikt vorliegen. Siehe auch https://www.activemind.de/magazin/bussgeld-interessenkonflikt-interner-datenschutzbeauftragter/
- Wesentliche Funktion ist die durch den Verein obligatorische Anmeldung für Trainings, die dann per e-Mail bestätigt werden; Yolawo wickelt aber auch Zahlungen ab (https://support.yolawo.de/de/collections/3445229-teilnehmer-accounts-my-yolawo-de).
- Es ist nicht transparent, warum auch eine Telefonnummer abgefragt wird (https://support.yolawo.de/de/articles/6189060-wie-erstelle-ich-meinen-personlichen-yolawo-account-als-teilnehmer-in).
- Da der anbietende Sportverein eine Vertragsbeziehung mit Yolawo (siehe https://yolawo.de/preise/) unterhält, könnte gemeinsame Verantwortung vorliegen. Eine Beschreibung dazu habe ich nicht entdeckt.
Für Rückfragen stehe ich gerne zur Verfügung.
Mit freundlichen Grüßen