Suche
Contact
13.09.2022 | KPMG Law Insights

Metaverse: Datenschutz in der digitalen Welt

Das Metaverse wird aktuell als die nächste Iteration des Internets gehandelt. Eine genaue Definition, was unter dem Begriff „Metaverse“ überhaupt zu verstehen ist und wie dieses konkret technisch ausgestaltet sein wird, steht dabei noch gar nicht fest. Einigkeit besteht jedoch darüber, dass das Metaverse einen dezentralen, virtuellen, hochgradig interaktiven und transaktionsgetriebenen Raum mit fließenden Verknüpfungen zur realen Welt darstellen wird. Neue Technologien im Bereich „Extended Reality“ sowie die Einführung von „Digital Twins“ – digitalen Repräsentanzen realer Assets – bieten völlig neue Formen der Interaktion und Auswertung anfallender Daten. Schon bei einer 20-minütigen Nutzung eines VR-Headsets können bis zu zwei Millionen Datenpunkte erfasst werden; viele davon biometrisch und damit besonders schützenswert. Dabei ist eine der großen rechtlichen Herausforderungen, das Metaverse mit bestehenden Datenschutzvorschriften, insbesondere denen der Datenschutz-Grundverordnung (DSGVO), in Einklang zu bringen.

Datenschutzrechtliche Verantwortlichkeit

Die DSGVO ist auch im Metaverse anwendbar. Ihre Pflichten treffen Verantwortliche, die in der EU niedergelassen sind oder personenbezogene Daten, die in der EU gewonnen wurden, verarbeiten. Doch die Unsicherheiten beginnen schon bei der Beantwortung der grundsätzlichen Frage nach der datenschutzrechtlichen Verantwortlichkeit. Gemäß Artikel 4 Nr. 7 der DSGVO ist Verantwortliche:r die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. So wie das Internet derzeit gestaltet ist, kann die Verantwortlichkeit relativ einfach durch die Zuordnung einer Website zu einem bzw. einer Betreiber:in bestimmt werden. Mit Aufrufen einer neuen Website wird der Verantwortungsbereich des Betreibers bzw. der Betreiberin der alten Seite verlassen und der des Betreibers bzw. der Betreiberin der nächsten Seite betreten. Derartig klare Abgrenzungen werden im Metaverse jedoch kaum denkbar sein und sind mit der Vorstellung einer immersiven virtuellen Welt mit nahtlosen Übergängen zwischen verschiedensten Angeboten nicht vereinbar. Eine Anknüpfung an die „Eigentümer:innen“ virtueller Räumlichkeiten, in welchen sich die Avatare von Nutzer:innen aufhalten, ist ein möglicher Ansatz. Allerdings wird es im Metaverse auch „öffentliche“ Bereiche wie Plätze und Wege geben, die keinem bzw. keiner einzelnen Anbieter:in zuzuordnen sind und an denen die virtuellen Shops und Präsenzen angrenzen. Wie werden diese zu behandeln sein? Sind die daran angrenzenden Anbieter:innen gemeinsam Verantwortliche? Oder gibt es eine:n virtuelle:n „Infrastrukturanbieter:in“, der bzw. die für Datenverarbeitungen in diesen Bereichen verantwortlich ist? Die dezentrale und nahtlose Ausgestaltung des Metaverse wird bei der Bestimmung datenschutzrechtlicher Rollen unter der DSGVO noch zu einigem Kopfzerbrechen führen.

Datenschutzrechtliche Informationspflichten

Eine Frage eher praktischer Natur betrifft die Erfüllung von Informationspflichten nach Artikel 13 und 14 der DSGVO. Demnach müssen Verantwortliche im Vorfeld über die Einzelheiten der Datenverarbeitung aufklären. Würde man die bisherige Praxis ausführlicher Datenschutzerklärungen ins Metaverse übertragen, würde dies im wahrsten Sinne des Wortes zu „walls of text“ führen, die sich äußerst störend auf die Immersion auswirken und die User-Experience nachhaltig beeinträchtigen würden. Hier könnte der bisher kaum beachtete Artikel 12 Abs. 7 der DSGVO zum Tragen kommen. Dieser sieht die Verwendung standardisierter Bildsymbole vor. Dadurch lässt sich die Menge an notwendigem Text reduzieren. Durch Interaktion mit dem jeweiligen Icon können Nutzer:innen zusätzliche Informationen zu der kenntlich gemachten Datenverarbeitung erlangen.

Marketing, sensible Daten & Einwilligungen

Gerade bei der Einbindung von Extended Reality-Devices – also Geräten, wie Headsets und anderen Sensoren, die unter anderem geeignet sind, Mimik, Gestik und sonstige Bewegungen des Nutzers bzw. der Nutzerin auf seinen bzw. ihren Avatar zu übertragen – werden Unmengen biometrischer Daten in Echtzeit verarbeitet, die sogar auf medizinische Indikationen schließen lassen können. Optische Sensoren erfassen die Umgebung des Nutzers bzw. der Nutzerin – in der Regel die eigene Wohnung – und Mikrofone übermitteln jedes gesprochene Wort. Die Erfassung dieser Daten wird völlig neue Möglichkeiten für Profiling- und Trackingtechnologien bieten. So lässt sich etwa aus der Pupillenerweiterung herauslesen, dass dem bzw. der Nutzer:in betrachtete Anzeigen oder Produkte gefallen, ohne, dass er bzw. sie dies bewusst steuern kann. Während die Nutzung biometrischer und anderer sensibler Daten ohnehin regelmäßig eine ausdrückliche Einwilligung voraussetzen, stellt sich die Frage, ob eine umfangreiche Auswertung und Nutzung weiterer Daten, die User unbewusst preisgeben, zu Marketingzwecken auf Grundlage eines berechtigten Interesses erfolgen darf oder ebenfalls nur auf Grundlage einer Einwilligung. Und wie sollten Einwilligungen ausgestaltet werden? Eine konkludente Einwilligung im Onlinebereich kann nicht ohne Weiteres angenommen werden. Es bedarf einer ausdrücklichen Willensbekundung des Nutzers bzw. der Nutzerin. Das bloße Weiternutzen einer Website trotz Cookie-Hinweises oder das Akzeptieren vorausgefüllter Checkboxen genügen nicht. Entsprechend dürfte auch dem bloßen Betreten einer Metaverse-Präsenz, welche einwilligungsbedürftige Verarbeitungen auslöst, kein entsprechender Erklärungsinhalt zu kommen. Doch genügt hier vielleicht schon ein Kopfnicken des Avatars als Einwilligung?

Drittlandtransfer

Während die zuvor dargestellten Schwierigkeiten großteils durch Gestaltungen technischer Art lösbar sind und sich, wie im Bereich von Cookie-Bannern, voraussichtlich eine immer klarere Linie der Rechtsprechung an die genauen Anforderungen herauskristallisieren wird, ist das wesentlich größere Problem der Drittlandtransfers der Daten. Auf Grund der um ein Vielfaches erhöhten Anzahl erhobener Daten und der ständigen Datenübermittlung bei der Nutzung des Metaverse, erscheint ein Rückgriff auf die bestehenden Transferinstrumente nicht immer zielführend. Insbesondere die Standardvertragsklauseln zum internationalen Datentransfer unterliegen noch dem Grundgedanken der aktuellen Ausgestaltung des Internets, d.h. dass es jeweils vorab definierbare Datenexporteure und Datenimporteure sowie Datenverarbeitungen gibt. Doch sollte es sich beim Metaverse tatsächlich um eine dezentrale Plattform handeln, ist Teil des Reizes dieser Plattform, dass sich die Nutzer:innen ständig im spontanen Austausch ihrer Daten mit Dritten in ihrer virtuellen Umgebung befinden. Welche Daten von wem und an wen zu welchen Zwecken übermittelt werden, lässt sich vorab nur schwer bestimmen – außer in einem kontrollierten Umfeld, in welchem die Handlungsmöglichkeiten von Nutzer:innen auf ein vorhersehbares Maß reduziert werden. Doch dies würde der Vorstellung einer wahren virtuellen Welt entgegenstehen.

Fazit

Schon die Betrachtung dieser kleinen Auswahl naheliegender datenschutzrechtlicher Fragestellungen zeigt, dass das Recht in seiner jetzigen Form noch nicht für den Einsatz in dezentralen virtuellen Welten ausgelegt ist. Es wird eine Herausforderung für alle Beteiligten, einen angemessenen Ausgleich zwischen Nutzerfreundlichkeit und Immersion auf der einen Seite sowie der Erfüllung datenschutzrechtlicher Vorgaben auf der anderen Seite zu finden. Durch neu entwickelte smarte technische und rechtliche Methoden ist die Vereinbarkeit einer virtuellen Welt, die der Vielfalt unserer Realität in nichts nachsteht, mit dem geltenden Datenschutzrecht aber denkbar – auch wenn künftige regulatorische Anpassungen unvermeidlich sein werden.

Explore #more

07.12.2022 | Dealmeldungen

KPMG Law und KPMG haben die Global Savings Group GmbH bei der Vorbereitung des Zusammenschlusses mit Pepper unterstützt

KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat gemeinsam mit der KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) die Global Savings Group GmbH bei dem geplanten Zusammenschluss mit Pepper…

06.12.2022 | KPMG Law Insights

Transparenzregister und eingetragene Vereine – Handlungsbedarf?

Zum Oktober 2017 wurde das Transparenzregister eingeführt, mit dem Jahreswechsel 2022/23 kommt damit auch eine praktische Relevanz auf eingetragene Vereine (e.V.) zu. Deren wirtschaftlich Berechtigte…

06.12.2022 | KPMG Law Insights

Schrems II – Aktualisieren Sie Ihre Verträge bis zum 27.12.2022

Schrems II – Was bedeutet das für Sie? Mit dem Durchführungsbeschluss der EU-Kommission ((EU) 2021/914 KOM) müssen alle Standardvertragsklauseln für die Datenübermittlung in Drittländer angepasst…

30.11.2022 | KPMG Law Insights

Vergaberechtliche Besonderheiten bei der Zusammenarbeit von Wissenschaftseinrichtungen mit Ihren Ausgründungen (Teil 2)

Rechtspolitische Aktualität: Wissenschaftseinrichtungen der öffentlichen Hand haben bei der Zusammenarbeit mit ihren Ausgründungen zwei Möglichkeiten, auf welchem Wege sie diese ausgestalten können. Zum einen besteht…

30.11.2022 | KPMG Law Insights

Transparenzregister: EuGH-Urteil – Absage zum öffentlichen Zugriff auf das Transparenzregister?

Ausgangslage: Mit der Einführung des Transparenzregisters zum Oktober 2017 mussten grundsätzlich sämtliche Unternehmen mit Sitz in Deutschland ihre:n wirtschaftlich Berechtigte:n an das neu geschaffene Register…

18.11.2022 | KPMG Law Insights

KPMG Law Wochenupdate zu den Entwicklungen auf dem Energiemarkt infolge des Ukraine-Kriegs (KW 45)

Neue Gesetze und Verordnungen Gesetze Updates zur Gas- und Strompreisbremse Am Montag ließ die Vize-Regierungssprecherin Christiane Hoffman verlauten, dass wegen der Komplexität der zweiten Stufe…

08.11.2022 | Dealmeldungen

KPMG Law und KPMG Abogados beraten die Toppan-Gruppe bei der Übernahme von Decotec Printing

Die KPMG Law Rechtsanwaltsgesellschaft mbH in Deutschland (KPMG Law) und KPMG Abogados in Spanien haben die Toppan-Gruppe beim Erwerb von 40 Prozent der Anteile an…

28.10.2022 | KPMG Law Insights

KPMG Law Wochenupdate zu den Entwicklungen auf dem Energiemarkt infolge des Ukraine-Kriegs (KW 43)

Behördliche oder sonstige hoheitliche Tätigkeiten Lagebericht Gasversorgung (Stand 24.10.2022) Der Lagebericht der BNetzA zur Lage der Gasversorgung in Deutschland auf dem Stand vom 24.10.2022; 13…

26.10.2022 | Dealmeldungen

KPMG Law und KPMG beraten Deutsche Messe AG und Italian Exhibition Group beim anteiligen Verkauf der Italian German Exhibition Company und bei Joint Venture

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law), die KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) und KPMG in Italien haben die Deutsche Messe AG, Hannover, und die Italian…

24.10.2022 | KPMG Law Insights

Client Alert zur betrieblichen Altersversorgung II

Anpassungsprüfung für laufende Betriebsrenten in Zeiten der Inflation Die aktuelle wirtschaftliche Entwicklung der Stagflation in Deutschland fordert seinen Tribut von den Bürgern wie den Unternehmen.

Kontakt

Francois Heynike, LL.M. (Stellenbosch)

Partner

THE SQUAIRE Am Flughafen
60549 Frankfurt am Main

tel: +49-69-951195770
fheynike@kpmg-law.com

© 2022 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll