Home / Aktuelles & Termine / it.sec blog

Selbst für Amnesty sind Facebook, Google & Co. mittlerweile ein großes Thema.

 

In einem entsprechenden Bericht kritisiert Amnesty, dass sich diese Unternehmen mit ihren Plattformen und Diensten in fast jeden Winkel des digitalen Lebens von Menschen eingeschlichen haben.

 

Mehr als 4 Milliarden Menschen kommunizieren fast tagtäglich über das Internet, beruflich oder privat, sie verabreden und „versammeln“ sich dort. Die dabei notwendigen Dienste und Werkzeuge (Web-Browser, Suchmaschinen, Messenger-Dienste, Social-Media- und Video-Plattformen, Cloud-Speicher, Smart Speaker etc.), erhalten sie von den sog. Internet-Giganten. Im Gegenzug erlauben die Nutzer, dass ihre Daten und damit ihre Kommunikation stetig überwacht wird.

 

Sogar Personen, die ihre Dienste gar nicht nutzen, sind vor der Erfassung ihrer Daten nicht sicher, bspw. weil sie in den Kontaktverzeichnissen der Nutzer auftauchen oder auf Websites surfen, wo Tracking-Software implementiert ist.

 

Dabei werden nicht nur Daten über den einzelnen Menschen gesammelt, sondern auch von allen Seiten zusammengeführt, angereichert und algorithmisch ausgewertet. Dadurch sichern sich die Unternehmen gegenüber dem einzelnen Menschen eine informationsasymmetrische Machtposition, an der auch andere gerne teilhaben möchten und auch tatsächlich teilhaben - Stichwort Cambridge Analytica.

 

Der Bericht fordert daher die Unternehmen auf, die von ihnen verursachten Menschrechtsverletzungen endlich zu beheben. Die Regierungen werden aufgefordert, strengere Gesetze zu schaffen und deren Geltung auch durchzusetzen - denn die Selbstregulierung der Unternehmen hat bisher nur mäßig funktioniert.

 

Fazit: Die Datenschutzgrundverordnung ist da ein erster Schritt. Denn sie gilt auch für Facebook, Google und Co., wenn sie auf dem Markt der EU tätig werden. Allerdings mangelt es oftmals an der Durchsetzung. Entweder geht dies zu Lasten der Unternehmen in der EU, denen es an wirtschaftlichen Alternativen zu den Produkten der Anbieter mangelt, oder zu Lasten der für sie zuständigen Aufsichtsbehörden, die sich teils wohl in Sisyphusarbeit um Lösungsabsprachen im Interesse aller mit den Anbietern bemühen. Dies kann nur verbessert werden, wenn weltweit Regelungen wie in der Datenschutzgrundverordnung gelten würden.

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Verwendet ein Internetnutzer die Google-Suchmaschine, wird seine Suche zu der jeweiligen Domain des Staates weitergeleitet, welche anhand seiner IP-Adresse identifiziert wird. Nutzt er also eine IP-Adresse, die ihn bspw. in Frankreich ansässig erscheinen lässt, werden ihm ggf. Einträge zu einem anderen Menschen gar nicht erst angezeigt, wenn er diesen anhand von dessen Namen sucht.

So musste Google gemäß der Entscheidung des EuGH vom 13.05.2014 Einträge zu einem Betroffenen, die ihn namentlich erwähnten samt Angaben zu seinen Schulden, „auslisten“. Die Links zu von Dritten veröffentlichten Internetseiten mit Informationen zu ihm tauchten dann in der Ergebnisliste auf die entsprechende Suchanfrage hin nicht mehr auf.

Mit seinem Urteil vom 24.09.2019 hat der EuGH nun klargestellt, wie weit diese „Löschpflicht“ von Google reicht: Hat eine betroffene Person ein Recht auf eine solche Auslistung, ergibt sich damit noch nicht, dass dieses Recht über das Hoheitsgebiet der Mitgliedstaaten hinausgeht. Das bedeutet, dass die Einträge zu dieser Person erst einmal weiterhin über Domains anderer Staaten, die keine EU-Mitglieder sind, abrufbar bleiben. Google muss die entsprechenden Einträge dort nicht auslisten, sondern nur wirksam verhindern, dass Internetnutzer in EU-Mitgliedstaaten diese Einträge in ihrer Ergebnisliste auffinden.

Der EuGH weist aber darauf hin, dass eine Aufsichtsbehörde dennoch in Einzelfällen befugt sein kann, Suchmaschinenbetreiber wie Google anzuweisen, die Einträge in allen Versionen ihrer Suchmaschine auszulisten, wenn eine Grundrechtsabwägung ergibt, dass das Recht der betroffenen Person auf Achtung ihres Privatlebens und auf Schutz der sie betreffenden personenbezogenen Daten höher zu werten ist als das Recht auf freie Information.

S. Kieselmann

Beraterin für Datenschutz

Die SPD befürwortet ein Daten-Für-Alle-Gesetz.

 

Hintergrund ist wohl, trotz strenger datenschutzrechtlicher Bestimmungen am digitalen Fortschritt ebenso teilnehmen zu können wie Diktaturen und Staaten mit nicht angemessenem Datenschutzniveau.

 

Daten bedeuten Macht und entsprechend soll das Datenmonopol der digitalen Konzerne wie Google, Facebook und Co. mit einem solchen Gesetz aufgelöst werden, indem sie gezwungen werden, „ihre“ Daten der Allgemeinheit zur Verfügung zu stellen.

 

Als „kollektive“ Daten und damit Allgemeingut sollen sie dann „zum Wohl des Einzelnen und für unsere Gemeinschaft“ genutzt werden, um Innovationen bspw. auf dem Gebiet der Künstlichen Intelligenz zu fördern und europäische Unternehmen wettbewerbsfähig zu halten („Prinzip von Open Data“).

 

Statt „exklusive[r] Eigentumsrechte“ soll es „darum gehen, den Zugang zu Daten zu verbreitern.“

 

Das Recht auf informationelle Selbstbestimmung „macht den Einzelnen grundsätzlich zum Herrn der ihn betreffenden Daten“ (Gola/Schomerus, BDSG, 11. Auflage § 1 Rn 10). Die „Eigentumsverhältnisse“ sind eigentlich somit klar.

 

Auch wenn das „grundlegende Recht auf Datenschutz der Einzelnen“ durchgehend betont wird:

 

Konzerne wie Facebook verdienen nicht deshalb so viel Geld, weil sie vollständig anonymisierte und damit eben keine personenbezogenen Daten verarbeiten; Skandale wie Cambridge Analytics haben dies immer wieder gezeigt. Im besten Fall handelt es sich um zunächst einmal pseudonymisierte Daten, die sich aufgrund ihrer Menge und der Hinzuspeicherung von Daten aus einer Vielzahl von Quellen leicht zu personenbezogenen Daten verdichten können.

 

Mit dem Konstrukt der „kollektiven Daten“ aus dem Bestand der digitalen Großkonzerne wirkt die Idee eines Daten-Für-Alle-Gesetzes auf den ersten Blick daher eher wie ein latenter Vorwurf an den Datenschutz (zwar nett, aber im Zeitalter von Post Privacy veraltet) und ein Hofieren der Innovationskraft von Google, Facebook und Co., an der man teilhaben möchte.

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Die Datenschutzgrundverordnung (DSGVO) ist gut ein halbes Jahr alt. Die anfängliche Aufregung war spürbar, doch seit ein paar Monaten ist es ruhiger geworden um die DSGVO. Nun wurde aber das erste ernstzunehmende europäische Bußgeld für Google erlassen.

 

Google soll in Frankreich insgesamt 50 Millionen Strafe zahlen. Die französische Datenschutzbehörde CNIL stellte eine Vielzahl von Verstößen gegen die DSGVO fest.

 

Informationen zur Verarbeitung der erhobenen Daten und der Speicherdauer sind für die Nutzer nur schwer zugänglich, erklärte die französische Datenschutzbehörde am Montag. Die Informationen sind in mehreren Dokumenten verteilt. Auch ist Vieles unklar formuliert.

 

Zudem ist nach Ansicht der Aufsichtsbehörde die von Google eingeholte Einwilligung zur Anzeige von personalisierter Werbung nicht rechtskonform. Die Einwilligenden werden nicht ausreichend informiert.

 

Google wolle nun nach einer ausführlichen Prüfung des Bescheides die Transparenz bzgl. der Daten erhöhen.

 

 

Dr. Bettina Kraft

 

Teamleitung und Senior Consultant für Datenschutz

 

Volljuristin

Die größten Browserhersteller Mozilla, Google, Apple und Microsoft haben angekündigt, dass ihre Browser ab 2020 die älteren Versionen von TLS, nämlich TLS 1.0 und TLS 1.1, nicht mehr unterstützen. Das bedeutet, dass Seiten, die nicht mindestens TLS 1.2 unterstützen, dann nicht mehr aufrufbar sein könnten, mindestens aber als unsicher markiert werden.

Dies wurde von den Browserherstellern zeitgleich bekannt gegeben. Nachdem nun von Chrome auch Seiten ohne HTTPS als "nicht sicher" klassifiziert werden, ist dies ein weiterer Schritt, um Benutzer sicherer surfen zu lassen.

Grund für die Abschaffung sind hauptsächlich schwache Hash-Verfahren wie beispielsweise MD5 und SHA1, welche momentan beide gebrochen werden können. Sollte ein Angreifer also lesend Zugriff auf Netzwerkverkehr erhalten, so kann er versuchen, die Verschlüsselung zu brechen. Hierdurch erhält er unter Umständen Zugriff auf sensible Informationen seines Opfers, beispielsweise die Zugangsdaten.

Außerdem bieten die alten TLS Versionen weitere Angriffsmöglichkeiten, wie z. B. BEAST oder POODLE.

Momentan stellen Verbindungen, welche mit TLS 1.0 und TLS 1.1 gesichert werden, allerdings nur einen verschwindend geringen Anteil dar: laut Google's Security Blog werden nur 0.5% aller HTTPS-Verbindungen mit TLS 1.0 oder TLS 1.1 aufgebaut. Da TLS 1.2 schon 2008 als Empfehlung galt, war genug Zeit, um auf die neueren Versionen umzustellen.

Tatsächlich spielt nicht nur die verwendete Version des TLS-Protokolls eine Rolle, sondern auch die angebotenen Cipher. Unter einem Cipher versteht man die bei SSL/TLS eingesetzte Kombination von Verschlüsselungs-, Signatur- und Hashverfahren. Werden diese zu schwach gewählt, kann die Verschlüsselung potenziell gebrochen werden. Zwar wird standardmäßig der stärkste verfügbare Cipher zwischen Client und Server ausgehandelt, jedoch kann ein Angreifer hier eingreifen und eine sehr schwache Verbindung zwischen seinem Opfer und dem Server erzwingen. Diese Attacken werden "TLS Protocol Downgrade Attacks" genannt.

Christian Stehle

IT Security Consultant

Bei Google Analytics handelt es sich um ein Instrument zum Webtracking bzw. zur Reichweitenanalyse im Internet, mit dem das Surfverhalten der Webseitennutzer anhand der über diese erhobenen Daten (Online-Kennzeichnungen (einschließlich Cookie-Kennungen), Internet-Protokoll-Adressen und Gerätekennungen, vom Webseitenbetreiber vergebene Kennzeichnungen) zu Zwecken der bedarfsgerechten Gestaltung der Webseiten analysiert werden kann. Um einen datenschutzkonformen Einsatz des Analysetools Google Analytics gewährleisten zu können, sind eine Reihe von Maßnahmen durch den Webseitenbetreiber (= Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO) zu ergreifen.

Insbesondere muss ein Vertrag zur Auftragsverarbeitung zwischen dem Webseitenbetreiber und dem Anbieter von Google Analytics abgeschlossen werden. Der bisher von Google Inc. zur Verfügung gestellte Vertrag entspricht noch nicht den Vorgaben von Art. 28 DSGVO. Daher stellt Google LLC (vormalige Bezeichnung Google Inc.) nun unter https://privacy.google.com/businesses/processorterms/ sog. „Auftragsdatenverarbeitungsbedingungen“, die alle Regelungsinhalte aus Art. 28 DSGVO enthalten, zur Verfügung, denen die Webseitenbetreiber, die Google Analytics einsetzen, in ihren Kontoeinstellungen zustimmen müssen.

Der Webseitenbetreiber muss des Weiteren zustimmen, dass Daten der Webseitennutzer auch außerhalb der EU/EWR übermittelt werden. Diese Datenübermittlungen in Drittstaaten sollen gemäß den Auftragsdatenverarbeitungsbedingungen jedoch abgesichert sein durch die seit dem 26.09.2016 bestehende Privacy Shield-Zertifizierung der Google LLC sowie ihrer hundertprozentigen Tochtergesellschaften (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active).

Es bleibt abzuwarten, wie sich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, mit dem der bisher von Google zur Verfügung gestellte Vertrag zur Auftragsverarbeitung abgestimmt wurde, zu den neuen Auftragsdatenverarbeitungsbedingungen äußern wird.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abwehr terroristischer Straftaten ADCERT AfD Airbnb Amnesty Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anwendbarkeit Anwendung Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesfinanzministerium Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsch Deutsche Bahn Deutsche Bundesbank Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Englisch Entlastung Entsorgung ePrivacy ePVO Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Finanzsektor Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Foto Framework freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesellschaft für Informatik Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien Hack hack day Hackathon hacken Hacker Hackerangriff hackfest Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Intrusion-Prevention-Systeme Investition IP-Adresse IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Krankenkasse Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Landesverband Laptop Lazarus Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button Löschpflicht Löschung personenbezogener Daten Löschungsrecht Lösegeld Machtposition Makler Malware Markennamen Markenrecht Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen öffentliche Stelle Office Office 365 Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schüler Schutzmaßnahmen schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber SHA1 sicher Sicherheit Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchmaschine Supercomputer Risikolage Support Swiss IT Security Gruppe Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TIBER TIBER-DE TKG TLS TMG TOM Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Übernahme Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videoüberwachung Virus Vorteile Wachstum WAF WannaCry Web-Applikation-Firewalls Webseite Webseiten Website Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wirklichkeitsmodell Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff Zugriffsverwaltung Zukauf zulässig Zulässigkeit Zusatzschutz zuständig Zwangsgeld § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mon Tue Wed Thu Fri Sat Sun
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31