Die neueste Sau im Datenschutz-Dorf: Massenabmahnungen wegen extern eingebundener Schriften auf Websites. So reagiert man richtig:
Es gibt wenige Dinge, vor denen Politiker so viel Angst haben wie vor dem Cyber. Sie haben ihm ein eigenes Abwehrzentrum gebaut und trotzdem schlottern ihnen bis heute die Knie. Aber es gibt etwas (aus dortiger Warte) noch Gefährlicheres: Abmahnungen. Eigentlich ein Instrument, mit dem sich Betroffene gegen Straftaten wie Patentverletzungen zur Wehr setzen können, dient es der Durchsetzung von Unterlassungsansprüchen. Das ist in Zeiten von Filesharing etwas in Vergessenheit geraten. In der öffentlichen Wahrnehmung steht heute im Vordergrund, dass sie eine Gelddruckmaschine für Raffzähne seien. Folgerichtig war auch die größte Befürchtung seitens der Politik nicht etwa die Überforderung eigentlich aller, vom Sportverein bis zum Großkonzern, mit den wirren, widersprüchlichen und unbefolgbaren Regelungen der DSGVO, sondern:
Abmahnungen
Zur Enttäuschung der Kassandrarufer stand allerdings lange das politische Versagen im Rampenlicht, das die DSGVO ist, und nicht der eigentlich dafür auserkorene Blitzableiter, nämlich die „Abmahnindustrie“.
„Das kann nicht sein“, dachte sich ein Rechtsanwalt aus Berlin und ein von ihm vor den Karren gespannter Berufsbetroffener. Sie initiierten jetzt die lang erhoffte „Abmahnwelle“ und sie wogt durchs Land. Dazu brauchte es natürlich einerseits einen Aufhänger, andererseits leicht ermittelbare und häufig vorkommende Rechtsverstöße. So, wie sich selbst an „schwarzen Rauchern“ in der Tiefsee bei mehreren 100° C auf Schwefel basierende Organismen ansiedeln, finden sich bei den geschilderten Bedingungen immer auch irgendwelche Glücksritter, die das große Geschäft wittern. So auch hier.
Aber ist dem Vorhaben Erfolg beschieden? Es stellt sich das eingangs bereits beschriebene Problem: Die DSGVO ist kaputt. Sie ist bis oben hin voll mit Widersprüchen und unbeantwortbaren Abwägungsfragen. Dieser Fall zeigt das exemplarisch, was für die Abgemahnten gute Verteidigungsaussichten zur Folge hat. Die nachfolgende Darstellung ist dreigeteilt: Zunächst sollen Sachverhalt und Rechtslage dargestellt, im zweiten Teil eine Handlungsempfehlung gegeben werden.
1. So sieht’s nämlich aus!
Für die weitere Beurteilung ist es immens wichtig, die faktischen Abläufe auch und gerade in technischer Hinsicht sehr sauber zu analysieren. Viele, teils zentrale Entscheidungen des Bundesgerichtshofs, aber auch des EuGH, kranken daran, dass sie Tatsachenmaterial aus Vorinstanzen oder Vorlagefragen verwerten mussten, die in dieser Hinsicht mangelhaft waren. Wie zu zeigen sein wird, führt eine korrekte Betrachtung der Gesamtumstände zu Ergebnissen, die den Berufsbetroffenen und seinen abmahnenden Freund absehbar noch betroffener machen werden.
In der Abmahnung wird behauptet, der Berufsbetroffene hätte die Website des Abgemahnten besucht und dieser hätte externe Schriftarten des Anbieters Google Inc. mit Sitz in den USA eingebunden. Folge sei gewesen, dass die IP-Adresse, unter der der Abruf erfolgt ist, an das US-Unternehmen übermittelt worden sei. Das sei irgendwie verboten und begründe einen Schadensersatzanspruch. Dabei ist die Sachverhaltsdarstellung des Berufsbetroffenen meist zutreffend und wird in der Abmahnung auch dokumentiert.
Dabei verhält es sich im Ausgangspunkt so, dass der Berufsbetroffene eine Website des Abgemahnten aufruft. Das bedeutet in technischer Hinsicht, dass eine Aufforderung an den Webserver des Abgemahnten gesandt wird, dieser möge den Inhalt einer dortigen Datei an den Webbrowser des Berufsbetroffenen senden, der unter einer bestimmten IP-Adresse erreichbar ist. Dieser sogenannte GET-request setzt also voraus, dass der Berufsbetroffene dem Server die von ihm genutzte IP-Adresse (bewusst heißt es nicht: „seine“) mit der Aufforderung zur Auslieferung von Daten übermittelt. Schon im Ausgangspunkt bedeutet das: Der Berufsbetroffene ist aktiv, der Abgemahnte ist passiv.
Dem GET-request folgend wird nun eine Datei an den Webbrowser des Berufsbetroffenen übermittelt. Der Webbrowser verarbeitet diese Datei, um ihren Inhalt am Bildschirm lesbar darzustellen (der Fachbegriff lautet „Rendern“).
Die so verarbeitete Datei enthält nun einen Code-Schnipsel, der zur schickeren Darstellung der Website bestimmte Schriftarten von einem externen Server unter der Kontrolle von Google Inc. herunterlädt. Das funktioniert nach dem gleichen Prinzip: Es wird vom Browser des Berufsbetroffenen ein „GET-request“ an den Server von Google – nicht des Abgemahnten – gesendet, der daraufhin wie von dem Berufsbetroffenen erbeten die Schriftart ausliefert, damit er sich an einer schöneren Website erfreuen kann. Während Google Inc. ein in den USA ansässiges Unternehmen ist, ist unklar, ob der jeweilige Server physisch auch dort steht. Das ist deshalb unwahrscheinlich, weil seit mehr als einer Dekade Stand der Technik ist, dass die Last, die mit den enormen Datenmengen einhergeht, die von Google verarbeitet werden, auf weltweit aufgestellte, redundante Server verteilt wird. Die befinden sich geographisch stets möglichst nah am jeweiligen anfragenden Nutzer (hier: dem Berufsbetroffenen). Für die Zwecke dieser Darstellung wollen wir dem Berufsbetroffenen trotzdem mal glauben, dass der Server im konkreten Fall in den USA stand. Damit stellt sich der zu begutachtende Sachverhalt zusammengefasst wie folgt dar:
Der Berufsbetroffene hat den Abgemahnten aufgefordert, ihm eine Datei zu übersenden. Er hat diese Datei dann mit seinem Browser verarbeitet und im Zuge dieser Verarbeitung eine Bitte an einen Server von Google Inc. in den USA gesandt, dieser möge ihm eine bestimmte Schriftart ausliefern, was dieser dann auch getan hat.
2. Rechtslage
Der Berufsbetroffene macht in seiner Abmahnung bizarrer Weise eine Verletzung seines Allgemeinen Persönlichkeitsrecht geltend. Wir schubsen ihn sanft auf die richtige Spur und prüfen stattdessen einen einschlägigen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO. Was also braucht es für eine zünftige Datenschutzrechtsverletzung, die ja Voraussetzung für alle denkbaren Folgeansprüche wäre? Richtig:
a) Personenbezogene Daten
Der Berufsbetroffene stützt seine Abmahnung auf die Einbindung von Google Fonts und stört sich demnach wohl nicht an der Übermittlung seiner IP-Adresse an den Abgemahnten. Die Frage ist daher (nur), ob die IP-Adresse, die er im zweiten Schritt an Google Inc. gesandt hat, als personenbezogenes Datum zu qualifizieren ist. Das ist nicht der Fall.
Der Europäische Gerichtshof hat die Frage, ob eine IP-Adresse ein personbezogenes Datum sein könne, in der Sache „Breyer“ vorgelegt bekommen (EuGH, Urt. v. 19.10.2016, C-582/14 – Breyer). Er hat, wie in Folge seiner Entscheidung auch der Bundesgerichtshof, diese Frage dann im Rahmen seiner Möglichkeiten beantwortet. Und die waren leider durch unzureichenden Tatsachenvortrag und deshalb kaputte Vorlagefragen stark eingeschränkt. Im Ergebnis ist dem EuGH allerdings zuzustimmen, dass eine IP-Adresse dann ein personenbezogenes Datum sein kann, wenn sie einer bestimmten Person zugeordnet werden kann. Dabei ist es erforderlich, aber auch ausreichend, dass der jeweilige Verantwortliche über Mittel verfügt, die
„vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter, und zwar der zuständigen Behörde und dem Internetzugangsanbieter, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen“ (Rn. 48 des Urteils).
Das ist vorliegend nicht der Fall. Unterstellen wir großzügig, der Berufsbetroffene sei der Inhaber des Anschlusses, dem im Zeitpunkt des Abrufes die IP-Adresse zugeordnet war. Dann müsste Google Inc. in der Lage sein, zur Not über den Umweg einer Anfrage bei einer Behörde und deren Ermittlungen bei dem Internetzugangsanbieter des Berufsbetroffenen eine Verknüpfung zwischen dem konkreten Abruf sowie der damit verbundenen Übermittlung der IP-Adresse und dem Berufsbetroffenen herzustellen.
Das ist aber nicht so; diese Möglichkeit existiert nicht.
Hier schlägt die, vorsichtig formuliert, unvollkommene Vorlagefrage des BGH, die ihrerseits mit überwiegender Wahrscheinlichkeit auf unsachgemäßem Vortrag der Parteien des Rechtsstreits beruhte, voll durch. Von der Tatsache, dass von einem bestimmten Anschluss aus ein GET-request zu einem bestimmten Zeitpunkt an einen bestimmten Server gesendet wurde, lässt sich nämlich unter keinem denkbaren Gesichtspunkt auf die Person rückschließen, die diesen GET-request veranlasst hat. Auch nicht ein bisschen. Auch nicht, wenn sie zufällig identisch mit dem Anschlussinhaber ist. Das ist zwar möglich. Für eine Identifikation müsste das aber zwingend so sein. Der Europäische Gerichtshof und der BGH gingen in ihren Entscheidungen von einem Sachverhalt aus, der sicherlich bereits seinerzeit falsch war und jedenfalls in den hier relevanten Abmahnfällen nicht zutrifft. Der EuGH schreibt nämlich unter Rn. 25:
„Dabei sei der Dritte im vorliegenden Fall der Internetzugangsanbieter von Herrn Breyer, der Zusatzdaten gespeichert habe, die die Identifizierung von Herrn Breyer anhand der IP-Adressen ermöglichten.“
Das ist vorliegend nicht der Fall. Die Information, von einer bestimmten IP-Adresse sei zu einem bestimmten Zeitpunkt ein GET-request versandt worden, lässt keinen Schluss darauf zu, dass der Berufsbetroffene diesen veranlasst hat.
Wendet man nun den Blick von diesem Datum ab, kann man sich fragen, ob nicht möglicherweise die zugleich mit dem GET-request übermittelte Information „es existiert die nachfolgende IP-Adresse: 123.123.123.123“ ein personenbezogenes Datum darstellt. Wir wollten ja unterstellen, dass der Berufsbetroffene zugleich Anschlussinhaber ist. Auch hier ist wieder zu fragen, ob gegebenenfalls unter Zuhilfenahme mit vertretbarem Aufwand verfügbarer Informationen Dritter eine Verknüpfung zwischen der IP-Adresse und dem Berufsbetroffenen hergestellt werden kann. Auch das ist nicht der Fall. Und auch hier schlägt wieder der kaputte Sachverhalt der zitierten Urteile durch: Die Vermutungen des BGH in seiner Vorlage, die der EuGH lediglich zitiert, sich aber nicht zu eigen macht, zu dieser Frage sind unzutreffend. Jedenfalls im konkreten Fall gilt: Google Inc. kann nicht über den Internetzugangsanbieter eine Verknüpfung zwischen der IP-Adresse und dem Berufsbetroffenen herstellen. Wie der Europäische Gerichtshof nämlich zu Recht ausführt, müssen dabei alle Mittel außer Ansatz bleiben, die gesetzlich verboten sind (s. Rn. 46 des Urteils). Der Bundesgerichtshof hat gemutmaßt, dass der Website-Betreiber im dortigen Fall (der eine Website der öffentlichen Hand betraf, übrigens) sich „im Fall von Cyberangriffen“ an die Staatsanwaltschaft wenden könne (vom EuGH als „zuständige Behörde“ bezeichnet). Diese könne im Zuge ihrer Ermittlungen die zu verknüpfenden Informationen vom Internetzugangsanbieter herausverlangen und dem Website-Betreiber im Zuge von Akteneinsicht zugänglich machen.
Es zeigt sich einmal mehr: Nichts ist schlimmer als der Cyber. Jetzt greift er sogar schon an.
Jedenfalls: Von dem Abgemahnten geht und ging im vorliegenden Fall kein Cyberangriff aus. Eine gleichwohl erfolgende Strafanzeige mit dem Ziel, ihn zu identifizieren, verstieße damit gegen ein gesetzliches Verbot. Dem ist gleich ein ganzer Abschnitt im Strafgesetzbuch gewidmet, nämlich der zehnte. Er ist überschrieben mit „Falsche Verdächtigungen“. Verbotene Mittel sind aber keine, die vernünftigerweise eingesetzt werden könnten. Andere Möglichkeiten, an die nötigen Informationen zu kommen, hat Google Inc. nicht. Finito la musica.
Zusammengefasst: Der GET-request des Betroffenen an Google Inc. beinhaltete kein personenbezogenes Datum, sondern nur eine nichtssagende Zeichenfolge.
Doch halt! Google ist fast so schlimm wie der Cyber, raunen sich Menschen im Internet zu. Man weiß nicht genau, wie, aber Google soll über seine Omnipräsenz im Internet in der Lage sein, Nutzer irgendwie über ihr sonstiges Verhalten sicher zu identifizieren und auf diesem Weg irgendwie auch mit einer bestimmten IP-Adresse zu verknüpfen.
Doch auch diese Überlegung hilft dem Berufsbetroffenen nicht weiter. Das gilt einerseits aus den gleichen Gründen, aus denen oben der Personenbezug des GET-requests verneint wurde: Wir betrachten hier isoliert die Anfrage des Browsers an den Server von Google: „Sende mir eine bestimmte Schriftart“. Google erklärt in seinen Nutzungsbedingungen, dass bei derartigen Anfragen keine weiteren Informationen des anfragenden Systems abseits des blanken GET-requests verarbeitet würden. Damit ist es auch für Google nicht möglich, nachzuvollziehen, welcher konkrete Benutzer den GET-request gesendet hat. Die IP-Adresse lässt ja keinen Schluss auf das Endgerät und damit den Nutzer, sondern nur auf den Anschluss zu.
„Aber das kann doch nicht sein!“, höre ich sie rufen. „Google ist der Doppel-Cyber! Google kann bestimmt später noch Drittdaten beiziehen und daraus irgendwie schlussfolgern, dass sich mit einiger Wahrscheinlichkeit hinter der IP-Adresse ein bestimmter Benutzer verbarg! Bestimmt war es der arme Berufsbetroffene!“.
Das kann dahinstehen, denn das juckt uns nicht. Das liegt an den gesetzlichen Regelungen zur
b) Verantwortlichkeit.
Wie wir gezeigt haben, hat der Berufsbetroffene eine Anfrage an einen US-Server von Google Inc. gesandt und dieser ihm den gewünschten Inhalt ausgeliefert. Damit ist klar, dass Verantwortlicher im datenschutzrechtlichen Sinn Google Inc. ist, was diesen Prozess betrifft. Allerdings: Insoweit hat der Berufsbetroffene nicht ganz unrecht. Der Abgemahnte hat eine wesentliche Bedingung für diesen Verarbeitungsvorgang gesetzt, indem er dem Berufsbetroffenen seinerseits eine Datei ausgeliefert hat, die die Grundlage der Anforderung durch den Berufsbetroffenen bildet. Versteht man den Begriff des Verantwortlichen weit, und der EuGH besteht darauf, dass man das müsse, wird man in dieser Konstellation schon annehmen können, dass auch der Abgemahnte hinsichtlich des hier allein interessierenden GET-requests an Google über Zweck und Mittel der Verarbeitung (mit-) entschieden hat. Er dürfte insoweit (grundsätzlich und bei üblicher Nutzung der Website, mehr unten) als Mitverantwortlicher im Sinne von Art. 26 DSGVO zu qualifizieren sein. Wie eingangs allerdings schon erwähnt: Das macht nichts. Das ganze unsubstantiierte Voodoo-Gedöns, das man Google raunend unterstellt und das eine spätere Zuordnung ermöglichen soll, geht ihn nämlich nichts an. Das wiederum hat der Europäische Gerichtshof in anderer Angelegenheit unmissverständlich klargestellt:
„Dagegen ist nach diesen Informationen auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel der Vorgänge der Verarbeitung personenbezogener Daten entscheidet, die Facebook Ireland nach der Übermittlung dieser Daten an sie vorgenommen hat, so dass Fashion ID für diese Vorgänge nicht als verantwortlich im Sinne von Art. 2 Buchst. d angesehen werden kann.“ (EuGH, Urt. v. 29.07.2019, C-40/17 – Fashion-ID, Rn. 76).
Was auch immer für ein Voodoo-Gedöns Google daher nachträglich veranstaltet: Das ist nicht das Bier des Abgemahnten. Letztlich kann diese Frage allerdings auch deshalb dahinstehen, weil der Nachweis des genannten Voodoos dem Abgemahnten nicht gelingen wird. Das schon deshalb, weil Google Inc. in den Nutzungsbedingungen für Google Fonts ausdrücklich klarstellt, dass es keinen Voodoo veranstaltet. Zugleich setzte das Voodoo zwingend voraus, dass der Verantwortliche selbst die erforderlichen Zusatzinformationen an Google Inc. übermittelt hat. Damit ist für die Zwecke des hier zu prüfenden Schadensersatzanspruchs klar, dass der Berufsbetroffene gegenüber Google Inc. seine eigene Identifizierung selbst ermöglicht hätte. Darin liegt zugleich der Nachweis, dass der Abgemahnte „in keiner Weise“ für einen eventuellen Schaden verantwortlich wäre, womit er vom Haken ist: Art. 82 Abs. 3 DSGVO. Es war ja der Berufsbetroffene selbst, der sich gegenüber Google nackig gemacht hätte.
c) Aufgedrängte Verarbeitung
Damit ist die Prüfung zu Ende. Stellen wir uns allerdings vor, wir hätten es doch mit personenbezogenen Daten zu tun, nur so zum Spaß. Was wäre dann?
Wie eingangs schon erwähnt, setzt eine Haftung des Abgemahnten voraus, dass er „Verantwortlicher“ im datenschutzrechtlichen Sinne ist, also über „Zweck und Mittel der Verarbeitung“ entscheidet. Voraussetzung ist damit auch, dass der Abgemahnte über das „ob“ der Verarbeitung entscheidet. Das ist vorliegend allerdings nicht der Fall. Es ist der Berufsbetroffene, der über Zweck, Mittel und Verarbeitung entscheidet. Er geht zielgerichtet vor. Er will gerade, dass sein Browser einen GET-request an Google Inc. sendet, damit er seine Abmahnung schreiben kann, und lädt nur zu diesem Zweck eine Datei von dem Abgemahnten herunter. Der Abgemahnte schaufelt sich dabei, so die Hoffnung des Berufsbetroffenen, sein eigenes Grab und stellt ihm auch noch die Datei zur Verfügung, die der Berufsbetroffene braucht, um die vermeintliche Rechtsverletzung durch Google Inc. begehen zu lassen.
Sein Problem ist aber: Hier bricht der Zurechnungszusammenhang. Der GET-request an Google beruht nicht auf einer Entscheidung des Abgemahnten, sondern (allein) des Berufsbetroffenen. An dessen planmäßigem Vorgehen kann dank der hervorragenden Arbeit von Herrn Rechtsanwalt Stephan Schmidt kein Zweifel bestehen. Der unter dem Handle @stephanschmidt bei Twitter aktive Kollege hat nämlich fleißig Abmahnungen unter Rechtsanwaltskollegen gesammelt und die darin enthaltenen Informationen aggregiert (Werbung: Den Autor findet man dort auch, nämlich unter @franzonbrands). Nicht nur die professionelle Dokumentation der angeblichen Rechtsverletzung, auch die zeitlichen Zusammenhänge und die schlichte Zahl an Abmahnungen gebieten insoweit jedem vernünftigen Zweifel Schweigen: Der Berufsbetroffene und sein Anwalt sind gewerblich unterwegs. Die benutzen einen Crawler. Und damit sind sie es, nicht der Abgemahnte, der über die Verarbeitung entschieden hat.
Das ist übrigens, das zur Ergänzung, bei einem weniger hinterhältigen „normalen“ Internetnutzer anders. Der ruft arglos eine irgendwie inländisch aussehende Domain auf und wird mit dem Download der Datei nebst enthaltenem Code-Schnipsel und deren rendering durch seinen Browser zum dolosen Werkzeug gegen sich selbst: Er wird vom Website-Betreiber zum Absenden eines GET-requests (fremd) bestimmt. Aber darauf kommt es hier ja nicht an; der Berufsbetroffene weiß und will ganz genau, was er tut.
d) Der Teufel in Länderform: Drittlandsübermittlung in die USA?
Der Berufsbetroffene irrt auch, wenn er glaubt, irgendjemand nehme (zumal zu seinen Lasten) irgendwelche Auslandsübermittlungen vor. Auch hier lohnt wieder ein Blick auf die Technik: Es ist der Berufsbetroffene selbst, der die IP-Adresse an Google Inc. sendet. Dort wird sie verwendet, um ihm die gewünschte Schriftart auszuliefern. Vor allem aber scheitert eine Drittlandsübermittlung im Sinne von Art. 44 ff. DSGVO daran, dass Google Inc. eine im Drittland ansässige juristische Person ist, die (unterstellt) personenbezogene Daten von Betroffenen in der Europäischen Union verarbeitet. Sie unterfiele damit selbst dem Anwendungsbereich der DSGVO, Art. 3 Abs. 2 a) DSGVO. Man kann keine Daten an sich selbst übermitteln; die Art. 44 ff. DSGVO setzen einen Dritten, einen Empfänger voraus. Damit scheidet auch ein Verstoß gegen Art. 44 ff. DSGVO von vornherein aus.
e) Schäden und andere Bagatellen
Nur ergänzend sei darauf hingewiesen, dass die Finalität des Vorgehens in jedem Fall auch dazu führt, dass es angesichts der „Selbstverletzung“ an einem Schaden fehlte. Im Mindestmaß müsste der Berufsbetroffene sich ein einhundertprozentiges Mitverschulden anrechnen lassen, § 254 BGB. Auf die Frage, ob dem Berufsbetroffenen überhaupt ein Schaden entstanden ist, was unter Bagatellgesichtspunkten höchst zweifelhaft ist, und einen zugleich sehr deutlich auf der Hand liegenden Rechtsmissbrauch kommt es danach nicht mehr an.
f) Auskunft?
Der Vollständigkeit halber: Was ist mit einem Auskunftsanspruch? Diesen hatte der Berufsbetroffene zumindest in einem Teil der Abmahnungen mit geltend gemacht. Hierzu gibt es eine witzige Anekdote, nämlich eine Pressemitteilung der hessischen Datenschutzaufsicht. Die erklärt zwar vornehm, sich in Zivilrechtsstreitigkeiten nicht einmischen zu dürfen, weist aber zugleich in drei Meter hohen brennenden Lettern und wild zwinkernd darauf hin, dass doch ein Rechtsmissbrauch nahe liege. Das gelte nämlich immer dann, wenn ein Auskunftsanspruch nicht dazu diene, die Rechtmäßigkeit einer Verarbeitung und das Bestehen und oder Nichtbestehen von Ansprüchen aus der DSGVO zu prüfen.
Es zeigt sich einmal mehr: Abmahnungen sind schlimm, schlimmer sogar als der Cyber. Der hessische Landesdatenschutzbeauftragte: Er mag sie nicht. Wie aber die Behörde auf die Idee kommt, ausgerechnet in diesem Kontext fehle es an einer Konnexität des Auskunftsbegehrens zu Datenschutzfragen, ist ein Rätsel. Dem Berufsbetroffenen geht es um nichts anderes. Man kann im vorliegenden Fall mit guten Argumenten einen Rechtsmissbrauch (des Vorgehens im Ganzen) bejahen, aber ebenso sicher nicht mit diesem Argument.
Zum Glück werden wir diese Frage nie klären müssen, weil es ja, wie gezeigt, schon an personenbezogenen Daten wie auch einer Verantwortlichkeit des Abgemahnten für den Verarbeitungsvorgang fehlte.
3. Was also ist zu tun?
Ignorieren.