In der Praxisanalyse wurden Metaverse-Plattformen – Decentraland als dezentralisierte und Second Life, sowie Roblox als zentralisierte Plattform – hinsichtlich der in der Literatur identifizierten technischen, rechtlichen und sozialen Problemfelder untersucht. Ziel war es, Gemeinsamkeiten und Unterschiede im Umgang mit Privatsphäre, Datenerfassung, Schutzmechanismen und Nutzerinteraktionen herauszuarbeiten.

Datenerfassung und -nutzung

Beide Plattformen erheben umfangreiche personenbezogene, technische und nutzungsbezogene Daten – von Basisinformationen zu Identität und Gerät bis hin zu Bewegungs- und Standortdaten bei XR-Nutzung. Auch Inhalte, Interaktionen sowie Daten aus Geräteeinstellungen und von Drittanbietern werden verarbeitet. Die Kombination dieser Daten erlaubt ein sehr detailliertes Nutzerprofil und birgt damit ein erhebliches Potenzial für Profilbildung und Nachverfolgung.

Datenschutz und Einwilligung

Datenschutzerklärungen sind vorhanden, jedoch oft nur auf Englisch und mit unklaren Zweckangaben. Transparenz- und Informationspflichten werden teils nur formal erfüllt. Die Einwilligung wird meist einmalig bei der Registrierung eingeholt, ohne kontextbezogene Abfragen; sie ist zwingend für den Zugang, eine echte Wahlmöglichkeit fehlt. Die Auffindbarkeit variiert, bei Drittanbietern sind Erklärungen häufig nur extern zugänglich, was die Übersichtlichkeit einschränkt. Dies führt zu einer weit verbreiteten, aber nur eingeschränkt nutzerfreundlichen Datenschutzpraxis.

Profiling und Personalisierung

Gesammelte Daten werden für personalisierte Inhalte, Dienste und Werbung genutzt – von App- und Kontaktvorschlägen bis zu gezielten Anzeigen. Die Prozesse sind oft intransparent, und bei Weitergabe an Dritte steigen die Risiken für Nutzer:innen. Mit zunehmender Reife der Plattformen dürfte die Relevanz datenbasierter Personalisierung weiter wachsen, was auch die Möglichkeit detaillierter Verhaltensprofile erhöht.

Überwachung öffentlicher Räume

VR-Plattformen erfassen häufig Mikrofon-, Kamera-, Bewegungs- und Raumdaten, während PC-basierte Plattformen meist nur Sprachchat-Daten verarbeiten. Solche Funktionen sind teils standardmäßig aktiviert, lassen sich aber in den Einstellungen anpassen. Visuelle Hinweise wie Symbole oder Punkte signalisieren die Erfassung. Für VR ist dies technisch oft notwendig, greift aber tief in die Privatsphäre ein.

Wechsel der Verantwortlichkeitsbereiche

Beim Wechsel zwischen Plattformbetreiber und Drittanbietern – etwa zu Weltenerstellern, App-Entwicklern oder Shops – ändert sich die datenschutzrechtliche Verantwortung. Für Nutzer:innen ist dies meist nur am veränderten Erlebnis erkennbar, nicht jedoch an klar kommunizierten Zuständigkeits- oder Datenschutzänderungen.

Social Bots und Social Engineering

Social Bots treten als Guides, Händler oder Markenvertreter auf, meist mit vordefinierten Dialogen oder einfachen Chatfunktionen. Manche sind realen Nutzer:innen optisch und vom Verhalten her ähnlich, wodurch Identitätstäuschung möglich wird. Interaktionen erfolgen über Text oder Auswahloptionen, teils mit psychologischen Druckmitteln wie Zeitlimits. Echte personalisierte Empfehlungen sind selten, können aber vorkommen. Klare Kennzeichnungen und Warnhinweise existieren kaum, was das Manipulationsrisiko erhöht.

Virtuell-räumliche Schutzbereiche

Es existieren Inhaltsfilter, Altersfreigaben und Zugangsbegrenzungen. In Decentraland und Second Life sind diese leicht zu umgehen, da Altersangaben nicht oder nur rudimentär verifiziert werden. „Adult“-Inhalte sind so auch Minderjährigen zugänglich, obwohl teils Warnungen oder Eingangsbeschränkungen bestehen. Wirksamkeit und Durchsetzung hängen stark von der Eigenverantwortung der Nutzer:innen ab.

Virtuelle Belästigung

Plattformen regeln Belästigung und Identitätsdiebstahl in Community Guidelines, jedoch in unterschiedlicher Ausführlichkeit. Roblox bietet detaillierte Vorgaben und Fallzahlen, andere bleiben vager. Blockieren, Stummschalten und Melden sind Standard, aber nicht immer effektiv – blockierte Avatare können oft räumlich nahe bleiben. Private Schutzräume sind eingeschränkt oder kostenpflichtig, während Funktionen wie Roblox’ „Safety Bubble“ oder Metas private Bereiche einen wirksameren Persönlichkeitsschutz bieten. Das Risiko ist hoch, insbesondere bei körpernahen Interaktionen in immersiven Umgebungen.

Avatare und Identitätsdiebstahl

Dokumentierte Missbrauchsfälle fehlen, das Risiko gilt jedoch als hoch. Gefälschte Avatare sind schwer von echten zu unterscheiden. Klarnamenpflicht besteht nicht; Namen sind frei wählbar und können mehrfach genutzt werden. Echtnamen werden, wenn überhaupt, nur intern und ohne Prüfung erfasst. Mit wachsender Verbreitung und immersiveren Interaktionen steigt die Wahrscheinlichkeit von Missbrauch, Gegenmaßnahmen wie verpflichtende Identitätsverifikation sind bislang selten und in ihrer Akzeptanz fraglich.