Home / Aktuelles & Termine / it.sec blog

Herr Penibel kauft drei Schalen mit Erdbeeren aus dem Supermarkt, die angeblich alle 500 g. Erdbeeren enthalten sollen. Zu Hause wiegt er die Schalen nach. Siehe da: Eine Schale wiegt 480 g., die zweite 475 g. und die dritte gar nur 460 g. Herr Penibel ist sauer und möchte gegen den Supermarkt vorgehen. Er fühlt sich getäuscht und in die Irre geführt. Er lässt den Supermarkt abmahnen, verlangt von ihm neben der Erstattung der Anwaltsgebühren auch noch eine Verpflichtung, für jeden künftigen Fall der Zuwiderhandlung eine Vertragsstrafe von 5000 Euro an ihn zu zahlen.

Szenenwechsel:

Herr Abmahnus betreibt ein kleines Lohnbüro und hat eine eigene Homepage. Er findet auf den Webseiten der Konkurrenz Datenschutzerklärungen, die den Vorgaben der DSGVO nicht entsprechen. Er vermutet, dass dadurch seine Kunden getäuscht und in die Irre geführt werden und seine eigenen Geschäfte daher schlecht laufen. Er lässt den Wettbewerber abmahnen, verlangt von ihm neben der Erstattung der Anwaltsgebühren auch noch eine Verpflichtung, für jeden künftigen Fall der Zuwiderhandlung eine Vertragsstrafe von 5000 Euro an ihn zu zahlen.

Die beiden geschilderten Szenen sind nicht vergleichbar? Doch!

Bereits in unserem Blog-Artikel vom Mai haben wir darauf hingewiesen, dass wir bezweifeln, dass es sich bei den Vorschriften der DSGVO um Normen mit wettbewerbsrechtlichem Charakter gem. § 3a UWG (Gesetz gegen den Unlauteren Wettbewerb) handelt.

Prof. Dr. Köhler hat nun in seinem Aufsatz der neuen Zeitschrift für Datenschutz (ZD 2018, 337f.) ausführlich dargelegt, dass seines Erachtens ein solcher Zusammenhang nicht besteht. Er weist zum einen darauf hin, dass § 3a UWG dann nicht anzuwenden sei, wenn für einen Sachverhalt eine abschließende Regelung getroffen wurde. Eine solche abschließende Regelung im Rahmen der DSGVO sei durch die Art. 77 ff. DSGVO geschaffen worden. Die in Art. 80 Abs. 2 DSGVO aufgezählten Institutionen seien abschließend durch den Gesetzgeber berechtigt worden, eine Beschwerde einzulegen, wenn die Rechte einer betroffenen Person infolge einer Datenverarbeitung nach DSGVO verletzt worden seien. Weitere Berechtigte – also konkret: „Mitbewerber“ – seien nicht vorgesehen und diese seien auch nicht durch Auslegung oder Analogien zu der Vorschrift mit umfasst.

Zum anderen stellt Prof. Dr. Köhler heraus, dass die Schutzzweckbestimmungen der beiden Vorschriften deutlich voneinander abweichen. Während das UWG die Marktteilnehmer vor unlauteren geschäftlichen Praktiken schützen soll (vergl. § 1 UWG) ist der Schutzzweck der DSGVO die Wahrung Grundrechte und Grundfreiheiten der natürlichen Personen, insbesondere das Recht auf informationelle Selbstbestimmung (vergl. Art. 1 DSGVO). Damit schützt die DSGVO die Individualrechte der Einzelnen und wird hierbei durch die Aufsichtsbehörden unterstützt, während der Wettbewerber in der Regel zur Durchsetzung seiner Ansprüche auf private Initiative angewiesen ist. Demnach gehen sowohl Herr Penibel als auch Herr Abmahnus aus unseren obigen Beispielen leer aus. Herr Penibel kann seinen Anspruch nicht auf die Vorschriften des Wettbewerbsrechts stützen, da er kein Wettbewerber ist. Herr Abmahnus kann sich nicht auf die Vorschriften der DSGVO stützen, da diese keine wettbewerbsrechtliche Wirkung entfalten. Selbstverständlich bleibt es Herrn Abmahnus unbenommen, bei der Aufsichtsbehörde Beschwerde einzulegen, etwa weil seine personenbezogenen Daten nicht korrekt verarbeitet wurden. Die Erstattung von Abmahngebühren und eine Vertragsstrafe erhält er jedoch nicht.

Eben so wenig wie einzelne Verbraucher sich also bei Wettbewerbsverstößen auf § 3a UWG berufen können, können Dritte als Wettbewerber bei Datenschutzverletzungen gegenüber Betroffenen die fehlende Umsetzung der DSGVO abmahnen.

Konsequenterweise empfiehlt Prof. Dr. Köhler den deutschen Gerichten, in Fällen von Abmahnungen der Webseiten durch Wettbewerber bei der Prüfung der Zulässigkeit, nämlich der Klagebefugnis, den Klägern eine Absage zu erteilen und die Klage bereits aus diesem Grund abzuweisen.

Wir hoffen sehr, dass die Gerichte dieser Aufforderung nachkommen werden.

C. Lürmann

Rechtsanwältin

Consultant Datenschutz

Mit ihren Firmenwebseiten treten Unternehmen nach außen in Erscheinung, so dass diese ganz leicht Gegenstand sowohl von Prüfaktionen der Aufsichtsbehörden sein können, als auch von Kriminellen, die bekannte Sicherheitslücken ausnutzen.

Daher sollten Unternehmen im Impressum und der Datenschutzerklärung ihren Informationspflichten gegenüber den Webseitenbesuchern vollständig nachkommen, und Cookies sowie Trackingsoftware nur derart einsetzen, dass Rückschlüsse auf Webseitenbesucher nicht möglich sind.

Des Weiteren sollte dringend geprüft werden, ob die eingesetzten Webanwendungen abgesichert sind (Stichwort: HTTPS, HSTS, Secure-Cookie-Flag, Secure Coding Guideline usw.) und eine Verwundbarkeit der Webseiten durch Sicherheitslücken ausgeschlossen werden kann. Hintergrund ist, dass viele Webseiten heutzutage mit Content Management Systemen erstellt werden, die anfällig für Schwachstellen sind. Diese Schwachstellen ermöglichen es Angreifern, im schlimmsten Fall Datenbanken auszulesen, Schadcode auf der Webseite einzuschleusen oder gar die gesamte Anwendung, inklusive des Backends (CMS) zu kompromittieren. Um über derart anfällige Webserver bzw. Webseiten bspw. Zugangsdaten von Anwendern abzugreifen, ist unter Umständen auch schon ein unautorisierter Zugriff von außen ausreichend.

Ein großes Problem dabei sind häufig externe Plugins, die oftmals zahlreich in den CMS eingebunden werden können, um Webseiten entsprechend besser und mit mehr Funktionsumfang auszustatten. Ein Verzicht auf solche Plugins macht dann auch nicht nur aus Gründen der Datensicherheit Sinn, sondern auch in datenschutzrechtlicher Hinsicht; denn v.a. über Drittanbieter-Plugins werden oftmals allein durch deren Einbettung auch personenbezogene Daten (u.a. vollständige IP-Adresse, Klarnamen oder E-Mail-Adressen) an Dritte übermittelt, ohne die Einwilligung der betroffenen Webseitenbesucher eingeholt zu haben. Der Empfängerkreis erweitert sich, wenn Kriminelle solche Schwachstellen ausnutzen und dann ebenso Zugriff auf Daten erhalten.

An der Stelle sei nochmals darauf hingewiesen, dass solche Datenschutzverletzungen ab dem 25.05.2018 zukünftig innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden müssen.

Daher empfiehlt es sich, durch ein geeignetes Patch-Management alle Sicherheitslücken in dem verwendeten Content Management System zu schließen und über Penetrationstests die Wirksamkeit der getroffenen Sicherheitsmaßnahmen zu überprüfen.

Christopher Schöndube
IT Security Consultant, Penetrationstester

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Am 22.08.2017 hatten wir über die bekannt gewordene Datenschutzverletzung der Berliner Verkehrsbetriebe (BVG) berichtet.

Mittlerweile hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit in einer Prüfaktion bei der BVG herausgefunden, dass dem leitenden Angestellten Zugangsrechte für ein Laufwerk eingerichtet wurden, das nicht nur vom Personalrat, sondern ebenso von der Schwerbehindertenvertretung sowie der Frauenbeauftragten genutzt wird, und auf welchem sich auch Dateien befanden, die besondere Kategorien personenbezogener Daten enthielten. Der Führungskraft waren damit Zugriffe auf die dort liegenden Unterlagen möglich, wobei mindestens ein Dokument auch „geöffnet, angesehen und ausgedruckt“ worden sein soll (die Pressemitteilung ist abrufbar unter https://datenschutz-berlin.de/content/nachrichten/pressemitteilungen).

Die Aufsichtsbehörde stellte des Weiteren fest, dass nicht nur ein unbeabsichtigter Fehler der IT-Abteilung bei der Einrichtung der Berechtigungen, sondern „erhebliche Mängel in der Datenschutzorganisation“ zu der Datenschutzverletzung geführt hätten. Neben mangelnder Maßnahmen zur Trennungskontrolle, gebe es keinen ausreichend definierten Prozess, nach welchem Berechtigungen dokumentiert vergeben werden. Auch die zum Zwecke der Datenschutzkontrolle notwendigen Protokollierungen, um Zugänge zum Laufwerk sowie Zugriffe auf die dort enthaltenen Dateien aufzuzeichnen, wurden nicht vorgenommen. Zudem sei die BVG auch ihren Melde- und Benachrichtigungspflichten nach Bekanntwerden der Datenschutzverletzung nicht unverzüglich nachgekommen.

Richtigerweise betont die Aufsichtsbehörde in ihrer Pressemitteilung, dass die BVG kein Einzelfall sei, sondern viele Unternehmen immer noch zu wenig für den Schutz personenbezogener Daten, für die sie verantwortlich sind, täten. Diese sollten sich bewusst sein, dass ab dem 25.05.2018 hierfür Bußgelder in Höhe von bis zu 10.000.000 Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden können.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Am Freitag der vergangenen Woche hat die Gewerkschaft Verdi den Berliner Verkehrsbetrieben (BVG) vorgeworfen, sich Dateien der Personalvertretung nicht nur zugänglich gemacht, sondern diese dann auch genutzt zu haben.

Einem leitenden Angestellten sollen Zugangsrechte für Laufwerke eingerichtet worden sein, die von den Personalräten für ihre Aufgaben genutzt werden und auf welchen zahlreiche Dokumente, u.a. mit sensiblen Beschäftigtendaten, zu finden gewesen sind.

Die Pressestelle der BVG dementiert eine vorsätzliche Handlung; es soll sich vielmehr um einen unbeabsichtigten Fehler der IT-Abteilung bei der Einrichtung der Berechtigungen gehandelt haben. Dieser Fehler wurde 14 Tage später bekannt, woraufhin die Zugangsrechte umgehend wieder entzogen wurden. Einsicht sei in die dort gespeicherten Dateien nicht genommen worden.

Dieser Darstellung des Vorfalls als einen bloßen IT-Fehler, folgt Verdi nicht. Im Gegenteil, es wird von der Gewerkschaft sogar die Erstattung einer Strafanzeige gegen die BVG geprüft.

Zumindest kann man hier wohl eine Datenschutzverletzung i.S.v. Art. 4 Nr. 12 Datenschutzgrundverordnung (DSGVO) annehmen, da personenbezogene Daten unbefugt offengelegt wurden; hierbei ist es unerheblich, ob dies fahrlässig oder vorsätzlich geschah oder ob der leitende Angestellte, dem die Daten angeblich offengelegt wurden, tatsächlich Einsicht genommen hat oder nicht. Daher bedarf es auf jeden Fall der Verbesserung der Datensicherheit, damit ein solcher Vorfall sich nicht wiederholt.

Sofern es sich tatsächlich um eine absichtliche Zugangs- und Zugriffsbeschaffung durch die BVG handelt, wäre dies allerdings eine schwerwiegende Datenschutzverletzung.

 

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Gemäß Art. 33 und 34 Datenschutzgrundverordnung (DSGVO) ist ein Unternehmen verpflichtet, eingetretene Datenschutzverletzungen (z.B. Liegenlassen des Notebooks im Zug, E-Mail-Versand an falschen Empfänger, Hacker-Angriffe) der Aufsichtsbehörde unverzüglich zu melden und ggf. die Personen, deren personenbezogene Daten hiervon betroffen sind, zu benachrichtigen. Ein Verstoß gegen diese Melde- und Benachrichtigungspflichten ist bußgeldbewehrt.

Die Regelungen in Art. 33 und 34 DSGVO sind dabei strenger als die bisherige Regelung in § 42a BDSG, die lediglich eine Meldepflicht vorsah, wenn durch die Datenpanne besonders sensible Daten (z.B. Gesundheitsdaten oder Bankdaten) Dritten zur Kenntnis gelangt sind und den betroffenen Personen dadurch schwerwiegende Beeinträchtigungen drohen.

Mit der Datenschutzgrundverordnung muss der Verantwortliche nämlich nun jede Datenschutzverletzung der Aufsichtsbehörde melden, unabhängig davon ob die Datenschutzverletzung fahrlässig oder vorsätzlich herbeigeführt wurde oder ob dabei Unbefugten tatsächlich personenbezogene Daten offengelegt wurden oder ein Zugang zu personenbezogenen Daten nur eventuell ermöglicht wurde.

Die Meldung muss dabei unverzüglich und innerhalb von 72 Stunden erfolgen. Eine Meldung darf nur dann unterbleiben, wenn der Verantwortliche nachweisen kann, dass die betroffenen Personen durch die Datenschutzverletzung gegenwärtig und zukünftig keinen physischen, materiellen oder immateriellen Schaden (z.B. Identitätsdiebstahl oder -betrug, finanzielle Verluste, Diskriminierung, Rufschädigung) erleiden werden.

Es empfiehlt sich daher, einen entsprechenden Ablaufplan im Unternehmen zu implementieren, um auf solche Datenschutzverletzungen unverzüglich reagieren und die Fristen zur Meldung bzw. Benachrichtigung einhalten zu können.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anwendbarkeit Anwendung Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu Beamte BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesnetzagentur Bundesregierung Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Entlastung Entsorgung ePrivacy ePVO Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Firmensitz FlugDaG Fluggastdaten Folgenabschätzung Foto Framework freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesellschaft für Informatik Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien Hack hack day Hackathon hacken Hacker Hackerangriff hackfest Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip MD5 Meldebehörde Meldepflicht Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen öffentliche Stelle Office Office 365 Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schutzmaßnahmen schutzwürdige Interessen Schwachstellen Schweiz SDSG Security by Design Seitenbetreiber SHA1 sicher Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Swiss-US Privacy Shield Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TKG TLS TMG Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wirklichkeitsmodell Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff Zugriffsverwaltung zulässig Zulässigkeit zuständig Zwangsgeld § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30