It took the @Telemedicus Wochenrückblick to alert me to this, which is a bit embarassing - but in case anyone missed it: Thursday last week, the CJEU ruled that #ZeroRating offerings violate the EU #NetNeutrality Regulation (also called TSM Regulation).
Some more background:
First of all, fort those not familiar with the legal background - here is a general introduction into the TSM Regulation, written by me:
In the TSM-Regulation (which is also sometimes called "Net Neutrality Regulation" or "Open Internet Regulation") various clauses prohibit "discrimination" of data traffic by Internet Access Providers. There are also exceptions to these clauses, as explained in the articles above.
The major exception to the prohibition of discrimination is the permission of "traffic management", which however is limited (Article 3(3) TSM Regulation).
Most importantly, traffic management is not a justification if done for "commercial purposes".
The (quite complex) structure of the law in this regard is explained in this flow chart:
One of the most debated topics on #NetNeutrality (both before and after adoption of the TSM Regulation) was whether the practice of 'zero rating' was prohibited by the Regulation. The law does not specifically address the issue.
Zero rating is when an Internet Access Provider does not count certain data traffic (which is traffic that belongs to specified services) against volume-based thresholds that apply to the customer service.
The typical case is when the provider "throttles" the capacity of the internet access when the user has reached a certain volume.
In case of zero rating, the zero-rated traffic would not count against the threshold. Of course this leads the users to use the privileged services.
Example: Deutsche Telekom offered a zero rating option for specific video streaming services (Prime Video). As a Telekom customer, I would of course prefer to watch my videos on services that do not put me at risk of getting a throttled internet access at the end of the month.
Now, despite the fact that the law was quite unclear, the EU national telco regulators had adopted guidelines that expressly permitted zero rating if certain conditions were met. berec.europa.eu/eng/document_r…
Most importantly, the internet access providers had to offer the option to join the zero rating package to all Content and Application Providers (CAPs) on fair and non-discriminatory terms.
On the basis of these guidelines, the EU telco regulators adopted the practice of permitting zero rating offerings - typically after extensive investigations into the impact of these offerings on the internet economy.
This was also the approach used by two decisions of the German regulator @bnetza, which accepted two services (Telekom StreamOn and Vodafone pass) under certain conditions. (BNetzA also prohibited other parts that were associated with roaming - let´s leave this aside for now).
The dust had then settled a bit on the zero rating debate during the last years. After intense discussions at the beginning, everyone seemed to be fine with zero rating, as long as it was fair and non-discriminatory. Everyone - but the CJEU.
In three decisions related to the two zero ratings mentioned above, CJEU now ruled against BNetzA in all cases (in one case indirectly, in a proceeding brought by the German consumer protection organisation @vzbv).
The decisions take a quite strict 'tabula rasa' approach: The CJEU declares zero rating as illegal altogether, if it is motivated by commercial reasons. This goes way beyond the prior regulatory practice, and even beyond the questions asked by the referring courts to the CJEU.
Here are the key parts from the three rulings. I took the excerpts from C‑5/20 (vzbv vs. Vodafone), but they are similarly used in the two other judgments (C‑854/19, Vodafone vs. Germany, and C‑34/20, Telekom vs. Germany).
As can be seen, the CJEU did not really discuss the key question that is relevant to 'zero rating':
Is *counting* traffic differently also a discrimination, even if the traffic is *treated* completely similar to other traffic?
Reading the judgment, I wonder whether the CJEU was even aware of this distinction. It seems possible that the Court presumed that the non-zero rated contents were still not throttled *after* the users reached the volume threshold was reached.
This would have been a clear violation of the TSM Regulation, but this was *not* the case.
If a user reached the volume cap, Telekom and Vodafone would throttle *all* content equally, including the zero-rated services. So, the difference was indeed only the different counting.
In this light, the decision of the CJEU seems quite questionable. I think that the Court took a legal view that *can* be taken, but is not really based on the words of the TSM Regulation - rather on its spirit.
I would expect that the highest court of the EU at least explains why it took this approach. Instead, it handed down a judgment that does not even discuss the point - and thus leaves everyone struggling with the question whether the Court even understood the facts of the case.
That is, however, "spilled milk" as we say in Germany. The judgments have been handed down, and the telco providers and regulators will have to deal with them.
The key statement of the Court, in my view, are:
1) Discriminative *counting* of data traffic can already violate #NetNeutrality (para 27 in the excerpt above)
2) Whenever "commercial considerations" come into play, the justification of traffic management is not applicable.
This in my opinion, pretty much closes the door for most future zero rating offerings. BEREC will have to revise its guidelines, the regulators might have to repeal decisions.
Ich teile das deprimierende Fazit und die Benennung der Probleme.
Hinzu kommt m.E. ein weiteres Problem: Die deutsche öffentliche Hand fokussiert sich bei ihren IT-Projekten sehr auf mögliche Probleme und wenig auf die Chancen, insb. den "Markterfolg" der Lösungen.
Auf der Strecke bleiben deshalb Themen, die für den Erfolg von Online-Diensten essenziell sind, wie z.B. Usability. Teils passieren haarsträubende Fehler, z.B. dass eine Lösung nur auf einer einzigen technischen Plattform ausgerollt wird, obwohl am Markt mehrere verbreitet sind.
Der Entwurf spricht jetzt nicht mehr von "elektronischer Kommunikation" an Stelle von "Telekommunikation".
Nach der Neufassung ist damit die Kohärenz zum TKG wieder hergestellt: Was auf EU-Ebene "elektronische Kommunikation" heißt, ist im deutschen Recht "Telekommunikation".
Kurzer Hinweis zu der Nachricht des Deutschlandfunks, laut dem angeblich die #GroKo plant, "verschlüsselte Kommunikation über Smartphone-Messenger zu überwachen". Der Artikel wird überwiegend falsch so verstanden, als gehe es um einen Entschlüsselungszwang (#cryptowars"). Thread:
Der Bericht des Deutschlandfunk verweist auf einen Bericht in der FAZ, den ich nicht kenne. Aber online auf FAZ. NET gibt es mittlerweile einen weiteren Bericht (oder denselben?), der etwas deutlicher sagt, worum es geht: Um Quellen-TKÜ. faz.net/aktuell/politi…
Bei der Quellen-TKÜ "hackt" sich eine Sicherheitsbehörde auf das Endgerät des Nutzers, um darüber dessen Kommunikationsverhalten zu überwachen. Das Ziel ist also die Telekommunikationsüberwachung (TKÜ), die Umsetzung erfolgt aber auf dem Endgerät (Stichwort "#Bundestrojaner").
Wer (wie ich) früher in Aushilfsjobs in Handel und Produktion gearbeitet hat, weiß, dass der Führungsstil dort manchmal sehr rauh sein kann. Das spiegelt sich natürlich auch in der Art, wie und welche Daten die Führungskräfte über ihre Mitarbeiter einspeichern.
Aus Sicht der Datenschutzabteilung eines solchen Unternehmens heißt dies: Achtung, hier gibt es ein strukturelles Risiko, dass Führungskräfte personenbezogene Daten einspeichern, für die es keine Rechtsgrundlage gibt (nach Art. 6 und 9 DSGVO bzw. § 26 BDSG).
Der LfDI BW hat vorgestern eine Orientierungshilfe zum Umgang mit #SchremsII veröffentlicht. Ich bin wirklich dankbar für jedes belastbare Statement der Datenschutzbehörden, habe dazu aber ein paar kurze Anmerkungen (Thread).
Allgemein (nicht nur hier) würde ich mir wünschen, dass i.S. SchremsII mehr differenziert wird.
Der Fall, den der EuGH entschied, betraf Daten zum Privatleben von sehr vielen Personen und Fälle, in denen ein Zugriff von US-Sicherheitsbehörden durchaus wahrscheinlich ist.
Die typischen Fälle von Drittlandübermittlungen sind aber andere.
Das sind Fälle wie "unser 3rd level-Support sitzt in den USA, und manchmal muss er sich auf Produktivsysteme aufschalten".
Oder: "unsere zentrale Personalverwaltung sitzt in den USA".
Kurzer Hinweis dazu, wie eine (stärker) zentralisierte Datenschutzaufsicht in Deutschland aussehen könnte.
Es gibt dort eine interessante Parallele zum Rundfunk-, bzw. Medienrecht, die vielleicht nicht jedem Datenschutzjuristen bekannt ist. (Thread)
Die Aufsichtsbehörden für den privaten Rundfunk (sowie über weitere Akteure rund um Rundfunk- und Medienverbreitung, Stichwort #Medienstaatsvertrag) sind die Landesmedienanstalten. Dies sind staatsfern organisierte Landesbehörden mit speziellem Aufgabenbereich.
Genau wie auch beim Datenschutz stellte sich auch im Rundfunkrecht die Frage: Wie kann eine Aufsicht organisiert werden, die zwar aus sachlichen Gründen bundeseinheitlich erfolgen muss - der Rundfunk macht nicht an Landesgrenzen halt - aber trotzdem bei den Ländern bleiben soll?