Rechtsfragen im Metaverse – Eine neue virtuelle Welt aus Sicht des Datenschutzes
Als Zukunft des Internets und Nachfolger des mobilen Webs angepriesen, wird das Metaverse als neue virtuelle Welt verstanden. Das Metaverse ist eine Vision vieler großer Tech-Unternehmen für die Integration der realen in die virtuelle Welt. Dem Facebook-Konzern, der sich selbst zu Meta Platforms umfirmiert hat, schwebt beispielsweise vor, ein umfassendes virtuelles Universum zu erschaffen. Großbritannien hat nun mit besorgtem Blick auf Metas Vorhaben, reagiert und eine „Online Safety Bill“ als Metaverse-Gesetz erlassen. Ziel des Gesetzes ist die Verbreitung illegaler Inhalte unter anderem im Metaverse zu bekämpfen. Aber wie soll reagiert werden, wenn ein dezentrales autonomes Metaverse die neue online Realität darstellt und nationale Gesetze dem nicht mehr genügen? Im Folgenden möchten wir Ihnen einige Rechtsfragen in Bezug auf das Metaverse aufzeigen und rechtliche Überlegungen zu den aufgeworfenen Problematiken darstellen.
Was ist das Metaverse?
Das Metaverse (dt. Metaversum) ist das Konstrukt einer digitalen Welt, in die man mittels Virtual Reality (VR) und Augmented Reality (AR) eintauchen und so immersiv eine Art „zweites Leben“ führen kann. Die virtuelle Welt kann durch einen Avatar erlebt werden und bietet die Möglichkeit, mit allen anderen Teilnehmern in dieser Welt zu interagieren. Innerhalb des Metaverse gibt es separate virtuelle Räume, die zahlreiche Möglichkeiten bieten sollen. Zu denken wäre an einen Raum, der ein virtuelles Einkaufszentrum darstellt, oder ein Bereich, der zum Spielen von Games aufgesucht werden kann. Auch virtuelle Diskotheken könnte es dort geben. Das Besondere dabei ist, dass das Metaverse grenzenlos verläuft. Käufe in Shops wären dann nicht auf den einzelnen virtuellen Raum beschränkt, sondern könnten über das ganze Metaversum in jedem Kontext und in jedem anderen virtuellen Raum genutzt werden. Das ist der wesentliche Unterschied zu den aktuellen Möglichkeiten im Internet. Beispielsweise ist im Moment die Nutzung von Tokens in einem Spiel grundsätzlich auf dieses beschränkt. Sie können in der Regel nicht zum Bezahlen auf einer anderen Plattform genutzt werden. Im Metaversum soll das aber gerade möglich sein. Das Metaverse ist also eine kollektive virtuelle Welt, die eine Vielzahl von Räumen beinhaltet, die unbeschränkt übergreifend funktionieren. Über das wirkliche Potential und die tatsächlichen Möglichkeiten im Metaverse lässt sich aktuell nur spekulieren. Denkbar ist auch im Metaverse per VR, mit seinem Avatar in einen Büroraum zu gehen, um dort zu arbeiten, oder aber digitale Hologramme in die eigenen vier Wände zu projektieren. Ein bereits existierender Metaverse-Prototyp ist „Second Life“. Auch Meta Platforms hat inzwischen mit „Horizon Worlds“ schon den Schritt in Richtung virtuelle Welt getan. Das Metaverse ist also aktuell schon keine bloße Idee mehr. Zwar scheint das Ziel der Unternehmen eher auf ein marktbeherrschendes Metaverse ausgerichtet zu sein. Die dahinterstehende Vision wird aber immer konkreter und scheint in naher Zukunft immer greifbarer. Neben vielen Potentialen stellen sich aber auch rechtliche Fragen.
Die Frage nach dem geltenden Rechtsregime scheint besonders herausfordernd. Zunächst muss berücksichtigt werden, dass das Metaverse nationenübergreifend zugänglich sein soll. Die Vision geht dahin, dass bestenfalls jedermann Zugang dazu hat. Wesentlicher Unterschied zu einer „normal“ international zugänglichen Web-Plattform liegt in der Dezentralität und der umfassenden Interoperabilität. Daher erscheint es schwer, innerhalb einer virtuellen Welt alle Rechtssysteme zu vereinen. Außerdem muss daran gedacht werden, dass die wenigsten Gesetzestexte bereits auf ein Metaverse vorbereitet sind, womit sich die Frage auftut, ob die aktuell bestehenden Regelungen überhaupt geeignet sind, eine virtuelle Welt angemessen zu regeln.
Vom aktuellen rechtlichen Ist-Zustand aus betrachtet können
- eventuell bestehende internationale Vereinbarungen, wie völkerrechtliche Verträge oder Abkommen,
- das Internationale Privatrecht (IPR),
- das Recht des Herkunftslandes des Betroffenen,
- oder das Recht des Plattformbetreibers
als mögliche Anknüpfungspunkte gesehen werden.
Anknüpfungspunkt: Völkerrechtliche Abkommen und „Metaverse-Recht“
Denkbar wäre eine Art neue internationale Organisation als Staatenzusammenschluss aller Länder zu schaffen, die den Zugang zum Metaverse ermöglichen wollen. Als dezentrale autonome Organisationen könnten die teilnehmenden Staaten mittels völkerrechtlicher Verträge ein separates Rechtskonstrukt zur Regulierung des Metaverse erschaffen – eine Art „Metaverse-Recht“. Völkerrechtliche Verträge sind aber eher weniger geeignet, da sie nur die Vertragsstaaten und selten die im Land ansässigen Unternehmen oder Privatpersonen direkt verpflichten. Um innerstaatlich ebenfalls die Berücksichtigung eines solchen Vertrages zu erreichen, bedarf es je nach nationalem Recht eines Staates weiterer Zwischenschritte. Zudem sind die rechtlichen Möglichkeiten bei der Nichteinhaltung eines Völkervertrages eingeschränkt und wenig effektiv. Doch gerade im Metaverse sollte vor dem Hintergrund einer digitalen alternativen Echtzeit-Existenz Rechtssicherheit bestehen. Außerdem erscheint es utopisch, alle Interessen eines jeden Staates in einem einheitlichen Vertragstext unterzubekommen. Ein eigenes Rechtsregime für das Metaverse würde aber die Handhabung erleichtern, übersichtlicher und benutzerfreundlicher machen. Ob dieses Ziel erreicht werden kann, ist aber sehr fraglich. Völlig ausgeschlossen ist diese Möglichkeit trotzdem nicht, wie am Funktionieren der World Trade Organization (WTO) zu verzeichnen ist. Die der WTO zugrundeliegenden Abkommen schaffen einen effektiven und einheitlichen Rechtsrahmen für den weltweiten Handel. Besonders bemerkenswert ist, dass die in den Abkommen festgelegten Sanktionen bei Nichteinhalten der Verträge sehr effektiv sind. Zumindest dieser Staatenzusammenschluss hat Vorbildfunktion für ein funktionierendes globales Rechtssystem.
Anknüpfungspunkt: IPR
Auch das IPR könnte als Anknüpfungspunkt dienen. Es beantwortet als Kollisionsrecht die Frage, welche Rechtsordnung bei Fällen mit Bezügen zu Rechtssystemen verschiedener Staaten gilt. So sind die Ausgangspunkte, wie etwa der gewöhnliche Aufenthalt des Verkäufers bei Kaufverträgen, grundsätzlich auf das Metaverse übertragbar. Das IPR deckt dabei die zivilrechtlichen Konstellationen ab. Für strafrechtliche Sachverhalte müsste das internationale Strafrecht beachtet werden. Sich auftuende Rechtsfragen im Metaverse über das IPR zu lösen, erscheint möglich.
Anknüpfungspunkt: Herkunftsland des Betroffenen
Hier würde sich bereits vorab die Frage stellen, wer Betroffener wäre. Ist es der Avatar, der im Metaverse „lebt“? Oder ist es die Person, die den Avatar steuert und aus der realen Welt heraus agiert? Da der Avatar nur eine digitale Verkörperung des dahinterstehenden realen Menschen ist, spricht vieles für die Herkunft des Steuernden.
Konkret für den Datenschutz im Metaverse würde sich die Frage stellen: Wann käme die Datenschutz-Grundverordnung (DSGVO) zur Anwendung? Zwar knüpft der räumliche Anwendungsbereich der DSGVO in Art. 3 DSGVO primär an den Sitz des Unternehmens, das Daten verarbeitet, an. Sollte man aber zur Ermittlung des geltenden Rechts auf das Herkunftsland des Betroffenen abstellen, wäre allein dessen dauernder Aufenthalt maßgeblich. Sollte dieser in der Union sein, könnte man das Unionsrecht und damit auch die DSGVO anwenden.
Das könnte Sie auch interessieren:
- Schadensersatzansprüche im Datenschutz – Risiken und Herausforderungen
- Künstliche Intelligenz: Überblick und Ausblick auf die KI-Verordnung
- Künstliche Intelligenz & Ethik: zwischen Potenzial und Risiken
Anknüpfungspunkt: Recht des Plattformbetreibers
Möglicherweise könnte man die einzelnen Plattformen im Sinne der „virtuellen Räume“, die man im Metaverse betreten kann, als Anknüpfungspunkte für das anzuwendende Rechtssystem ansehen. Dabei würde sich ebenfalls zunächst die Frage stellen, ob es auf den realen Unternehmenssitz ankommt, oder auf den Sitz im Metaverse.
Sollte der Unternehmenssitz in der realen Welt Ausgangspunkt sein, wäre die Rechtlage übersichtlich. Dann würde beispielsweise in einem virtuellen Einkaufszentrum, das von einem in den USA ansässigen Unternehmen betrieben wird, das US-Recht gelten. Für einen virtuellen Co-Working-Space, dessen „Raum“-Betreiber seinen Sitz in der Union hat, könnte dann Unionsrecht angewendet werden und damit auch die DSGVO, soweit es um die Verarbeitung personenbezogener Daten geht. Diesem Gedanken folgend, würde aber zumindest das Marktortprinzip aus Art. 3 Abs. 2 DSGVO leerlaufen. Danach müssen nicht in der Union ansässige Unternehmen die DSGVO beachten, wenn sie Waren oder Dienstleistungen in der Union anbieten oder das Verhalten von betroffenen Personen in der Union beobachten. Die Feststellung der geltenden Rechtsordnung wäre bei Abstellen auf das Recht des Plattformbetreibers aber gerade unabhängig von der betroffenen Person, sondern allein vom Unternehmensstandort abhängig. Ob sich dann im Laufe der Zeit eine Art „Landflucht“ der Unternehmen in das Land mit den lockersten Rechtsregelungen entwickeln würde, wäre zumindest nicht ausgeschlossen. Dem entgegenstehen könnten Rechtsvorhaben wie der Digital Services Act der Europäischen Union. Dieser möchte eine Plattformregulierung für alle Anbieter schaffen, die ihre Dienstleistungen innerhalb der Europäischen Union anbieten, und zwar unabhängig vom tatsächlichen Sitz des Unternehmens.
Geht man davon aus, dass es auf den Sitz des Unternehmens im Metaverse ankommt, wird das Marktortprinzip hinken. Es ist wohl nicht zu erwarten, dass innerhalb der virtuellen Welt auch staatliche Territorien zu finden sind. Daher wird es schwierig, das Marktortprinzip im Metaverse anzuwenden. Die Union als territoriales Gebiet wäre kein Anknüpfungspunkt. Darüber hinaus wäre es auch denkbar, dass neue Unternehmen im Metaverse selbst gegründet werden, wodurch eine territoriale Zuordnung schon von vorneherein nicht mehr möglich wäre. Es gäbe dann keinen Unternehmenssitz in der realen Welt mehr. Die Übertragung der für die analoge Welt geltenden Regeln würden hier nicht mehr weiterführen.
Was sind personenbezogene Daten im Metaverse?
In das Metaverse würde man mittels VR und AR eintauchen. Zwar ist die Entwicklung dieser beiden Technologien aktuell für ein immersives Metaverse noch nicht reif genug. Dennoch hat es die IT-Branche bereits geschafft sog. „Smartcams“ auf den Markt zu bringen. Diese können nicht nur Videos aufzeichnen, sondern auch weitere Informationen aus ihnen gewinnen. Durch integrierte Sensoren in der Kamera oder im Computer können auch körperliche Aktionen erfasst und verwertet werden (sog. „Ubiquiotous Computing“). Daher stellt sich die Frage, ob unter anderem Mimik, Gestik und Körpersprache als Daten zu qualifizieren sind, und ob dies mit der DSGVO, soweit im Metaverse anwendbar, vereinbar wäre. Von Relevanz wäre das insbesondere, wenn anhand der Mimik die Gefühlslage oder das Interesse an einem bestimmten Objekt, etwa einer Werbeanzeige im Metaverse, ermittelt werden könnte. Im Folgenden könnte dann via AdTech (Online-Marketing in der Werbebranche) personalisierte Werbung geschaltet werden.
Daten sind grundsätzlich kodierte Informationen. Hinsichtlich des Personenbezugs hilft die DSGVO weiter. Ausgehend von der Definition in Art. 4 Nr. 1 DSGVO, sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispielhaft nennt das Gesetz unter anderem „mehrere besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, […] Identität“ der natürlichen Person sind. Da Mimik, Gestik und Körpersprache sichtbare Bewegungen des Körpers sind, fallen diese Merkmale unter den physischen Ausdruck. Die Zuordnung des körperlichen Ausdrucks kann in der Regel dann auch einer natürlichen Person zugeordnet werden, sodass sie ein personenbezogenes Datum im Sinne der DSGVO ist. Damit kämen die Regelungen der DSGVO zur Anwendung.
Hinzu treten moralische Erwägungen, ob mittels Mimik ermittelt werden darf, wie es um die Persönlichkeit, die Motivation, die Ehrlichkeit etc. des Nutzers steht. Solche Analysen würden tiefgreifend in die Persönlichkeitsrechte der Nutzer:innen eingreifen. Unabhängig vom Vorliegen einer möglichen Rechtsgrundlage rechtmäßigen Verarbeitung (vgl. Art. 6 DSGVO), ist zu fragen, ob dies überhaupt zulässig sein soll. Eventuell könnten solche Mimik-Daten als besonders sensible Daten nach Art. 9 DSGVO eingeordnet werden. Diese dürfen nur unter engen Voraussetzungen verarbeitet werden.
Wer ist datenschutzrechtlich Verantwortlicher im Metaverse?
In einer Art Kodex für das Metaverse wurden bereits sieben Attribute aufgestellt, die das Metaversum ausmachen sollen:
- Regel: Es gibt nur ein Metaverse.
- Regel: Das Metaverse ist jedermann zugänglich.
- Regel: Niemand kontrolliert das Metaverse.
- Regel: Das Metaverse ist offen.
- Regel: Das Metaverse ist unabhängig von einer Hardware.
- Regel: Das Metaverse ist ein Netzwerk.
- Regel: Das Metaverse ist das Internet.
Für die datenschutzrechtliche Verantwortlichkeit könnte vor allem Regel Nr. 3 Probleme bereiten. Wenn niemand das Metaverse kontrolliert, kann dann überhaupt jemand für die datenschutzrechtlichen Vorgänge innerhalb der virtuellen Welt verantwortlich sein? Die Regel impliziert nahezu eine Anarchie, die im Metaverse herrschen solle. Das kann aber nicht das Ziel sein. Vor allem nicht vor dem Hintergrund, dass das Metaverse eine Art „zweites Leben“ ermöglichen soll. Auch in einem virtuellen Leben müssen zwischenmenschliche Begegnungen rechtlichen Rahmenbedingungen gerecht werden, ob dies nun die Achtung der Grundrechte oder eben der Datenschutz sei.
Anknüpfend an die Frage nach dem Rechtsregime im Metaversum, kann die DSGVO unter Umständen angewendet werden. Datenschutzrechtlicher Verantwortlicher wäre dann diejenige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).
Single-oranization ecosystem-Verantwortlichkeit
Zu denken wäre an eine „Raum“-bezogene Verantwortlichkeit, vergleichbar mit den aktuell bestehenden einzelnen Webseiten und Plattformen. Demnach trifft denjenigen die Verantwortlichkeit, in dessen Raum sich eine Person mittel ihres Avatars gerade aufhält. Würde ein virtuelles Einkaufszentrum betreten, wäre der Einkaufzentrumsbetreiber in diesem Falle Verantwortlicher. Dann bliebe aber die Frage offen, wer auf den „Straßen“, die die virtuellen Räume verbinden, als Verantwortlicher gilt. Auch auf den virtuellen Straßen ist es denkbar, dass personenbezogene Daten verarbeitet werden. Beispielsweise könnten dort durch AdTech aufgestellte, personalisierte Werbeplakate oder Werbeaktionen stattfinden.
Zentrale Metaverse-Verantwortlichkeit
Daher könnte einiges, zur Vereinfachung des sonst entstehenden Geflechts von Verantwortlichen, dafürsprechen, eine zentrale Plattformverantwortlichkeit für das gesamte Metaverse zu etablieren. Die sich auftuende Frage wäre dabei, wen diese Verantwortlichkeit letzten Endes treffen würde. Gäbe es dann einen einzigen Verantwortlichen für das gesamte Metaverse? Soll es eine Art gemeinschaftliche Verantwortlichkeit aller agierenden Unternehmen im Metaverse geben? Hier wäre schon problematisch, ob über alle möglichen Potentiale des Metaverse hinweg die gemeinsame Festlegung der Zwecke und Mittel zur Verarbeitung (vgl. Art. 26 Abs. 1 Satz 1 DSGVO) realisierbar wäre. Außerdem würde so jeder Verantwortliche für jeden Fehltritt eines anderen Verantwortlichen mithaften. Die daraus resultierenden Ungerechtigkeiten könnten wohl auch nur bedingt durch Regressansprüche gelöst werden.
Access-Point-Verantwortlichkeit
Weiterhin denkbar wäre die Verantwortlichkeit über Access-Points zu bestimmen. Access-Points sind Einwahlprovider, also zum Beispiel Internetanbieter im Sinne von DSL-Anbietern. Als Access-Point-Provider zum Metaverse gelten dann diejenigen Dienstleister, die den Zugang zum Metaverse durch einen Internetanschluss ermöglichen. Ob dies dann nicht zu einer enormen untragbaren Providerhaftung im Sinne einer Generalhaftung ausgedehnt würde, ist hier problematisch. Zwar wäre es für Betroffene übersichtlich und einfach herauszufinden, an wen sie sich im Einzelfall wenden müssten. Jedoch wäre die Lösung dahingehend unzureichend, als dass der Access-Point-Provider nur den Eintritt ins Metaverse ermöglicht. Gerade innerhalb des Metaverse agieren jedoch andere Anbieter, sodass es unbillig wäre eine reine Access-Point-Verantwortlichkeit zu konstruieren.
Fazit
Die Rechtsfragen um das Metaverse sind komplex. Vieles wird davon abhängen, welche Rechtsordnung innerhalb des Metaverse gelten wird. Hier dargestellt werden, konnten nur grobe Einschätzungen, die vom abstrakten Bild des Metaverse geprägt sind. Über die Fragen zum Datenschutz hinaus, werden sich auch viele andere Rechtsgebiete, wie das Strafrecht oder das Zivilrecht, auf das Web3.0 vorbereiten müssen. Allzu lange wird es auf jeden Fall nicht mehr dauern, bis das Metaverse an den Start gehen wird. Die darin verborgenen Potentiale sollten unbedingt genutzt werden. Doch auch hierbei dürfen bestimmte Werte, darunter auch die Werteordnungen der Rechtssysteme, nicht missachtet werden!