Was ist das Metaverse und welche Möglichkeiten bietet es?
Zwar ist der Hype um NFT vorerst abgeflacht, doch gilt dieser Trend nicht insgesamt für Web3 Technologien und insbesondere nicht bei der Entwicklung des Metaverse. Ungeachtet der revolutionären Chancen, die sich durch das Metaverse bieten, dürfen bestehende Fallstricke, nicht ignoriert werden.
Anwendbarkeit der DSGVO
Die Anwendbarkeit der DSGVO bestimmt sich nach Art. 3 DSGVO. Danach ist der räumliche Anwendungsbereich eröffnet, sofern eine bestimmte räumliche Verbindung zur Europäischen Union existiert. Diese Verbindung kann sich entweder begründen durch eine Niederlassung eines (Metaverse-)Unternehmens in der Europäischen Union, durch das Anbieten von Waren und Dienstleistungen in der Europäischen Union oder durch das Beobachten von Personen innerhalb der Europäischen Union. Ein typischer Anwendungsfall des Beobachtens beschreibt das Tracking von Nutzerverhalten.
Meta beispielsweise verfügt über eine Niederlassung in der Europäischen Union.
Sandbox hingegen, in dessen Space sich unter anderem virtuell Galerien erbauen lassen, ist eine Decentralized Autonomous Organization (DAO). Bei einer dezentralen Organisation entscheidet die Community über die Entwicklung der Organisation. Auch wenn bei den DAOs kein verantwortliches Unternehmen den Anwendungsbereich der DSGVO eröffnet, werden Personen innerhalb der europäischen Union als Nutzer beobachtet.
Möglichkeiten im Metaverse
Im Metaverse ergeben sich durch die Integration von Hardware immersive Erlebnisse. Durch VR-Brillen, zum Beispiel die Quest Pro von Meta werden im Gegensatz zum Web2 nicht nur IP-Adressen, E-Mail-Adressen oder das Search-Verhalten relevant, sondern auch Daten über die Mimik- und Blickerfassung sowie Bewegungsmuster können verarbeitet werden. Durch insgesamt zehn Kameras der Quest Pro sollen die Avatare in Horizon Worlds (die Metaverse-Plattform von Meta) eine besonders natürliche Mimik erhalten. Durch das Tracken von Augenbewegungen könnte Meta messen, ob und wie lange eine Werbeanzeige Beachtung findet.
Im Metaverse werden daher nicht bloß personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO verarbeitet, sondern auch biometrische Daten nach Art. 4 Nr. 14 DSGVO und mitunter sogar Gesundheitsdaten nach Art. 4 Nr. 15 DSGVO.
Die erhobenen, verarbeiteten und ausgewerteten Daten können für die Erstellung von Persönlichkeitsprofilen genutzt werden. Damit kann Werbung noch zielgerichteter kreiert und ausgespielt werden.
Datenverarbeitung
Auch im Metaverse gelten die Grundsätze der DSGVO. Daten dürfen nur zweckgebunden sowie sparsam und transparent erhoben werden.
Art. 9 DSGVO stellt erhöhte Anforderungen, insbesondere in Gestaltung einer ausdrücklichen Einwilligung, an die Verarbeitung besonderer Kategorien personenbezogener Daten, wozu die biometrischen Daten und Gesundheitsdaten gehören.
Eine Einwilligung in Datenverarbeitungsvorgänge muss generell freiwillig erfolgen. Angezweifelt werden könnte die Freiwilligkeit, wenn der soziale Druck, für einen relevanten Teil des Alltags das Metaverse zu nutzen, steigt, oder wenn die Verwendung und die zunehmende Gamification des Alltags im Metaverse zu einem Suchtverhalten führt. Es gilt eine sorgfältige Abwägung zu treffen, ob sich der Nutzer nicht bereits gezwungen fühlt, seine Einwilligung zu erteilen.
Entwickler müssen zudem sicherstellen, dass eine erfolgte Einwilligung jederzeit widerrufen werden kann. Hier ergeben sich Möglichkeiten durch privacy by design, also das Erreichen eines konkreten Datenschutzniveaus durch die Ausgestaltung der Technik.
Weiterhin muss die Frage beantwortet werden, gegenüber wem, die Einwilligung zur Datenverarbeitung zu erteilen ist. Hier eröffnet sich der Komplex des Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO. Es müssen nicht nur Konstellationen der gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO bearbeitet, sondern auch Antworten hinsichtlich der Verwendung von Künstlicher Intelligenz (KI) erarbeitet werden. Der Begriff des Verantwortlichen ist weit zu verstehen und KI kann als Werkzeug betrachtet werden. Für allgemeingültige Aussagen ist der Stand der Entwicklung und korrespondierend die ergangene Rechtsprechung allerdings noch nicht bereit.
Fazit und Ausblick
Die DSGVO wird sowohl die Betreiber und Entwickler des Metaverse, als auch Unternehmen, die im Metaverse agieren, begleiten und vor Fragen und Herausforderungen stellen. Die Problemkreise, die sich bereits im Web2 ergeben haben, werden ins Web3 transferiert.
Für Entwickler und Unternehmen ergibt sich daraus jedoch auch eine Chance. Die Anforderungen der DSGVO können europäischen Unternehmen einen klaren Wettbewerbsvorteil verschaffen. Durch Datenkonformität lassen sich Nutzer und Kunden für das eigene Metaverse gewinnen. Der Vorteil muss lediglich klug kommuniziert und eingesetzt werden.