Datenschutzgrundverordnung: DSGVO für Blogger & Websitebetreiber

Datenschutzgrundverordnung: DSGVO für Blogger & Websitebetreiber| Blogger-Coaching.de - Erfolgreich bloggen & Geld verdienen

DSGVO für Blogger & Websitebetreiber – Alles über die Datenschutzgrundverordnung verständlich erklärt. Infos, Begriffe, Pflichten, praktische Umsetzung uvm.

 

Heute widmen wir uns einem komplexen Thema, das viele Fragen wirft und oft viele offen lässt: Die Datenschutzgrundverordnung, kurz DSGVO. Du hast mit Sicherheit schon einige Male davon gehört. Selbst Privatpersonen kamen in den letzten 16 Monaten, seit die Kulanzzeit für die Umsetzung abgelaufen ist, nicht drum herum. Doch worum geht es da genau? Und welche Pflichten bringt die DSGVO für Blogger und Websitebetreiber mit sich? Mit diesem Buch mit sieben Siegeln beschäftigen wir uns heute. Dabei kannst du noch einmal prüfen, ob du an alles gedacht hast, und erhältst hilfreiche Tipps zur praktischen Umsetzung. Let’s fetz!

 

DSGVO – Was ist das überhaupt?

Die DSGVO (Datenschutzgrundverordnung) gilt seit 25.05.2016 für alle Unternehmen, die in der EU agieren.

Die Verordnung dient dem Schutz der personenbezogenen Daten natürlicher Personen, die durch Unternehmen gesammelt und/oder verarbeitet werden. Hierzu gibt die DSGVO einige Rahmenbedingungen vor, an die Unternehmen ihre Datenprozesse anpassen müssen.

 

DSGVO für Blogger? Wer muss sich daran halten?

Die DSGVO gilt für alle Unternehmen, die in der EU agieren. Das heißt für alle Unternehmen, die in der EU angemeldet sind oder sich an Verbraucher in der EU richten. Damit gilt die DSGVO auch für Blogger, die ihren Blog geschäftsmäßig betreiben.

Ein Unternehmen ist hierbei jeder, der eine wirtschaftliche Tätigkeit ausübt. Hierzu zählt die reine Gewinnerzielungsabsicht, bei Webseitenbetreibern z.B. schon das Schalten von Werbung, Kooperationen, das Einbinden von Affiliate-Links etc.

 

Datenschutzgrundverordnung: DSGVO für Blogger & Websitebetreiber| Blogger-Coaching.de - Erfolgreich bloggen & Geld verdienen

 

Welche Prozesse betrifft die DSGVO konkret?

Alle, über die du oder deine Geschäftspartner (Hoster, Newsletter-Anbieter, Plugin-Entwickler etc.) personenbezogene Daten sammelst.

Personenbezogene Daten sind Daten, die einer konkreten Person zuordnen lassen. Dazu zählen z.B.:

  • Name
  • E-Mail-Adresse
  • Adresse
  • Telefonnummer
  • Geburtsdatum
  • IP-Adresse
  • Meiner Meinung nach kann auch eine URL zu personenbezogenen Daten zählen, Konkretes habe ich dazu allerdings nicht gefunden.

 

Wichtig ist an dieser Stelle, zu erwähnen, dass die Datenschutzgrundverordnung nicht nur deine Website betrifft, sondern alle Geschäftsprozesse, egal ob online oder offline. Hierzu zählen z.B. auch:

  • Kontaktdatenbanken für deine Firmenkontakte
  • Cloudservices, auf denen deine Backups, Rechnungen etc. liegen (weil die Datenbank-Backups u.U. personenbezogene Daten beinhalten)

 

Keine personenbezogenen Daten? Bist du sicher?

Wenn sie von den Pflichten der DSGVO für Blogger (bzw. allgemein für Websitebetreiber) hören, reagieren viele Blogger intuitiv folgendermaßen:

“Aber ich sammle doch keine personenbezogenen Daten…”

An dieser Stelle kann ich jedem Websitebetreiber nur raten, sich die Prozesse genauer anzuschauen. Ja, es gibt Websites, die keinerlei personenbezogenen Daten sammeln. Aber sie sind wirklich die Ausnahme. Denn schon die Webhoster legen meist Server Logfiles an, in denen mindestens die IP-Adresse gespeichert ist.

Und selbst wenn du keine sammelst, solltest du prüfen, ob du sie verarbeitest.

Beispiel: Dein/e Mitrbeiter/in, die für die Kommunikation zuständig ist, hat Zugriff auf deine Firmenkontakte. Sie soll ja auch die Korrespondenz aufrechterhalten. Du sammelst die Daten, er/sie verarbeitet sie, ohne sie zu sammeln. (Dein/e Mitarbeiter/in ist übrigens dadurch ein Auftragsverarbeiter für dich. Alles zum AV s. weiter unten)

Ähnliche Konstellationen kann es auch in anderen Bereichen geben.

 

Datenschutzgrundverordnung: DSGVO für Blogger & Websitebetreiber| Blogger-Coaching.de - Erfolgreich bloggen & Geld verdienen

 

Darf ich IP-Adressen speichern?

Ja, aber:

Grundsätzlich darfst du alle Daten speichern, die zur Bereitstellung deiner Dienste erforderlich sind. Aber eben nur diese (Stichwort „Datensparsamkeit“).

Das kann durchaus auch eine IP-Adresse sein. Denn nur durch sie ist z.B. eine Verfolgbarkeit bei Hacker-Angriffen & Co. gewährleistet.

Bei heiklen Blogthemen kann es auch durchaus Sinn machen, bei Kommentaren die IP-Adresse mitzuspeichern. Wenn z.B. die Gefahr besteht, dass meldepflichtige Kommentare gepostet werden. Bei mir geht diese Wahrscheinlichkeit gegen Null, deswegen speichere ich die IP-Adressen bei Kommentaren nicht mit. Im Server Logfile allerdings schon.

 

Übliche Prozesse, bei denen personenbezogene Daten gesammelt/verarbeitet werden

Es gibt zahlreiche Prozesse, die im Rahmen der DSGVO für Blogger und Websitebetreiber genauer betrachtet werden sollten. Manche sind offensichtlich, an manche denkt man im Eifer des Gefechts oft nicht. Hier sind ein paar davon:

  • Server Logfiles / Accesslog
  • Kommentarformulare
  • Kontaktformulare
  • Newsletter-Formulare
  • Kontaktdatenbanken/-Listen
  • Statistik (Analytics, Piwik/Matomo, WordPress Statistik, Blogfoster, …)
  • Tracking/Cookies (Adsense, tracdelight, Affiliate Banner, VG Wort, Google Fonts, …)
  • Social Media & Share Widgets (FB, IG, Twitter, Pinterest, … Alles, was Cookies setzt und/oder Daten abruft)
  • Benutzerkonten (Member-Bereich für registrierte Nutzer, Shop-Kunden, Admins, …)
  • Cloudspeicherung von Daten (Kontakte, Backups, Rechnungen, …)

 

Datenübermittlung in Drittstaaten

Da viele Diensteanbieter aus den Drittstaaten (also grob gesagt alle Länder außerhalb der EU) kommen, findet oft eine Übermittlung personenbezogener Daten in Drittstaaten statt. Für diese Übermittlung gibt es strenge Regeln, z.B.:

  • Es muss eine Einwilligung der betroffenen Person vorliegen, die über eine Opt-in-Möglichkeit eingeholt wird. Außerdem gehört eine entsprechende Erklärung und ggf. eine Opt-out-Möglichkeit in die Datenschutzerklärung.
  • Das Zielland muss sich nachweislich an die EU-Regelung halten.

 

Das heißt, eine Übermittlung personenbezogener Daten an Unternehmen, die sich nicht für die DSGVO interessieren, ist nicht erlaubt.  Solche Plugin-Anbieter z.B. musst du entfernen/ersetzen.

 

Datenschutzgrundverordnung: DSGVO für Blogger & Websitebetreiber| Blogger-Coaching.de - Erfolgreich bloggen & Geld verdienen

 

Auftragsdatenverarbeitung/Auftragsverarbeitung & Verträge

Eine Auftragsverarbeitung (= AV; früher Auftragsdatenverarbeitung = ADV) findet dann statt, wenn andere personenbezogene Daten in deinem Auftrag sammeln und/oder verarbeiten. Die Voraussetzungen für eine AV sind:

  • Die Sammlung/Verarbeitung der Daten findet in deinem Auftrag statt.
  • Du hast jederzeit die Einsicht in und die Kontrolle über die Daten.

Die zwei häufigsten Fälle hierbei sind:

  • Das Hosten einer Website oder einer E-Mail-Adresse bei einem Webhoster/einem E-Mail-Provider.
  • Die Nutzung von externen Statistik-Tools wie z.B. Google Analytics.

In beiden Fällen geht der Auftrag von dir aus (Anmeldung/Nutzung der Dienste). Du hast sowohl die Einsicht in die gesammelten Daten als auch die Kontrolle darüber (Du kannst sie jederzeit löschen oder löschen lassen). D.h. sowohl der Hoster als auch der Statistik-Diensteanbieter (z.B. Google) fungieren als Auftragsverarbeiter (früher Auftragsdatenverarbeiter) für dich.

Mit allen Auftragsverarbeitern musst du einen Auftragsverarbeitungsvertrag (=AV-Vertrag, AVV; früher Auftragsdatenverarbeitungsvertrag = ADV-Vertrag, ADVV) abschließen. Bietet ein Diensteanbieter diesen nicht an, obwohl eine AV vorliegt, wechsle ihn.

Ich habe von Hostern gelesen, die tatsächlich sagen, das gehe sie nichts an, oder von den Webseitenbetreibern eine Vorlage verlangen. Mein Rat in diesem Fall: Wechseln! Du habt im Falle eines Falles die Bringschuld, willst du dich da wirklich auf so unzuverlässige Partner verlassen?

 

Cookies & Datenschutz

Außer den typischen Auftragsverarbeitern gibt es noch eine Reihe Dienste, die Cookies setzen. Das fängt teilweise schon bei der Homepage-Software selbst an und geht weiter zu den typischen cookie-abhängigen Diensten wie Affiliate Partnerschaften.

Adsense, tracdelight, Amazon PartnerNet, Affilinet… Alle diese Werbedienste und mehr verwenden Cookies, um den Nutzer identifizieren zu können, der die Werbung sieht und ggf. darauf klickt. Denn sonst würde ihr Konzept nicht funktionieren. Mit Hilfe von Cookies können diese Dienste sehen, wer wann welche Werbung sieht und welche ihn anspricht und so entscheiden, wann sie wem welche Werbung ausspielen, um mehr Umsatz zu erzielen. Außerdem dient es auch dazu, zu ermitteln, ob Affiliate Betrug betrieben wird (Wenn z.B. die selbe IP 10x hintereinander auf das selbe Werbemittel klickt, handelt es sich sehr wahrscheinlich um einen Versuch, die CPC-Einkünfte (Cost per Click) künstlich zu pushen, was selbstverständlich verboten ist.).

Auch in Onlineshops sind Cookies notwendig, um z.B. den Login und den Warenkorb für eine gewisse Zeit speichern zu können. So kann der Kunde z.B. seinen Browser vor dem Checkout schließen und später wiederkommen und seinen Kauf abschließen, ohne die Produkte nochmal heraussuchen zu müssen.

Da du bei externen Diensten, die Cookies setzen, keinerlei Einfluss auf die Sammlung und Verarbeitung der personenbezogenen Daten habt, benötigst du auch keinen AVV. Allerdings musst du hier zwei Dinge beachten:

  • Der Seitenbesucher muss dem Einsatz von Cookies explizit zustimmen, sobald er die Seite betritt (nicht jedes Mal, sondern für eine bestimmte Session-Dauer, z.B. alle 30 Tage).
  • Der Seitenbesucher muss die Möglichkeit haben, alle oder bestimmte Cookies auszuschalten (Opt-Out, Browser-Einstellung, …). Wie er das tun kann, muust du ihm in deiner  Datenschutzerklärung in verständlicher Sprache erklären und entsprechende Opt-Out-Links bereit stellen.

 

Berechtigtes Interesse – Grauzone der DSGVO?

Auch die Nutzung von Tracking-Diensten musst du begründen können. Hierzu lässt der Gesetzgeber allerdings eine Lücke offen: Das sogenannte „berechtigte Interesse“.

Kurz gefasst heißt das berechtigte Interesse: Kannst du begründen, warum die Nutzung solcher Dienste für dein Geschäft wichtig ist, kannst du sie unter Einhaltung der o.g. Vorgaben nutzen. Laut RA Sören Siebert gilt auch ein „wirtschaftliches Interesse“ als ein berechtigtes Interesse. Also Begründung = „Finanzierung der Seite“ => Go for it!

Allerdings muss dazu gesagt werden, dass das Thema „berechtigtes Interesse“ noch ein sehr umstrittenes Thema ist, da es ja für alles Mögliche ausgenutzt werden könnte, um das Gesetz zu umgehen. Erst mit dem ersten Gerichtsurteil (irgendwer muss halt leiden) wird endgültig entschieden werden, was da geht und was nicht.

 

Datenschutzgrundverordnung: DSGVO für Blogger & Websitebetreiber| Blogger-Coaching.de - Erfolgreich bloggen & Geld verdienen

 

Recht auf Einsicht, Recht auf „Vergessenwerden“, Löschpflichten

Jede natürliche Person, deren personenbezogenen Daten du sammelst und/oder verarbeitest, hat per Gesetz ein Recht darauf, seine gespeicherten Daten einzusehen. Diese musst du der betroffenen Person auf Anfrage ohne schuldhaftes Zögern innerhalb von 30 Tagen in einer lesbaren Form bereitstellen. Für das Format gibt es, keine konkreten Vorgaben.

Ebenso hat jede natürliche Person, deren personenbezogenen Daten du sammelst und/oder verarbeitest, das sog. Recht auf Vergessenwerden. Konkret heißt das, die Person kann verlangen, dass du seine Daten aus allen Systemen löschst bzw. löschen lässt. Auch das muss auf Anfrage ohne schuldhaftes Zögern innerhalb von 30 Tagen erfolgen. Die betroffene Person ist darüber zu unterrichten.

 

Protokollierungspflicht

Das mit der Löschpflicht erscheint an manchen Stellen etwas kompliziert. Denn für bestimmte Dinge gibt es bestimmte Protokollierungspflichten. Das sind i.d.R. Daten, die steuerlich oder vertragsrechtlich relevant sind. Wie z.B. Kundendaten, Kaufverträge, Rechnungen etc. Diese kannst du nicht einfach löschen, selbst wenn die betroffene Person es verlangt. In diesem Fall musst du alle Daten löschen, die du nicht zwingend aufbewahren müsst. Es gilt also zu prüfen, ob ein anderes Gesetz die Löschpflicht aufhebt.

 

Beispiel: Kunde kauft in deinem Shop ein. Das System hat also Kundendaten, Bestellung, Kaufvertrag und Rechnung angelegt. Grundsätzlich müssen diese eine gewisse Zeit lang aufbewahrt werden. Darüber hinaus hat der Kunde bspw. seine Interessen angegeben, einen der vielen Newsletter abonniert, seine Haustiere benannt usw., sind das Daten, die nicht aufbewahrt werden müssen. Wenn der Kunde also verlangt, seine Daten zu löschen, musst du diese zusätzlichen Daten löschen und dem Kunden mitteilen, was gelöscht wurde und was nicht (und warum). Der Rest muss gespeichert bleiben, weil du eine Protokollierungspflicht für vertrags- und steuerrechtlich relevante Daten hast.

 

Wer keinen Shop hat, dürfte es an dieser Stelle leichter haben. Auf normalen Blogs werden i.d.R. keine relevanten Daten gespeichert, die von einer Aufbewahrungspflicht betroffen sind. Einzig die Server Logfile enthält Informationen, die vom Hoster protokolliert werden. Diese kannst du beim Hoster löschen oder löschen lassen. I.d.R. haben Hoster auch Löschkonzepte dafür, die bestimmen, wann Protokolldateien automatisch gelöscht werden sollen.

 

Newsletter, Protokollierung, Kopplungsverbot

Bei Newslettern müssen einige Dinge beachtet werden. Generell gilt:

  • Es muss gleich am Formular deutlich werden, dass es sich um eine Newsletter-Anmeldung handelt. (Ja, ich weiß, viele – gerade selbsternannte Marketing-Experten, die sich damit eigentlich auskennen sollten – teilen einem die NL-Anmeldung bei Freebies & Co. erst mit der Bestätigungsmail mit. Ist aber nicht erlaubt.)
  • Eine Anmeldung zum Newsletter muss freiwillig erfolgen.
  • Du darfst bei der Anmeldung zum Neswletter NUR die Daten sammeln, die für den Versand des Newsletters zwingend notwendig sind. Das heißt: E-Mail-Adresse. Ein anderes Feld darf  also theoretisch gar nicht in deinem Anmeldeformular auftauchen. Aber: Wenn du über/unter dem Formular begründest, warum du gern auch den Vornamen wüsstet, wenn der Abonnent den preisgeben möchte, soll das wohl i.O. sein. Das Feld für den Namen darf aber in keinem Fall ein Pflichtfeld sein.
  • Vor der Anmeldung musst du den Abonnenten in spe über die Datenschutzbestimmungen unterrichten! Und zwar in folgender Form:
    • Unmittelbar am Formular muss eine kurze und für Laien verständliche Erklärung vorhanden sein, wofür du die eingegebenen Daten brauchst.
    • Unmittelbar am Formular muss ein Hinweis auf die Datenschutzerklärung sein.
    • Der Abonnent in spe muss der Datenschutzerklärung zustimmen, bevor er sich anmeldet. Das geht am einfachsten mit einer Checkbox, die als Pflichteingabe deklariert wird. Newsletter-Anbieter müssen diese Funktion bereitstellen, da sie diese Eingabe auch protokollieren müssen. Wenn nicht, wechseln.
  • Bietest du mehrere Newsletter-Listen an, muss der Abonnent in spe bereits bei der Anmeldung auswählen können, welche er abonnieren möchte. Eine manuelle Übertragung in andere Listen ist nicht erlaubt.
  • Du musst direkt am Formular erklären, wofür der Newsletter da ist, was du verschickst (also was der Newsletter beinhalten wird) und in welchem Rhythmus du den versenden wollt. Wenn du z.B. schreibst, dass du die neuen Beiträge versendest, darfst du im Newsletter auch nichts anderes platzieren als die neuen Beiträge. Also überleg dir gut, wofür der Newsletter sein soll und formulier es verständlich aus.
  • Wenn du mehrere Newsletter-Listen anbietet, musst du den Abonnenten auch die Möglichkeit bieten, diese zu editieren und einzelne oder alle zu kündigen. Das ist aber i.d.R. ein Feature vom jeweiligen Newsletter-Dienst.
  • Niemals irgendwelche Abonnenten ohne Zustimmung manuell in die Listen eintragen!
  • Der Abonnent MUSS seine Anmeldung bestätigen (Double-Opt-In), ansonsten darf er nicht eingetragen werden. Im letzteren Fall müssen seine Daten innerhalb einer bestimmten Frist (ich glaube, es waren 7 Tage) gelöscht werden.
  • Die DSGVO führt für Newsletter ein Kopplungsverbot ein. Das heißt, dass Freebies & Co. keine Newsletter-Anmeldung mehr voraussetzen dürfen.

 

⇒ Mehr zu Newslettern und zum Kopplungsverbot

 

Datenschutzgrundverordnung: DSGVO für Blogger & Websitebetreiber| Blogger-Coaching.de - Erfolgreich bloggen & Geld verdienen

 

DSGVO in der Praxis – Was heißt das alles für Blogger?

Was heißen nun die Regelungen durch die DSGVO für Blogger? Das ist einfach: Du bist dafür zuständig, deine Geschäftsprozesse auf notwendige Datenverarbeitung zu beschränken. Daten, die du nicht zwingend brauchst, darfst du weder sammeln noch verarbeiten.

Das heißt aber auch: Du musst für die Sicherheit deiner Systeme sorgen, um die Daten zu schützen. Darin inbegriffen sind alle Systeme, nicht nur die Webseite. Firewalls, Antivirensoftware, Zugriffsbeschränkungen (Auf personenbezogene Daten darf kein Dritter zugreifen können. Also schauen, ob dein Cloudspeicher/externe Festplatte/… auch von deiner  Familie & Co. verwendet wird, Zugriffe beschränken etc.).

 

Für die praktische Umsetzung empfehle ich folgende Herangehensweise:

  1. Informieren
  2. Bedarfsanalyse (Identifizieren der Prozesse)
  3. Technische Umsetzung
  4. AVV
  5. Verfahrensverzeichnis anlegen

Diese Reihenfolge fand ich für mich einfach zu handhaben, wobei „Informieren“ eigentlich in alle Bereiche reinfließt, weil sich zwischendurch natürlich auch mal neue Fragen ergeben können.

 

Informieren – DSGVO für Blogger

Informieren… Check! ✅ Zumindest diesen Teil hätten wir mit diesem Beitrag zum großen Teil abgehakt.

 

Bedarfsanalyse & Technische Umsetzung – DSGVO für Blogger

Bevor du loslegst, ist es ganz wichtig, zu wissen, welche Prozesse eigentlich in die eigenen Arbeitsabläufe integriert sind. Oft übersieht man Dinge, die für einen selbstverständlich sind, für die DSGVO aber durchaus relevant sein können. Deswegen habe ich eine kleine Checkliste erstellt (ohne Anspruch auf Vorständigkeit), an der du dich entlang hangeln kannst:

  • Server Logfiles/Hoster
  • Kommentare
  • Kontaktformular
  • Cookies allgemein
  • Statistiken
  • Affiliate Partner
  • VG Wort
  • Adsense
  • Newsletter
  • Firewall-Plugins
  • Antispam-Plugins
  • Share-Buttons
  • Social Media Widgets
  • Google Fonts (und woher? Theme? Plugin? YouTube-Einbettung?)
  • Eingebettete YouTube-Videos
  • Cloud-Dienste, CDN (Wofür? Wer kann noch darauf zugreifen?)
  • Kontaktdatenbank (z.B. für Firmenkontakte)
  • Speicherort von Backups
  • Externe Festplatten/Homeclouds/sonstige Speichermedien (Wofür? Wer kann noch darauf zugreifen?)
  • Firewall, Antivirenscanner für PC, Laptop, Tablett, Handy (alles, womit du auf personenbezogene Daten zugreifst) vorhanden?

 

Auftragsverarbeitungsvertrag – DSGVO für Blogger

AV-Verträge mit allen Auftragsverarbeitern abschließen! Denk dabei an alle Anbieter und auch an Mitarbeiter u.ä., die auf die von dir gesammelten Daten Zugriff haben.

 

Verfahrensverzeichnis/Verzeichnis der Verarbeitungstätigkeiten – DSGVO für Blogger

Das Verfahrensverzeichnis (oder Verzeichnis der Verarbeitungstätigkeiten) muss jedes Unternehmen führen, das personenbezogene Daten sammelt und/oder verarbeitet. Unabhängig von der Unternehmensgröße. Auch Blogger und Websitebetreiber.

Es handelt sich dabei um eine detaillierte Auflistung der Prozesse, über die das Unternehmen personenbezogene Daten sammelt und/oder verarbeitet.

Es gibt eine ganz gute Vorlage, die du unter https://www.activemind.de/datenschutz/dokumente/verfahrensverzeichnis/ herunterladen kannst.

Dabei kannst du nach dieser Vorlage für jeden Prozess eine solche Datei anlegen, in der du die Prozesse, die Verantwortlichen, die AV, ggf. die Datenschutzbeauftragten, die rechtliche Grundlage und die Erfordernis, falls vorhanden deine Löschkonzepte, die TOM und noch viel mehr beschreiben musst.

Ich habe mir für eine bessere Übersicht eine eigene (einzelne) Datei erstellt, in der ich alle Prozesse erläutern kann. Das kann aber jeder halten, wie er möchte, solange alles Erforderliche darin enthalten ist.

 

Datenschutzbeauftragte/r – Wer braucht ihn und wer nicht?

Kurz und knapp: Wenn dein Unternehmen aus unter 10 Personen besteht, die auf die gesammelten Daten zugreifen können, brauchst du keine/n Datenschutzbeauftrage/n. Ab 10 Personen ist einer vorgeschrieben.

 

Und das Impressum?

Die Impressumpflicht bleibt von der DSGVO unberührt.

Im Rahmen der DSGVO wird von einigen Anwälten empfohlen, die für den Datenschutz verantwortliche Person zusätzlich im Impressum aufzuführen (so wie den „inhaltlich Verantwortlichen“).

Die Form der Angabe könnte z.B. sein:

Verantwortliche Stelle gemäß Art. 4 Nr. 7 DSGVO

Firmenbezeichnung

Name

Anschrift

E-Mail-Adresse

 

Hilfreiche Links – DSGVO für Blogger

 

261
Share to...