Metaverse vs. Datenschutz: Die virtuellen Welten dürfen keine rechtsfreien Räume sein

Virtuelle Welten, die unter der Bezeichnung Metaverse entstehen, sind ein heiß diskutiertes Zukunftsthema. Während, beginnend mit dem virtuellen Game Secondlife und erfolgreichen Webgames, wie Fortnite und World of Warcraft, zunächst reine Spielwelten das Internet eroberten, denken die Schöpfer von Metaverse-Welten einen gewaltigen Schritt weiter. Avatare, die reelle Produkte kaufen, Inhalte, die in virtuellen Kommunikationszentren ausgetauscht werden bis hin zu Grundstücken, die per Token erworben werden, sind heute schon Realität – und werfen datenschutzrechtliche wie allgemein juristische Fragen auf.

Das Metaversum des Facebook-Mutterkonzerns Meta oder die dreidimensionale Erlebniswelt der Welt der Wunder-Gründers Hendrik Hey zeigen bereits heute auf, wie das Web der nächsten Generation ticken wird. Avatare führen in der virtuellen Welt reale Handlungen aus, mieten Wohnungen, kaufen ein und gründen eigene Geschäfte, in der mit einer virtuellen Währung in Form von Tokens bezahlt, gemietet oder erworben wird. Hey beschreibt seine vor zwei Jahren gelaunchte MILC-Welt in einem Interview mit dem Kommunikationsmagazin Clap wie folgt:

„Unser Metaverse ist unter anderem eine Stadt. In dieser kann ich mich dreidimensional bewegen. Es gibt Gebäude, Straßen und Plätze wie in jeder echten Stadt. Jedes Gebäude stellt einen anderen Inhalt dar. In dem einen wird professionelles Business gemacht, wie in einem Bürogebäude, in dem anderen befindet sich eine Universität, in der ich etwas lernen kann. Es gibt daneben auch eine Bank, eine Börse und sogar ein Parlament. Es wird zukünftig auch Shoppingmalls geben, und es finden öffentliche Veranstaltungen bis hin zu ganzen Messen statt. Diese können zeitgleich von unendlich vielen Menschen besucht werden. Es gibt aber auch Baustellen, um deutlich zu machen, dass ein Metaverse ständig wächst und immer weiter ausgebaut werden kann. Sie sehen aber schon jetzt, dass diese neue Form einer ‚Website‘ viel mehr an eine reale Wirklichkeit erinnert.“

In welchen rechtlichen Rahmen bewegt sich ein Metaverse?

Das Internet der Zukunft wird allgemein als Web3 bezeichnet und unterscheidet sich in einem zentralen Punkt von der ersten Internet-Phase Web1, mit der unsere Gesellschaften seit seiner Erschaffung leben, arbeiten und kommunizieren. Ging es beim „linearen“ Internet um die beiden Dimensionen Content-Produzenten und Content-Konsumenten, war dies durch bestehende Rechtsnormen noch ganz gut in den Griff zu bekommen. Urheberrechtsfragen, Handelskonzepte oder auch der Datenschutz waren in der Welt des Internets Version 1 zum Großteil mit den funktionierenden Rechtssystemen der realen Welt in Einklang zu bringen.

Der gravierende Unterschied zum Web3 ist die Tatsache, dass die hier handelnden Avatare zugleich Produzenten und Konsumenten von Content, Angeboten und Interaktionen sind. Ein kompletter Wegfall jeglicher Dinglichkeit beschreibt die virtuelle Welt von morgen, obgleich die Akteure auch in der virtuellen Welt vermehrt dinglich handeln. Das Grundproblem: Durch die weltweite Zugänglichkeit eines Metaverses multipliziert sich die Zahl der Aktivitäten, die einen rechtlichen Hintergrund aufweisen, ins Unermessliche.

Rechtliche Zuständigkeit eines Metaversums: Hat das Herkunftsland ausgedient?

Ein juristisches Problem werfen alleine schon die von Blockchains erzeugten Tokens auf, die im Metaverse als Zahlungsmittel dienen sollen. Sind Kaufvorgänge dieser Art mit reellem Handels- und Vertragsrecht in Einklang zu bringen? Welche Pflichten hat der Erwerber eines virtuellen Grundstücks? Muss er dort ein Hausrecht ausüben? Und wie ist virtuelle Besitz mit dem jeweiligen Steuerrecht vereinbar? Diese Fragen werden eine neue Spezies von Fachanwälten künftig beschäftigen, während allerdings Metavers-Welten bereits jetzt schon rasant wachsen und die bisher gekannten Grenzen sprengen.

Datenschutz muss in einer neuen Dimension gedacht werden

Knackpunkt für datenschutzrechtliche Fragen ist die enorme Anzahl an zusätzlichen Datenverarbeitungsprozessen im Metaverse. Avatare sollen ihren menschlichen Paten äußerst ähnlich sein. So sind VR-Brillen, die zur Grundausstattung eines Metaverse-Besuchers gehören, gespickt mit Sensoren, Micros und Kameras. Gesichtserkennung, die Erkennung von Mimiken, der Körperhaltung, der Stimme oder der Pupillenweitung und damit einhergehender Emotionen werden permanent gesammelt, um den Avatar so lebensecht wie möglich erscheinen zu lassen. Doch wozu dürfen diese personenbezogenen Daten darüber hinaus genutzt werden?

Sie geben unter anderem den Datensammlern Aufschluss über den Gesundheitsstaus, die Lebensführung des Akteurs sowie seine Emotionen, Gemütslagen oder seinen psychischen Zustand – allesamt Daten, die im Sinne der DSGVO besonders schützenswert sind. Zur virtuellen Darstellung der Nutzerwelt gehören darüber hinaus auch Videobilder und Fotos aus der direkten Umgebung des Users, die er ebenfalls via VR-Brille überträgt. Diese Diskussion hat Datenschützer schon in Puncto Drohnen oder Dashcams intensiv beschäftigt. So ist der Metaverse-User nicht nur ein offenes Buch, was seine Persönlichkeit angeht, er übermittelt auch Daten Dritter, was ihm bisher durch die DSGVO nur mit Zustimmung dieser gestattet war.

Fazit: Nicht nur die ungehemmte Internationalität und damit die Frage der juristischen Zuständigkeit für eine Metaverse-Welt wirft Fragen auf. Auch aus Datenschutzsicht sorgen die permanent unkontrolliert gesammelten Daten der User für berechtigte Sorgen bei Datenschützern. Die DSGVO wäre ein hervorragend passender Rechtsrahmen, der auch für die meisten Datenschutzfragen im Web3 Antworten parat hätte. Nur scheint es derzeit nicht realistisch, dass angesichts der vielen Metverse-Projekte, die weltweit in rasanter Geschwindigkeit vorangetrieben werden, eine DSGVO, die für das Web1 entwickelt wurden ist, als datenschutzrechtlicher Rahmen ausreicht und weltweite Akzeptanz findet. Was zu dem Schluss führt, dass für die virtuellen Metaverse-Welten ein eigener Rechtskosmos geschaffen werden muss, der auch ein spezifisches Datenschutz-Instrumentarium benötigt.