Das Datenschutzrecht spielt im Metaverse eine entscheidende Rolle, nicht nur aus Compliance-Gründen, sondern auch für dessen gesellschaftliche Akzeptanz.
Es gibt derzeit beinahe keine Branche, die sich nicht zumindest am Rande mit dem Thema Metaverse und den sich hieraus ergebenden Chancen und Rechtsfragen beschäftigt. Dass das Metaverse zahlreiche Geschäftsfelder von Grund auf umgestalten und zumindest ein Stück weit das „alte“ Web 2.0 ablösen wird, scheint beschlossene Sache zu sein.
In technischer Hinsicht sind den Anwendungsmöglichkeiten dabei in der Tat fast keine Grenzen gesetzt: Zahlreiche Lebenssachverhalte, die bereits heute digital stattfinden (bspw. Online-Shopping, digitale Konferenzen und Meetings, Social Media, Streaming, Internetrecherche), sind auch im Metaverse möglich und können hier durch den Einsatz von Virtual Reality womöglich realitätsnäher und immersiver umgesetzt werden. Hinzu kommen zahlreiche Tätigkeiten, die heute noch weitestgehend auf die reale, physische Welts beschränkt sind und im Metaverse erstmals digitalisiert/virtualisiert werden.
In unserer CMS-Blog-Serie Metaverse wurden bereits zahlreiche Chancen und verschiedenste Rechtsfragen rund um das Metaverse diskutiert. Zusammenfassend lassen sich die wesentlichsten Unterscheidungsmerkmale des Metaverse zum Web 2.0 und zu früheren virtuellen Welten wie folgt beschreiben:
- Immersion durch den Einsatz von VR-/AR-Headsets (Virtual Reality-Komponente),
- Vernetzung einzelner virtueller Welten zu einem großen dezentralen Metaverse (Interoperability-Komponente) und
- Handel mit virtuellen Gütern in zumindest eigentumsähnlicher Weise durch den Einsatz der Blockchain-Technologie (Virtual Assets-Komponente)
Auch in datenschutzrechtlicher Hinsicht wirft jede dieser Komponenten einige Rechtsfragen auf.
Datenschutzrechtliche Fragen der Virtual-Reality-Komponente
Das Metaverse soll dem Nutzer* umfangreiche Interaktionsmöglichkeiten bieten und virtuelle Welten durch immersive Technologien so nah machen, dass sie als möglichst real empfunden werden. Augmented-Reality-Welten sollen zudem weitgehend mit der physischen Realität des Nutzers verschmelzen.
Dazu erfassen VR-/AR-Headsets die Umgebung des Nutzers detailgetreu durch 3D-Kameras und andere Sensoren (bspw. LIDAR) und können die virtuelle Welt so nahtlos in unsere physische Lebensrealität einbetten. Umfangreiche Sensoren erfassen zudem die Bewegungen des Nutzers bis auf kleinste Nuancen und ermöglichen dadurch eine natürliche und intuitive Steuerung des digitalen Avatars. Selbst Mimik und Emotionen können (zukünftig) erfasst und realitätsnah auf den digitalen Avatar übertragen werden, sodass eine fotorealistische Interaktion mit der virtuellen Welt möglich wird.
Datenschutzrechtlich bedeutet dies, dass es nicht nur in quantitativer Hinsicht zu einer neuen Dimension an Verarbeitungsvorgängen kommt, sondern auch in qualitativer Hinsicht viel tiefer in die Lebensrealität des Nutzers vorgedrungen werden kann. Zuvor schon erhebbare Daten können nun mit neuen Parametern wie z.B. Mimik, Emotionen, Pupillenbewegungen, Körperhaltung, Bewegungsmustern, Interaktionen mit Dritten und Reaktionszeiten oder mit Video- und Audioaufzeichnungen der Umgebung verknüpft und angereichert werden.
Diese Datenverarbeitung ist dabei auch nicht auf den privaten Bereich des Nutzers begrenzt. Gerade bei Augmented Reality gehört es gerade zum Konzept, dass AR-Headsets auch im öffentlichen Raum eingesetzt werden und Daten über die Umgebung erheben und verarbeiten, was die seit einigen Jahren geführte Diskussion rund um den Einsatz von Drohnen, autonomen Fahrzeugen, Dashcams sowie Bodycams fortsetzen wird – insbesondere, wenn AR-Headsets immer unauffälliger werden und womöglich von gewöhnlichen Brillen nicht mehr zu unterscheiden sind.
Letztendlich werden auch innerhalb des Metaverse zahlreiche Daten erhoben, bspw. Informationen darüber, mit welchen Nutzern und an welchen Orten ein Nutzer interagiert und Informationen austauscht. Ein personenbezogenes Datum stellt dabei bereits der Avatar (Kombination aus virtuellem Aussehen und Pseudonym) selbst dar.
All diese Datenverarbeitungen müssen dabei nicht per se ein Datenschutzproblem darstellen, sondern können durchaus datenschutzrechtlich gerechtfertigt sein. Dies bedarf aber bereits bei der Implementierung der einzelnen Funktionen des Metaverse und bei der Konzeption der VR-/AR-Headsets einer Berücksichtigung u.a. der spezifischen Rechtfertigungstatbestände der europäischen Datenschutz-Grundverordnung (DSGVO) sowie der Grundprinzipien der Datensparsamkeit und Datenvermeidung sowie von Privacy by Default und Privacy by Design. Die DSGVO ist dabei – wie grds. jedes Recht – technologieneutral ausgestaltet, kann also auch auf das Metaverse angewendet werden. Reformbedarf gibt es daher aktuell nicht.
Datenschutzrechtliche Fragen der Interoperability-Komponente
Diese Datenverarbeitungen geschehen dabei in einem komplexen Geflecht aus verschiedensten Akteuren (bspw. Plattformen, aktiven Unternehmen im Metaverse, Technologieprovidern, Serviceprovidern und den einzelnen Nutzern selbst) und datenschutzrechtlichen Rollen (bspw. Verantwortliche, Auftragsverarbeiter und Betroffene), wodurch sich einerseits die Frage bzgl. der räumlichen Anwendbarkeit des Datenschutzrechts stellt, andererseits aber auch Unklarheiten bei der Frage der datenschutzrechtlichen Verantwortlichkeit bestehen.
1. Anwendbarkeit der DSGVO und anderer Gesetze zum Schutz des Persönlichkeitsrechts
Werden im oder für das Metaverse personenbezogene Daten verarbeitet, finden die Regelungen der DSGVO Anwendung, wenn dies im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen in der Europäischen Union erfolgt (Niederlassungsprinzip) oder aber wenn sich die jeweiligen Dienstleistungen zumindest auch an EU-Bürger richten oder hierdurch das Verhalten von betroffenen Personen in der EU beobachtet wird (Marktortprinzip) (Art. 3 Abs. 1, Abs. 2 DSGVO). Generell dürfte die DSGVO im Metaverse durchgängig zu beachten sein. Sollte dies für Sonderkonstellationen und bestimmte virtuelle Welten einmal nicht der Fall sein, sollten die Grundprinzipien der DSGVO dennoch den freiwilligen Datenschutzstandard darstellen, an den sich Plattformen und sonstige Akteure im Metaverse gebunden fühlen sollten, insofern der Erfolg des Metaverse letztendlich auch vom Vertrauen der Nutzer abhängig ist, wenn diese zahlreiche Lebenssachverhalte und private Details in virtuelle Welten verlagern.
Neben der DSGVO können für bestimmte Akteure im Metaverse zusätzlich auch nationale Vorschriften zum Schutz von Persönlichkeitsrechten zu beachten sein, wie in Deutschland das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 GG, Art. 1 Abs. 1 GG) oder das Kunsturheberrechtsgesetz (KUG/KunstUrhG), wenn bspw. durch VR-/AR-Headsets Bildaufnahmen im öffentlichen Raum erstellt und diese ggf. später veröffentlicht werden (bspw. Upload in Social Media – auch wenn dies nur zu rein privaten Zwecken geschieht). Weiterhin ist auch § 201a StGB bei der Erstellung von Bildaufnahmen zu beachten. Für Hersteller von VR-/AR-Headsets ist zudem § 8 TTDSG relevant (Stichwort: Telekommunikationsdatenschutz), wenn sich aufgrund der Miniaturisierung von VR- und AR-Headsets diese zukünftig nicht mehr von gewöhnlichen Brillen unterscheiden lassen und daher zumindest geeignet sind, unbemerkt Audio-/Videoaufnahmen zu erstellen.
2. Zahlreiche Beteiligte und Verantwortlichkeiten
Besondere Herausforderungen ergeben sich auch bei der Abgrenzung von Verantwortlichkeiten im Metaverse. Nutzer werden sich im Metaverse grenzenlos in den verschiedenen Welten bewegen und dabei nahtlos Dienstleistungen verschiedenster Anbieter in Anspruch nehmen sowie mit anderen Nutzern interagieren und kommunizieren. Dabei wird es zu einem komplexen Geflecht zwischen den verschiedenen Nutzern, Anbietern sowie dem Plattformbetreiber kommen, indem umfangreiche Datensätze ausgetauscht oder gemeinsam verarbeitet werden.
Dabei bestimmt sich die datenschutzrechtliche Zuordnung von Verantwortlichkeiten nach den Maßstäben der DSGVO. Eine Verantwortlichkeit liegt vor, wenn ein Beteiligter bei funktionaler Betrachtung des jeweiligen Verarbeitungsvorgangs allein (Art. 4 Nr. 7) oder gemeinsam mit anderen (Art. 26) über die Zwecke und Mittel der Datenverarbeitung entscheidet. Im Einzelfall dürfte dies zu einigen Abgrenzungsschwierigkeiten führen.
Alleinverantwortlichkeit einzelner Beteiligter
Unproblematisch festzustellen ist die Verantwortlichkeit für Verarbeitungsvorgänge, die durch eine einzige Stelle im eigenen Interesse durchgeführt werden. So ist ein zentral organisierter Plattformanbieter etwa für die Erhebung von Stammdaten bei der Nutzerregistrierung verantwortlich, wenn diese nur für diese Zwecke erhoben und verarbeitet werden. Gleiches gilt für Datenverarbeitungen, die durch Anbieter im Metaverse im Rahmen ihrer jeweiligen Geschäftsmodelle durchgeführt werden. Verkauft bspw. ein Modehaus Kleidung im Metaverse, so ist es für die Verarbeitung der im Rahmen des Verkaufs anfallenden Daten allein verantwortlich, wenn es sich dabei um Daten handelt, die nur für diesen Zweck verarbeitet werden (bspw. Konfektionsgröße des Nutzers). Bieten Ärzte oder Anwälte eine virtuelle Beratung im Metaverse an, sind sie für die jeweiligen Inhaltsdaten verantwortlich, die für diese Zwecke verarbeitet werden.
Gemeinsame Verantwortlichkeit vs. mehrere eigenständige Verantwortliche
Schwieriger ist die Einordnung von Verarbeitungsvorgängen allerdings, wenn diese im Interesse mehrerer Beteiligter liegen und von mehreren Stellen durchgeführt werden, entweder weil Daten von Anfang an zu gemeinsamen Zwecken und unter gemeinsamer Festlegung der Mittel erhoben und verarbeitet werden oder aber weil personenbezogene Daten, die etwa die Metaverse-Plattform ohnehin erhebt, später von anderen Akteuren im Metaverse weiterverarbeitet werden. Daten, die von den Bewegungssensoren der VR-/AR-Headsets oder anderer Peripherie wie Handschuhen mit Gesten-Steuerung erhoben werden, dienen bspw. dem Betreiber dazu, die Metaverse-Plattform überhaupt erst bereitstellen zu können, sie könnten darüber hinaus aber auch von anderen Akteuren dazu verwendet werden, Nutzer zu Marketingzwecken zu analysieren.
Die bisherige Rechtsprechung zum Thema „gemeinsame Verantwortlichkeit“ ist äußerst dünn und keineswegs auf den neuen Sachverhalt „Metaverse“ ausgelegt. Wendet man die bisherige Rechtsprechung des EuGH in entsprechender Weise auf das Metaverse an, ist man schnell geneigt, zu dem Schluss zu kommen, dass zahlreiche Datenverarbeitungen im Metaverse eine gemeinsame Verantwortung darstellen könnten. Dies ist aber weder praxisgerecht noch entspricht dies den faktischen Möglichkeiten der meisten Akteure, auf die „Mittel“ der Datenverarbeitung Einfluss zu nehmen.
Zwar wird nicht bestritten werden können, dass für zahlreiche Datenverarbeitungen im Metaverse durchaus gemeinsame Zwecke durch mehrere Akteure (bspw. die Plattform selbst und die im Metaverse aktiven Unternehmen) verfolgt werden. Über die Mittel der Datenverarbeitung wird in vielen Fällen aber einseitig die jeweilige Plattform entscheiden und anderen Akteuren nur begrenzten Zugang zu Daten bereitstellen und erst recht keine Einflussnahme auf die Datenverarbeitungsvorgänge zugestehen. Insbesondere werden einzelne Akteure regelmäßig weder Zugriff auf die „Raw“-Daten einzelner Nutzer haben (bspw. Sensordaten der VR-/AR-Headsets) noch bestimmen können, welche Daten konkret seitens der Plattform erhoben und verarbeitet werden.
Nach den bislang ergangenen Entscheidungen lässt es der EuGH für eine gemeinsame Verantwortlichkeit zwar bereits ausreichen, wenn ein Beteiligter eine Datenverarbeitung durch einen Dritten willentlich und wissentlich ermöglicht. So hat es der EuGH in der Fashion-ID-Entscheidung für ausreichend erachtet, wenn der Anbieter einer Website durch die Einbindung eines Like-Buttons eine Datenerhebung durch Facebook ermöglicht. Hierbei war es für den EuGH auch irrelevant, dass der Websitebetreiber weder Zugriff auf die Daten noch Entscheidungsmacht hinsichtlich der konkreten Verarbeitung hatte. Ausschlaggebend für den Einfluss auf die Mittel der Verarbeitung war allein, dass der Websitebetreiber durch die Einbindung des Like-Buttons die Erhebung von Informationen durch Facebook ermöglichte und dadurch die Entscheidung des „ob“ der Datenerhebung traf.
Dies ist im Metaverse aber gerade insofern meist nicht der Fall, als eine Nutzung des Metaverse i.d.R. nicht ohne vorherige Registrierung bei der jeweiligen Plattform möglich sein und der Plattformbetreiber zahlreiche personenbezogene Daten bereits für die Bereitstellung des Zugangs zum Metaverse selbst verarbeiten wird (also die Plattform meist auch über das „ob“ bestimmen wird). Während den EuGH-Entscheidungen zu Facebook jeweils ein Sachverhalt zu Grunde lag, bei dem der jeweilige Mitverantwortliche über die Erhebung von Daten durch Facebook entschied, über die Facebook noch nicht verfügte, hat der Plattformanbieter des Metaverse oft bereits die Entscheidung zur Erhebung und Verarbeitung von Daten getroffen und tut dies auch schon. Werden solche personenbezogenen Daten, die initial von der Metaverse-Plattform erhoben und verarbeitet werden, später auch von anderen Akteuren zu eigenen Zwecken weiterverarbeitet (bspw. nutzt das Modehaus Stammdaten von Nutzern, die vorher bereits von der Plattform im Rahmen der Registrierung erhoben wurden, nun zu eigenen Abrechnungszwecken), liegt in den meisten Fällen keine gemeinsame Datenverarbeitung vor, sondern es handelt sich um zwei getrennte Datenverarbeitungen durch zwei getrennte Verantwortliche, die jeweils über ausreichende Rechtsgrundlagen für ihren jeweiligen Verarbeitungszweck verfügen müssen und auch weitere Auftragsverarbeiter für die Datenverarbeitung nach Maßgabe des Art. 28 DSGVO einsetzen können.
Verantwortlichkeit der einzelnen Nutzer im Metaverse
Werden Daten durch die Nutzer des Metaverse selbst erhoben, bspw. durch eine reine „Beobachtung“, was andere Nutzer machen, oder durch Interaktion oder Kommunikation mit anderen Nutzern, liegt auch hierin eine Datenverarbeitung, für die der einzelne Nutzer Verantwortlicher i.S.d. DSGVO sein kann. Eine Besonderheit ergibt sich aber jedenfalls dann, wenn Nutzer das Metaverse zu rein privaten Zwecken nutzen und dann unter die sog. Haushaltsausnahme des Art. 2 Abs. 2 lit. c DSGVO fallen.
3. Informationspflichten und Betroffenenrechte
Die DSGVO legt dem Verantwortlichen umfangreiche Informationspflichten auf, die er gegenüber dem Betroffenen erfüllen muss. Dies führt im Metaverse bereits dadurch zu Herausforderungen, dass hier zahlreiche Verantwortliche zusammenwirken, die u.U. „von ihrem Glück“, Verantwortlicher für bestimmte Daten zu sein, gar nichts wissen (bspw. ein Nutzer, der gerade nicht mehr unter die Haushaltsausnahme fällt, weil er das Metaverse zu bestimmten berufsbezogenen Zwecken nutzt). Um auch solchen Verantwortlichen zu ermöglichen, ihre Pflichten aus Art. 12 ff. DSGVO zu erfüllen, bietet es sich an, diese Pflichten entweder zentral durch die jeweilige Plattform als eine Art „Service-Desk“ erfüllen zu lassen (im Rahmen einer gemeinsamen Verantwortung wäre dies wohl ohnehin der Regelfall) oder aber die Plattformen anzuhalten, den Verantwortlichen diejenigen Tools bereitzustellen, die diese benötigen, um ihre Pflichten gegenüber Betroffenen selbst erfüllen zu können.
Unabhängig von der Frage, wer Informationspflichten und Betroffenenrechte zu erfüllen hat, stellt sich aber auch die Frage, wie die Informationspflichten aus Art. 13 f. DSGVO im Metaverse überhaupt erfüllt werden können. Während Websites des Web 2.0 hierfür i.d.R. seitenlange Datenschutzerklärungen bereitgestellt hatten, stellt sich dies im Metaverse nicht mehr so einfach dar – schließlich sollen die Möglichkeiten im Metaverse unbegrenzt sein (und ebenso wohl auch die denkbaren Datenverarbeitungsvorgänge). Über zentrale Informationen sollte der Nutzer jedenfalls schon bei der Registrierung informiert werden (bspw. Daten, die in jedem Fall verarbeitet werden). Über zusätzliche Datenverarbeitungen (insbesondere solche, die situativ je nach Verwendung verarbeitet werden können) sollte dann zumindest im weiteren Nutzungsverlauf rechtzeitig informiert werden (bspw. beim Betreten eines Kaufhauses, das Daten über seine Nutzer sammelt). Hierfür sollten vor allem standardisierte Symbole zum Einsatz kommen, über deren Bedeutung der Nutzer bereits bei der Anmeldung auf der Plattform informiert wird.
Datenschutzrechtliche Fragen der Virtual-Assets-Komponente
Auch hinsichtlich der Virtual-Assets-Komponente ergeben sich datenschutzrechtliche Fragen, insbesondere durch den Einsatz der Blockchain-Technologie, die – anders, als oft zu lesen ist – aber durchaus datensparsam eingesetzt werden kann.
Dabei ist erstens festzuhalten, dass das Metaverse nicht pauschal mit der Blockchain-Technologie gleichzusetzen ist. Die Blockchain-Technologie stellt insofern zwar einen von mehreren technischen Eckpfeilern des Metaverse dar, führt aber nicht dazu, dass jegliche Interaktionen oder jegliche Kommunikation im Metaverse in der Blockchain gespeichert wird. Dies wäre nach heutigem Stand der Technik weder effizient noch bezahlbar und viel wichtiger: Dafür gäbe es auch gar keinen Anlass. Vielmehr ist es so, dass die Blockchain-Technologie innerhalb des Metaverse (wie das Grundbuch oder das Schiffsregister) punktuell und zielgerichtet dort eingesetzt wird, wo die Blockchain-Technologie ihre besonderen Vorzüge gegenüber zentraler Datenspeicherung ausspielen kann – also dort, wo es auf ein besonders hohes Vertrauen an Gewährleistung von Authentizität und Integrität ankommt, wie bspw. beim Handel virtueller Güter, die gerade nicht im Einflussbereich der Plattform stehen sollen.
Zweitens hängt auch der Inhalt der in der Blockchain gespeicherten Informationen vom jeweiligen Verwendungszweck ab. Anders als im Grundbuch oder im Schiffsregister werden in der Blockchain i.d.R. keine Klarnamen gespeichert – Zuordnungen zu virtuellen Gütern erfolgen nur mittels Pseudonymen (sog. Public Keys bzw. Public Key Hashes). Hierdurch ist die Blockchain-Technologie bereits an sich datensparsam. Die Blockchain als eine Art „Datenkrake“ anzusehen ist daher verfehlt – generell lässt die Blockchain-Technologie eine äußerst minimalinvasive Datenspeicherung zu und dies ist durch eine entsprechende technische Ausgestaltung auch sicherzustellen.
Drittens ermöglicht es die Blockchain-Technologie, für jede Transaktion einen neuen Public Key zu generieren und hierdurch zu vermeiden, dass durch eine Kombination der Informationen über vergangene Transaktionen Rückschlüsse auf eine bestimmte Person getroffen werden können. Hierfür existieren heute auch bereits technische Lösungen, die ein solches Privacy Feature bereits standardmäßig anwenden.
Datenschutzfragen von Anfang an berücksichtigen
Das Metaverse wird von manchen Kritikern als Marketing-Gag abgetan und sicherlich wäre es verfehlt, jede virtuelle Welt gleich als „Metaverse“ zu bezeichnen. Das Metaverse – als Konzept eines Upgrades für das traditionelle Internet – ist aber gekommen, um zu bleiben, und für die Autoren dieses Beitrags steht fest, dass das Metaverse zahlreiche Anwendungsfelder hervorbringen und auch manche traditionellen Websites ablösen wird. Die oben aufgezeichneten datenschutzrechtlichen (und viele andere) Fragen werden dabei in Zukunft IT-Rechtsanwälte beschäftigen. Wichtig ist, das Recht bereits von Anfang an zu berücksichtigen, um so den vielfältigen Anforderungen schon im Rahmen der Implementierung gerecht zu werden.
In unserem CMS-Blog informieren wir Sie im Rahmen unserer Blog-Serie „Metaverse“ fortlaufend mit aktuellen Beiträgen zum Metaversum. Nach einer Einführung in das „Metaverse“ sind wir bereits eingegangen auf Healthcare Metaverse, Arbeit im Metaverse sowie auf Rechtsberatung im Metaverse und geben einen Überblick über Steuern im Metaverse sowie über die Umsatzsteuer bei der Vermietung von virtuellem Land im Metaverse. Darüber hinaus haben wir uns mit dem Markenschutz für Blockchain- und andere Krypto-Projekte, dem Markenschutz vs. Kunstfreiheit bei mit NFTs verlinkten Medien sowie mit dem Markenschutz für digitale Produkte im „Metaverse“ und den EUIPO-Leitlinien zur Eintragung virtueller Waren und NFTs beschäftigt. Außerdem prüfen wir, ob das Markenrecht bereit für das Metaverse ist.
Darüber hinaus halten wir Sie auf unserer Insight-Seite zum Metaverse auf dem Laufenden!
Der Beitrag wurde in Zusammenarbeit mit Rechtsreferendar Johannes Noller erstellt.
*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.