Schlagwort: Informationspflichten

BGH legt EuGH erneut Frage zu Klagerechten von Verbraucherschützern vor

11. November 2022

Mit Beschluss vom 10.11.2022 (Az. I ZR 186/17) hat der Bundesgerichtshof (BGH) entschieden, dem  Europäischen Gerichtshof (EuGH) die Frage zur Vorabentscheidung vorzulegen, ob eine Rechtsverletzung „infolge einer Verarbeitung“ im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien.

Sachverhalt

In dem Verfahren, das durch den BGH nun bis zur Entscheidung des EuGHs über die Vorlagefrage ausgesetzt wurde, geht es um eine Auseinandersetzung zwischen der Meta Platform Ireland Limited (Meta) und dem Dachverband der Verbraucherzentralen der Bundesländer (VZBV). Meta betreibt das soziale Netzwerk „Facebook“. Dieses hat in seinem Netzwerk im Jahr 2012 ein sog. „App-Zentrum“ installiert, über welches Nutzer Online-Spiele anderer Anbieter spielen können. In diesem Rahmen wurde auch auf die erfolgende Datenverarbeitung hingewiesen und eine Einwilligung der Nutzer eingeholt. Unter dem Button „Sofort spielen“ waren folgende Hinweise zu lesen: „Durch das Anklicken von Spiel spielen (oben) erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“ Bei einem Spiel endeten die Hinweise mit dem Satz: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“ Die Einwilligung beurteilte der Verbraucherschutzverband als nicht datenschutzkonform und machte wegen des Vergehens wettbewerbsrechtliche Unterlassungsansprüche gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG geltend. Auch sei der abschließende Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung (AGB).

Unterlassungsansprüche und Betroffenheit für den BGH problematisch

Das Verfahren beschäftige sich mit der grundsätzlichen Frage, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Informationspflicht, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründen kann. Des Weiteren stelle sich die Frage, ob Verbraucherschützer auch ohne einen Auftrag konkret Betroffener vor Gericht ziehen dürften. Der BGH zieht in dieser Sache nun zum zweiten Mal den EuGH zurate. 

Erste Vorlage an den EuGH (wir berichteten)

Mit Beschluss vom 28.05.2020 (Az. I ZR 186/17) hatte der BGH ursprünglich entschieden, dem EuGH die Frage zur Vorabentscheidung vorzulegen, ob unter Anderem Verbraucherschutzverbände berechtigt seien, Datenschutzverstöße gerichtlich geltend machen zu können. Der EuGH hatte dann entschieden, dass Verbraucherzentralen auch ohne Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen klagen können.

Neue Entscheidung für BGH „unerwartet“

Der BGH vertrete die Ansicht, dass Verbraucherschutzverbände nicht automatisch klagebefugt seien. Man wolle konkret wissen, ob in dem Fall aus Sicht des EuGHs die Voraussetzung erfüllt sei, dass die Rechte einer betroffenen Person gemäß der DSGVO „infolge einer Verarbeitung“ verletzt worden seien. Es sei fraglich, ob diese Voraussetzung erfüllt sei, wenn – wie im Streitfall – die sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Informationspflichten verletzt worden seien. Die Entscheidung sei wichtig für eine Fülle anhängiger Verfahren.  

„Angesichts der massenhaften Datenschutzverstöße auf den großen Digitalplattformen sei es enttäuschend, dass sich dieses schon sehr lange laufende Grundsatzverfahren wieder verzögere“, so der Leiter des Teams Rechtsdurchsetzung beim VZBV, Heiko Dünkel.

Meta gab bisher noch kein offizielles Statement zu der erneuten Vorlage ab. Der Anwalt des Konzerns, Christian Rohnke, hatte bei der Verhandlung am BGH jedoch betont, dass Facebook das fragliche Vorgehen inzwischen geändert habe.

Landgericht Zwickau: Schadensersatz gegen “Meta”

3. November 2022

Das Landgericht (LG) Zwickau erließ am 14. September 2022 ein Versäumnisurteil (Az. 7 O 334/22) gegen den U.S.-Konzern „Meta“ und sprach dem Kläger dabei einen Anspruch auf immateriellen Schadensersatz gegen den Konzern zu. Grund für den Schadensersatz nach Art. 82 DSGVO in Höhe von 1000 Euro waren mehrere Verstöße gegen die Datenschutz-Grundverordnung (DSGVO).

Unzureichende Informationen

Zunächst stellte das Gericht fest, dass Meta seinen nach Art. 13 und 14 DSGVO bestehenden Informationspflichten nicht ausreichend nachgekommen sei. Demnach liege keine nach Art. 5 Abs. 1 lit. a DSGVO erforderliche faire und transparente Verarbeitung vor.

Insbesondere, so das Gericht, fehlten Informationen darüber, auf welche Weise und zu welchen Zwecken „Facebook“ die Telefonnummern seiner Nutzer verarbeite. Diese könnten auf der von Meta bereitgestellten Social-Media-Plattform Facebook ihre Telefonnummern freiwillig angeben.

Konkret sei es problematisch, dass Facebook nicht darüber informiere, dass Dritte die angegebenen Telefonnummern einsehen könnten. Dies sei möglich, obwohl der Nutzer sein Profil auf die Funktion „privat“ einstelle. Zusätzlich könnten Dritte die Telefonnummern abgreifen und diese für unlautere Zwecke weiterverwenden. Darüber informiere Facebook den Nutzer allerdings nicht.

Ferner sei der Informationsumfang über die sog. „Zwei-Faktor-Authentifizierung“ als problematisch zu bewerten. Dabei informiere Facebook lediglich darüber, dass er die Telefonnummern der Nutzer neben der Zwei-Faktor-Authentifizierung auch für „weitere Zwecke“ verwende. Eine genaue Erläuterung, welche weiteren Zwecke gemeint seien, erfolge nicht.

Außerdem bewertete das Gericht die Such-Option mittels Telefonnummer als kritisch. Dieser ermögliche es Nutzern andere Nutzer mit Hilfe der hinterlegten Telefonnummer zu suchen. Darüber informiere Facebook die Nutzer grundsätzlich. Doch diese Information sei nur über eine Unterverlinkung einzusehen.

Unzureichende Sicherheitsmaßnahmen

Darüber hinaus stellte das Gericht fest, dass Facebook gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO verstoßen habe. Demzufolge habe der Konzern keine angemessene Sicherheit für die verarbeiteten personenbezogenen Daten gewährleistet. Insbesondere habe Facebook es versäumt, hinreichende technische und organisatorische Maßnahmen zum Schutz der Nutzerdaten zu ergreifen.

Hintergrund dieser Sicherheitslücke war ein Vorfall aus dem Jahr 2019. Mit Hilfe eines automatisierten Verfahrens konnten unbekannte Dritte eine große Anzahl an Nutzerdaten abgreifen. Aus der Sicht des Gerichts hätte Facebook mehr Sicherheitsmaßnahmen ergreifen müssen, um den Datendiebstahl zu verhindern. Insbesondere habe das Unternehmen sog. „Sicherheitscapachas“ verwenden können. Diese Methode stelle sicher, dass ein Mensch und kein automatisiertes System die Daten abfrage.

Außerdem stellte das Gericht einen Verstoß gegen Art. 33 und 34 DSGVO fest. Demnach sei Facebook dazu verpflichtet gewesen, die zuständige Aufsichtsbehörde über den 2019 geschehenen Vorfall zu informieren. Dem sei das Unternehmen nicht nachgekommen.

Fazit

Abschließend stellte das Gericht fest, dass aufgrund der dargelegten Verstöße der Kläger einen erheblichen Kontrollverlust über seine personenbezogenen Daten erlitten habe. Mithin bestehe für die betroffene Person ein ersatzfähiger Schaden.

Fotodokumentation betrieblicher Veranstaltungen

6. Februar 2019

Sofern im Rahmen einer unternehmensinternen Veranstaltung Fotografien von Mitarbeitern und/oder Gästen angefertigt werden, liegt darin grundsätzlich ein Eingriff in das Recht am eigenen Bild der betroffenen Personen gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 Grundgesetz (GG). Da es allein dem Betroffenen obliegt, darüber zu entscheiden, wer unter welchen Umständen Fotos von ihm anfertigen und veröffentlichen darf, ist eine Rechtfertigung erforderlich.

Bei den Fotografien handelt es sich um personenbezogene Daten i.S.d. Art. 4 Nr. 1 Datenschutzgrundverordnung (DSGVO). Deren Verarbeitung ist auf Grund von Art. 6 Abs. 1 S. 1 lit. f DSGVO dann rechtmäßig, wenn die Veröffentlichung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Es ist eine umfassende Interessenabwägung durchzuführen. Wirtschaftliche Interessen des Unternehmens können zum Beispiel die Dokumentation einer betrieblichen Veranstaltung zu Werbezwecken, die interne Stärkung des Betriebsklimas oder der Betriebstreue und ggf. auch die Kundenbindung im Rahmen weiterer Marketingmaßnahmen sein.

Daneben kommt außerdem die Einwilligung gemäß Art. 4 Nr. 11, Art. 7 DSGVO als rechtssichere Rechtfertigungsgrundlage in Betracht. Sofern es sich bei den fotografierten Personen u.a. um Mitarbeiter handelt, wovon bei einem betrieblichen Ereignis auszugehen ist, sind hierbei die strengen Anforderungen des § 26 Abs. 2 Bundesdatenschutzgesetz (BDSG) zu beachten.
Während die Einwilligung im Sinne der DSGVO formfrei erteilt werden kann, sieht § 26 Abs. 2 S. 3 BDSG grundsätzlich die Schriftform für Einwilligungen im Rahmen eines Beschäftigtenverhältnisses vor.
Darüber hinaus muss die Einwilligung bestimmt, informiert und freiwillig abgegeben werden. Für die Beurteilung der Freiwilligkeit der Einwilligung von Mitarbeitern sieht § 26 Abs. 2 S. 1 BDSG ergänzend zu den Bestimmungen der DSGVO vor, dass bei der Beurteilung die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt wurde, zu berücksichtigen sind. Von der Freiwilligkeit kann jedoch gemäß § 26 Abs. 2 S. 2 BDSG ausgegangen werden, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.

Um der Informationspflicht ausreichend nachzukommen, sollte sich der Verantwortliche an den Art. 12 ff. DSGVO orientieren. Wegen der sog. Rechenschaftspflicht des Verantwortlichen sollte die Information schriftlich erfolgen. Es empfiehlt sich ein Aushang am Eingang des jeweiligen Veranstaltungsortes sowie innerhalb des Veranstaltungsgeländes. Die Aushänge müssen hierbei deutlich platziert werden, gut lesbar und inhaltlich verständlich sein. Sofern von den Mitarbeitern vorab eine schriftliche Einwilligung, etwa im Rahmen eines Onboarding-Prozesses, eingeholt wird, sollten die erforderlichen Informationen bereits im Rahmen der Einwilligung erteilt werden.
Schließlich ist die freie Widerrufbarkeit der Einwilligung gemäß Art. 7 Abs. 3 S. 1 DSGVO zu beachten, wobei der Widerruf seine Wirkung nur für die Zukunft entfaltet.

Fazit:
Sofern nicht ausgeschlossen werden kann, dass auch Fotos von einzelnen Mitarbeitern bzw. Gästen angefertigt und veröffentlicht werden, wobei eine Veröffentlichung im Intranet schon ausreicht, stellt die Eiwilligungserklärung den rechtssichersten Weg dar. Es sollte für diesen Fall vor Beginn einer betrieblichen Veranstaltung eine Einwilligung aller Teilnehmer schriftlich eingeholt werden.
Sofern von einem Mitarbeiter oder Gast keine Einwilligung vorliegt, dürfen von ihm/ihr keine Fotografien angefertigt und veröffentlicht werden, auf welchen der Betroffene im Fokus der Aufnahme steht und nicht lediglich als Beiwerk abgebildet wird.

Google geht gegen CNIL Entscheidung vor

28. Januar 2019

Das Unternehmen Google scheint gegen die kürzlich ergangene Entscheidung der Commission Nationale de l’Informatique et des Libertés (CNIL) vorzugehen. So sei Google weiterhin der Meinung, den Informatonspflichten genügt zu haben und beruft sich überdies darauf, diese in Absprache mit den Behörden vorgenommen zu haben.

Die CNIL hatte gegenüber Google eine Strafe in Höhe von 50 Millionen Euro ausgesprochen. Ob diese Bestand hat, wird sich nun zeigen. Es bleibt die Entscheidung des obersten Verwaltungsgerichtes – dem Staatsrat – abzuwarten.  

Französische Datenschutzbehörde verhängt Bußgeld gegen Google

22. Januar 2019

Aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) muss der Internetriese Google in Frankreich eine Strafe in Höhe von 50 Millionen Euro zahlen. Das Bußgeld verhängte die französische Datenschutzbehörde CNIL. Ausgelöst wurde das Verfahren gegen Google durch Beschwerden der Organisation NOYB von Max Schrems und der französischen Netzaktivisten La Quadrature du Net.

Zu dem Bußgeld sei es gekommen, da Google die Anforderungen der DSGVO hinsichtlich der Informationspflichten nur unzureichend erfülle. So seien die Informationen über die Datenverarbeitung im Rahmen verschiedener Google-Applikationen für die Nutzer nur schwerlich über mehrere Links und Buttons zugänglich und insgesamt intransparent. Aufgrund der, dem Nutzer, nur unzureichend zur Verfügungen gestellten Informationen über die Art und Weise der Verarbeitung personenbezogener Daten, seien auch die Einwilligungen zur Anzeige personalisierter Werbung nach Ansicht der französischen Datenschutzbehörde nicht rechtmäßig.

Update: Google hat inzwischen Berufung eingelegt.

DSGVO-Umsetzung bei DAX-30-Unternehmen

7. November 2018

Die Consent-Management-Plattform Usercentrics hat einem Bericht des Presseportals zu Folge kürzlich die Webseiten von mehreren DAX-30-Konzernen analysiert um diese auf ihre Konformität mit den Anforderungen der DSGVO zu überprüfen. Dabei stellte sich heraus, dass die Webseiten aus datenschutzrechtlicher Sicht teilweise erhebliche Mängel aufweisen. Dies obwohl in der heutigen Zeit die Webseite eines Unternehmens als Aushängeschild und erste Visitenkarte des jeweiligen des jeweiligen Unternehmens gilt.

Mängel bestehen insbesondere hinsichtlich des Einsatzes von Cookies und anderen Webseiten-Ressourcen, die Informationen über das Internetverhalten des Nutzers erheben und für die Unternehmen zu betrieblichen Zwecken ausgewertet werden. Im Rahmen der Cookienutzung kommen wiederrum oftmals Dienstleister zum Einsatz, die aus datenschutzrechtlicher Sicht Dritte sind und Einblick in die Informationen – als sog. Auftragsverarbeiter – erhalten. Hier fehlt es oft an einer transparenten Information der Nutzer, die aufgrund der Informationspflichten der DSGVO auf den Umstand der Übermittlung hinzuweisen sind. Auch über die Möglichkeit des Nutzers, dem Einsatz der Cookies zu widersprechen wird, laut Analyse von Usercentrics, häufig nicht in hinreichender und transparenter Weise informiert.

Der Test habe aber auch einige positive Beispiele gezeigt. So haben fünf der analysierten Unternehmen auf ihrer Webseiten ein sog. Cookie-Consent-Management implementiert, im Rahmen dessen der Nutzer dem Einsatz der jeweiligen Cookies einzeln zustimmen oder widersprechen kann.

Die Analyse zeigt einmal mehr, dass auch fünf Monate nach Inkrafttreten der DSGVO hinsichtlich der Einhaltung der datenschutzrechtlichen Anforderungen noch bei vielen Unternehmen Nachbesserungspotential besteht, um etwaige Sanktionen wie Bußgelder oder andere aufsichtsbehördliche Maßnahmen sowie Ansprüche von Betroffenen zu vermeiden.

Primera División-App hört Nutzer ab

12. Juni 2018

Wenn Nutzer der offiziellen App der Primera División Fußballspiele der spanischen Liga über die Smartphone-Applikation schauen, wird im Hintergrund das Mikrofon des Smartphones aktiviert. Dies räumte die Liga nun nach Inkrafttreten der DSGVO ein und begründete das Vorgehen damit, dass mit Hilfe der aufgezeichneten Audio-Dateien festgestellt werden könne, ob das Fußballspiel beispielsweise in einer Fußball-Kneipe und dort über einen Fernseher den Gästen gezeigt werde. Durch diese Information könne die spanische Liga kontrollieren, ob die entsprechende Kneipe auch die Gebühren dafür zahle oder den Gästen das Spiel in unberechtigter Weise zur Verfügung stellt. Neben den audiovisuellen Informationen teilt die App auch den Standort des Nutzers.

Hintergrund der Funktion sei, dass der Primera División pro Jahr ein Schaden von 150 Million Euro dadurch entstehe, weil viele öffentliche Gaststätten keine offizielle Lizenz für das Zeigen der Fußballspiele besitzen bzw. die Lizenzgebühr hierfür nicht bezahlen.

Mit der Vorgehensweise gerät die spanische Liga in Kritik, insbesondere da die App rund 10 Millionen Nutzer verzeichnet. Sie verteidigt sich allerdings damit, dass die Privatsphäre der Nutzer nicht in Gefahr sei, da die App nicht das reine Audio-Signal der Smartphones abgreife, sondern nur den sogenannten Binär-Code.

Facebook kündigt Privacy-Center an

20. Februar 2018

Vor wenigen Tagen hat der Social-Media-Riese Facebook seine Einstellungen für die Privatsphäre überarbeitet. Im Rahmen der Änderungen hat es auch erstmalig seine Datenschutzgrundlagen veröffentlicht und zeigt in diesen auf, welche Informationen der Nutzer zu welchem Zweck gesammelt und geteilt werden. Bislang hatte Facebook diese in langen und intransparenten Nutzungsbedingungen vorgehalten.

Darüber hinaus kündigte das US-amerikanische Unternehmen an, innerhalb seines Netzwerkes mit einem sogenannten Privacy Center online zu gehen. Das Privacy Center soll für die Nutzer alle datenschutzrechtlich relevanten Einstellungen bündeln und damit die Verwaltung und den Schutz der Informationen erleichtern. Mit zukünftigen Erklärvideos in der Timeline will Facebook seine Nutzer auf das neue Feature aufmerksam machen und deren Bewusstsein für sichere Privatsphäreeinstellungen steigern. Ein konkretes Datum, wann das Privacy Center für die Nutzer zur Verfügungen stehen soll, gab Facebook allerdings nicht an.

Mit Einführung des Privacy Centers trägt Facebook insbesondere den künftigen, gesetzlichen Pflichten der DSGVO Rechnung, nach denen Unternehmen ihren Nutzern den Umgang mit personenbezogenen Daten einheitlich und transparent präsentieren müssen und die Nutzer dabei insbesondere detailliert über die Art, den Umfang und die Zwecke der Verarbeitung informieren müssen.

Sind umfassende DSGVO-Informationspflichten auf Videoüberwachung anzuwenden?

1. Februar 2018

Die ab Mai 2018 anzuwendende Datenschutz-Grundverordnung (DSGVO) legt größten Wert auf die Transparenz im Zusammenhang mit der Verarbeitung personenbezogener Daten. So sollen zum Zeitpunkt der Erhebung verpflichtend eine Reihe an Angaben gemacht werden, welche die betroffenen Personen über die Datenverarbeitung und deren Zwecke in Kenntnis setzen.
Art. 13 DSGVO verlangt dabei mindestens die folgenden (sage und schreibe) 12 Aussagen:

  • Name und Kontaktdaten des Datenverarbeiters
  • Kontaktdaten des Datenschutzbeauftragten des Datenverarbeiters
  • Zweck(e) der Verarbeitung
  • Die “berechtigten Interessen” im Sinne der DSGVO, sofern sich hierauf seitens des Datenverarbeiters berufen wird
  • Die Empfänger der erhobenen Daten (z.B. Auftragsverarbeiter der erhebenden Stelle)
  • Die Absicht, die Daten in einen Staat außerhalb der EU zu übermitteln, sofern diese besteht
  • Die Dauer der Speicherung, im Umkehrschluss auch den regelmäßigen Löschzeitpunkt
  • Eine Belehrung der betroffenen Person über ihre Rechte (Auskunft, Löschung etc.)
  • Die Widerruflichkeit einer Einwilligung, sofern die Verarbeitung auf einer solchen basiert
  • Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Ggf. bestehende gesetzliche Vorschriften zur Bereitstellung der erhobenen Daten
  • Ggf. Informationen zum Bestehen einer “automatisierten Einzelentscheidung” im Kontext der jew. Verarbeitung

Angesichts der Fülle an bereitzustellenden Informationen stellt sich die Frage, wie dies im Anwendungsfall der Videoüberwachung umgesetzt werden kann. Aktuell muss davon ausgegangen werden, dass Videokameras mit entsprechenden Aushängen zu versehen sind.
Kürzlich hat sich die sogenannte “Datenschutzkonferenz”, ein Gremium der 16 Landesdatenschutz-Aufsichtsbehörden und des Pendants auf Bundesebene, in Form eines Informationspapiers (“Videoüberwachung nach der Datenschutz-Grundverordnung”) zu dieser Thematik geäußert. Auf dieser Grundlage kann im Kontext des Sonderfalls Videoüberwachung künftig von folgenden Pflichtangaben ausgegangen werden, die sich gegenüber dem Gesetzeswortlaut leicht reduziert darstellen:

  • Kenntlichungmachung des Umstands der Beobachtung (bspw. durch ein Kamera-Piktogramm)
  • Identität des Überwachenden
  • Kontaktdaten des Datenschutzbeauftragten der überwachenden Stelle
  • Zwecke und Rechtsgrundlage der Verarbeitung/Überwachung
  • Die “berechtigten Interessen” im Sinne der DSGVO, sofern einschlägig
  • Dauer der Speicherung (Löschzeitpunkt)
  • Hinweis auf den Zugang zu den weiteren Pflichtinformationen

Folglich ist es möglich, auf Teile der verlangten Pflichtinformationen an Ort und Stelle zu verzichten und auf diese z.B. mithilfe eines Links auf eine Website (oder zusätzlich auch durch einen QR-Code) zu verweisen.

Spätestens seit der Stellungnahme der Aufsichtsbehörden aber ist klar, dass es für die Datenerhebung mithilfe von Videokameras keine Ausnahme hinsichtlich der umfangreichen Informationspflichten geben wird.