Direkt zum Inhalt wechseln

Part 5 unserer 5-teiligen Beitragsreihe

Die Entwicklung des Metaverse wirft neue datenschutzrechtliche Fragen auf. Dabei ist zu unterscheiden zwischen der Verarbeitung personenbezogener Daten der Nutzer durch den Betreiber und den Daten, die von Unternehmen erhoben werden, die das Metaverse selbst nutzen.

I. Anwendbarkeit der DSGVO

1. Räumlicher Anwendungsbereich
Räumlich gilt die DSGVO für die Verarbeitung personenbezogener Daten (Art. 3 I DSGVO). Sofern der Betreiber des Metaverse seinen Sitz in der EU hat oder sich ein Metaverse-Betreiber an EU-Bürger richtet, ist die DSGVO unmittelbar anwendbar. Auch die Beobachtung des Nutzungsverhaltens eröffnet den Anwendungsbereich der DSGVO, sobald der Zweck der Datenverarbeitung auf die Beobachtung des Verhaltens gerichtet ist. Auch Unternehmen müssen die DSGVO beachten, sobald sie ihr Dienstleistungsangebot auf EU-Bürger ausrichten.

2. Sachlicher Anwendungsbereich
In sachlicher Hinsicht setzt die Anwendung der DSGVO voraus, dass personenbezogene Daten verarbeitet werden (vgl. Art. 4 Nr. 1 DSGVO). Entscheidend ist, ob die Daten einen Rückschluss auf eine Person zulassen. Bereits durch die Registrierung erhält der Metaverse-Betreiber personenbezogene Daten des Nutzers. Bei Unternehmen können auch solche Daten als personenbezogen angesehen werden, die die Metaverse-Präsenz des Nutzers auswerten und damit einen Personenbezug aufweisen.

II. Datenschutzrechtliche Verantwortlichkeit der handelnden Akteure

Verantwortlich ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Verantwortlich ist also in jedem Fall der Metaverse-Betreiber. Darüber hinaus können Unternehmen verantwortlich sein, wenn sie Nutzerdaten selbst erheben. Eine gemeinsame Verantwortlichkeit von Plattformbetreiber und Unternehmen liegt nahe, wenn die Unternehmen Übersichten über die Präsenz der Nutzer erhalten. Schließlich können auch Agenturen verantwortlich sein, soweit sie im Rahmen der Erbringung ihrer Dienstleistungen personenbezogene Daten von Nutzern verarbeiten, sowie Hardware-Anbieter, die alle Arten von Nutzerdaten erheben können.

III. Rechtfertigung der Datenverarbeitung

Jede personenbezogene Datenverarbeitung bedarf eines Rechtfertigungsgrundes gem. Art. 6 I 1 DSGVO. Dabei fällt ein Großteil (z.B. Login-Daten) der Nutzerdaten unter Art. 6 I 1 lit. b DSGVO. Eine Zusammenführung bereits bekannter Nutzerdaten mit solchen aus der Nutzung des Metaverse ist in der Regel einwilligungsbedürftig. Werden personenbezogene Daten zu Werbezwecken verwendet, lässt sich dies häufig mit Art. 6 I S. 1 lit. f DSGVO rechtfertigen. Häufig müssen Nutzer in die Verarbeitung einwilligen, wenn es sich um eine kostenlose Nutzung der Plattform handelt.

IV. Vertragliche Vereinbarungen zum Datenschutz

Zwischen dem Plattformbetreiber und dem Nutzer werden bei der Nutzung von Metaverse Nutzungsbedingungen vereinbart. Datenverarbeitungen, die nicht zur Vertragserfüllung erforderlich sind, werden von diesen Nutzungsbedingungen nicht erfasst. Verarbeiten Unternehmen gemeinsam mit dem Plattformbetreiber Daten, ist eine Vereinbarung gem. Art. 26 DSGVO erforderlich, die regelt, wer welche Verpflichtung nach der DSGVO erfüllt. Im Zweifel ist der Plattformbetreiber deutlich näher an der Datenverarbeitung dran. Für den Fall, dass Agenturen im Metaverse Nutzerdaten verarbeiten, ist eine Auftragsverarbeitungsvereinbarung gem. DSGVO 28 abzuschließen.

V. Datenschutzinformationen und Betroffenenrechte

In den Datenschutzinformationen muss über die Erhebung personenbezogener Daten im Metaverse gemäß Art. 13 DSGVO informiert werden. Dies muss vor der Erhebung der Daten erfolgen. Bei gemeinsamer Verantwortlichkeit müssen sowohl Plattformbetreiber als auch Unternehmen über die Datenverarbeitung informieren. Dabei ist darauf zu achten, dass diese Informationen getrennt von den allgemeinen Datenschutzinformationen verlinkt werden. Darüber hinaus sind die Betroffenenrechte der Datenschutz-Grundverordnung zu gewährleisten. Sowohl Plattformbetreiber als auch Unternehmen müssen diese Ansprüche innerhalb eines Monats erfüllen (Art. 15 DSGVO). Gleiches gilt für die Löschung personenbezogener Daten (Art. 17 DSGVO).

Hier geht’s zu:

Part 1 im Heft 16-17/2023: Überblick

Part 2 im Heft 18/2023: Urheberrecht

Part 3 im Heft 19/2023: Vertrags- und Wettbewerbsrecht

Part 4 im Heft 20/2023: Datenschutz