3 Jahre Datenschutz-Grundverordnung
Die DSGVO im Rückblick

Die EU Datenschutz-Grundverordnung (DSGVO) gilt für alle Firmen, die Produkte oder Dienstleistungen in die EU verkaufen. Sie wurde am 25. Mai 2018 in Kraft gesetzt und hat auch die Datenschutzregulierungen von US-Staaten wie Kalifornien (siehe GDPR vs. CCPA) und Washington beeinflusst.

… von der Bedeutung der DSGVO für den Kunden selbst ganz zu Schweigen!

In diesem Beitrag diskutieren wir, inwiefern die DSGVO als Gesetz zum Schutz personenbezogener Daten in der EU erfolgreich war. Am Beispiel der Bussgeldproblematik zeigen wir, wo es noch viel zu tun gibt… Der Beitrag beinhaltet ebenfalls 6 DSGVO Tipps inklusive Links zu Top DSGVO Checklisten (PDF Downloads, kostenlos), mit denen Sie sicherstellen können, dass Sie wirklich DSGVO-konform sind.

Weitere Inhalte zum Thema EU Datenschutz-Grundverordnung finden Sie hier:

• In unserem Datenschutz-Blogbeitrag von 2018 (DSGVO für Unternehmen) finden Sie viele nach wie vor noch aktuelle Links zu wertvollen Ressourcen über die Datenschutz-Grundverordnung.
• Unser White Paper finden Sie hier: Datenschutz im Marketing.
  Gattiker, Urs E. & Temmen, Taina & Sinistra, Patrizia (April 2018, 2. rev Ed.). DSGVO – Was ist Sache für Marketing Manager, Geschäftsleitung und Vorstand? Deutscher Marketing Verband, White Paper vom Competence Circle Technologie, Innovation & Management.

Was wird in der DSGVO geregelt?
Informationsgleichgewicht, Koordination und Datenschutz verbessern

Zu Beginn haben sich viele gefragt, was sich durch die neue Datenschutz-Grundverordnung denn nun ändert. Und vieles, was in der DSGVO steht, war tatsächlich nicht neu. Es wurden vor allem 2 Dinge angestrebt:

1. Der primäre Fokus bei der Einführung der neuen Datenschutz-Grundverordnung war sicherlich die bessere Koordination des Datenschutz zwischen den 27 Mitgliedstaaten und der UK bis zum Brexit.
2. Neu war auch, dass der Vorstand nun die für Datenschutz verantwortliche Stelle ist (DSGVO für Vorstand Ratgeber Download). Die Verantwortung kann also nicht auf einen internen oder externen Datenschützer übertragen werden.

Grundsätzlich sind dabei sowohl Datensicherheit und Datenschutz als auch die allgemeine Cybersecurity eng miteinander verbunden. Informations- und IT-Sicherheit sowie Datenschutz teilen 3 Hauptziele zum Schutz von personenbezogenen Daten:

• Vertraulichkeit,
• Verfügbarkeit und
• Integrität von gespeicherten und genutzten, personenbezogenen Daten.

Doch um diese Ziele zu erreichen, wird Unternehmen durch die Datenschutz-Grundverordnung DSGVO einiges abverlangt….

DSGVO Challenge Nr. 1:
Bürokratiemonster oder Grund zum Feiern?

Der dritte Geburtstag der Datenschutz-Grundverordnung am 25. Mai lässt uns nachdenken, ob wir einen Grund zum Feiern haben oder nicht. Doch nach 3 Jahren mit DSGVO-Regelungen (oder DSGVO-Fallen…) müssen wir uns erst einmal diese 4 Dinge im Zusammenhang mit der Umsetzung der Datenschutz-Grundverordnung in Erinnerung rufen:

1. Die DSGVO sollte eine extraterritoriale Wirkung erzielen. Das heisst: Auch Unternehmen ausserhalb der EU müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen in der EU verarbeiten. Auch dann, wenn die Datenverarbeitung dazu dient, diesen Personen Waren oder Dienstleistungen anzubieten (gegen Bezahlung oder unentgeltlich):
   — EU-Regelung zum Datenschutz: Was Schweizer KMU tun müssen – Der Bundesrat

2. Extraterritorialität und GrenzgängerInnen: Auch gilt die DSGVO für Grenzgänger, die in der Schweiz arbeiten, aber in der EU wohnen oder umgekehrt. Beispielsweise, wenn die betreffenden Mitarbeitenden, die auch Grenzgänger sind und «Bring Your Own Device» bei der Arbeit oder im Home-Office einsetzen. Hier muss die DSGVO berücksichtigt werden. Was das bedeutet müssen hier Schweizer KMU besonders beachten um DSGVO-Compliance zu sichern.

3. Datenaustausch mit den USA und weiteren Ländern: Das Urteil im Fall EU-Schrems II hat z.B. zur Folge, dass die Privacy Shield Vereinbarung mit den USA nicht mehr gültig ist. Das heisst, die Nutzung von US-Dienstleistern für Cloud und Email Services ist nicht DSGVO konform. Lösung für DSGVO-Konformität hier sind die EU Standardvertragsklauseln. Hier muss das KMU prüfen, ob diese Klauseln eingehalten sind und der Datenschutz-Grundverordnung DSGVO genüge tun. 
   — Nutzung von USA Dienstleistern: DSGVO Konformität fraglich?

4. USA mit Google, Microsoft, Salesforce, Amazon etc.: Der „Clarifying Lawful Overseas Use of Data Act“ , kurz auch CLOUD Act oder Server Act genannt, erlaubt es den US-Strafverfolgungsbehörden, von Kommunikationsdienstanbietern (wie etwa Cloud- oder E-Mail-Anbietern) in den USA Daten anzufordern, über die sie Besitz, Verwahrung oder Kontrolle ausüben.
   
   Dies kann auch Daten betreffen, die in der Cloud auf Servern in der EU, in der Schweiz (Bsp. Microsoft) oder im Vereinigten Königreich gehostet werden. Grundsätzlich bedeutet dies: Wenn der Cloud Service Provider eine US Firma ist oder Tochter, besteht die Möglichkeit das US-Behörden Zugang zu Daten bekommen – DSGVO hin oder her.
   — Clarifying Lawful Overseas Use of Data Act („CLOUD Act“) 

Die obigen 4 Punkte zeigen auf, dass die DSGVO und ihre Umsetzung einige Dinge verändert. In Zeiten der Globalisierung bedingt dies, dass sich Unternehmen wissen müssen, wo sich Daten befinden und wie diese verarbeitet werden. Besonders schwierig und Ressourcen-schluckend ist die Umsetzung der DSGVO durch den Anstieg von Anwendungen, die in der Cloud oder auf fremden Servern irgendwo gehostet werden.

DSGVO Challenge Nr. 2:
Die Durchsetzung der Datenschutz-Grundverordnung

Amazon weiss heute mehr als seine Anbieter. Der Marktgigant kann diese Daten z.B. nutzen, um neue Produkte zu lancieren, die mit den Marktplatz-Anbieter direkt konkurrieren (z.B. VAUDE vs. Amazon-Activewear). Der Missbrauch von Kundendaten Dritter auf solchen Plattformen wurde bis anhin von der DSGVO nicht geschützt. Unterstütz die Datenschutz-Grundverordnung somit den unlauteren Wettbewerb?

Das Problem zeigt auch bei Facebook: Am 4.Juni 2021 hat die EU-Kommission eine förmliche Untersuchung gegen Facebook wegen des Verdachts auf Wettbewerbsverstösse beim Kleinanzeigendienst „Facebook Marketplace“ gestartet. Die EU-Kommission will nach eigenen Angaben klären, ob Facebook seine Stellung auf anderen Märkten für diesen Dienst wettbewerbswidrig ausnutzt.

Konkret lautet der Verdacht: Wenn Konkurrenzunternehmen bei Facebook für ihre Dienste Werbung trieben, könnte Facebook in Besitz wirtschaftlich wertvoller Daten gelangen und diese dann gegen Wettbewerber nutzen. Auch hier spielt das Thema Datenschutz keine Nebenrolle.

Ebenfalls ist der Begriff des Schadens abweichend verstanden anhand der ersten Gerichtsentscheidungen. Dieser reicht vom weiten Schadensbegriff (jeder Verstoss gegen die DSGVO) bis zu einem restriktiven Schadensbegriff, der eine gewisse Bagatellschwelle vorsieht.

Es fehlt an dem europäischen „kooperativen Vollzug“ bzw. einer konkreten Umsetzungsstrategie der EU. Im Rahmen des Kohärenzverfahrens (Art. 63 DSGVO) handelt die federführende Behörde am Hauptsitz der Firma. Doch auch andere Behörden anderer Länder können „Einspruch“ ausüben. Am Ende können alle Mitgliedstaaten dann gemeinsam entscheiden. Doch dieses europäische Kohärenzverfahren findet zur Zeit nicht statt.

Im weiteren gilt es diese 3 Punkte im Auge zu behalten:

1. Die individual- und kollektivrechtlichen Möglichkeiten: Für Beschäftigte und Konsumenten ist die Interessenvertretung zum Schutz vor unzulässiger Datenverarbeitung durch Arbeitgeber oder Firmen schwierig durchzusetzen (Friedrich-Ebert-Stiftung S. 3). Ein Ausbau des in Art. 80 DSGVO verankerten „datenschutzrechtlichen Verbandsklagerechts“ würde die Position der Beschäftigten stärken. Einzelne Konsumenten sind kaum in der Lage, wie Herr Schrems gegen Facebook oder Google zu klagen.

2. “Extraterritorialität” funktioniert primär in der Theorie: Die eigentliche Grundidee der DSGVO war, neben der Harmonisierung im Bereich Datenschutz in der EU, auch weltweit eine Harmonisierung zu erreichen. Doch das klappt eher schlecht als recht. Im Juni 2021 beispielsweise hat Clubhouse noch nicht auf das Verfahren des Hamburger Datenschutzbeauftragten von Februar 2021 geantwortet.

3. Die Höhe des Bussgeldes schwankt stark: Wie hoch das Bussgeld sein sollte ist unklar. Auch in Deutschland. Nach über drei Jahren hat die EDSA (Europäischen Datenschutzausschuss) keine Guidelines zur Bussgeldbemessung geliefert, d.h. 27 nationale Aufsichtsbehörden setzen Busseldkonzepte im Alleingang auf, die sogar nach Bundesland unterschiedlich ausfallen können.

Diese Punkte zur Datenschutz-Grundverordnung illustrieren mehr als deutlich, dass es noch einiges zu klären gibt nach dem Geburtstagsfest…

DSGVO Compliance testen: 6 Tipps mit Checklisten

Trotz der oben aufgeführten Probleme und Herausforderungen, gilt es für Unternehmen weiterhin, die Datenschutz-Grundverordnung möglichst zeit- und kosteneffektiv umzusetzen. Aus diesem Grunde haben wir für Sie die 6 wichtigsten Tipps zusammengestellt, inklusive weitere Informationen, DSGVO Checklisten und Ratgeber mit mehr Details.

1. Datenschutz Audit / Ist-Analyse

Regelmässig müssen wir uns die folgende Grundfrage stellen: Wo stehen wir mit der Umsetzung der DSGVO? Welche Dinge machen wir besonders gut und wo gibt es noch Schwachstellen?

Unser Ansatz für Sie: Haben wir eine Risiko-Analyse oder ein Verzeichnis der Software, die auf privaten Geräten wie dem Mobiltelefon genutzt wird? Wenn nicht, drohen Probleme im Falle einer Datenschutzverletzung. Im Falle einer Datenschutzverletzung wird der oder die Datenschutzbeauftragte diese Dokumentation genau überprüfen. Fehlt z.B. die Information, dass WhatsApp für Kundenkommunikation auf privaten Handys genutzt wird, gibt es Ärger.

• Wie Sie in 3 Schritten die DSGVO-Konformität Ihrer Firma und Ihrer Mitarbeitenden prüfen können: Self-Check für Unternehmen DSGVO AUDIT (Checkliste).

2. Vorbereitung: Risiko Management oder Report

Ziel kann es hier beispielsweise sein, die richtigen DSGVO Tools zu finden, die mit wenig Zeitaufwand das bestmögliche Ergebnis liefern.

Unser Ansatz für Sie: Schwachpunkte werden bei so gut wie jedem ausführlichen DSGVO Audit gefunden. Es gilt mit Hilfe der Risikoabschätzung festzustellen, welche Dinge wie effektiv verbessert werden können. Dies sollte dann möglichst rasch umgesetzt werden. Für Anpassungen, die Prozessänderungen nach sich ziehen, muss ein Zeitplan aufgestellt werden.

• Checkliste GDPR vs CCPA: Comparison of the European GDPR and the Californian CCPA (in English) und „Cybersecurity Checklist and Materials – US Gov – Health„

ZUR UMSETZUNG

3. Genutzte Geräte und Apps DSGVO-konform dokumentieren

Dank “Bring Your Own Device” oder der Arbeit im Home-Office muss ein Verzeichnis erstellt werden, welche privaten Geräte Mitarbeiter mit welchen Applikationen bei der Arbeit nutzen. Die vollständige und richtige Erfassung der privaten Geräte und Tools ist zentral für die DSGVO Compliance.

Unser Ansatz für Sie: Die Problematik ist hier, inwiefern z.B. die erforderlichen Sicherheits-Updates von Mitarbeitern auf privaten Geräten planmässig und zeitnah nach Release gemacht werden. Inwiefern kann dies ein KMU überprüfen kann, ist hier die Frage, z.B. auf einem privaten Handy? Auch hier muss unser Vorgehen genau dokumentiert werden.

• Wie Sie Ihre Website selbst bewerten können mithilfe des drkpi® Website Audit Tools: Was tun, wenn Zertifikate abgelaufen und Apps nicht auf dem neuesten Stand sind? Hier der Self-Check DSGVO für Websites (Checkliste).

4. Verzeichnis der Verarbeitungstätigkeiten (VVT) aufstellen

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist die zentrale Datenschutz-Dokumention. Wer das vollständig und richtig erfasst hat, kann daraus vieles ableiten.

Unser Ansatz für Sie: Wissen und Erfahrung sind notwendig, um die Komplexität zu überblicken. Schnell findet man z.B. in einer Gemeinde 230 betroffene kommunale Aufgaben. Mehr als 50 Gesetze bilden hier unter Umständen die Grundlage für diese Aufgaben. Solche Verarbeitungen und deren gesetzlichen Grundlagen müssen im VVT aufgenommen werden. Wichtig sind auch die Einverständniserklärungen, wenn Sie Fotos und Videos aufnehmen.

• Vorlage Einverständniserklärung, die Sie brauchen, bevor Sie ein Video (oder Foto) publizieren – zum Dokumentieren und Archivieren im VVT und in der Risiko-Analyse.

5. Prozess Management: Mitarbeiter in Sachen Datenschutz weiterbilden

Eine Datenpanne muss innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden. Welche Prozesse sind hier aufgestellt worden? Wie funktioniert beispielsweise der Alarm während dem langen Osterwochenende wenn wir ein Datenleck intern entdecken oder dies uns mitgeteilt von Dritten wird? Wer wird wie schnell und umfangreich informiert. Welche Vorkehrungen können sofort gemacht werden um die Schwachstelle zu eliminieren, usw.

Unser Ansatz für Sie: Hier ist ein Vulnerability-Disclosure-System (Schwachstellen-Reporting) wichtig. Das heisst beispielsweise: Können Nutzer das Problem via Email oder Anruf/SMS an das Unternehmen melden? Von wem, wie und wann werden diese Meldungen abgearbeitet? Und so weiter… Auch Versicherungen wollen dann z.B. wissen, wie viel für das Datenschutz-Training der Mitarbeiter in Sachen Datenschutz und Datensicherheit gemacht wurde.

• Wie gut schauen bei uns die Dinge aus? Einen Kurztest, wo es schmerzen könnten, und Antworten auf die Frage „Was tun?“ finden Sie mithilfe von dieser Ressource: Leitfaden DSGVO Audit Ratgeber Light.

6. DSGVO Monitoring und Reaktion bei Alarm

Wie werden Schwachstellen in Programmen, z.B. im E-Commerce Shop oder Kundendatenbank, angepackt, die von Mitarbeiter oder Kunden ausserhalb entdeckt wurden?

Unser Ansatz für Sie: Die Überwachung von Schwachstellen umfasst einen Kanal und einen Prozess für den Empfang von Berichten über Sicherheitsschwachstellen aus der breiten Öffentlichkeit. Programme zur Offenlegung von Schwachstellen oder VDPs können so einfach sein wie die Veröffentlichung einer überwachten E-Mail-Adresse oder eines Webformulars. Mit Hilfe von diesen Methoden können Berichte empfangen werden, einschliesslich einer Benachrichtigung, die eine Untersuchung und Offenlegung von Sicherheitslücken erlaubt.

• Was tun, wenn wir einen Hacker-Angriff feststellen oder mit einer Ransomware-Situation konfrontiert sind? Leitfaden Ransomeware Alarm Response.
• Es lohnt sich auch, die News Page vom European Data Protection Board im Auge zu behalten und diese Seite mit Guides zu Vulnerability Disclosure und BugBounty als Bookmark abzuspeichern.

Fazit zu 3 Jahren Datenschutz-Grundverordnung

Dieser Beitrag behandelte die EU Datenschutz-Grundverordnung (DSGVO) anlässlich ihres dreijährigen Jubiläums. Die DSGVO ist seit dem 25. Mai 2018 in Kraft. Herausforderungen wurden dabei aufgezeigt, insbesondere wie diese KMU und den Mittelstand betreffen.

Ein einheitliches Datenmanagement in allen 27 Mitgliedstaaten bildet die Basis für den richtigen Umgang mit Unternehmens- und Kundendaten. Es erleichtert Unternehmen die Einhaltung der Datenschutz-Richtlinien über Ländergrenzen hinweg. Theoretisch bietet die DSGVO die Möglichkeit, den Schutz von personenbezogenen Daten in Unternehmen klar und kohärent umzusetzen und stärkt damit die individuellen Rechte der Kunden.

Es ist jedoch klar, dass die Umsetzung wie auch die Vereinheitlichung der Bussgelder die Effektivität der DSGVO aktuell noch einschränkt. Das Problem des Informationsungleichgewicht hat die DSGVO eher verschärft als behoben.

Folgende Schlussfolgerungen können nach 3 Jahren Datenschutz-Grundverordnung nach unserer Analyse gemacht werden:

• 3 Jahre alt – Grund zum feiern? Im Jahresbericht der französischen Datenschutzbehörde Cnil heisst es, dass sich die Datenschutz-Grundverordnung auch angesichts von COVID-19 als ausreichend flexibel erwiesen hat. Anders sieht es Access Now und beklagt eine mangelhafte Umsetzung. Ob die Datenschutzgesetzgebung der UK nach dem Brexit dem DSGVO-Standard entspricht wird zur Zeit heiss diskutiert.

• Bussgeldberechnung standardisieren: Wie die Höhe von Schadensersatz und Schmerzensgeld berechnet werden soll muss klarifiziert werden. Einen wichtigen Schritt verdanken wir dem Obersten Gerichtshof in Österreich. Dieser hat am 16. April 2021 den EuGH um eine Vorabentscheidung gemäss Artikel 267 AEUV über die Voraussetzungen für die Zuerkennung von Schadensersatz bei Verstössen gegen die DSGVO ersucht. Ebenfalls erfragt das Gericht Klärung in der Bemessung eines solchen Schadens gemäss Artikel 82 DSGVO. Die Antwort des EuGH wird die faire und transparente Durchsetzung der DSGVO in allen 27 Mitgliedstaaten vereinfachen.

• Extraterritorialität – Klare Leitlinien sind gefragt: Das Europäische Parlament hat am 21. Mai 2021 von der Kommission verlangt, dass diese Leitlinien erstellt werden, um den Datentransfer zwischen der EU und den USA mit Schrems II konform zu machen. Das würde diese Problematik und die Risiken für Firmen, die US-Software beispielsweise im Cloudbereich nutzen, minimieren.

• Das Bürokratiemonster für KMU entschlacken: Verzeichnis der Verarbeitungstätigkeiten (VVT), Risiko Analyse sowie eine DSGVO Policy umfassen insgesamt mehrere hundert Seiten. Auch der jährliche DSGVO Audit ist wirklich aufwendig. Internet-Konzerne sind damals dafür eingetreten, dass für alle die gleichen Regeln gelten. Jetzt bringen sie die Belastung der KMU als Argument gegen die Datenschutz-Grundverordnung vor. Diese Scheinheiligkeit hilft nicht. Fakt ist, für KMU muss die DSGVO entschlackt werden.

• Cybersecurity Versicherungsprämien steigen sprunghaft an: Beim Datenschutz gibt es den Eigner der Daten (z.B. KMU) und den Datenverarbeiter (Salesforce, Adobe oder Microsoft Azure, AWS). Eigner wie auch Datenverarbeiter müssen die Risiken für den Datenschutz und die Datensicherheit im Griff haben. Bis Mai 2021 haben sich die Prämien für Cybersecurity Versicherungen um gut 26 % innert 12 Monaten erhöht. Seit Januar verlangt AIG vom Kunden die detaillierte Beantwortung von 25 Fragen zu den Sicherheitsmassnahmen. In vielen Fällen wird gar keine Versicherungspolice mehr angeboten, da die Sicherheitsmassnahmen zu schwach sind.

• Eine Sicherheitskultur im Unternehmen ist wichtig: Die Zunahme von Angriffen veranlasst wachsame Versicherer, ihre Kunden genau zu befragen, was die Kultur, die Einstellung zur Sicherheit und die Ausbildung betrifft. Laut der Sicherheitsfirma Group IB sind die Ransomware-Attacken in 2020 um 150% gestiegen. Die durchschnittliche Lösegeldzahlung für einen Ransomware-Fall stiegen 2020 um 300%.
  
  Versicherer versuchen sich immer stärker zu vergewissern, dass die Unternehmen etwas für die eigene Sicherheitskultur getan haben z.B. mithilfe von Technik, Weiterbildung und Training. Angestellte sollen Anhänge in E-Mails nicht ohne weiteres öffnen. Sie müssen das wissen und sich demensprechend verhalten. Natürlich ist „Sicherheitskultur“ schwer messbar. Nichtdestotrotz, das Seilbahn-Unglück in Stresa-Mottarone im Mai 2021 zeigt, das die Sicherheitskultur und das Sicherheitswissen entscheidend ist. In diesem Fall wurde eine Fangbremse deaktiviert.

• Cybersecurity und Ransomware: Der Pipeline-Hack (Colonial Pipeline) in den USA ist ein Weckruf für uns alle. Das Beispiel zeigt, dass Cyberkriminelle – neben dem Gesundheitssystem – die gesamte Infrastruktur eines Landes gefährden können. Um dieses Risiko zu verringern, sind wir all gefragt. Auch KMU müssen die Datenschutz-Grundverordnung gut umzusetzen (siehe Punkte oben). Das heisst, die Sicherheitsabläufe, Prozesse und Organisationsstrukturen müssen so gut und DSGVO-konform wie möglich angepasst werden.

• Ohne Datensicherheit gibt es keinen Datenschutz: Datensicherheit ist zentral für die effektive Umsetzung der Datenschutz-Grundverordnung DSGVO. Die Cybersecurity Schwachstellen müssen eliminiert werden.
  Ohne Cybersecurity oder Datensicherheit gibt es keinen effektiven Schutz persönlicher Daten. Nur so können wir Cyberkriminalität zurückdrängen oder deren Erfolge so klein als möglich halten. Aber auch Datenschutz hilft, die Schwachstellen im Sicherheitsbereich zu eliminieren.

Packen wir es an!

Über uns

drkpi®, eine Division des Marketing-Dienstleisters CyTRAP Labs GmbH, unterstützt Marketing-, HRM-Verantwortliche und Geschäftsführerinnen darin, eine starke Digital Marketing Strategie aufzubauen und weiterzuentwickeln. Wir helfen Ihnen zudem in den Bereichen Planung, Organisation und Umsetzung mit den Kompetenzen Webdesign, DSGVO-Compliance und Datenschutz.

Mit unserem Crawler-basierten Benchmarking-Tool, dem drkpi® Pagetracker, unterstützen wir Sie ausserdem mit Content Marketing und SEO Analytics, Branding und Impact Marketing Metrics für Ihre Corporate Communication. Mit der unverbindlichen 30-Tage-Testversion können Sie bereits effektiv News Pages und Blog Content optimieren.

drkpi® betreut Kunden wie BKW Building Solutions AG, Bouygues E&S und den Deutschen Marketing Verband (DMV).

DSGVO Basics: Video vom Deutschen Marketing Verband (DMV)