|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 02. April 2022
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine weitere Ausgabe des Newsletters präsentieren zu dürfen und habe heute die folgenden Themen für Sie:
|
- Über den Datenschutz hinaus
- Wiedermal Webseiten
- Aktuelles aus dem Datenschutz
|
1. Über den Datenschutz hinaus
Es gibt da eine Richtlinie der EU, und wenn ich so beginne, dann überkommt Sie vermutlich ein Unbehagen. Es ist die Richtlinie 2019/1937 aus dem Herbst 2019. Diese Richtlinie heißt "Richtlinie zum Schutz für Personen, die Verstöße gegen das Unionsrecht melden". In der Umgangssprache wird das ganze "Hinweisgeber-System" oder "Whistleblower-Plattform" genannt. Die Richtlinie ist noch nicht in nationales Recht umgesetzt. Die Ampel hat im Koalitionsvertrag aber festgelegt, dass dieses zeitnah erfolgen wird. Nach anderen Rechtsauffassungen entfacht die EU-Richtlinie bereits jetzt Wirkung und muss umgesetzt werden. Wir müssen uns also damit auseinandersetzen. Betreffen wird der Sachverhalt die Unternehmen des Anlage-, Geld und Finanzsektors unabhängig der Größe und alle anderen Unternehmen, wenn diese mehr als 50 Mitarbeiter*innen haben. Letzteres betrifft die meisten meiner Kunden.
|
Inhaltlich geht es hierbei über den Datenschutz hinaus um folgendes: Die Unternehmen müssen eine unabhängige interne Meldestelle für Rechtsverstöße schaffen, die bestimmten, in der Richtlinie genannten, Anforderungen genügt. Diese Anforderungen beinhalten vor allem eine Neutralität der Meldestelle, die auch die Anonymität der Hinweisgeber sichert. Der Datenschutz ist dabei nur einer von vielen gelisteten Punkten. Nachstehend einmal die ganze Liste aller Themen, die inhaltlich unter die Richtlinie fallen:
|
- öffentliches Auftragswesen,
- Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung,
- Produktsicherheit und -konformität,
- Verkehrssicherheit,
- Umweltschutz
- Strahlenschutz und kerntechnische Sicherheit,
- Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz,
- öffentliche Gesundheit,
- Verbraucherschutz,
- Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen.
Das ist eine ganze Menge, und vor allem bei den Punkten Verbraucherschutz und Verkehrs-sicherheit recht schwammig formuliert. In meiner Auffassung beinhaltet Verbraucherschutz zum Beispiel auch Sicherheitslücken in gängiger Software, wovon es reichlich gibt. Wenn Sie sich fragen, warum Steuerbetrug und einige andere Themen nicht dabei sind, dann frage ich mich das auch. Aber wie dem auch sei, diese Richtlinie wird man demnächst so in den Unternehmen umsetzen müssen. Es stellt sich dabei natürlich auch die Kostenfrage. Eine zusätzliche Stelle, die schon ein wenig Know-How und Verantwortung bedeutet, übernimmt niemand für umsonst. Darüber hinaus sind die Anforderung an die Unabhängigkeit der Stelle schwierig intern zu erfüllen. Ich kann mir schwer andere als externe Lösungen vorstellen. Dabei ist es letztlich aber nicht sinnvoll jemanden extern zu beauftragen, den man regelmäßig bezahlt, und vielleicht niemals braucht. Die Rahmenbedingungen der Umsetzung sind also nicht ganz einfach. Wenn wir auf den Punkt "Schutz der Privatsphäre und personenbezogener Daten gucken", der mich als Datenschützer betrifft, dann gibt es da durchaus viel Vorstellungskraft für mögliche Hinweise von Rechtsverstößen. Meine Vorstellungskraft ist aber nicht mehr als meine Vorstellungskraft. Eine ganz andere Sache ist die Praxis. Sie kann am Ende so oder so aussehen. Wir wissen nicht, ob es in den Unternehmen wirklich zu Hinweisen kommen wird und zu wie vielen.
|
Ich überlege daher und prüfe mit meinen Juristen, ob ich eine solche Hinweisstelle sein kann, ohne dass das im Interessenkonflikt mit meiner Arbeit als externer Datenschutzbeauftragter für ein Unternehmen steht. Sollte es möglich sein, könnte ich dann für meine Kunden, die die Richtlinie betrifft, für diese als Meldestelle zur Verfügung stehen. Und dann nur im Fall des Falles einer Meldung diese Arbeit nach Stunden abrechnen. Das wäre eine schlanke Lösung und einfache Umsetzung für meine Kunden. Die Prüfung läuft noch, aber die Anforderungen an sich kann ich erbringen. Gängig ist derzeit die Auffassung, dass ein interner DSB nicht unabhängig im Sinne der Richtlinie sein kann. Ob dieses so aber auch für einen externen DSB gilt, ist nicht eindeutig. Hier kommt es auch auf die vertraglichen Rahmenbedingungen und die tatsächliche Unabhängigkeit in der Durchführung der Aufgaben an. Ich werde meine Kunden dazu auf dem Laufenden halten. Für den Datenschutz als solchen bedeutet das ganze in jedem Fall, dass zukünftig, neben Beschwerden an die Aufsichtsbehörde, ein weiterer Weg zur Verfolgung möglicher Rechtsverstöße offenstehen wird.
|
Wo wir dann schon beim Thema "was plane ich für die Zukunft" sind, teile ich hier nochmal mit, dass ich weiterhin überlege ein Zertifikat als IT-Sicherheitsbeauftragter und ISB nach DIN/ISO 27000 zu machen. Der Unterschied bei einem ISB und einen DSB ist der, dass es für den ISB keine gesetzlichen Vorgaben gibt. Es gibt keine Pflicht für ein Unternehmen einen ISB zu bestellen noch ist irgendwo geregelt, welche Qualifikation dieser haben muss. Damit ist auch die Sache mit einem Zertifikat so eine Sache. Ein Zertifikat macht mich nicht per se klüger und ob DIN/ISO 27000 für einen ISB der allein richtige Ansatz ist, ist auch mehr als fraglich. Ein ISB wird eigentlich nur da benötigt, wo eigene umfangreiche Server und Netzwerke betrieben werden. Und das sind Größenordnungen an Unternehmen, die einen internen und keinen externen ISB benötigen. Das Model externer ISB macht in meinen Augen grundsätzlich wenig Sinn. IT-Sicherheit ist hingegen natürlich ein wichtiges Thema. Die Umsetzung kann aber sehr verschieden erfolgen und sollte es meines Erachtens auch, weil jedes Unternehmen hier andere Rahmenbedingungen hat. Von daher werde ich weiter überlegen und diesen Schritt eines solchen Zertifikats vermutlich nicht so schnell gehen.
|
Bei dieser Gelegenheit, da mich viele Kunden fragen, teile ich auch einmal mit, dass ich trotz deutlich gestiegener Energiekosten und Einkaufskosten diverser Leistungen, nicht beabsichtige die Preise in den Dauerdienstverhältnissen in 2022 zu erhöhen.
|
2. Wiedermal Webseiten
Webseiten und der Datenschutz sind regelmäßig Thema in meinen Newslettern. Und es ist wieder einmal an der Zeit dafür. Letztlich haben wir als Gesellschaft den Datenschutz nicht deswegen erfunden, um nach der Einwilligung von Angehörigen zu fragen, wenn Mitarbeiter*innen eines Unternehmens in der Firma die Telefonnummern von ihren Eltern für den Notfall hinterlegen. Wir haben den Datenschutz erfunden, weil wir es nicht wollen, dass wir in der digitalen Welt virtuell verfolgt werden und Konzerne über uns Profile anlegen, in denen alles was wir tun, kaufen und die Orte, die wir aufsuchen, dokumentiert werden. Ein großer Teil davon erfolgt beim Besuch oder mit Hilfe von Webseiten. Wir öffnen diese Seiten und in diesem Augenblick werden wir identifiziert als auch unser Tun auf der Seite dokumentiert.
|
Webseiten sind aber auch an der IT-Sicherheit beteiligt. Sie stellen eine Verbindung mit dem Internet dar, über welche Daten ausgetauscht und auch auf die Endgeräte heruntergeladen werden können. Webseiten sind eine mögliche Quelle sich Malware einzufangen. Einen solchen Fall gab es in meinem Kundenkreis mal wieder im März. Die Webseite eines Dienstleisters war gehackt worden und verbreitete Malware. Ein Kunde lud sich diese herunter. Das BSI (Bundesamt für die Sicherheit in der Informationstechnologie) warnt derzeit vor diversen Sicherheitslücken in Wordpress Versionen unterhalb von 5.9.2. Die Version 5.9.2 ist die derzeit aktuelle Version. Wer nicht darauf upgedated hat, der hat ein Sicherheitsproblem. In diesem Fall war die Version des Dienstleisters mit der gehackten Webseite noch 5.5.5 aus dem Mai 2021. Und ich sage es hier nochmals: Updates sind äußerst wichtig und sollten unbedingt immer sofort nach Verfügbarkeit erfolgen!
|
Und ich muss auch dieses erneut sagen: Eine gehackte Webseite ist eine Datenpanne und somit grundsätzlich anzeigepflichtig. Der Fall kann zu Bußgeldern führen. Noch gravierender sind aber mögliche Schadensersatzansprüche geschädigter Personen oder Unternehmen. Besucher einer Webseite fordern diese Seite im Browser unter Übersendung ihrer IP-Adresse an. Hier haben wir die IP-Adresse als personenbezogenes Merkmal. Der Zweck der Anforderung bezieht sich nur auf die Webseite und die damit notwendigen und erwünschten technischen Funktionen. Eine Malware, da werden Sie mir sicher alle zustimmen, ist keine erwünschte Funktion auf einer Webseite. Somit liegt hier ein Verstoß gegen die Zweck-bindung und gegen §25 TTDSG vor. Dass der Betreiber der Webseite als verantwortliche Stelle für den Hack nicht unmittelbar verantwortlich ist, spielt dabei keine Rolle. Die verantwortliche Stelle muss die Sicherheit der Webseite nach den allgemeinen zeitgemäßen Regeln der Technik sicherstellen und das auch nachweisen können. An dieser Stelle wird es schwierig für den Betreiber der Webseite oder die Webagentur, weil man das nur sehr schwer belegen kann. Und in der Praxis kann man es meistens allein deswegen schon nicht, weil es tatsächlich nicht der Fall ist.
|
Es ist aber nicht nur dieser Aspekt von Webseiten, der problematisch ist. Auch die Tatsache, dass in ca. 80% aller Webseiten immer noch Code läuft, der unnötigerweise personen-bezogene Daten an dritte Server, meistens noch dazu in unsichere Drittstaaten, überträgt, ist ein Problem. Hier hat der BfDI (Bundesbeauftragte für den Datenschutz und die Informationssicherheit) versehentlich den "vorweggenommenen Aprilscherz" gebracht: Für einer Online-Veranstaltung, für die man extra eine Landingpage eingerichtet hatte, nutzte man ein Media-Tool, welches Daten in die USA übertrug. Außerdem lief Google Fonts in der Seite und eine Datenschutzerklärung fehlte. Dafür gab es das offizielle Impressum des BfDI. Ironischerweise war das Thema der Veranstaltung "Wie den alltäglichen Rechtsbruch im Datenschutz bekämpfen?". Das ganze mit einem Schwerpunkt auf "ungewollte Übertragungen in die USA". Und genau das tat diese Landingpage. Leider hatte man die Landingpage nicht als abschreckendes Praxisbeispiel eingestellt, sondern der Fehler war dem BfDI selbst unterlaufen. Man hatte, so erkläre ich es mir, jemanden mit der Landingpage beauftragt. Und diese Person, der Bezeichnung nach sicher ein Webdesigner, kannte sich mit Datenschutz nicht aus. Genau hier liegt das Problem: Die Personen, die Webseiten erstellen, kennen sich mit dem Datenschutz nicht aus. Die Seiten werden nach dem Motto "Hauptsache optisch ist alles hübsch und die Seite funktioniert" erstellt, ohne dass man mehr von den Datenflüssen versteht oder verstehen will. Die DS-GVO, und inzwischen auch noch deutlicher das TTDSG, verbieten aber genau das. Und die Gerichte, die sich an die bestehenden Gesetze halten, fällen dann die entsprechenden Urteile, wie es in der letzten Zeit deutlich zu sehen ist. Hingegen sind die Aufsichtsbehörden in dieser Thematik immer noch sehr passiv. Ich habe mich daher auch schriftlich an die DSK gewandt und angefragt, welche Schritte bei der Umsetzung des Datenschutzes auf Webseiten seitens der Aufsichtsbehörden in Zukunft unternommen werden.
|
Ein weiterer Aspekt dieser Tracking-Skripte ist übrigens der, dass sie für die Betreiber der Webseiten regelmäßig geschäftsschädigend sind. Gleich ob der Code von Google, Bing, LinkedIn, Amazon, Facebook oder wem auch immer stammt: Der Code nützt nur diesen Anbietern und nicht den Webseitenbetreibern! - Ich erkläre das einmal am Beispiel eines Fenster-Bauers: Ich finde die Fenster meines Nachbarn schön und will diese auch haben. Deswegen frage ich meinen Nachbarn, wo er sie gekauft hat und der gibt mir den Namen der Firma. Ich besuche die Webseite dieses Unternehmens, um mich zu informieren. Dort läuft ein Tracking-Code. Es wird genau aufgezeichnet, welche Unterseiten ich mir angucke, wie lange ich welche Bilder anschaue, wo ich klicke, was ich suche etc. Danach weiß der Anbieter hinter diesem Tracking-Code, zum Beispiel Google, dass ich die grauen Kunststofffenster in Dreifachverglasung bevorzuge. Diese Information kommt zu meinem Profil und wird auch weiterverkauft. Als Resultat davon erhalte ich jetzt überall auf meinen Endgeräten und in meinen Anwendungen Werbung für diese Fenster. Und nicht nur von dem Unternehmen, dessen Webseite ich besucht hatte, sondern von allen Fenster-Bauern in meiner Umgebung. Das Unternehmen, das bei meinem Nachbarn die Fenster eingebaut hatte, hatte den Auftrag von mir schon so gut wie sicher. Aber dann bekomme ich optisch und qualitativ gleichwertige Fenster von jemanden angeboten, wo ich 20 Minuten kürzer hin und eh oft vorbei fahre. Und da mache ich dann am Ende den Auftrag. Und das nur, weil so ein Tracking-Tool in der Seite der Firma war, die mir mein Nachbar empfohlen hatte. Resultat: Gut für Google, gut für mich, schlecht für das Unternehmen meines Nachbarn. Ich wurde von diesem, dank Tracking-Code, ungewollt an die Konkurrenz vermittelt. Und deswegen sollte man als Webseitenbetreiber diese ganzen Tracking-Codes rauswerfen, denn niemand will seine Kunden an die Konkurrenz vermitteln!
|
3. Aktuelles aus dem Datenschutz
Beginnen wir diesen Abschnitt in Hamburg. Dort hatte es, wenn wir einmal die Ransomware Attacken betrachten, bereits Ende Februar den Müllentsorger "Otto Dörner" getroffen, wie das Portal CSO berichtet. Sämtliche Dienste der IT-Infrastruktur waren nur noch eingeschränkt nutzbar. Ein beträchtlicher Teil der Firmendaten wurde verschlüsselt und es wurde Lösegeld gefordert. Das Landeskriminalamt ermittelt. Die Systeme konnten wiederhergestellt werden. Der Geschäftsführer Oliver Dörner teilte mit, dass das gesamte Ausmaß des Angriffs Monate lang Auswirkungen auf das Unternehmen haben könnte. Das operative Geschäft läuft jedoch unbeschadet weiter und alle 350 Fahrzeuge sind auf den Straßen unterwegs. Der finanzielle Schaden ist noch nicht zu beziffern.
|
WhatsApp hat seine Datenschutzerklärung aktualisiert. Dieses erfolgte auf drängen der irischen Aufsichtsbehörde, die wiederum von den anderen EU Ländern gedrängt wurde. Letztlich hatten die Iren WhatsApp, welches zum META-Konzern gehört, wie Facebook jetzt heißt, im Bewusstsein auf die wirtschaftliche Wichtigkeit des Konzerns für den Standort Irland, lediglich freundlich gebeten die Erklärung doch bitte zu modifizieren. Entsprechend ernst hat WhatsApp die Sache dann auch nicht genommen. Von den wirklich wichtigen angemahnten Punkten wurde keiner umgesetzt. WhatsApp bestätigt in dieser neuen Erklärung, dass man den Inhalt von Nachrichten nicht liest oder anhört. Eine automatisierte Auswertung wird nicht dementiert. Man teilt auch weiter die Daten mit allen zum META-Konzern gehöhrenden Firmen. Insofern alles nichts Neues. Die spannende Frage nach der end-to-end Verschlüsselung von Nachrichten und ob man Nachrichten irgendwo bei META mitlesen kann, wird auch nicht eindeutig beantwortet. Man kann an sicheres end-to-end bei WhatsApp glauben oder, wie ich es tue, nicht. Letztlich ist es nicht die Mühe wert die neue Datenschutzerklärung zu lesen.
|
Der BfDI (Bundesbeauftragte für den Datenschutz und die Informationssicherheit) sah sich gezwungen einen Sonder-Newsletter zu einer Sicherheitslücke in der Telematik Infrastruktur der eGK (elektronische Gesundheitskarte) herauszugeben. Hintergrund ist ein Softwarefehler bei den Konnektoren. Es werden, anders als es sein sollte, bei gesperrten Gesundheits-karten die Seriennummern erfasst. Damit ist es für die Nutzer*innen, das sind zum Beispiel Ärzte und Therapeuten sowie deren Administratoren, theoretisch möglich an die Patienten-daten zu kommen. Ich kürze das hier mal ab: Ärzte & Co sind eh alle Geheimnisträger und unterliegen der Schweigepflicht. Dritte können mit der Seriennummer der Karte, selbst wenn sie diese erlangen, faktisch nichts erreichen. Auf gut Deutsch: Eine Datenpanne mit äußerst geringem Risiko, die nur Personen mit gesperrten Karten betrifft. Interessant dabei ist aber, dass mal wieder der §307 Abs. 1 SGB V erwähnt wird. Die DSK (Datenschutzkonferenz der Aufsichtsbehörden) hatte seinerzeit der Politik etwas anderes empfohlen als das, was jetzt in diesem Gesetz steht. Mit dem PDSG (Patientendatenschutzgesetz) kam es seitens der Politik zu eben dieser Formulierung im SGB. Und danach sind die Nutzer*innen, wie Ärzte, Therapeuten, Krankenhäuser, ambulante Pflegedienste etc., in der datenschutzrechtlichen Verantwortung für die Telematik-Infrastruktur. Einfluss auf die Sicherheit und Software kann man als Nutzer*in selbst nicht nehmen, aber verantwortlich darf man trotzdem dafür sein. Die Politik wollte es so. Entsprechend müssen Ärzte & Co. eine solche Datenpanne, würde man sie bei sich feststellen, auch binnen 72 Stunden der zuständigen Aufsichtsbehörde melden.
|
Malware, die Kryptowährungen und PayPal gezielt angreift, war ein weiteres Thema im Monat März. Wenn Sie Kryptowährungen in E-Walltes haben, dann ist Ihr digitales Portemonnaie durch die Zugangsdaten gesichert. Hat jemand anderes diese Zugangsdaten, dann kann die Person an Ihr Portemonnaie und es leer räumen. Es gibt inzwischen immer mehr Malware, die gezielt nach solchen Daten sucht. Auch ein "Key-Stroke-Blogger" ist hier sehr effektiv. Wenn Ihr Endgerät damit infiziert ist, dann werden die Eingaben auf Ihrer Tastatur dokumentiert. Einschließlich aller Benutzernamen, Passwörter und Zugänge, die sie damit eingeben. Zum Beispiel auch der Zugang zu ihrem PayPal-Konto. Hier ist neuerdings eine spezielle Malware im Umlauf. Diese heißt "Allcome". Sie stellt in ihrem PayPal-Konto Zahlungen automatisch ein. Sie sollten daher für die Nutzung von PayPal unbedingt Zwei-Faktor-Authentisierung aktivieren und vor jeder Bestätigung einer Zahlung genau hinsehen, ob diese von Ihnen aufgegeben wurde.
|
Und nun ein ganz spannendes Thema, das Ihre Vorstellung der digitalen Welt vielleicht erweitert oder auch übersteigt: Nutzer*innen des Dienstes "Opensea" verlieren ca. 2,8 Millionen Euro durch Phishing. Diese Meldung gab es Anfang März auf diversen Portalen. Das ist deswegen so spannend, weil es hier um "NFTs" geht. NFT steht für "Non Fungible Token". Damit sind "digitale Unikate" gemeint. Es gibt in der digitalen Welt Kunst und Kunstwerke, zum Beispiel wie ein Gemälde von Picasso oder Monet in der realen Welt. Und in der digitalen, genau wie der realen Welt, gibt es das eine echte Werk und Kopien. Nur die echten Werke sind Millionen wert. Die digitale und die reale Welt sind sich hier sehr ähnlich. Auch in der digitalen Welt sind Kunstdiebe hinter diesen Werken her und wollen diese digitalen Unikate stehlen. Opensea ist dabei ein Dienst, der quasi als ein Banktresor für solche Werke dient. Und auch der beste Banktresor kann geknackt werden. Genau das ist hier passiert. Eine Handvoll dieser Unikate wurden entwendet und der Schaden beträgt 2,8 Millionen Euro. Digitaler Diebstahl im Cyber-Space. Wussten Sie etwas von der Existenz digitaler Unikate, so genannter NFTs, bevor Sie das hier gelesen haben?
|
Für diejenigen, die Direktwerbung tätigen, hat die DSK (Datenschutzkonferenz der Länder) eine neue Orientierungshilfe herausgegeben. Wirklich neu ist daran in meinen Augen nicht viel. Es gibt einige wissenswerte Ausführungen zur Form der Einwilligung und ansonsten 20 Seiten nicht all zu spannender Kost. Ich habe den Link eingefügt. Wer in dieses Thema tiefer einsteigen möchte, der darf gerne selbst lesen.
|
Aufgrund der aktuellen Lage mit Russland warnt das BSI (Bundesamt für Sicherheit in der Informationstechnology) vor dem Einsatz der Antivirensoftware von Kaspersky. Tatsächlich kommt sehr viel Software aus Russland oder die Programmierer sitzen dort. Bisher konnte ich auf Arbeitsebene aber kein erhöhtes Bedrohungsszenario feststellen. Die Frage, ob man Kaspersky oder besser einen anderen Anbieter von Virensoftware wählt, ist auch nicht neu. Und das ist ein gutes Thema für den nächsten Newsletter.
|
Brandaktuell hat die EU Kommission verkündet, dass man sich während des Besuchs des US-Präsidenten Joe Biden in Europa auf ein Nachfolgeabkommen zum ehemaligen EU-US Privacy Shield Abkommens geeinigt hat. Damit könnte demnächst wieder die Übertragung von Daten, auch personenbezogenen Daten, in die USA möglich sein, ohne dass es einer Voraussetzung nach Art. 46 oder 49 DS-GVO bedarf. Allerdings gilt inzwischen auch das TTDSG und es dürfen nur dann solche Daten übertragen werden, wenn es wirklich erforderlich ist oder eingewilligt wurde. Webseiten sind daher nur bedingt betroffen. Für Anwendungen wie Microsoft 365 könnte dieses neue Abkommen aber alle Diskussionen mit den Aufsichtsbehörden beenden, worüber ich sehr dankbar wäre.
|
Und abschließend noch zum Thema "Datenschutz zertifizieren lassen". Hier hat die DSK einen neuen Weg eingeschlagen und wird die Anforderungen an eine Zertifizierung nochmal erhöhen. Während in anderen EU-Ländern Zertifizierungen schon möglich sind, wird es bei uns damit weiter und auf unbestimmte Zeit dauern.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter geht es dann um Anti-viren-Software und andere spannende Themen.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
|
|
|
|
|
|
