1. Arten personenbezogener Daten im Metaverse

Die DSGVO ist nur auf personenbezogene Daten anwendbar. Dies sind alle Informationen, die die Identifikation einer natürlichen Person erlauben. Im Web 2.0 sind dies meist IP-Adressen, Benutzernamen oder E-Mail-Adressen. Im Metaverse als Web 3.0 kommen zu diesen Daten alle Daten, die durch die Nutzung von VR-Anwendungen generiert werden, hinzu. Dies sind insbesondere körperliche Aktivitäten, um z.B. den Avatar zu steuern oder lebendiger wirken zu lassen. Dies reicht von einfachen Bewegungsabläufen und Körper- und Handhaltung bis hin zu Mimik- und Blickerfassung. Dass dies keine Zukunftsmusik mehr ist, zeigt die von Meta am 11. Oktober 2022 vorgestellte Quest Pro. Dieses VR-Headset hat eine Körper-, Mimik- und Blickerfassung verbaut. Laut Meta sollen damit Avatare lebendiger wirken und eine neue Art der Interaktion erlauben. Durch diese Daten werden aber im VR-Headset nun auch biometrische Daten nach Art. 9 DSGVO verarbeitet. Die DSGVO stellt hieran sehr strenge Anforderungen. Für Anbieter wie Meta wird eine Verarbeitung dieser Daten daher nur auf Grundlage einer Einwilligung möglich sein.

2. Datensparsamkeit im Metaverse

Ein Grundprinzip des Datenschutzrechts ist die Datensparsamkeit, wonach nur die Daten erhoben werden dürfen, die für die Erreichung des Zweckes notwendig sind. Dieses Prinzip wird durch die anfallenden Datenmengen im Metaverse eine besondere Bedeutung erlangen. Sind eine vollständige Erkennung von Bewegung, Mimik und Augen notwendig, um das Metaverse wie gewünscht darzustellen? Zumindest heutzutage haben Avatare noch keine so hohe Auflösung erreicht, dass es notwendig wäre, jede einzelne Gesichtsmimik zu erfassen und durch den Avatar darstellen zu lassen. Daneben sollten sich auch zumindest die Nutzer fragen, ob es wirklich notwendig ist, jede Körperbewegung auch durch den Avatar erfassen zu lassen.

Da personenbezogene Daten verarbeitet werden, stellt sich ähnlich wie schon bei den Nutzungsbedingungen die Frage, welches (Datenschutz-)Recht anwendbar ist. Kann die DSGVO auch im Metaverse Geltung beanspruchen?

1. Anwendbarkeit der DSGVO

Die DSGVO ist technikneutral und kann daher auch ohne Einschränkungen im Metaverse zur Anwendung kommen. Dabei verlangt die DSGVO nach Art. 3 eine bestimmte räumliche Verbindung zur Europäischen Union.

Eine solche Verbindung ergibt sich entweder aus einer Niederlassung in der Union, dem Anbieten von Waren und Dienstleistungen oder dem Beobachten des Verhaltens von Personen in der Union. Im Fall von Unternehmen wie Meta wird die DSGVO daher aufgrund der Niederlassung in Europa ohne weiteres anwendbar sein. Interessanter ist dies jedoch bei dezentralen Angeboten wie Decentraland. Decentraland basiert auf einer DAO, also einer Decentralized Autonomous Organization. Dies ist eine Gruppe von Inhabern bestimmter NFTs, die gemeinschaftlich die Entscheidungsgewalt über die DAO haben. Eine DAO hat keinen Sitz, Niederlassung oder Vertreter. Allerdings erfasst Decentraland wie jede andere Website auch die Interaktionen im Decentraland. Auf Basis dessen analysiert es die Nutzung der Seite und hilft bei der Personalisierung der Seite und Tools. Aufgrund der damit einhergehenden Verhaltensbeobachtung von Nutzern aus der EU dürfte ebenfalls die DSGVO daher anwendbar sein.

2. Kollidierendes Recht

Sollten neben der DSGVO auch andere Datenschutzgesetze (z.B. das kalifornische CPPA) Anwendung finden, wird dies zu einer Vielzahl von Kollisionen verschiedener Rechtsordnungen führen. Diese Art der Kollision ist bereits heute hochumstritten, da die Datenschutzgesetze zwingendes Recht darstellen und eine Kollision verschiedener Rechte nicht kennen. Eine Rechtswahl scheidet daher aus. Im Web 2.0 wird entweder die DSGVO gänzlich ignoriert (häufig von nicht in der EU niedergelassenen Verantwortlichen) oder es werden besondere Regelungen in den Nutzungsbedingungen und Datenschutzerklärungen für Bürger in der EU oder anderen Rechtsordnungen vorgesehen. Ob sich dies in den nächsten Jahren ändert, bleibt abzuwarten. Eine Lösung über z.B. internationale Abkommen ist nicht in Sicht.

Die DSGVO ist Vielen für ihre ausgeprägten Informationspflichten bekannt. Diese und andere Pflichten treffen den sogenannten Verantwortlichen. Auch bei der vorherigen Frage der Anwendbarkeit der DSGVO wird an den Begriff des Verantwortlichen angeknüpft. Dies ist also ein Schlüsselbegriff der DSGVO.

1. Verantwortliche im Metaverse

Verantwortlicher ist derjenige, der über Mittel und Zwecke der Datenverarbeitung entscheidet, also die Entscheidungsgewalt über das Wie und Ob, Warum und Wieweit einer Datenverarbeitung innehat. Die Idee dahinter ist, dass jeder einzelnen Datenverarbeitung eine Person zugeordnet werden soll, die für diese Verantwortung übernimmt, um den Schutz des Betroffenen sicherzustellen. Im Web 2.0 ist das typischerweise der Betreiber einer Website/eines Online-Dienstes. So entscheidet beispielsweise Google darüber, welche Daten bei der Nutzung von YouTube erhoben werden, wofür das geschieht und wie lange diese gespeichert werden.

Es scheint zunächst so, als würde das Konzept eines Verantwortlichen im Widerspruch zu dem bereits im letzten Teil unserer Serie aufgeworfenen Grundsatz des Metaverse „Niemand kontrolliert das Metaverse“ stehen.
Eine Verarbeitung ohne Verantwortlichen ist der DSGVO jedoch fremd und so wird es auch im Web 3.0 Verantwortliche geben: Gibt es einen Anbieter wie Meta, legt der Betreiber der Plattform die Umstände der Verarbeitung wie im Web 2.0 fest und ist Verantwortlicher. Bei einem Angebot wie Decentraland scheint dies aufgrund der DAO problematisch. Der Begriff des Verantwortlichen im europäischen Datenschutzrecht ist allerdings nicht an eine bestimmte Rechtsform gebunden, sodass auch eine DAO unabhängig von der ungeklärten gesellschaftsrechtlichen Einordnung verantwortlich sein kann.

2. Gemeinsame Verantwortlichkeit

Auf einer Plattform selbst können aber auch Firmen und Künstler, die bereits einen Ableger im Metaverse errichtet und Gegenstände ihrer Marken verkaufen oder entsprechende „Marken-Experiences“ anbieten, zusammen mit dem Betreiber der Plattform gemeinsam verantwortlich sein. Eine solche gemeinsame Verantwortlichkeit liegt vor, wenn mehrere Personen gemeinsam die Entscheidungsgewalt über die Datenverarbeitung innehaben. Prominentes Beispiel hierfür sind Facebook Fanpages: Hier verarbeitet Meta die Informationen der Besucher einer Fanpage und stellt diese als Statistiken dem Betreiber der Fanpage zur Verfügung. Dieser kann zwar nicht die Daten eines einzelnen Nutzers sehen, ist jedoch als Betreiber der Fanpage mit verantwortlich, dass Personen die Seite besuchen.
Auftritte von Firmen und Künstlern im Metaverse sind daher je nach Ausprägung auch „Fanpages des Web 3.0“ und können so zu einer gemeinsamen Verantwortlichkeit führen. Denkbar wäre es, dass die Reaktionen der Nutzer auf die Angebote von Firmen (z.B. in Form der Mimik) und der demographischen Daten der Besucher durch den Anbieter der Plattform erfasst und dann der anbietenden Firma gebündelt zur Verfügung gestellt werden. So könnte eine viel detailliertere Auswertung der Betroffenen erreicht werden.

Rechtsfolge der gemeinsamen Verantwortlichkeit ist insbesondere die Pflicht, gemeinsam für Datenschutzverstöße zu haften. Für Unternehmen können sich hier insbesondere Risiken ergeben, wenn neben dem Unternehmen eine DAO haften soll, die keinen Sitz oder Vertreter hat. In diesem Fall haftet der „greifbare“ Verantwortliche, also das Unternehmen, ohne Möglichkeit des Rückgriffes bei der DAO.

Daneben könnte es aber auch zu Konstellationen kommen wo mehr als zwei Parteien gemeinsam verantwortlich sind. So könnte in einem digitalen Kaufhaus neben den Betreiber der Plattform und dem jeweiligen Store-Inhaber auch noch der Betreiber des Kaufhauses treten, die alle zusammen dann für die Datenverarbeitung gemeinsam verantwortlich sind.

Bleiben Sie bei unserer Reise durch das Metaverse dabei und werfen Sie auch gerne einen Blick auf die anderen rechtlichen Themen, die wir in weiteren Beiträgen im Rahmen dieser Blog-Serie beleuchtet haben: