30. August 2023Datenschutz, Informationstechnologie

Rechtsfragen im Metaverse – Eine neue virtuelle Welt aus Sicht des Datenschutzes

Wenn es ums Metaverse geht, ist sich die deutsche Wirtschaft gänzlich uneins. Skeptiker:innen und Befürworter:innen halten sich die Waage, hat eine Umfrage des Branchenverbands Bitkom aus dem Jahr 2022 ergeben. Während demnach 26% der Unternehmen aufgeschlossen auf die neue virtuelle Welt schauen, stehen ihr 29% ablehnend gegenüber. Doch handelt es sich bei der Vision für die Integration der realen in die virtuelle Welt längst nicht mehr nur um Zukunftsmusik. Große Tech-Unternehmen wie der Facebook-Konzern – mittlerweile in „Meta Platforms“ umfirmiert – haben bereits begonnen, entsprechende Plattformen zu erschaffen. Jüngst hat sich auch die EU-Kommission auf eine Strategie für das Web 4.0 und virtuelle Welten verständigt und beansprucht damit eine Führungsrolle, um den zukünftigen technologischen Wandel zu steuern. Zwar sind in der Entwicklung des Metaverse bisher nur erste Schritte getan, in der Laien- und Fachwelt ist die Diskussion über die rechtlichen Folgen aber schon jetzt in vollem Gange. Werden die bereits bestehenden Gesetze dem dezentralen autonomen Metaverse als neuer Online-Realität gerecht? Wie muss gegebenenfalls nachgesteuert werden? Und welche Erfordernisse ergeben sich für den Schutz personenbezogener Daten? Als führende IT-Kanzlei nehmen wir im Folgenden einige rechtliche Einordnungen vor.

Was ist das Metaverse?

Das Metaverse (dt. Metaversum) ist das Konstrukt einer digitalen Welt, in die man mittels Virtual Reality (VR) und Augmented Reality (AR) eintauchen und so eine Art „zweites Leben“ führen kann. Die virtuelle Welt kann durch einen Avatar erlebt werden und bietet die Möglichkeit, mit allen anderen Teilnehmern und Teilnehmerinnen in dieser Welt zu interagieren. Innerhalb des Metaverse gibt es separate virtuelle Räume, die zahlreiche Möglichkeiten bieten sollen. Ein virtuelles Einkaufszentrum besuchen und im Raum nebenan Online-Spielen nachgehen, all das soll möglich sein. Auch virtuelle Diskotheken könnte es dort geben. Das Metaverse kann mit der dezentralen Blockchain-Technologie umgesetzt werden, zu der wir als Technologie-Experten umfassend beraten und rechtliche Lösungen anbieten.

Das Besondere am Metaverse ist, dass es grenzenlos verläuft. Anwendungen wie Käufe in Shops wären dann nicht auf eine einzelne Plattform beschränkt, sondern könnte über das ganze Metaverse in jedem Kontext und in jedem anderen virtuellen Raum genutzt werden. Das ist der wesentliche Unterschied zu den aktuellen Möglichkeiten im Internet. Beispielsweise ist im Moment die Nutzung von Tokens (Kryptowährung bzw. Krypto-Vermögenswerte) in einem Spiel grundsätzlich auf dieses beschränkt. Sie können in der Regel nicht zum Bezahlen auf einer anderen Plattform genutzt werden. Im Metaverse soll gerade das möglich sein. Das Metaverse ist also eine kollektive virtuelle Welt mit einer Vielzahl an Räumen, die unbeschränkt und übergreifend funktionieren. Über das wirkliche Potential und die tatsächlichen Möglichkeiten im Metaverse lässt sich aktuell nur spekulieren. Denkbar ist auch im Metaverse per VR, mit seinem Avatar in einen Büroraum zu gehen, um dort zu arbeiten, oder aber digitale Hologramme in die eigenen vier Wände zu projektieren. Ein bereits seit Jahren existierender Metaverse-Prototyp ist „Second Life“ von Linden Lab, das zeitweise bis zu 57 Millionen registrierte Accounts hatte, jedoch nach mehrjährigem Hype bei vielen inzwischen in Vergessenheit geraten ist. Auch Meta Platforms hat inzwischen mit „Horizon Worlds“ schon den Schritt in Richtung virtuelle Welt getan. Dies zeigt, dass auch die Existenz mehrerer Metaverse-Plattformen nebeneinander denkbar ist. Dennoch scheint das Ziel der Unternehmen eher auf ein marktbeherrschendes Metaverse ausgerichtet zu sein. Die dahinterstehende Vision wird immer konkreter und scheint in naher Zukunft immer greifbarer. Neben vielen Potentialen stellen sich aber auch rechtliche Fragen.

Die Frage nach dem geltenden Rechtsregime scheint besonders herausfordernd. Zunächst muss berücksichtigt werden, dass das Metaverse nationenübergreifend zugänglich sein soll. Bestenfalls, so die Vision, soll jedermann Zugang dazu haben. Der wesentliche Unterschied zu einer herkömmlichen international zugänglichen Web-Plattform liegt in der Dezentralität und der umfassenden Interoperabilität. Innerhalb einer virtuellen Welt alle Rechtssysteme zu vereinen, dürfte sich als ein komplexes Unterfangen entpuppen. Zumal die wenigsten Gesetze bereits auf ein Metaverse vorbereitet sind. Es ergibt sich also weiter die Frage, ob die aktuell bestehenden Regelungen überhaupt geeignet sind, eine virtuelle Welt angemessen zu regeln.

Vom aktuellen rechtlichen Ist-Zustand aus betrachtet können

  • eventuell bestehende internationale Vereinbarungen, wie völkerrechtliche Verträge oder Abkommen,
  • das Internationale Privatrecht (IPR),
  • das Recht des Herkunftslandes des Betroffenen oder
  • das Recht des Plattformbetreibers

als mögliche Anknüpfungspunkte gesehen werden.

Anknüpfungspunkt: Völkerrechtliche Abkommen und „Metaverse-Recht“

Denkbar wäre es, eine Art neue internationale Organisation als Staatenzusammenschluss aller Länder zu schaffen, die den Zugang zum Metaverse ermöglichen wollen. Als dezentrale autonome Organisationen könnten die teilnehmenden Staaten mittels völkerrechtlicher Verträge ein separates Rechtskonstrukt zur Regulierung des Metaverse erschaffen – eine Art „Metaverse-Recht“. Diese könnte vor dem Hintergrund einer digitalen alternativen Echtzeit-Existenz Rechtssicherheit schaffen. Es erscheint utopisch, alle Interessen eines jeden Staates in einem einheitlichen Vertragstext zu vereinen. Ein eigenes Rechtsregime für das Metaverse würde hingegen die Handhabung erleichtern, übersichtlicher und benutzerfreundlicher machen.

Völkerrechtliche Verträge sind aber insofern eher weniger geeignet, da sie nur die Vertragsstaaten und selten die im Land ansässigen Unternehmen oder Privatpersonen direkt verpflichten. Um innerstaatlich ebenfalls die Berücksichtigung eines solchen Vertrages zu erreichen, bedarf es je nach nationalem Recht eines Staates weiterer Zwischenschritte. Zudem sind die rechtlichen Möglichkeiten bei der Nichteinhaltung eines Völkervertrages eingeschränkt und wenig effektiv. Ob dieses Ziel erreicht werden kann, ist vor diesem Hintergrund sehr fraglich. Völlig ausgeschlossen ist diese Möglichkeit trotzdem nicht, wie am Funktionieren der World Trade Organization (WTO) zu verzeichnen ist. Die der WTO zugrundeliegenden Abkommen schaffen einen effektiven und einheitlichen Rechtsrahmen für den weltweiten Handel. Besonders bemerkenswert ist, dass die in den Abkommen festgelegten Sanktionen bei Nichteinhalten der Verträge sehr effektiv sind. Zumindest dieser Staatenzusammenschluss hat Vorbildfunktion für ein funktionierendes globales Rechtssystem.

Anknüpfungspunkt: IPR

Auch das IPR (Internationales Privatrecht) könnte als Anknüpfungspunkt dienen. Es beantwortet als Kollisionsrecht die Frage, welche Rechtsordnung bei Fällen mit Bezügen zu Rechtssystemen verschiedener Staaten gilt. So sind die Ausgangspunkte, wie etwa der gewöhnliche Aufenthalt des Verkäufers/der Verkäuferin bei Kaufverträgen, grundsätzlich auf das Metaverse übertragbar. Das IPR deckt dabei die zivilrechtlichen Konstellationen ab. Für strafrechtliche Sachverhalte müsste das internationale Strafrecht beachtet werden. Rechtsfragen im Metaverse über das IPR zu lösen, erscheint möglich.

Anknüpfungspunkt: Herkunftsland von Betroffenen

Bei dieser Option stell sich bereits vorab die Frage, wer Betroffener wäre. Ist es der Avatar, der im Metaverse „lebt“? Oder ist es die Person, die den Avatar steuert und aus der realen Welt heraus agiert? Da der Avatar nur eine digitale Verkörperung des dahinterstehenden realen Menschen ist, spricht vieles für die Herkunft des Steuernden.

Konkret für den Datenschutz im Metaverse würde hierbei zu beantworten sein: Wann käme die Datenschutz-Grundverordnung (DSGVO) zur Anwendung? Zwar knüpft der räumliche Anwendungsbereich der DSGVO in Art. 3 DSGVO primär an den Sitz des Unternehmens, das Daten verarbeitet, an. Sollte man aber zur Ermittlung des geltenden Rechts auf das Herkunftsland des Betroffenen abstellen, wäre allein dessen dauernder Aufenthalt maßgeblich. Sollte dieser in der Union liegen, könnte man das Unionsrecht und damit auch die DSGVO anwenden.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Anknüpfungspunkt: Recht der Plattformbetreibenden

Möglicherweise könnte man auch die einzelnen Plattformen im Sinne der „virtuellen Räume“, die man im Metaverse betreten kann, als Anknüpfungspunkte für das anzuwendende Rechtssystem ansehen. Dabei würde sich ebenfalls zunächst die Frage stellen, ob es auf den realen Unternehmenssitz ankommt, oder auf den Sitz im Metaverse.

Sollte der Unternehmenssitz in der realen Welt Ausgangspunkt sein, wäre die Rechtlage übersichtlich. Dann würde beispielsweise in einem virtuellen Einkaufszentrum, das von einem in den USA ansässigen Unternehmen betrieben wird, das US-Recht gelten. Für einen virtuellen Co-Working-Space, dessen „Raum“-Betreiber seinen Sitz in der Union hat, könnte dann Unionsrecht angewendet werden und damit auch die DSGVO, soweit es um die Verarbeitung personenbezogener Daten geht. Diesem Gedanken folgend würde aber zumindest das Marktortprinzip aus Art. 3 Abs. 2 DSGVO leerlaufen. Danach müssen nicht in der Union ansässige Unternehmen die DSGVO beachten, wenn sie Waren oder Dienstleistungen in der Union anbieten oder das Verhalten von betroffenen Personen in der Union beobachten. Die Feststellung der geltenden Rechtsordnung wäre bei Abstellen auf das Recht des Plattformbetreibers aber gerade unabhängig von der betroffenen Person, sondern allein vom Unternehmensstandort abhängig. Ob sich dann im Laufe der Zeit eine Art „Landflucht“ der Unternehmen in das Land mit den lockersten Rechtsregelungen entwickeln würde, wäre zumindest nicht ausgeschlossen. Rechtsvorhaben wie der Digital Services Act (DSA) der Europäischen Union könnten dies durchkreuzen. Der DSA möchte eine Plattformregulierung für alle Anbieter schaffen, die ihre Dienstleistungen innerhalb der Europäischen Union anbieten, und zwar unabhängig vom tatsächlichen Sitz des Unternehmens.

Geht man davon aus, dass es auf den Sitz des Unternehmens im Metaverse ankommt, wird das Marktortprinzip hinken. Es ist wohl nicht zu erwarten, dass innerhalb der virtuellen Welt auch staatliche Territorien zu finden sind. Daher wird es schwierig, das Marktortprinzip im Metaverse anzuwenden. Die Union als territoriales Gebiet wäre kein Anknüpfungspunkt. Darüber hinaus wäre es auch denkbar, dass neue Unternehmen im Metaverse selbst gegründet werden, wodurch eine territoriale Zuordnung schon von vorneherein nicht mehr möglich wäre. Es gäbe dann keinen Unternehmenssitz in der realen Welt mehr. Die Übertragung der für die analoge Welt geltenden Regeln würden hier nicht mehr weiterführen.

Was sind personenbezogene Daten im Metaverse?

Ist schon die Errichtung des Metaverse mit einer erheblichen Datenmaximierung verbunden, eröffnet es im weiteren Verlauf das Potential, Daten in erheblichem Umfang über seine Nutzer und Nutzerinnen zu sammeln. Sobald eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten vorliegt, ist der sachliche Anwendungsbereich der DSGVO (vgl. Art. 2 Abs. 1 DSGVO) eröffnet und damit der erste Schritt für die Anwendung ihrer Regelungen auf das Metaverse erfüllt.

Abgesehen von einer Registrierung (mit Klarnamen, ggf. aber auch unter Pseudonym), die in der Regel für den Zugang und die Nutzung aller Funktionen notwendig sein wird, ist die Verarbeitung personenbezogener Daten auch auf anderen Wegen zu bedenken. So gibt schon der jeweilige Avatar als digitale Verkörperung des Nutzers/der Nutzerin in der virtuellen Welt preis, wo sich der Nutzer/die Nutzerin gerade aufhält, welche Spiele er/sie spielt oder welche Käufe er/sie tätigt. Zudem werden Nutzer/Nutzerinnen regelmäßig mittels VR- und AR-Technologien (z.B. VR-Brillen oder Headsets) in das Metaverse eintauchen. Zwar ist die Entwicklung dieser beiden Technologien aktuell für ein immersives Metaverse noch nicht reif genug. Dennoch hat es die IT-Branche bereits geschafft sog. „Smartcams“ auf den Markt zu bringen. Diese können nicht nur Videos aufzeichnen, sondern auch weitere Informationen aus ihnen gewinnen. Durch integrierte Sensoren in der Kamera oder im Computer können auch körperliche Aktionen erfasst und verwertet werden (sog. „Ubiquiotous Computing“). Daher stellt sich die Frage, ob unter anderem Mimik, Gestik und Körpersprache als Daten zu qualifizieren sind, und ob dies mit der DSGVO, soweit im Metaverse anwendbar, vereinbar wäre. Von Relevanz wäre das insbesondere, wenn anhand der Mimik die Gefühlslage oder das Interesse an einem bestimmten Objekt, etwa einer Werbeanzeige im Metaverse, ermittelt werden könnte. Im Folgenden könnte dann via AdTech (Online-Marketing in der Werbebranche) personalisierte Werbung geschaltet werden.

Daten sind grundsätzlich kodierte Informationen. Hinsichtlich des Personenbezugs hilft die DSGVO weiter. Ausgehend von der Definition in Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispielhaft nennt das Gesetz unter anderem „mehrere besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, […] Identität“ der natürlichen Person sind. Da Mimik, Gestik und Körpersprache sichtbare Bewegungen des Körpers sind, fallen diese Merkmale unter den physischen Ausdruck. Die Zuordnung des körperlichen Ausdrucks kann in der Regel dann auch einer natürlichen Person zugeordnet werden, sodass sie ein personenbezogenes Datum im Sinne der DSGVO ist. Damit kämen die Regelungen der DSGVO zur Anwendung.

Hinzu treten ethische Erwägungen, ob mittels Mimik ermittelt werden darf, wie es um die Persönlichkeit, die Motivation, die Ehrlichkeit etc. des Nutzers/der Nutzerin steht. Solche Analysen würden tiefgreifend in die Persönlichkeitsrechte der Nutzer und Nutzerinnen eingreifen. Unabhängig vom Vorliegen einer möglichen Rechtsgrundlage rechtmäßigen Verarbeitung (vgl. Art. 6 DSGVO), ist zu fragen, ob dies überhaupt zulässig sein soll. Eventuell könnten solche Mimik-Daten als besonders sensible Daten nach Art. 9 DSGVO eingeordnet werden. Diese dürfen nur unter engen Voraussetzungen verarbeitet werden.

Das könnte Sie auch interessieren:

Wer ist datenschutzrechtlich verantwortlich im Metaverse?

In einer Art Kodex für das Metaverse wurden bereits sieben Attribute zu seiner näheren Bestimmung aufgestellt:

  1. Regel: Es gibt nur ein Metaverse.
  2. Regel: Das Metaverse ist jedermann zugänglich.
  3. Regel: Niemand kontrolliert das Metaverse.
  4. Regel: Das Metaverse ist offen.
  5. Regel: Das Metaverse ist unabhängig von einer Hardware.
  6. Regel: Das Metaverse ist ein Netzwerk.
  7. Regel: Das Metaverse ist das Internet.

Für die datenschutzrechtliche Verantwortlichkeit könnte vor allem Regel Nr. 3 Probleme bereiten. Wenn niemand das Metaverse kontrolliert, kann dann überhaupt jemand für die datenschutzrechtlichen Vorgänge innerhalb der virtuellen Welt verantwortlich sein? Die Regel impliziert nahezu eine Anarchie, die im Metaverse herrschen solle. Das kann aber nicht das Ziel sein. Vor allem nicht vor dem Hintergrund, dass das Metaverse eine Art „zweites Leben“ ermöglichen soll. Auch in einem virtuellen Leben müssen zwischenmenschliche Begegnungen rechtlichen Rahmenbedingungen gerecht werden, ob dies nun die Achtung der Grundrechte oder eben der Datenschutz sei.

Anknüpfend an die Frage nach dem Rechtsregime im Metaverse, kann die DSGVO unter Umständen angewendet werden. Für die Adressierung der entsprechenden Rechte und Pflichten ist die Klärung der Verantwortlichkeit zentral. Datenschutzrechtlicher Verantwortlicher ist das DSGVO diejenige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).

Single-oranization ecosystem-Verantwortlichkeit

In Betracht kommt zunächst eine „Raum“-bezogene Verantwortlichkeit, vergleichbar mit den aktuell bestehenden einzelnen Webseiten und Plattformen. Demnach trifft denjenigen die Verantwortlichkeit, in dessen Raum sich eine Person mittel ihres Avatars gerade aufhält. Würde ein virtuelles Einkaufszentrum betreten, wäre der Einkaufzentrumsbetreiber in diesem Falle Verantwortlicher. Dann bliebe aber die Frage offen, wer auf den „Straßen“, die die virtuellen Räume verbinden, als Verantwortlicher gilt. Denn auch auf den virtuellen Straßen könnte es vorkommen, dass personenbezogene Daten verarbeitet werden. Beispielsweise könnten dort durch AdTech aufgestellte, personalisierte Werbeplakate aufgestellt werden oder andere Werbeaktionen stattfinden.

Zentrale Metaverse-Verantwortlichkeit

Zur Vereinfachung des sonst entstehenden Geflechts von Verantwortlichkeiten könnte daher einiges dafürsprechen, eine zentrale Plattformverantwortlichkeit für das gesamte Metaverse zu etablieren. Dann wäre in einem weiteren Schritt zu klären, wer diese Verantwortlichkeit zu tragen hätte. Sollte es einen einzigen Verantwortlichen für das gesamte Metaverse geben? Oder wäre eine Art gemeinschaftliche Verantwortlichkeit aller agierenden Unternehmen im Metaverse interessengerechter? Hier wäre schon problematisch, ob über alle möglichen Potentiale des Metaverse hinweg die gemeinsame Festlegung der Zwecke und Mittel zur Verarbeitung (vgl. Art. 26 Abs. 1 Satz 1 DSGVO) realisierbar wäre. Außerdem würde so jeder Verantwortliche im Rahmen der Gesamthaftung für jeden Fehltritt eines anderen Verantwortlichen mithaften. Die daraus resultierenden Ungerechtigkeiten könnten wohl auch nur bedingt durch Regressansprüche gelöst werden.

Access-Point-Verantwortlichkeit

Denkbar wäre es zuletzt, die Verantwortlichkeit über Access-Points zu bestimmen. Access-Points sind Einwahlprovider, also zum Beispiel Internetanbieter im Sinne von DSL-Anbietern. Als Access-Point-Provider zum Metaverse gelten dann diejenigen Dienstleister, die den Zugang zum Metaverse durch einen Internetanschluss ermöglichen. Hierbei stellt sich allerdingt die Frage, ob dies dann nicht zu einer enormen untragbaren Providerhaftung im Sinne einer Generalhaftung ausgedehnt würde. Zwar wäre es für Betroffene übersichtlich und einfach herauszufinden, an wen sie sich im Einzelfall wenden müssten. Jedoch wäre die Lösung insoweit unzureichend, als der Access-Point-Provider nur den Eintritt ins Metaverse ermöglicht. Gerade innerhalb des Metaverse agieren jedoch andere Anbieter, sodass es unbillig wäre eine reine Access-Point-Verantwortlichkeit zu konstruieren.

Datenschutzrechtliche Pflichten im Web 3.0

Geht man davon aus, dass die DSGVO im Metaverse anwendbar ist, sind die darin festgehaltenen Rechte der Betroffenen zu berücksichtigen und der weitreichende datenschutzrechtliche Pflichtenkatalog mit Dokumentations-, Auskunfts- und Meldepflichten zu befolgen. Die Umsetzung so mancher DSGVO-Regelung wird Unternehmen, anders als im Web 2.0, vor größere Herausforderungen stellen und kreative Lösungen erfordern. So stellt sich beispielsweise die Frage, wie dem Betroffenen Datenschutzinformationen (z.B. Benennung des Verantwortlichen, Aufklärung über Betroffenenrechte) mitgeteilt werden können. Nach Art. 12 Abs. 1 DSGVO müssen den Betroffenen die Datenschutzinformationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ übermittelt werden. Finden sich Datenschutzhinweise beispielsweise derzeit einfach im Footer der meisten regulären Websites, gestaltet sich dies im grenzenlosen Metaverse deutlich komplizierter. Eine Bereitstellung bei Registrierung allein wird nicht ausreichen, vielmehr wird es erforderlich sein, die Betroffenen kontinuierlich bei der Nutzung zu informieren, so z.B., wenn sie eine virtuelle Bankfiliale besuchen oder Online-Einkäufe tätigen. Der Nutzer muss stets vorab informiert sein, welche seiner personenbezogenen Informationen verarbeitet werden. Als Lösung für das Web 3.0 könnte sich beispielsweise ein virtueller Aushang anbieten, der je nach individueller Aktivität des Nutzers/der Nutzerin aktualisiert wird. Analog ist zu überlegen, wie eine Verwendung personenbezogener Daten zu Werbezwecken vor dem Hintergrund der besonderen Gegebenheiten des Metaverse rechtskonform ausgestaltet werden kann.

Datenaustausch

Wie bereits erwähnt, soll den zukünftigen Nutzern des Metaverse die Möglichkeit gegeben sein, mühelos von einem Raum zum anderen bzw. von einer Plattform zu anderen zu wechseln und hierbei ihre Besitztümer und Tokens mitzunehmen. Die sog. Interoperabilität der Daten als besonderer Trumpf des Metaverse verlangt, dass die Daten reibungslos transferiert werden können. Das setzt nicht nur die Schaffung entsprechender technischer Bedingungen voraus, sondern macht auch Vorkehrungen datenschutzrechtlicher Art erforderlich. Letzteres verpflichtet vor allem Unternehmen, die entsprechende Plattformen betreiben. Sie müssen untereinander DSGVO-konforme Vereinbarungen über den Austausch relevanter Daten (wie z.B. Registrierungsdaten und Daten über Eigentumsrechte) treffen. Dabei ist auch zu berücksichtigen, dass die Verarbeitung bestimmter Daten die Einwilligung des/der Betroffenen voraussetzt.

Da das Metaverse als eine nationenübergreifende virtuelle Welt gedacht wird, sollte auch ein internationaler Datenaustausch gewährleistet sein. Hierbei müssen Unternehmen die besonderen datenschutzrechtlichen Anforderungen an den Datentransfer in Staaten außerhalb der EU mitdenken. Gemäß Art. 45 DSGVO bedarf es für die Datenübermittlung in ein Drittland eines Angemessenheitsbeschlusses (mit dem die EU-Kommission feststellen kann, dass ein Drittstaat ein der EU vergleichbares Datenschutzniveau bietet) bzw. der Einhaltung der in Art. 46 DSGVO festgelegten Garantien. Infolge der sog. Schrems-II-Entscheidung, mit dem der Europäische Gerichtshof den Angemessenheitsbeschluss für die USA (Privacy-Shield-Abkommen) für ungültig erklärt hat, wurden die Anforderungen an rechtsfonforme Datenübermittlungen in Drittstaaten noch einmal deutlich angezogen. Die neuen Vorgaben, die bereits jetzt viel Unsicherheit hervorrufen, werden Unternehmen auch bei der weiteren Entwicklung des Metaverse begleiten.

Ausblick: Weitere relevante europäische Rechtsakte

Nicht nur die Vorgaben aus der DSGVO werfen in Hinblick auf das Metaverse eine Vielzahl von Fragen auf, sondern auch weitere europäische Rechtsakte werden auf die virtuelle Welt Anwendung finden. Gerade im Rahmen der umfangreichen EU-Datenregulierung bzw. -gesetzgebung ergeben sich einige Schnittstellen. Da künstliche Intelligenz im Rahmen des Metaverse eine Vielzahl menschlicher Interaktionen möglich machen könnte, werden beispielweise ggf. die Vorgaben aus dem Artificial Intelligence Act (AIA) Anwendung finden. Der AIA, der noch nicht verabschiedet ist, stellt in seiner Entwurfsfassung unter anderem Verpflichtungen an die Nutzung bestimmter KI-Systeme mit hohem Risiko auf und beinhaltet auch eine Kennzeichnungsplicht von Deep Fakes und Social Bots. Relevant kann daneben auch der Digital Services Act (DSA) sein, dessen Ziel die Schaffung eines einheitlichen Rechtsrahmens für Online-Plattformen mit Melde- und Rechenschaftspflichten ist. Die vorgesehenen einheitlichen Vorschriften zu Haftung und Sicherheitsvorkehrung auf Online-Plattformen würde auch das Metaverse betreffen. Zuletzt sollten auch die Regelungen des Digital Markets Act (DMA) nicht vergessen werden. Für den Fall, dass sich Metaverse-Plattformen zu sog. Gatekeepern entwickeln, also große Online-Plattformen, die die digitalen Märkte kontrollieren, finden auch die Vorgaben des DMA Anwendung. Der kürzlich in Kraft getretene Rechtsakt stellt über 20 Verhaltensvorgaben (Do’s and Don’ts) auf, die bei regelwidrigem Verhalten bußgeldbewehrt sind.

Fazit

Die Rechtsfragen um das Metaverse sind komplex. Vieles wird davon abhängen, welche Rechtsordnung innerhalb des Metaverse gelten wird. Über die Fragen zum Datenschutz hinaus, werden sich auch viele andere Rechtsgebiete, wie das Strafrecht oder das Zivilrecht, auf das Web 3.0 vorbereiten müssen. Bei der Entwicklung sind daneben auch grundlegende rechtspolitische und grundrechtliche Überlegungen anzustellen. Werte, die in unserer physischen Welt gelten, darunter auch die Werteordnungen der Rechtssysteme, müssen auch in der neuen virtuellen Welt etabliert werden.

Allzu lange wird es auf jeden Fall nicht mehr dauern, bis das Metaverse an den Start gehen wird. Die darin verborgenen Potentiale sollten unbedingt genutzt werden. Unsere Kanzlei bietet unter anderem zu neuen Technologien wie Blockchain und Metaverse umfassende Beratungsleistungen an – ob zu datenschutzrechtlichen, IT- oder wettbewerbsrechtlichen Aspekten. Gemeinsam mit Ihnen finden wir die passenden Lösungen für die Realisierung komplexer datengetriebener Projekte oder Plattformen. Sprechen Sie uns an!

Ist Ihr Unternehmen fit für das Metaverse? Wir beraten Sie gern!

Kontaktieren Sie uns jetzt!
nach oben
Mehr zum Thema

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.