Datenschutzrechtliche Anforderungen an Metaverse, NFTs und Co.

Ist die DSGVO auf das Metaverse und NFTs anwendbar?

Die Anwendbarkeit der DSGVO im Metaverse steht bei näherer Betrachtung außer Frage. Bereits der Avatar, also die Figur, mit der Nutzer¹ sich im Metaverse bewegen und die regelmäßig dem Erscheinungsbild der dahinterstehenden natürlichen Person nachempfunden ist, stellt ein personenbezogenes Datum dar. Selbst wenn er der natürlichen Person nicht nachempfunden wäre, ist der Avatar durch den Anmeldeprozess eindeutig und ausschließlich einer einzelnen natürlichen Person, vergleichbar einer E-Mail-Adresse, zugeordnet. Hierdurch wird die jeweilige Person im Metaverse eindeutig identifizierbar und schon allein vor diesem Hintergrund ist der Avatar als personenbezogenes Datum einzuordnen.

Darüber hinaus ist die DSGVO auch auf NFTs anwendbar. Denn in der dem einzelnen NFT zugrundeliegenden Blockchain werden bei jeder Transaktion die eindeutig einer einzelnen Person zuordenbaren Identifikationsdaten gespeichert (eine weitergehende Diskussion/Erörterung der Fragen der Identifikation von Personen bei der Übertragung von NFTs folgt in einem weiteren Beitrag zu Geldwäschethemen, der am 24.11.2022 erscheint).

Ein neuer Raum?

Bezüglich des räumlichen Anwendungsbereichs der DSGVO treten die ersten Reibungspunkte zwischen realer und virtueller Welt zutage. Lässt sich innerhalb des Internets noch an den tatsächlichen Aufenthaltsort der Personen anknüpfen, ist dies im Metaverse auf den ersten Blick nicht unbedingt selbstverständlich. Schließlich versteht sich das Metaverse als eigener und gänzlich neuer Ort.

Für die Bewertung des räumlichen Anwendungsbereichs bestehen mehrere Anknüpfungspunkte. Zunächst betrifft dies den Bezug zu personenbezogenen Daten von natürlichen Personen, die sich in der Europäischen Union aufhalten.

Anhand welcher Kriterien bestimmt sich aber der Aufenthaltsort eines Metaverse-Nutzers bzw. kann bei der Nutzung des Metaverse überhaupt auf einen physisch-realen Aufenthaltsort zurückgegriffen werden?

Hierbei ist nach den oben dargestellten Thesen zu beachten, dass sowohl die reale als auch die virtuelle Welt vom Metaverse erfasst sind. Es ist daher möglich, beim Betreten des Metaverse auf den tatsächlichen Aufenthaltsort des jeweiligen Nutzers abzustellen. Wählt sich also ein Nutzer über einen Standort in der Europäischen Union ins Metaverse ein, ist die DSGVO, entsprechend ihres universellen Geltungsanspruch, anwendbar.

Mit der gleichen Argumentation kann die Frage auch für Verantwortliche beantwortet werden, die ihre Dienste aus der Europäischen Union heraus erbringen. Entscheidend ist hier ebenfalls nicht der Standort der Server, sondern der tatsächliche Aufenthaltsort des Verantwortlichen. Diese Bewertung wird auch dadurch gestützt, dass im Metaverse physische Produkte vertrieben werden, die dann vom Sitz des Verantwortlichen aus versendet werden. Daran anknüpfend stellt sich allerdings die Frage, wer im Falle des Metaverse „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO ist, mithin „über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“.

Also: Wer ist verantwortlich?

Als Verantwortliche im Metaverse kommen eine Vielzahl von Akteuren in Betracht. Zu nennen sind hier: der Metaverse-Betreiber, der Raumbetreiber sowie ggf. die Akteure in einem solchen Raum. Ein Vergleich mit der analogen Welt, zum Beispiel mit einer Messe, verdeutlicht die zugrundeliegende Struktur. So wäre in dieser Analogie das Metaverse der Messegeländebetreiber, der sich um den Zugang und das Bereitstellen der Infrastruktur kümmert, die einzelnen Messestände die Raumbetreiber, die ihre Produkte und Dienstleistungen anbieten, und die übrigen Gewerke einer Messe, wie Catering, Technik und Sicherheitsdienst, wären die weiteren im Raum auftretenden Akteure.

Auch hier bietet das Instrumentarium der DSGVO Möglichkeiten, diese Gemengelage aufzulösen, indem ein Nebeneinander eigenständiger und gemeinsamer Verantwortlichkeiten angenommen wird. Im Einzelnen ergibt sich entsprechend folgende Einordnung:

• Zum Betreiber der Plattform: Verantwortlicher wird in jedem Fall der Metaverse-Betreiber selbst sein. Er entscheidet über die Zwecke und Mittel der Nutzerdaten, zumindest in der Hinsicht, als dass er ihnen den Zugang zum Metaverse bereitstellt.
• Zum einzelnen Raumbetreiber: Um im dargestellten Szenario zu einer sachgerechten Lösung zu finden, wird auch der Betreiber des einzelnen Raums, in dem sich ein Nutzer gerade aufhält, als Verantwortlicher im Sinne der DSGVO anzusehen sein. Dies ist geboten, da dieser ebenfalls die Daten der Nutzer zu eigenen Zwecken und mit eigenen Mitteln verarbeiten wird, indem er beispielsweise einen Webshop oder eine Rechtsanwaltskanzlei auf Grundlage des Metaverse anbietet.
• Zu den einzelnen Akteuren im Raum: Hier kommen im Metaverse beispielsweise Zahlungsdienstleister oder Werbedienstleister in Betracht, die je nach Dienstleistung und technischer Ausgestaltung teilweise als Auftragsverarbeiter oder Verantwortliche auftreten können.

Eine Abgrenzung der einzelnen Akteure und ihrer jeweiligen Tätigkeit voneinander wird Aufgabe der Rechtsprechung sein, wobei hier keine gänzlich neuen Ansätze entwickelt werden müssen, sondern auf die bereits bestehenden Abgrenzungskriterien zurückgegriffen werden kann, wie sie beispielsweise vom EuGh in verschiedenen Entscheidungen herausgearbeitet wurden (vgl. EuGH, Urteil vom 5.6.2018 – C-210/16 [Facebook-Fanpage]; EuGH, Urteil vom 10.7.2018 – C-25/17 [Zeugen Jehovas]).

Im Gegensatz dazu ist die datenschutzrechtliche Verantwortlichkeit im Rahmen von NFTs maßgeblich von der eingesetzten Blockchain abhängig. Den meisten öffentlichen Blockchains ist gemein, dass es mehrere Knotenpunkte („Nodes“) gibt, die Transaktionen validieren und eine Kopie der gesamten Blockchain speichern. Hierbei sind die Betreiber einzelner Knotenpunkte frei in der Gestaltung der eingesetzten Technik. Damit dürfte mindestens jeder Knotenpunktbetreiber eigenständiger Verantwortlicher im Sinne der DSGVO mit allen daraus resultierenden Pflichten sein.

Welche Folgen ergeben sich aus einer Anwendbarkeit der DSGVO?

Nachdem die Anwendbarkeit der DSGVO feststeht, stellt sich nun die Frage, welche konkreten Auswirkungen dies auf das Metaverse und die dortigen Akteure haben wird.

Durch die Anwendbarkeit der DSGVO ergeben sich ein Rahmen und eine Struktur für Daten im Metaverse. Diese sind bereits aus dem Internet bekannt. Nutzern verschafft dieses System Sicherheit. Für Unternehmen birgt es den Vorteil, dass bereits erprobte und bewährte Muster und Strategien übertragen werden können. Die DSGVO kann insofern als Blaupause verwendet werden, an der sich alle Beteiligten orientieren können.

Anwendbarkeit der DSGVO führt zu neuen Herausforderungen

Aus der Anwendbarkeit der DSGVO ergeben sich auf der anderen Seite auch neue Herausforderungen. Da betroffene Personen zum Zeitpunkt der Datenerhebung über ihre Rechte nach der DSGVO informiert werden müssen, stellt sich für Verantwortliche die Frage, wie dieser Anforderung technisch im Metaverse nachgekommen werden kann.

Eine Möglichkeit besteht darin, dass betroffene Personen direkt beim erstmaligen Betreten des jeweiligen Raums vom Verantwortlichen über ihre Betroffenenrechte informiert werden. Hier muss eine nutzerfreundliche technische Gestaltungsichergestellt werden, damit die Befolgung dieser Pflichten nicht zu einem „information overload“ bei Nutzern führt, da ansonsten die datenschutzrechtlichen Anforderungen an die Information nicht erfüllt wären.

Auch in Bezug auf den Schutz personenbezogener Daten stellen sich gänzlich neue Herausforderungen. Wie eingangs beschrieben, stellt der Avatar der Nutzer ein personenbezogenes Datum dar. Doch wie kann ein solcher Avatar umfassend vor Cyberangriffen geschützt werden? Wer haftet, wenn der Schutz versagt und beispielsweise ein Dritter die Kontrolle über den Avatar erlangt? Und wer ist überhaupt zur entsprechenden Rechtsdurchsetzung berufen? An dieser Stelle greifen die Regelungen der DSGVO zu Datenschutzvorfällen ein und ordnen nicht nur die Verantwortlichkeiten für solche Fälle zu, sondern geben Unternehmen auch die entsprechenden Regelungen an die Hand, um Haftungsrisiken zu minimieren.

Größer dürften die Probleme bei der Umsetzung der DSGVO im Rahmen von NFTs ausfallen. Das hohe Potenzial der Blockchain-Technologie zeichnet sich gerade durch Transparenz, Nachvollziehbarkeit, Unveränderlichkeit und damit durch Manipulationssicherheit und Vertraulichkeit aus. Dies steht im genauen Gegensatz zu dem von der DSGVO verfolgten Ziel. Ein möglicher Kollisionspunkt ist dabei neben der ausufernden Verantwortlichkeit die Durchsetzung der Betroffenenrechte. Gerade das Recht auf Löschung steht der Unveränderlichkeit der Blockchain entgegen. Technische Eingriffsmöglichkeiten wie Forking und 51%-Angriffe² scheitern regelmäßig an einer praktischen Umsetzung, da es hierfür eines koordinierten Vorgehens bedürfte, das dem dezentralisierten Charakter der Blockchain-Technologie zuwiderläuft. Eine Lösungsfindung muss somit im Rahmen des (bestehenden oder noch zu schaffenden) Rechts erfolgen, notfalls durch einen Eingriff des Gesetzgebers.

Abschließend ist festzuhalten, dass die DSGVO durch ihre technologieneutrale Formulierung die vom Metaverse aufgestellten Herausforderungen bewältigen kann; in Bezug auf NFTs bestehen jedoch erhebliche Unsicherheiten. Nichtsdestotrotz sollte die Anwendbarkeit der DSGVO auf das Metaverse und auf NFTs nicht als Hemmnis angesehen werden. Vielmehr schafft die DSGVO bereits jetzt einen rechtssicheren Rahmen für die Weiterentwicklung des Metaverse und von NFTs. Insbesondere zeigt sie die Reibungspunkte zwischen Rechtssicherheit und Innovation auf und hilft, eine konsensfähige Lösung zu finden.   

¹ Aus Gründen der besseren Lesbarkeit wird bei Personenbezeichnungen und personenbezogenen Hauptwörtern in diesem Blog ausschließlich die männliche Form verwendet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für alle Geschlechter.

² Forking: Beim Forking wird ein neuer Blockchain-Strang an einen beliebigen Punkt der bestehenden Blockchain angesetzt. Die so entstandene Abspaltung soll Fehler, die im alten Strang liegen, korrigieren. 51%-Angriffe: Aus Sicherheitsgründen werden zahlreiche Kopien der Blockchain dezentral auf Servern gespeichert. Durch einen ständigen Abgleich aller Kopien muss ein Angreifer mindestens 51 % aller bestehenden Kopien verändern, um die Blockchain zu korrumpieren. .