Datenschutz im Metaverse

Was sollten Unternehmen im Metaverse in Bezug auf Datenschutz beachten?

Die DSGVO bringt viele Herausforderungen mit sich, doch insbesondere im Metaverse stellen sich viele neue rechtliche Fragen. Die Umsetzung von Datenschutzvorgaben auf einer Plattform, die sich ständig weiterentwickelt, ist für viele Verantwortliche ein großes Thema.

In unserem Beitrag klären wir über die wichtigsten Punkte auf.

Das Metaverse ist das Konzept eines virtuellen Raums, in dem sich Nutzer austauschen und ihre Dienstleistungen anbieten können. Teil des Metaverse sind die virtuelle Realität (Virtual Reality), virtuelle Vermögensgegenstände (Virtual Assets), digitale Identitäten (Digital Identities) und Interoperabilität (Interoperability).

Die Rechtslage im Metaverse ist umstritten, da die virtuelle Welt zahlreiche Fragen aufwirft und bestehende Gesetze nicht immer passend anwendbar sind.

Sachlicher Anwendungsbereich:

In sachlicher Hinsicht ist eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten erforderlich (Art. 2 Abs. 1 DSGVO). Für
Plattformbetreiber und Unternehmen wird dies zu bejahen sein, eine Ausnahme können private oder familiäre Tätigkeiten darstellen.

Räumlicher Anwendungsbereich:

Niederlassungsprinzip: Für Unternehmen mit Sitz in der EU gilt die DSGVO.
Marktortprinzip: Wer keinen Sitz in der EU hat, aber sein Angebot auf EU-Bürger ausrichtet, muss die DSGVO ebenfalls einhalten.

Wer für die Einhaltung der Datenschutz- Vorgaben verantwortlich ist, lässt sich im Metaverse nicht immer pauschal beantworten. Mögliche Lösungsansätze sind:

• Ortsbezogene Verantwortlichkeit: z. B. in einem virtuellen Raum eines einzelnen Betreibers

• Zentrale Plattformverantwortlichkeit: für das gesamte Metaverse oder die jeweilige Plattform des Betreibers

Das unkomplizierte Zusammenspiel verschiedener Akteure bringt Herausforderungen mit sich: Zum einen müssen die Betreiber vertragliche Vereinbarungen über den rechtskonformen Datenaustausch treffen. Zum anderen muss der Datenaustausch auch rechtmäßig, also z. B. durch eine Einwilligung legitimiert sein.
Bei Datenübermittlungen in ein Drittland sind ein Angemessenheitsbeschluss (Art. 45 DSGVO) bzw. die Einhaltung der Garantien aus Art. 46 DSGVO erforderlich.

Auch die neuen Entwicklungen in der EU im Hinblick auf Künstliche Intelligenz und digitale Dienstleistungen dürfen nicht außer Acht gelassen werden:

• AI Act

• Digital Services Act

• Digital Markets Act
  

Diese Vorschriften werden auch eine Rolle bei dem Thema Datenschutz in der neuen digitalen Landschaft spielen.

Es gibt derzeit keine festen rechtlichen Grundlagen, die speziell auf die besonderen Herausforderungen und Möglichkeiten des Metaverse zugeschnitten sind. Dies wird
Aufgabe der nächsten Jahre sein.
Gleichzeitig kann die fortschreitende Entwicklung neuer Technologien dazu beitragen, die Sicherheit in der virtuellen Welt zu gewährleisten.

Unser Team besteht aus Juristen, Datenschutzbeauftragten, Auditoren, IT-Sicherheitsberatern und Risk Managern, die im gesamten Bundesgebiet und in Luxemburg für Dich tätig werden. Als spezialisierte Unternehmensberater unterstützen wir Dich ganzheitlich bei den Themen Datenschutz, IT-Recht und Cybersicherheit. Komm jederzeit für ein unverbindliches Erstgespräch auf uns zu.