Metaverse Blog-Serie: Nr. 5 - Datenschutz im Metaverse
Metaverse Blog-Serie: Nr. 5 - Datenschutz im Metaverse
28. Oktober 2022
Das Metaverse schafft neue Zugangspunkte, die unsere physische und digitale Welt miteinander verbinden. Jeder dieser Zugangspunkte eröffnet Möglichkeiten für Innovationen und neue Arten von Kundenerfahrungen, birgt aber auch potenzielle Risiken. Datenschutzrisiken werden sich allerdings nicht auf die digitale Welt beschränken, sondern auch in der physischen Welt ernstzunehmende Konsequenzen haben. Die Verbindung unzähliger Geräte führt zu einer Gefahr, die exponentiell steigt und ein noch nie dagewesenes Ausmaß erreicht.
In unseren vorherigen Beiträgen haben wir nach einer Einleitung die Technik hinter dem Metaverse sowie die verschiedenen Anbieter vorgestellt und einen Blick auf deren Nutzungsbedingungen geworfen. Nun möchten wir einige der datenschutzrechtlichen Aspekte des Metaverse beleuchten. Datenschutzprobleme gibt es nicht erst seit Erscheinen des Metaversums. Viele der Probleme aus dem Web 2.0 zeigen sich hier also in einem neuen Gewand. Allerdings ergeben sich hierbei auch vollkommen neue Fragen und Probleme. Zwar ist im Einzelnen noch unklar, in welche Richtung sich das Metaverse künftig entwickelt wird. Sicher ist aber, dass der Datenschutz auch im Metaverse eine entscheidende Rolle spielen wird. Eins scheint jedenfalls schon jetzt klar: So unterschiedlich wie die Anbieter und ihre Nutzungsbedingungen sind, so unterschiedlich sind auch die zu lösenden datenschutzrechtlichen Probleme.
I. Personenbezogene Daten im Metaverse
1. Arten personenbezogener Daten im Metaverse
Die DSGVO ist nur auf personenbezogene Daten anwendbar. Dies sind alle Informationen, die die Identifikation einer natürlichen Person erlauben. Im Web 2.0 sind dies meist IP-Adressen, Benutzernamen oder E-Mail-Adressen. Im Metaverse als Web 3.0 kommen zu diesen Daten alle Daten, die durch die Nutzung von VR-Anwendungen generiert werden, hinzu. Dies sind insbesondere körperliche Aktivitäten, um z.B. den Avatar zu steuern oder lebendiger wirken zu lassen. Dies reicht von einfachen Bewegungsabläufen und Körper- und Handhaltung bis hin zu Mimik- und Blickerfassung. Dass dies keine Zukunftsmusik mehr ist, zeigt die von Meta am 11. Oktober 2022 vorgestellte Quest Pro. Dieses VR-Headset hat eine Körper-, Mimik- und Blickerfassung verbaut. Laut Meta sollen damit Avatare lebendiger wirken und eine neue Art der Interaktion erlauben. Durch diese Daten werden aber im VR-Headset nun auch biometrische Daten nach Art. 9 DSGVO verarbeitet. Die DSGVO stellt hieran sehr strenge Anforderungen. Für Anbieter wie Meta wird eine Verarbeitung dieser Daten daher nur auf Grundlage einer Einwilligung möglich sein.
2. Datensparsamkeit im Metaverse
Ein Grundprinzip des Datenschutzrechts ist die Datensparsamkeit, wonach nur die Daten erhoben werden dürfen, die für die Erreichung des Zweckes notwendig sind. Dieses Prinzip wird durch die anfallenden Datenmengen im Metaverse eine besondere Bedeutung erlangen. Sind eine vollständige Erkennung von Bewegung, Mimik und Augen notwendig, um das Metaverse wie gewünscht darzustellen? Zumindest heutzutage haben Avatare noch keine so hohe Auflösung erreicht, dass es notwendig wäre, jede einzelne Gesichtsmimik zu erfassen und durch den Avatar darstellen zu lassen. Daneben sollten sich auch zumindest die Nutzer fragen, ob es wirklich notwendig ist, jede Körperbewegung auch durch den Avatar erfassen zu lassen.
II. Anwendbares Recht
Da personenbezogene Daten verarbeitet werden, stellt sich ähnlich wie schon bei den Nutzungsbedingungen die Frage, welches (Datenschutz-)Recht anwendbar ist. Kann die DSGVO auch im Metaverse Geltung beanspruchen?
1. Anwendbarkeit der DSGVO
Die DSGVO ist technikneutral und kann daher auch ohne Einschränkungen im Metaverse zur Anwendung kommen. Dabei verlangt die DSGVO nach Art. 3 eine bestimmte räumliche Verbindung zur Europäischen Union.
Eine solche Verbindung ergibt sich entweder aus einer Niederlassung in der Union, dem Anbieten von Waren und Dienstleistungen oder dem Beobachten des Verhaltens von Personen in der Union. Im Fall von Unternehmen wie Meta wird die DSGVO daher aufgrund der Niederlassung in Europa ohne weiteres anwendbar sein. Interessanter ist dies jedoch bei dezentralen Angeboten wie Decentraland. Decentraland basiert auf einer DAO, also einer Decentralized Autonomous Organization. Dies ist eine Gruppe von Inhabern bestimmter NFTs, die gemeinschaftlich die Entscheidungsgewalt über die DAO haben. Eine DAO hat keinen Sitz, Niederlassung oder Vertreter. Allerdings erfasst Decentraland wie jede andere Website auch die Interaktionen im Decentraland. Auf Basis dessen analysiert es die Nutzung der Seite und hilft bei der Personalisierung der Seite und Tools. Aufgrund der damit einhergehenden Verhaltensbeobachtung von Nutzern aus der EU dürfte ebenfalls die DSGVO daher anwendbar sein.
2. Kollidierendes Recht
Sollten neben der DSGVO auch andere Datenschutzgesetze (z.B. das kalifornische CPPA) Anwendung finden, wird dies zu einer Vielzahl von Kollisionen verschiedener Rechtsordnungen führen. Diese Art der Kollision ist bereits heute hochumstritten, da die Datenschutzgesetze zwingendes Recht darstellen und eine Kollision verschiedener Rechte nicht kennen. Eine Rechtswahl scheidet daher aus. Im Web 2.0 wird entweder die DSGVO gänzlich ignoriert (häufig von nicht in der EU niedergelassenen Verantwortlichen) oder es werden besondere Regelungen in den Nutzungsbedingungen und Datenschutzerklärungen für Bürger in der EU oder anderen Rechtsordnungen vorgesehen. Ob sich dies in den nächsten Jahren ändert, bleibt abzuwarten. Eine Lösung über z.B. internationale Abkommen ist nicht in Sicht.
III. Der Verantwortliche
Die DSGVO ist Vielen für ihre ausgeprägten Informationspflichten bekannt. Diese und andere Pflichten treffen den sogenannten Verantwortlichen. Auch bei der vorherigen Frage der Anwendbarkeit der DSGVO wird an den Begriff des Verantwortlichen angeknüpft. Dies ist also ein Schlüsselbegriff der DSGVO.
1. Verantwortliche im Metaverse
Verantwortlicher ist derjenige, der über Mittel und Zwecke der Datenverarbeitung entscheidet, also die Entscheidungsgewalt über das Wie und Ob, Warum und Wieweit einer Datenverarbeitung innehat. Die Idee dahinter ist, dass jeder einzelnen Datenverarbeitung eine Person zugeordnet werden soll, die für diese Verantwortung übernimmt, um den Schutz des Betroffenen sicherzustellen. Im Web 2.0 ist das typischerweise der Betreiber einer Website/eines Online-Dienstes. So entscheidet beispielsweise Google darüber, welche Daten bei der Nutzung von YouTube erhoben werden, wofür das geschieht und wie lange diese gespeichert werden.
Es scheint zunächst so, als würde das Konzept eines Verantwortlichen im Widerspruch zu dem bereits im letzten Teil unserer Serie aufgeworfenen Grundsatz des Metaverse „Niemand kontrolliert das Metaverse“ stehen.
Eine Verarbeitung ohne Verantwortlichen ist der DSGVO jedoch fremd und so wird es auch im Web 3.0 Verantwortliche geben: Gibt es einen Anbieter wie Meta, legt der Betreiber der Plattform die Umstände der Verarbeitung wie im Web 2.0 fest und ist Verantwortlicher. Bei einem Angebot wie Decentraland scheint dies aufgrund der DAO problematisch. Der Begriff des Verantwortlichen im europäischen Datenschutzrecht ist allerdings nicht an eine bestimmte Rechtsform gebunden, sodass auch eine DAO unabhängig von der ungeklärten gesellschaftsrechtlichen Einordnung verantwortlich sein kann.
2. Gemeinsame Verantwortlichkeit
Auf einer Plattform selbst können aber auch Firmen und Künstler, die bereits einen Ableger im Metaverse errichtet und Gegenstände ihrer Marken verkaufen oder entsprechende „Marken-Experiences“ anbieten, zusammen mit dem Betreiber der Plattform gemeinsam verantwortlich sein. Eine solche gemeinsame Verantwortlichkeit liegt vor, wenn mehrere Personen gemeinsam die Entscheidungsgewalt über die Datenverarbeitung innehaben. Prominentes Beispiel hierfür sind Facebook Fanpages: Hier verarbeitet Meta die Informationen der Besucher einer Fanpage und stellt diese als Statistiken dem Betreiber der Fanpage zur Verfügung. Dieser kann zwar nicht die Daten eines einzelnen Nutzers sehen, ist jedoch als Betreiber der Fanpage mit verantwortlich, dass Personen die Seite besuchen.
Auftritte von Firmen und Künstlern im Metaverse sind daher je nach Ausprägung auch „Fanpages des Web 3.0“ und können so zu einer gemeinsamen Verantwortlichkeit führen. Denkbar wäre es, dass die Reaktionen der Nutzer auf die Angebote von Firmen (z.B. in Form der Mimik) und der demographischen Daten der Besucher durch den Anbieter der Plattform erfasst und dann der anbietenden Firma gebündelt zur Verfügung gestellt werden. So könnte eine viel detailliertere Auswertung der Betroffenen erreicht werden.
Rechtsfolge der gemeinsamen Verantwortlichkeit ist insbesondere die Pflicht, gemeinsam für Datenschutzverstöße zu haften. Für Unternehmen können sich hier insbesondere Risiken ergeben, wenn neben dem Unternehmen eine DAO haften soll, die keinen Sitz oder Vertreter hat. In diesem Fall haftet der „greifbare“ Verantwortliche, also das Unternehmen, ohne Möglichkeit des Rückgriffes bei der DAO.
Daneben könnte es aber auch zu Konstellationen kommen wo mehr als zwei Parteien gemeinsam verantwortlich sind. So könnte in einem digitalen Kaufhaus neben den Betreiber der Plattform und dem jeweiligen Store-Inhaber auch noch der Betreiber des Kaufhauses treten, die alle zusammen dann für die Datenverarbeitung gemeinsam verantwortlich sind.
IV. Probleme ohne Lösung?
Im Großen und Ganzen wird das Metaverse die datenschutzrechtlichen Probleme des Web 2.0 komplexer machen. Es bleibt daher abzuwarten, wie Anbieter und auch die Datenschutzbehörden in Zukunft mit dem Thema Datenschutz umgehen. Treiber werden hier sicher die Behörden und insbesondere die Unternehmen sein, die ihre Produkte auch im Metaverse anbieten wollen. Ohne ein datenschutzkonformes Metaverse werden sich diese sonst zu großen Haftungsrisiken von bis zu EUR 20 Mio. bzw. 4% des weltweiten Jahresumsatzes aussetzen.
Unsere Reise durch das Metaverse geht weiter.
Autor: Daniel Schlemann
Wie können wir Ihnen weiterhelfen?
Falls Sie Fragen haben, schreiben Sie uns.