Vortrag beim Göttinger Forum IT-Recht am 14.02.2025 von Felix Büning

Das Metaverse bezeichnet immersive, dreidimensionale digitale Umgebungen, die für soziale Interaktion, Wirtschaft, Bildung und Unterhaltung genutzt werden. Mit der wachsenden Verbreitung dieser virtuellen Welten steigen jedoch auch die Risiken für Datenschutz und Persönlichkeitsrechte. Dazu zählen vor allem die intensive Erfassung und Auswertung personenbezogener Daten, unklare Verantwortlichkeiten, Gefahren wie Identitätsdiebstahl und Belästigung sowie die besondere Gefährdung von Kindern, Jugendlichen und Beschäftigten.

Um diesen Risiken zu begegnen, wurde ein mehrstufiges methodisches Vorgehen gewählt: Zunächst erfolgte eine Literaturanalyse, auf deren Grundlage vier prioritäre Themenfelder für Privacy-by-Design-Maßnahmen definiert wurden. Darauf folgten ein Expertenworkshop, Fokusgruppentests und schließlich eine geplante Online-Befragung mit rund 2.000 Teilnehmenden.

Im Bereich Persönlichkeitsrechte standen insbesondere virtuelle Belästigung und Social Bots im Fokus. Gegen Belästigung in virtuellen Räumen könnten sogenannte „Safe Zones“ helfen, die Mindestabstände zwischen Avataren erzwingen und es Opfern ermöglichen, Angreifer zu blockieren, ohne selbst unsichtbar zu werden. Die Einstellungen dieser Schutzmechanismen sollen mit Einwilligung der Nutzenden anpassbar sein. Erste Ergebnisse zeigen, dass weibliche Nutzende Risiken hierbei höher einschätzen als männliche.

Zur besseren Erkennbarkeit von Social Bots wird eine klare Kennzeichnungspflicht nach Vorgaben des Medienstaatsvertrags und der KI-Verordnung empfohlen. Diese Kennzeichnung könnte durch visuelle Labels oder Pop-ups erfolgen, um Nutzende vor manipulativen Meinungsbeeinflussungen zu schützen.

Im Themenfeld Datenschutz erweist sich die Einholung wirksamer Einwilligungen als besondere Herausforderung. Immersive Erlebnisse und plattformübergreifende Datennutzung erschweren klassische Einwilligungsverfahren. Ein Ansatz ist der Einsatz eines virtuellen Datenschutzassistenten („Stefan Schild“), der Nutzende in Echtzeit informiert und durch Entscheidungen führt. Allerdings besteht hier das Risiko, dass häufige Abfragen die Immersion stören. Eine alternative Lösung sind vorgelagerte, zentrale Einwilligungen oder sogenannte Personal Information Management Systems (PIMS), die einmal erteilte Zustimmungen für verschiedene Plattformen verwalten.

Ergänzend sind Mechanismen zur dauerhaften Informiertheit zu empfehlen, etwa Sensorhinweise, die aktive Datenkanäle wie Mikrofon, Kamera oder Herzfrequenzanzeige sichtbar machen, sowie transparente und interaktive Datenschutzerklärungen.

Die Fokusgruppenergebnisse zeigen, dass Safe Zones überwiegend positiv bewertet werden, wenngleich Fragen zur praktischen Umsetzung und Moderation offenbleiben. Datenschutzassistenten werden als nützlich angesehen, bergen aber die Gefahr von Abnutzungserscheinungen. Zentrale Einwilligungssysteme wie PIMS könnten die Belastung für Nutzende verringern, sind jedoch in ihrer rechtlichen Zulässigkeit noch nicht abschließend geklärt.

Für die nächsten Schritte sind die Entwicklung von Demonstratoren und Feldtests vorgesehen. PIMS sollen dabei nicht nur für das Metaverse, sondern auch für andere digitale Plattformen bewertet werden. Langfristig wird deutlich, dass rechtliche Anpassungen notwendig sind, um die Wirksamkeit solcher Privacy-by-Design-Maßnahmen zu sichern.