20. Juli 2023
VR AR Datenschutz
Metaverse

VR/AR und Datenschutz – eine technische Betrachtung der Komponenten

Der Einsatz von VR/AR führt zu datenschutzrechtlichen Fragen. Wir betrachten die Technologien, die sich hinter diesen Begriffen verstecken.

VR (Virtual Reality) und AR (Augmented Reality) erfreuen sich seit längerer Zeit immer größerer Beliebtheit. Waren es zunächst virtuelle Spielewelten, die anstatt auf dem 2D-Bildschirm in einem 3D-Raum erforscht werden konnten, drängt sich in letzter Zeit immer mehr der unternehmerische Einsatz sowie der Einsatz in Lehre und Forschung in den Mittelpunkt. Im Rahmen des Metaverse werden VR und AR zukünftig ein immersives Eintauchen in virtuelle Welten ermöglichen und stellen (neben Cloud Computing, der Blockchain, KI und anderen Technologien) daher einen technischen Grundpfeiler des Metaverse dar.

Während VR dabei ein vollständig immersives Abtauchen in virtuelle Welten meint, also eine komplette Isolation von der reellen Außenwelt, wird bei AR die virtuelle und die reelle Welt miteinander verschmolzen und ein digitaler Layer über reelle Objekte gelegt (man kennt dies bspw. von Apps, in denen Produkte bereits vor dem Kauf ausprobiert und anprobiert oder virtuelle Möbel in das echte Wohnzimmer projiziert werden können, um die optimalen Maße herauszufinden). Die dritte Form, die sog. Mixed Reality (MR) wird im täglichen Sprachgebrauch dagegen oftmals vernachlässigt und bezeichnet eine Art Weiterentwicklung von AR, bei der virtuelle Inhalte nicht nur über reelle Objekte gelegt werden, sondern diese virtuellen Inhalte auch mit der echten Welt interagieren können (bspw. das virtuelle Haustier, das mit dem echten Raum interagiert und es sich auf der (reellen) Couch gemütlich macht). Dabei wird letzteres auch als „Spatial Computing“ bezeichnet. Als Überbegriff für AR, VR und MR wird zudem der Begriff Extended Reality (XR) verwendet.

Allen Formen von XR-Technologien ist dabei gemeinsam, dass notwendigerweise bestimmte Informationen über das räumliche Umfeld des Nutzers* verarbeitet werden müssen. Dies dient zunächst dem Zweck der räumlichen Orientierung, sodass das Headset „weiß“, wo es sich im reellen Raum befindet, in welcher Lage (schaut der Nutzer nach oben oder nach unten?) und welche Bewegungen der Nutzer durchführt. Diese Informationen werden von dem Headset in den virtuellen Raum übertragen, sodass dem Nutzer suggeriert wird, er könne sich durch die virtuellen Welten bewegen (dreht sich der Nutzer bspw. im reellen Raum, führt das VR-Headset diese Bewegung auch im virtuellen Raum durch). Für AR und MR dient dies weiterhin auch dem Zweck, bestimmte Objekte im reellen Raum erkennen und mit Informationen überlagern zu können oder mit virtuellen Objekten interagieren zu lassen. Neben diesen grundlegenden Daten erheben moderne Headsets zudem noch weitere Informationen, bspw. darüber, welche Objekte sich ein Nutzer gerade ansieht (Eyetracking), welche Gesten der Nutzer durchführt und was der Nutzer sagt (bspw. für Spracherkennung).

Überblick über die verwendeten Technologien und datenschutzrechtliche Einordnung

Zur Umsetzung dieser Funktionen kommen verschiedenste Technologien zum Einsatz. Dazu gehören GPS, 3D-Kameras, LiDAR-Sensoren, Eye-Tracking, Beschleunigungssensoren und Gyroskop.

GPS – Global Positioning System kann zur groben Standortbestimmung eingesetzt werden

Die bis heute relevanteste Technologie zur Lokalisierung von Nutzern und Geräten ist das Global Positioning System (GPS). Ursprünglich für militärische Zwecke entwickelt, steht es seit mehr als 20 Jahren auch der zivilen Nutzung zur Verfügung (bspw. für Navigationssysteme). GPS funktioniert mittels der sog. Laufzeitenmessung, bei der gemessen wird, wie lange die Übertragung von Signalimpulsen zwischen GPS-Satellit und GPS-Empfänger dauert und dadurch (da sich die Signale mit einer bestimmten Geschwindigkeit ausbreiten) wie weit der jeweilige GPS-Satellit von dem GPS-Empfänger entfernt ist. Diese Messung wird mit mindestens zwei weiteren Satelliten wiederholt. Aus Kenntnis der Entfernung des GPS-Empfängers zu Satellit 1, 2 und 3 kann hierdurch die genaue Position des GPS-Empfängers ermittelt werden.

Obwohl GPS in zahlreichen Anwendungsfällen nach wie vorherrschend ist, spielt GPS für VR-/AR-Anwendungen nur eine untergeordnete Rolle. Zum einen ist GPS recht ungenau – die Abweichung kann selbst bei guter Verbindung bei bis zu 15 Metern liegen. Zum anderen funktioniert GPS in geschlossenen Räumen generell sehr schlecht (sodass Smartphones zur Standortbestimmung in der Regel auf weitere Informationen zurückgreifen, bspw. welche WLAN-Netzwerke in der Nähe verfügbar sind, deren Standorte bekannt sind). Dennoch wird GPS auch bei VR-/AR-Anwendungen zumindest zur groben Ortsbestimmung eingesetzt.

Datenschutzrechtliche Einordnung:

Die Lokalisierung mittels GPS ergibt den Aufenthaltsort des verwendeten Geräts durch Angabe von geographischen Koordinaten als Längen- und Breitengrade (bspw. 48.1481938 N, 11.5567901 E). Geographische Koordinaten als Aufenthaltsort natürlicher Personen fallen als personenbezogene Daten unter den Schutz der DSGVO.

3D-Kameras zur optischen Positionsbestimmung und Gestensteuerung

Zur genaueren Orientierung im Raum kommen bei VR-/AR-Headsets daher Technologien zum Einsatz, die zu den Instrumenten der sog. optischen Positionsbestimmung gehören.

Dies umfasst zunächst Kamerasysteme, die das Umfeld des VR-/AR-Headsets erfassen, in ein digitales Modell umwandeln und dadurch Lage und Bewegungen des Nutzers im Raum ermitteln. Hierfür kommt in der Regel nicht nur eine einzelne Kamera zum Einsatz, sondern zumindest ein Kamerapaar (sog. Stereo-Kamera), das (wie das menschliche Auge) den reellen Raum leicht versetzt aufnimmt und hierdurch die Erhebung von Tiefeninformationen ermöglicht, woraus der Algorithmus wiederum ein 3D-Modell des reellen Raums, in der Regel als digitales Gitternetzmodell, berechnet. Bewegt sich der Nutzer, erkennt das System diese Bewegung aufgrund der Verschiebung des Gitternetzmodells um den Nutzer und kann so bspw. berechnen, in welche Richtung, um welchen Winkel und wie schnell sich der Nutzer bewegt hat. Genau genommen wird also nicht der Nutzer direkt getrackt, sondern aus einer Änderung der von den Kameras aufgenommenen Informationen über das Umfeld werden nur indirekt Rückschlüsse auf die Bewegungen des Nutzers im Raum gezogen.

Neben der Orientierung im Raum werden 3D-Kameras auch für die Gestensteuerung von VR-/AR-Headsets eingesetzt, also zur Steuerung von Inhalten durch Verwendung der Hände des Nutzers.

Datenschutzrechtliche Einordnung:

Die von den 3D-Kameras erhobenen Daten umfassen zum einen Informationen über den Nutzer selbst (bspw. Aufenthaltsort, Informationen über das räumliche Umfeld wie die Privatwohnung), aber potentiell auch Informationen über außenstehende Personen (bspw. Mitbewohner oder Passanten bei der Nutzung im öffentlichen Bereich) und unterfallen als personenbezogene Daten mithin dem Schutz der DSGVO. Dies gilt grundsätzlich auch dann, wenn die Verarbeitung der von den 3D-Kameras erhobenen Bilddaten in Echtzeit geschieht, also die Daten bspw. nur temporär im Arbeitsspeicher des Headsets gespeichert werden (vergleichbar zur automatisierten Kfz-Kennzeichenerfassung auf Autobahnen).

LiDAR-Sensoren als Ergänzung für genauere Orientierung

Neben 3D-Kameras kommen zur Orientierung im Raum zudem sog. LiDAR-Systeme („Light Detection and Ranging“) zum Einsatz, die ähnlich funktionieren wie das Radar/Sonar auf Schiffen, allerdings an Stelle von Radarwellen Laserlicht nutzen. Dabei senden LiDAR-Sensoren Laser-Impulse aus und detektieren das von bestimmten Objekten (bspw. der Wohnzimmerwand) reflektierte Licht. Ähnlich zu GPS wird dann durch Ermittlung der Signallaufzeit (Differenz zwischen Zeitpunkt der Aussendung des Lichtsignals und Zeitpunkt der Detektion der Reflektion) die Entfernung des LiDAR-Systems zum jeweiligen Objekt berechnet, unter Berücksichtigung der Lichtgeschwindigkeit, mit der sich Laserlicht ausbreitet. 

Datenschutzrechtliche Einordnung:

Bei den von LiDAR-Sensoren verarbeiteten Daten handelt es sich zunächst nur um Entfernungsmesswerte (wie viele Zentimeter oder Meter ist Punkt A vom Messgerät entfernt?), was in der Regel nicht als personenbezogene Daten gelten dürfte. Die von VR-/AR-Headsets verwendeten LiDAR-Sensoren nehmen jedoch nicht nur eine einzelne Messung vor, sondern senden binnen kürzester Zeit eine Vielzahl an Lichtimpulsen aus, und drehen sich (bei herkömmlichen LiDAR-Sensoren) dabei um die eigene Achse und ändern zudem ihre Neigung nach unten und oben, woraus sich im Ergebnis ein dreidimensionales Bild des Raums und der sich darin befindlichen Objekte und Personen ergibt.

Der Detailgrad von LiDAR-Aufnahmen steht den Aufnahmen von Kameras daher in der Regel nichts nach. Zwar kennen die von LiDAR-Sensoren generierten Bilder keine Farben, können dafür aber Tiefenangaben oftmals besser erfassen als 3D-Kameras. Hält man sich vor Augen, dass auch zahlreiche Gesichtserkennungssysteme (bspw. zur Entsperrung von Smartphones) mit LiDAR-Technologie funktionieren, wird klar, dass auch die von LiDAR erhobenen Daten in der Regel personenbezogener Natur sind (zumal bspw. bereits die Information, dass sich im räumlichen Umfeld des Nutzers eine weitere Person befindet (egal welche) bereits ein personenbezogenes Datum im Sinne der DSGVO darstellen kann).

Eye-Tracking wird eingesetzt, um den Augen-Fokus des Nutzers zu analysieren

Für ein besonders immersives Erlebnis in virtuellen Welten haben moderne VR-/AR-Headsets weiterhin ein sog. Eye-Tracking integriert, womit bestimmte virtuelle Inhalte auch nur mittels Augenbewegung in den Fokus gerückt oder ausgewählt/aktiviert werden können. 

Auch das Eye-Tracking wird in erster Linie durch Verwendung von Kameras realisiert, die in die Brille verbaut und auf die Augen des Nutzers gerichtet sind. Da es in der Brille (außer der Beleuchtung durch die Displays) meist dunkel ist, kommen hierfür in der Regel sog. Infrarot-Kameras zum Einsatz.

Datenschutzrechtliche Einordnung:

Die datenschutzrechtliche Einordnung von Eye-Tracking-Technologie in VR-/AR-Headsets ist derzeit nicht geklärt, dafür aber umso spannender. Die mittels dieser Technologie erhobenen personenbezogenen Daten können paradoxerweise einerseits marginal sein (schaut der Nutzer nach unten links oder nach oben rechts?), andererseits aber auch besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO darstellen, wenn die erhobenen Daten als „biometrische Daten“ zu zählen sind, worunter bspw. Iris-Scans fallen die eine eindeutige Identifizierung von Personen ermöglichen (ähnlich einem digitalen Fingerabdruck).

Die datenschutzrechtliche Einordnung der von Eye-Tracking-Technologien erhobenen Daten hängt dabei insbesondere von dem konkreten Verarbeitungszweck ab und davon, in welchen Kontext die jeweilige Information gesetzt wird. Während die bloße Information, dass der Nutzer auf einen bestimmten Bildbereich blickt (unten links oder oben rechts), datenschutzrechtlich noch wenig spannend ist, können hieraus durchaus signifikante Informationen abgeleitet werden, je nachdem, was in dem jeweils angesehenen Bildbereich dargestellt wird (schaut sich der Nutzer bspw. seit 5 Minuten ein bestimmtes Produkt eines bestimmten Herstellers an, während er die Produkte des Konkurrenten gleich weggescrollt hat?). Gleiches gilt natürlich auch, wenn bei der Verwendung in Augmented Reality Headsets ermittelt wird, welche Objekte und Personen der reellen Welt sich ein Nutzer ansieht.

Aus dem Umstand, dass das VR-/AR-Headset „weiß“, welche Inhalte sich ein Nutzer ansieht, und wie lange, werden sich in Zukunft die gleichermaßen spannendsten, aber auch kritischsten Use Cases ergeben. Dies wird nochmals verstärkt, wenn aus den Augen – bekanntermaßen „der Spiegel der Seele“ – noch weitere Informationen ausgelesen werden können (bspw. emotionale Reaktionen auf bestimmte Inhalte im virtuellen Raum aufgrund verschiedener Pupillenreaktionen).

Beschleunigungssensoren und Gyroskop

Schließlich werden die meisten VR-/AR-Headsets noch weitere Sensorik verbaut haben, wie Beschleunigungssensoren und Gyroskope. Während Gyroskope dabei die Lage im Raum des Headsets erfassen, also die Information, wie das Headset entlang der X-, Y- und Z-Achse geneigt ist (woraus sich bspw. ergibt, ob der Nutzer gerade nach oben oder unten blickt), messen Beschleunigungssensoren die Zu- oder Abnahme von Bewegungen entlang dieser Achsen – woraus sich bspw. ergibt, ob sich der Nutzer gerade aktiv bewegt und wie schnell der Nutzer Bewegungen ausführt.

Datenschutzrechtliche Einordnung:

Die Messwerte aus diesen Sensoren können zwar dann personenbezogene Daten im Sinne der DSGVO darstellen, wenn diese mit anderen Informationen kombiniert werden und die datenschutzrechtliche Intensität hängt dann letztendlich davon ab, in welchem Kontext diese Daten gesetzt werden. Gleichwohl erscheinen die von Beschleunigungssensoren und Gyroskopen erhobenen personenbezogenen Daten – insbesondere im Vergleich zu den anderen von Headsets erhobenen Daten – datenschutzrechtlich eher vernachlässigbar.

Verantwortlichkeit für die von VR-/AR-Headsets erhobenen Daten

An die Feststellung, dass ein VR-/AR-Headset bestimmte personenbezogene Daten verarbeitet, stellt sich die Anschlussfrage, wer für diese Datenverarbeitung verantwortlich ist. Während dabei der Blick oftmals schnell auf den jeweiligen Hersteller fällt, muss die Bewertung doch etwas differenzierter vorgenommen werden.

Dabei ist zum einen zu beachten, dass letztendlich nur der jeweilige Endnutzer entscheidet, ob und in welchem Umfeld (d.h. mit welchen potentiellen Dritten) das Headset verwendet wird, und für welche Zwecke. Manche VR-/AR-Headsets verfügen sogar über eine Screenshot-Funktion, mit der der Nutzer bestimmte Ereignisse aufnehmen und sich dann später nochmals ansehen oder auf Social Media veröffentlichen kann. Zumindest für diese Inhalte kommt eine Verantwortlichkeit des Nutzers in Betracht, der das Headset als eine Art Kameraersatz verwendet (schließlich käme auch niemand auf die Idee, dass bei der Verwendung einer gewöhnlichen Foto-/Videokamera der jeweilige Kamerahersteller für die gemachten Aufnahmen verantwortlich wäre). 

Für diese Zwecke ist neben der DSGVO unter Umständen auch das Kunsturheberrechtsgesetz (KUG) sowie das Allgemeine Persönlichkeitsrecht (APR) zu berücksichtigen, insbesondere dann, wenn die Datenverarbeitung seitens des Nutzers unter die Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DSGVO fällt. Für die anderen von dem Headset automatisiert erhobenen Daten, erscheint eine Verantwortlichkeit des einzelnen Nutzers aber letztendlich bereits deshalb als fernliegend, da der Nutzer in der Regel gar nicht weiß, welche Sensorik in sein Headset verbaut sind und welche Daten für welche Zwecke erhoben und verarbeitet werden. Aus diesem Grund wird der einzelne Nutzer gar nicht in der Lage sein, bspw. Betroffenenrechte zu erfüllen.

Auch wenn eine Verantwortlichkeit des Nutzers für bestimmte Datenverarbeitungen demnach nicht in Betracht kommt, so muss weiterhin beachtet werden, dass neben Nutzer und Headset-Hersteller auch noch zahlreiche weitere Akteure involviert sein können, bspw. Betriebssystemanbieter (falls nicht direkt vom Headset-Hersteller stammend), Anbieter der einzelnen Apps und Spiele in den App Stores, Dritte wie Hosting-Anbieter, Analytics-Firmen u.v.m.

Für die Einordnung der Verantwortlichkeiten wird man letztendlich auch auf viele Überlegungen rund um automatisierte Straßenfahrzeuge zurückgreifen können, die einerseits mit vergleichbarer Sensorik wie VR-/AR-Headsets ausgerüstet sind (bspw. Stereo-Kameras, LiDAR-Sensoren, etc.), andererseits aber auch die Einwirkungsmöglichkeiten der einzelnen Nutzer auf die Datenverarbeitungsvorgänge ähnlich sind (auch der Fahrer eines PKW weiß in der Regel nicht, welche Daten erhoben werden, und hat auch keinen Zugriffe auf diese Daten).

Schlussfolgerung: Ein datenschutzkonformer Einsatz von VR-/AR-Technologien ist grundsätzlich möglich

Zusammenfassend verarbeiten VR-/AR-Headsets eine Vielzahl an Daten, sowohl über den jeweiligen Nutzer selbst als auch über dessen Umfeld. Diese Daten sind in der Regel personenbezogener Natur und können ausnahmsweise auch zu den besonderen Kategorien personenbezogener Daten gehören (bspw. Gesundheitsdaten oder biometrische Daten). Die Verantwortlichkeit kann dabei auch beim einzelnen Nutzer liegen, für eine Vielzahl der automatisierten Datenverarbeitungsvorgänge kommt aber eher der Headset-Hersteller oder andere Unternehmen in Betracht.

An diese datenschutzrechtliche Verantwortlichkeit schließen sich zahlreiche Pflichten an, bspw. Informationspflichten aus Art. 13, 14 DSGVO, Betroffenenrechten nach den Art. 15 ff. DSGVO, oder der Pflicht, Geräte und Software durch den Einsatz technischer und organisatorischer Maßnahmen zu schützen (Art. 32 DSGVO) und diese entsprechend den Grundsätzen von Privacy-by-Design und Privacy-by-Default auszugestalten (Art. 25 DSGVO).

Ein datenschutzkonformer Einsatz von VR-/AR-Headsets ist dabei möglich. Dies erfordert aber einerseits eine transparente Aufklärung der Nutzer über die Art der erhobenen personenbezogenen Daten und den jeweiligen Verwendungszweck. Andererseits muss jeder involvierte Verarbeitungszweck dahingehend untersucht werden, ob für diesen eine ausreichende Rechtsgrundlage aus dem Katalog des Art. 6 DSGVO greift. Dabei ist im Zweifel der Einwilligung Vorzug zu geben, insbesondere wenn sensible Daten verarbeitet werden.

In unserem CMS-Blog informieren wir Sie im Rahmen unserer Blog-Serie „Metaverse“ fortlaufend mit aktuellen Beiträgen zum Metaversum. Nach einer Einführung in das „Metaverse“ sind wir bereits eingegangen auf Healthcare Metaverse, Arbeit im Metaverse, auf Rechtsberatung im Metaverse und geben einen Überblick über Steuern im Metaverse sowie über die Umsatzsteuer bei der Vermietung von virtuellem Land im Metaverse. Darüber hinaus haben wir uns mit dem Markenschutz für Blockchain- und andere Krypto-Projekte, dem Markenschutz vs. Kunstfreiheit bei mit NFTs verlinkten Medien sowie mit dem Markenschutz für digitale Produkte im „Metaverse“ und den EUIPO-Leitlinien zur Eintragung virtueller Waren und NFTs beschäftigt. Außerdem prüfen wir, welche rechtlichen Anforderungen bei dem Einsatz von Wearables bestehen und ob das Markenrecht bereit für das Metaverse ist.

Darüber hinaus halten wir Sie auf unserer Insight-Seite zum Metaverse auf dem Laufenden!

*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Tags: AR Datenschutzrecht Metaverse VR