Suche
Contact
13.09.2022 | KPMG Law Insights

Metaverse: Datenschutz in der digitalen Welt

Das Metaverse wird aktuell als die nächste Iteration des Internets gehandelt. Eine genaue Definition, was unter dem Begriff „Metaverse“ überhaupt zu verstehen ist und wie dieses konkret technisch ausgestaltet sein wird, steht dabei noch gar nicht fest. Einigkeit besteht jedoch darüber, dass das Metaverse einen dezentralen, virtuellen, hochgradig interaktiven und transaktionsgetriebenen Raum mit fließenden Verknüpfungen zur realen Welt darstellen wird. Neue Technologien im Bereich „Extended Reality“ sowie die Einführung von „Digital Twins“ – digitalen Repräsentanzen realer Assets – bieten völlig neue Formen der Interaktion und Auswertung anfallender Daten. Schon bei einer 20-minütigen Nutzung eines VR-Headsets können bis zu zwei Millionen Datenpunkte erfasst werden; viele davon biometrisch und damit besonders schützenswert. Dabei ist eine der großen rechtlichen Herausforderungen, das Metaverse mit bestehenden Datenschutzvorschriften, insbesondere denen der Datenschutz-Grundverordnung (DSGVO), in Einklang zu bringen.

Datenschutzrechtliche Verantwortlichkeit

Die DSGVO ist auch im Metaverse anwendbar. Ihre Pflichten treffen Verantwortliche, die in der EU niedergelassen sind oder personenbezogene Daten, die in der EU gewonnen wurden, verarbeiten. Doch die Unsicherheiten beginnen schon bei der Beantwortung der grundsätzlichen Frage nach der datenschutzrechtlichen Verantwortlichkeit. Gemäß Artikel 4 Nr. 7 der DSGVO ist Verantwortliche:r die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. So wie das Internet derzeit gestaltet ist, kann die Verantwortlichkeit relativ einfach durch die Zuordnung einer Website zu einem bzw. einer Betreiber:in bestimmt werden. Mit Aufrufen einer neuen Website wird der Verantwortungsbereich des Betreibers bzw. der Betreiberin der alten Seite verlassen und der des Betreibers bzw. der Betreiberin der nächsten Seite betreten. Derartig klare Abgrenzungen werden im Metaverse jedoch kaum denkbar sein und sind mit der Vorstellung einer immersiven virtuellen Welt mit nahtlosen Übergängen zwischen verschiedensten Angeboten nicht vereinbar. Eine Anknüpfung an die „Eigentümer:innen“ virtueller Räumlichkeiten, in welchen sich die Avatare von Nutzer:innen aufhalten, ist ein möglicher Ansatz. Allerdings wird es im Metaverse auch „öffentliche“ Bereiche wie Plätze und Wege geben, die keinem bzw. keiner einzelnen Anbieter:in zuzuordnen sind und an denen die virtuellen Shops und Präsenzen angrenzen. Wie werden diese zu behandeln sein? Sind die daran angrenzenden Anbieter:innen gemeinsam Verantwortliche? Oder gibt es eine:n virtuelle:n „Infrastrukturanbieter:in“, der bzw. die für Datenverarbeitungen in diesen Bereichen verantwortlich ist? Die dezentrale und nahtlose Ausgestaltung des Metaverse wird bei der Bestimmung datenschutzrechtlicher Rollen unter der DSGVO noch zu einigem Kopfzerbrechen führen.

Datenschutzrechtliche Informationspflichten

Eine Frage eher praktischer Natur betrifft die Erfüllung von Informationspflichten nach Artikel 13 und 14 der DSGVO. Demnach müssen Verantwortliche im Vorfeld über die Einzelheiten der Datenverarbeitung aufklären. Würde man die bisherige Praxis ausführlicher Datenschutzerklärungen ins Metaverse übertragen, würde dies im wahrsten Sinne des Wortes zu „walls of text“ führen, die sich äußerst störend auf die Immersion auswirken und die User-Experience nachhaltig beeinträchtigen würden. Hier könnte der bisher kaum beachtete Artikel 12 Abs. 7 der DSGVO zum Tragen kommen. Dieser sieht die Verwendung standardisierter Bildsymbole vor. Dadurch lässt sich die Menge an notwendigem Text reduzieren. Durch Interaktion mit dem jeweiligen Icon können Nutzer:innen zusätzliche Informationen zu der kenntlich gemachten Datenverarbeitung erlangen.

Marketing, sensible Daten & Einwilligungen

Gerade bei der Einbindung von Extended Reality-Devices – also Geräten, wie Headsets und anderen Sensoren, die unter anderem geeignet sind, Mimik, Gestik und sonstige Bewegungen des Nutzers bzw. der Nutzerin auf seinen bzw. ihren Avatar zu übertragen – werden Unmengen biometrischer Daten in Echtzeit verarbeitet, die sogar auf medizinische Indikationen schließen lassen können. Optische Sensoren erfassen die Umgebung des Nutzers bzw. der Nutzerin – in der Regel die eigene Wohnung – und Mikrofone übermitteln jedes gesprochene Wort. Die Erfassung dieser Daten wird völlig neue Möglichkeiten für Profiling- und Trackingtechnologien bieten. So lässt sich etwa aus der Pupillenerweiterung herauslesen, dass dem bzw. der Nutzer:in betrachtete Anzeigen oder Produkte gefallen, ohne, dass er bzw. sie dies bewusst steuern kann. Während die Nutzung biometrischer und anderer sensibler Daten ohnehin regelmäßig eine ausdrückliche Einwilligung voraussetzen, stellt sich die Frage, ob eine umfangreiche Auswertung und Nutzung weiterer Daten, die User unbewusst preisgeben, zu Marketingzwecken auf Grundlage eines berechtigten Interesses erfolgen darf oder ebenfalls nur auf Grundlage einer Einwilligung. Und wie sollten Einwilligungen ausgestaltet werden? Eine konkludente Einwilligung im Onlinebereich kann nicht ohne Weiteres angenommen werden. Es bedarf einer ausdrücklichen Willensbekundung des Nutzers bzw. der Nutzerin. Das bloße Weiternutzen einer Website trotz Cookie-Hinweises oder das Akzeptieren vorausgefüllter Checkboxen genügen nicht. Entsprechend dürfte auch dem bloßen Betreten einer Metaverse-Präsenz, welche einwilligungsbedürftige Verarbeitungen auslöst, kein entsprechender Erklärungsinhalt zu kommen. Doch genügt hier vielleicht schon ein Kopfnicken des Avatars als Einwilligung?

Drittlandtransfer

Während die zuvor dargestellten Schwierigkeiten großteils durch Gestaltungen technischer Art lösbar sind und sich, wie im Bereich von Cookie-Bannern, voraussichtlich eine immer klarere Linie der Rechtsprechung an die genauen Anforderungen herauskristallisieren wird, ist das wesentlich größere Problem der Drittlandtransfers der Daten. Auf Grund der um ein Vielfaches erhöhten Anzahl erhobener Daten und der ständigen Datenübermittlung bei der Nutzung des Metaverse, erscheint ein Rückgriff auf die bestehenden Transferinstrumente nicht immer zielführend. Insbesondere die Standardvertragsklauseln zum internationalen Datentransfer unterliegen noch dem Grundgedanken der aktuellen Ausgestaltung des Internets, d.h. dass es jeweils vorab definierbare Datenexporteure und Datenimporteure sowie Datenverarbeitungen gibt. Doch sollte es sich beim Metaverse tatsächlich um eine dezentrale Plattform handeln, ist Teil des Reizes dieser Plattform, dass sich die Nutzer:innen ständig im spontanen Austausch ihrer Daten mit Dritten in ihrer virtuellen Umgebung befinden. Welche Daten von wem und an wen zu welchen Zwecken übermittelt werden, lässt sich vorab nur schwer bestimmen – außer in einem kontrollierten Umfeld, in welchem die Handlungsmöglichkeiten von Nutzer:innen auf ein vorhersehbares Maß reduziert werden. Doch dies würde der Vorstellung einer wahren virtuellen Welt entgegenstehen.

Fazit

Schon die Betrachtung dieser kleinen Auswahl naheliegender datenschutzrechtlicher Fragestellungen zeigt, dass das Recht in seiner jetzigen Form noch nicht für den Einsatz in dezentralen virtuellen Welten ausgelegt ist. Es wird eine Herausforderung für alle Beteiligten, einen angemessenen Ausgleich zwischen Nutzerfreundlichkeit und Immersion auf der einen Seite sowie der Erfüllung datenschutzrechtlicher Vorgaben auf der anderen Seite zu finden. Durch neu entwickelte smarte technische und rechtliche Methoden ist die Vereinbarkeit einer virtuellen Welt, die der Vielfalt unserer Realität in nichts nachsteht, mit dem geltenden Datenschutzrecht aber denkbar – auch wenn künftige regulatorische Anpassungen unvermeidlich sein werden.

Explore #more

17.05.2024 | KPMG Law Insights

Podcast-Serie „KPMG Law on air“: Wenn das Familienunternehmen verkauft werden soll

Circa 38.000 Familienunternehmen werden momentan pro Jahr übergeben. In den meisten Fällen findet der Inhaberwechsel innerhalb der Familie statt. Doch immer häufiger entschließen sich Familien…

14.05.2024 | KPMG Law Insights

So können Rechtsabteilungen KI im Vertragsmanagement nutzen

Der Einsatz künstlicher Intelligenz ermöglicht es Rechtsabteilungen, manuelle Prozesse im Vertragsmanagement zu automatisieren. Dies steigert die Effizienz über den gesamten Lebenszyklus eines Vertrags hinweg und…

10.05.2024 | PR-Veröffentlichungen

Beitrag im In-house Counsel mit KPMG Law Statement: Auch Legal Counsel haben Teil an der sozialen Verantwortung des Unternehmens.

In der Ausgabe 3/2024 (Seite 20 ff.) des In-house Counsel findet sich ein Beitrag mit Statement von KPMG Law Expertin Kathrin Brügger. ESG, kurz…

10.05.2024 | Business Performance & Resilience, PR-Veröffentlichungen

Beitrag im In-house Counsel mit KPMG Law Statement: EU-Drittstaatensubventionsverordnung

In der Ausgabe 3/2024 (Seite 50 ff.) des In-house Counsels findet sich ein Beitrag mit Statement von KPMG Law Experte Jonas Brueckner. Seit Juli des…

08.05.2024 | KPMG Law Insights

ArbG Hamburg: Erlaubnis von ChatGPT ist nicht mitbestimmungspflichtig

Wenn ein Arbeitgeber seinen Mitarbeitenden die Verwendung von generativer KI wie ChatGPT bei der Arbeit über private Accounts erlaubt und hierfür Regeln aufstellt, muss er…

07.05.2024 | Business Performance & Resilience, PR-Veröffentlichungen

Beitrag im Handelsblatt mit KPMG Law Statement: Komplexe Prüfung bei M&A Transaktionen und in öffentlichen Vergabeverfahren

In der Ausgabe vom 06. Mai im Handelsblatt  findet sich ein Beitrag mit einem Statement von KPMG Law Experte Jonas Brueckner. Bei M&A-Transaktionen und…

03.05.2024 | KPMG Law Insights

Zweifel an der Arbeitsunfähigkeit? Das können Arbeitgeber tun

Die Arbeitsunfähigkeitsbescheinigung (AU-Bescheinigung) dient dem Nachweis einer krankheitsbedingten Arbeitsunfähigkeit. Allerdings nur, wenn die Bescheinigung bestimmten Vorgaben der Arbeitsunfähigkeits-Richtlinie entspricht. Ist das nicht der Fall, kann…

03.05.2024 | KPMG Law Insights

ESG ist ein weiterer Grund für den Kampf gegen Produktpiraterie

Produktpiraterie ist auf dem Vormarsch, auch bedingt durch den stetig wachsenden Online-Handel. Ein Großteil der gefälschten Waren wird außerhalb der EU hergestellt, wo andere –…

03.05.2024 | PR-Veröffentlichungen

Statement von Thomas Wolf in der Creditreform

Froh, traurig, wütend, entschlossen, unsicher – die Stimme verrät viel über unsere Stimmung. Kann sie auch Aufschluss über unsere Persönlichkeit, die beruflichen Chancen oder gar…

30.04.2024 | KPMG Law Insights

Novelle der Industrieemissionsrichtlinie verabschiedet

Am 12. April 2024 hat der Europäische Rat mit großer Mehrheit die Trilog-Vereinbarung zur Novelle der Industrieemissionsrichtlinie (Industrial Emissions Directive, IED) angenommen. Hauptziel der Überarbeitung…

Kontakt

Francois Heynike, LL.M. (Stellenbosch)

Partner
Leiter Technologierecht

THE SQUAIRE Am Flughafen
60549 Frankfurt am Main

tel: +49-69-951195770
fheynike@kpmg-law.com

© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll