Neuer Aufsatz in ZD 2025 von Felix Büning & Markus Meyer

Klassische Cookie-Banner sind im Internet längst ineffektiv – sie werden oft ungelesen weggeklickt („Click-Fatigue“) und untergraben damit die informierte, freiwillige Einwilligung nach DS-GVO. Im Metaverse, mit höherer Immersion und Komplexität, verschärfen sich diese Probleme. Ein möglichen Lösungsansatz stellen die sog. Personal Information Management Systems dar. PIMS könnten zentralisierte, benutzerfreundliche Werkzeuge zur Verwaltung von Einwilligungen bieten. Diskussionswürdig sind vor allem vier Modelle.

1. Die Agentenerkennung: Ein Software-Agent erteilt nach Nutzerkonfiguration automatisiert Einwilligungen. Die Vorteile dieser Lösung ist, die Entlastung des Nutzers. Auf der anderen Seite steht das Problem der rechtlichen Zweifel an der Zurechnung und der Informiertheit.

2. Ein Speichertool für sachgleiche Verarbeitungen: Einmal erteilte Einwilligungen werden für gleichartige Vorgänge gespeichert (§ 3 EinwV). Dies bringt den Vorteil mit sich, dass weniger Wiederholungen der Einwilligungen bestehen. Auf der anderen Seite besteht das Problem des begrenzten Nutzens und das keine Pflicht zur Nutzung besteht.

3. Eine zentrale Einwilligungsbündelung: Dabei sammelt eine vorgeschaltete Instanz Einwilligungen für mehrere Verantwortliche. Dies führt zu dem Vorteil, dass ein unterbrechungsfreies Nutzererlebnis ermöglicht wir. Auf der anderen Seite besteht das Risiko der Stärkung von Plattformmonopolen, was die Einhaltung der Anforderungen der DS-GVO erschwert.

4. Einwilligungsstellvertretung durch Dritte: Ein PIMS-Betreiber erteilt Einwilligungen im Namen des Nutzers. Der Vorteil dieses Ansatzes ist die professionelle Entlastung. Problematisch ist, dass Streit über Zulässigkeit und Anforderungen (insb. Bestimmtheit und Informiertheit) besteht. Zuerst muss eine wirksame Einwilligung freiwillig, informiert, eindeutig und zweckgebunden erfolgen. Ob dabei eine Stellvertretung erfolgen kann, ist im Datenschutzrecht umstritten, aber nach unserer Auffassung möglich und im Metaverse sinnvoll. Eine gesetzliche Klarstellung (DS-GVO oder Erwägungsgründe) wäre jedoch wünschenswert, um Rechtssicherheit zu schaffen.

Dabei stellen vor allem die technische Umsetzung, der Datenaustausch zwischen PIMS und Verantwortlichen, die Geschäftsmodelle für PIMS-Betreiber, deren erforderliche Marktmacht, die Integritätserfordernisse und die Haftungsrisiken bei fehlender wirksamer Einwilligung rechtstatsächliche Herausforderungen dar. Schlussendlich können PIMS jedoch – insbesondere in Form einer Einwilligungsvertretung – im Metaverse ein unterbrechungsfreies und zugleich datenschutzkonformes Erlebnis ermöglichen. Ohne gesetzliche Anpassungen bleiben jedoch erhebliche rechtliche Unsicherheiten.