Rechtsanwalt & Fachanwalt für Urheber- und Medienrecht
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
| Datenschutzrecht, Internetrecht, Medienrecht
Blog News
Während mit dem Metaverse technisch unendliche Weiten versprochen werden, muss das Recht Grenzen setzen. Besonders im Bereich Datenschutz schreibt die Europäische Union einiges vor, das beachtet werden muss. Ansonsten drohen hohe Geldbußen für die Verantwortlichen. Nachdem wir bereits einiges zum Metaverse vorgestellt haben (beispielsweise die wichtigsten Plattformen und die Technologie), widmen wir uns heute den datenschutzrechtlichen Aspekten.
Wenn es um Datenschutz geht, stößt man sehr schnell auf die Datenschutzgrundverordnung (DSGVO). Als EU-Verordnung gilt sie für alle Mitgliedstaaten als unmittelbar anwendbares Recht. Als oberstes Ziel hat sie sich den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie den freien Verkehr solcher Daten gesetzt.
Hierfür stellt sie wichtige Grundsätze auf, beispielsweise müssen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Wer also in Deutschland als Verantwortlicher Daten verarbeitet, muss diese Vorschriften unbedingt beachten.
Genau hier stoßen wir schon auf das erste Problem: Ist die DSGVO überhaupt anwendbar auf das Metaverse? Allgemein kann man die Frage nicht beantworten. Der Begriff „Metaverse“ umspannt zahlreiche Dienstleistungen und Plattformen auf unterschiedlichsten Ebenen. Doch wenn wir Klassiker wie Horizon Worlds oder Decentraland als Beispiel nehmen, kommen wir der Sache schon näher.
Betrachten wir zunächst den sachlichen Anwendungsbereich. Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Das klingt erstmal sehr allgemein – und genauso ist es gewollt. Es herrscht der Grundsatz, dass die DSGVO technologieneutral anwendbar ist. Daher steht sachlich einer Anwendung auf das Metaverse (sei es beispielsweise im VR oder AR-Bereich) nichts im Wege.
Schwieriger verhält es sich mit dem räumlichen Anwendungsbereich. Hier ist die DSGVO grundsätzlich anwendbar, wenn der Verantwortliche seinen Sitz in der EU hat oder ein Bezug zu der EU besteht. So kann der Verantwortliche sich irgendwo auf der Welt befinden. Wenn er Waren oder Dienstleistungen an Unionsbürger anbietet, ist die DSGVO anwendbar. Horizon Worlds und Decentraland sind hier schon interessante Beispiele, da sie recht unterschiedlich gestaltet sind. Während ersteres von Meta selbst als Service betrieben wird, ist letzteres dezentral über die Blockchain generiert.
Richtet sich der Service der jeweiligen Metaverse-Plattform als unter anderem an Unionsbürger, ist die DSGVO durchaus anwendbar. Das kann im Fall von Horizon Worlds wohl einfacher zu bestimmen sein als bei Decentraland. Trotzdem kann man den Blickwinkel dann vom technischen Aufbau der Plattform selbst hin zu den jeweiligen Nutzern wenden und so zu einer Anwendbarkeit kommen.
Die DSGVO kennt eine besondere Gattung von Daten, deren Verarbeitung auch besonderen Schranken unterliegt: Die sogenannten personenbezogenen Daten.
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
Nr. 1: „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
[…]
Hierbei denkt man zunächst einmal an die üblichen Daten wie Adresse, Namen oder Geschlecht. Wenn es um VR geht, kommen jedoch ganz neue Arten von Datensammlung in Betracht. So registrieren die neueren Modelle auch die Mimik, die Gesichtsform, Körperbewegungen oder die Stimme. Dies alles kann ebenfalls unter Art. 4 Nr. 1 DSGVO fallen.
Und auch außerhalb des virtuellen Raums, nämlich im AR-Bereich, kommen neue Gesichtspunkte dazu. Geräte, welche die reale Welt durch virtuelle Elemente erweitern wollen, sammeln üblicherweise hierfür ebenfalls Daten in Echtzeit. So könnte eine Brille mit AR-Funktionen Videoaufnahmen anderer Passanten oder Autokennzeichen aufnehmen. Hier stellen sich dann datenschutzrechtlich ähnliche Problematiken wie bei autonomen Fahrzeugen oder Drohnen.
Wir haben festgestellt, dass die DSGVO auf diverse Metaverse-Plattformen anwendbar ist und dass durchaus relevante personenbezogene Daten verarbeitet werden. Nun stellt sich die Frage, wer hierfür verantwortlich ist. Die DSGVO versteht unter dem Verantwortlichen gemäß Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Es muss also im Einzelfall festgestellt werden, wer über die Datenverarbeitung das Sagen hat. Beim Beispiel Horizon Worlds wird das grundsätzlich Meta sein, denn der Konzern betreibt die gesamte Plattform. Ebenso die Roblox Corporation auf der Roblox-Plattform. Schwieriger ist es, bei einer Plattform wie Decentraland einen Verantwortlichen zu finden. Denn sie ist dezentral auf der Blockchain organisiert, sodass es eben keine zentrale Stelle geben soll. Auf der Website findet man, dass die Nutzer selbst die Plattform besitzen und regieren würden. In diesem Fall muss genau geprüft werden, wer Daten sammelt und sie verarbeitet.
Komplizierter wird es, wenn gleichzeitig mehrere Verantwortliche in Betracht kommen.
Dieses Prinzip ist explizit in Art. 26 DSGVO geregelt. Demnach liegt eine gemeinsame Verantwortlichkeit vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.
Im Metaverse wäre das denkbar, wenn beispielsweise Meta die Plattform stellt und ein Modeunternehmen dort eine virtuelle Veranstaltung durchführt. In solch einem Fall hätten beide Unternehmen Interesse an den Daten, weshalb sie sich wahrscheinlich absprechen und so eine gemeinsame Verantwortlichkeit vorläge. Das Prinzip des Verantwortlichen ist dabei unabhängig von der Rechtsform, weshalb auch Privatpersonen, die Daten verarbeiten, hierunter fallen können.
Die DSGVO nimmt Verantwortliche in die Pflicht, wenn es um Datenschutz geht. So werden ihnen umfangreiche Informationspflichten aufgebürdet, zu denen die Betroffenen dann auch ihre Einwilligung erklären müssen. Wir kennen dies aus dem Web 2.0 größtenteils durch Fenster auf Webseiten, bei denen wir in gewisse Datenschutzerklärungen einwilligen sollen.
Abs. 1: Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Abs. 2: Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.
[...]
Diese Pflichten einzuhalten, fällt vielen Unternehmen bereits im klassischen Web 2.0 schwer. Doch auf Plattformen wie dem Metaverse müssen neue Wege gefunden werden, um ihnen gerecht zu werden. So kann jemand, der sich ein VR-Headset oder eine AR-Brille aufsetzt, nicht jedes Mal ein Häkchen setzen. Gegebenenfalls muss die Datenschutzerklärung dann im virtuellen Raum erscheinen und auf eine den Anforderungen entsprechende Weise eine Einwilligungsmöglichkeit bereitstellen.
Hier lohnt sich eine professionelle Beratung, um Fragen im Zusammenhang mit Datenschutz und dem Metaverse zu klären. Nur weil das Web 3.0 anders funktioniert als bekannte Internetseiten, bedeutet das keine Befreiung von Pflichten nach dem Datenschutzrecht.
Datenschutz ist bereits seit einiger Zeit ein Thema, das Unternehmen fast täglich mit neuen rechtlichen Herausforderungen konfrontiert. Als Kanzlei für Datenschutz befasst sich SBS Legal im Datenschutzrecht mit den Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Für Unternehmen aus dem Bereich des Direktvertriebs und des Mittelstandes ist hierbei besonders das Erstellen einer korrekten Datenschutzerklärung attraktiv.
Sie brauchen eine Beratung im Datenschutzrecht oder einen Datenschutzanwalt, etwa für die Prüfung von DSGVO-Pflichten im Metaverse? Dann sind Sie bei uns richtig.