von Adrian Peters | Jan. 24, 2024 | Allgemein
Das Recht der Metaverse muss Grenzen setzten, auch wenn technisch unendliche Welten versprochen worden sind. Aus Seiten der Europäischen Union wird einiges vorgeschrieben, explizit im Datenschutzbereich. Wird dies nicht befolgt, droht für die Verantwortlichen eine hohe Geldbuße. Wir haben schon etwas zum Metaverse erzählt, zum Beispiel die Technologie und wichtigsten Plattformen. Nun schauen wir uns die datenschutzrechtlichen Gesichtspunkte an.
Die DSGVO
Die Datenschutzgrundverordnung (DSGVO) steht im Mittelpunkt, wenn es um Datenschutz geht. Die Verordnung gilt für die Mitgliedstaaten der EU als unmittelbar anwendbares Recht. Ein besonders wichtigstes Ziel ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und der freie Verkehr dieser.
Es müssen zum Beispiel Daten in rechtmäßiger Weise, nach Treu und Glauben und einer für die zuständigen Person verständlicherweise verarbeitet werden. Diese Vorschriften müssen von Denjenigen beachtet werden, die in Deutschland Daten als Verantwortliche verarbeiten.
Dabei kommt ein Problem auf: Die Anwendbarkeit der DSGVO auf das Metaverse. Dieses Problem kann nicht allgemein beantwortet werden. Die Begrifflichkeit „Metaverse“ umfasst auf verschiedensten Ebenen mehrere Dienstleistungen und Plattformen. Wirft man ein Blick auf die Klassiker wie Horizon Worlds oder Decentraland, rücken wir näher an die Sache heran.
DSGVO und der Anwendungsbereich
Zunächst schauen wir den sachlichen Anwendungsbereich an. Der Geltungsbereich der DSGVO ist für ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten und die nichtautomatisierte Verarbeitung personenbezogener Daten, welche gespeichert sind oder werden in einem Dateisystem. Diese allgemeine Erklärung ist bewusst gewählt. Es gilt der Grundsatz, dass die DSGVO technologieneutral zur Anwendung kommt. Sachlich gesehen bestehen einer Anwendung auf das Metaverse keine Hürden (zum Beispiel im VR oder AR-Bereich).
Nicht so leicht fällt es aus, wenn es um den räumlichen Anwendungsbereich geht. Die DSGVO kommt generell zur Anwendung, sobald sich der Sitz der Verantwortlichen in der EU befindet oder ein Bezug zu der EU anzunehmen ist. Demnach kann der Verantwortliche überall auf der Welt sein. Werden von seiner Seite aus Waren oder Dienstleistungen angeboten, gilt die DSGVO. Zwei interessante Beispiele bilden Horizon Worlds und Decentraland, welche hinsichtlich ihrer Gestaltung verschieden sind. Horizon Worlds wurde von Meta geführt und Decentraland wurde verteilt über die Blockchain betrieben.
Die DSGVO kommt zur Anwendung, sobald sich der Service der entsprechenden Metaverse-Plattform an Unionsbürger richtet. Einfacher zu regeln ist dies bei Horizon Worlds als bei Decentraland. Dennoch lässt sich der Fokus vom technischen Aufbau der Plattform auf den bestimmten Nutzern verlagern, damit führt dies zur Anwendbarkeit.
Welche Daten gesammelt werden
Die DSGVO legt eine bestimmte Gattung von Daten fest. Die Verarbeitung hiervon unterliegt Beschränkungen: Die personenbezogenen Daten.
Begriffsbestimmungen Artikel 4 DSGVO
Der Ausdruck wird gemäß dieser Verordnung definiert als:
Nr. 1: „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Zunächst kommen die üblichen Daten wie beispielsweise Adresse, Namen oder Geschlecht in den Kopf. Betrachtet man VR, muss man an neue Arten von Sammlungen von Daten denken. Die neuen Modelle erfassen die Mimik, Körperbewegungen, Gesichtsform oder die Stimme. Die genannten Sachen können alle unter Art. 4 Nr. 1 DSGVO gefasst werden.
Im AR-Bereich, also außerhalb der virtuellen Räumlichkeit, gibt es auch neue Aspekte. Geräte erfassen für diesen Zweck Echtzeitdaten und zielen darauf ab die reale Welt mit virtuellen Elementen zu erweitern. Dies führt dazu, dass eine Brille von Passanten oder Autokennzeichen mit AR-Funktionen Videoaufnahmen aufzeichnen. Datenschutzrechtlich gesehen ergeben sich selbe Probleme wie bei autonomen Fahrzeugen oder Drohnen.
Die Verantwortlichen
Wie wir gesehen haben, kommt die DSGVO auf unterschiedlichen MetaversePlattformen zur Anwendung und es werden wichtige personenbezogene Daten verarbeitet. Demnach ist fraglich, wer verantwortlich ist. Die DSGVO definiert den Verantwortlichen nach Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Demnach muss im Einzelnen geklärt werden, wer die Kontrolle über die Verarbeitung von Daten hat. Hinsichtlich Horizon Worlds wird es regelrecht Meta sein, da die ganze Plattform vom Konzern betrieben wird, genau wie Roblox Corporation auf der Roblox-Plattform. Einen Verantwortlichen bei der Plattform wie Decentraland zu finden, ist nicht so leicht, da sie aufgeteilt auf der Blockchain strukturiert ist und kein zentrales Stellen gibt. Auf der Website steht, dass die Nutzer selbst Besitzer der Plattform sind und diese regieren. Hierbei muss konkret geschaut werden, wer Sammler und wer Verarbeiter der Daten ist.
Wenn zur gleichen Zeit mehrere Verantwortliche in Erwägung gezogen werden, wird es schwieriger.
Gemeinsam Verantwortlichkeit
Dieser Grundsatz ist geregelt in Art. 26 DSGVO. Wenn zwei oder mehrere Verantwortliche zusammen die Zwecke der und die Mittel zur Verarbeitung bestimmen, liegt eine gemeinsame Verantwortlichkeit vor.
Wenn zum Beispiel Meta die Plattform zur Verfügung stellt und ein Modeunternehmen eine virtuelle Veranstaltung umsetzt, wäre dies im Metaverse vorstellbar. Unter diesen Umständen besteht das Interesse beider Unternehmen hinsichtlich der Daten. Diese sprechen sich vermutlich ab, damit eine gemeinsame Verantwortlichkeit anzunehmen ist. Die Privatpersonen, die Daten verarbeiten können auch darunter gefasst werden, da das Prinzip des Verantwortlichen nicht abhängig von der Rechtsform ist.
Es bestehen wichtige Pflichten
Wenn es um Datenschutz geht, verpflichtet die DSGVO die Verantwortlichen. Es folgern umfassende Informationspflichten, zu denen eine Einwilligung durch die Betroffenen erfolgen muss. Das ist wie bei Web 2.0 und den Datenschutzerklärungen, in die wir durch Fenster auf Webseiten einwilligen müssen.
Art. 7 DSGVO – Bedingungen in Bezug auf die Einwilligung
Abs. 1: Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Abs. 2: Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.
[…]
Die Einhaltung dieser Pflichten, fällt zahlreichen Unternehmen im bekannten Web 2.0 schon nicht einfach. Es müssen neue Wege auf Plattformen wie dem Metaverse entdeckt werden, um ihren Anforderungen gerecht zu werden. So kann nicht immer ein Häkchen gesetzt werden, wenn sich jemand ein VR-Headset oder eine AR-Brille aufsetzt. Die Erklärung zum Datenschutz muss falls nötig im virtuellen Raum auftauchen und eine Möglichkeit zur Einwilligung schaffen, die den Anforderungen gerecht wird.
Daher ist die professionelle Beratung vorteilhaft, um Fragen in Bezug mit Datenschutz und dem Metaverse zu erläutern. Das Web 3.0 funktioniert zwar anders als bekannte Internetseiten, das heißt jedoch nicht die Befreiung von Pflichten nach dem Datenschutzrecht.
Für weitere rechtliche Fragen kontaktieren Sie uns gern unter unserer Kanzleiadresse sbs-legal.de
Der Erstkontakt zu SBS LEGAL ist kostenlos.
von Adrian Peters | Jan. 30, 2023 | Allgemein, Datenschutz, Internetrecht, Verbraucherschutz, Wettbewerbsrecht
Datenschutz-Interessierte kamen vergangenes Jahr nicht um das Thema Google Fonts herum. Google Fonts sind verschiedene Schriftarten für die eigene Website im Internet, die von Google zur Verfügung gestellt werden. Wenn Sie also eine eigene Website erstellen, können Sie diverse Schriftarten hierfür auswählen. Ein Nutzer, der sich dann auf Ihre Website begibt, sieht diese „Fonts“ dann auch. Jedoch werden die Schriftarten bei dem jeweiligen Nutzer zunächst heruntergeladen, wenn er sie vorher nicht installiert hatte. Dadurch sieht die Website dann exakt so aus, wie es der Ersteller geplant hat.
Die jeweiligen Fonts werden allerdings über den Google-Server heruntergeladen, welche sich in den USA (United States of America) befinden. Alle Daten der Nutzer (inklusive IP-Adresse) gelangen dann in dieses außereuropäische Land.
LG München: Schadensersatz für Website-Nutzer
Grund für die starke Abmahnwelle ist vermutlich das Urteil des Landgerichts München vom 20. Januar 2022 mit dem Aktenzeichen 3 O 17493/20. Ein Website-Nutzer bekam 100 Euro Schadensersatz zugesprochen, weil seine IP-Adresse bei Aufruf der Website in ein unsicheres Drittland (USA) übermittelt wurde, worin er nicht eingewilligt hat. Der Website-Ersteller hatte Google Fonts nicht datenschutzkonform eingebunden. Hiernach wurden viele Abmahnungen von Abmahn-Kanzleien ausgesprochen. Das sind Kanzleien, die massenweise Mandanten in Abmahn-Fällen vertreten.
Die IP-Adresse gehört gem. Artikel 4 Nummer 1 der Datenschutz-Grundverordnung (DSGVO) zu den personenbezogenen Daten, welche datenschutzrechtlich besonders geschützt sind. Durch die IP-Adresse kann man nämlich die jeweiligen Internet-Nutzer bestimmen. Die abstrakte Möglichkeit, eine Person zu bestimmen, reicht hierbei aus. Da der europäische Gerichtshof nach der „Schrems II-Entscheidung“ entschieden hat, dass die USA kein angemessenes Datenschutzniveau aufweise, ist die Übermittlung in dieses Land rechtswidrig.
Abmahnwelle: Rechtliche Ansprüche
Der Anspruch des Nutzers aus besagtem Urteil hat einen Anspruch gegen die Internet-Betreiberin aus §823 des Bürgerlichen Gesetzbuches (BGB). Durch das Weiterleiten der IP-Adresse ohne Einwilligung ist das allgemeine Persönlichkeitsrecht des Besuchers in Form des informationellen Selbstbestimmungsrechts aus §823 Absatz 1 BGB in Verbindung mit Artikel 2 Abs. 1 und Artikel 1 Abs. 1 des Grundgesetzes (GG) verletzt. Diesen Anspruch haben alle Benutzer, deren IP-Adresse ohne Einwilligung an die USA übermittelt wurde.
Für das Unternehmen kann das bei tausenden Nutzern sehr teuer und schmerzhaft werden. Deshalb ist es immer ratsam, die Datenschutz-Seite auf der Website zu prüfen und sich von Experten beraten zu lassen. Unsere Kanzlei bietet hierbei eine umfangreiche Palette an Informationen und Beratungen im IT-, Internet– und Datenschutzrecht.
Google Fonts auf meiner Website: Was tun?
Wenn Sie keinen Schadensersatz zahlen möchten, sollten Sie regelmäßig kontrollieren, ob bei einem Update etc. keine neuen Fonts heruntergeladen wurden. Wenn das der Fall ist, sollten Sie jedoch schnell handeln. Um Google Fonts von einer Website zu entfernen, kann man folgende Schritte ausführen:
- Identifizieren Sie die verwendeten Schriftarten auf Ihrer Website.
- Laden Sie die Schriftarten auf Ihren Server herunter und hosten Sie sie selbst.
- Ändern Sie den CSS-Code, um auf die lokal gehosteten Schriftarten zu verweisen.
- Überprüfen Sie, ob die Schrift auf Ihrer Website korrekt dargestellt wird.
Wichtig: Stellen Sie sicher, dass Sie die Schriftarten lizenzkonform verwenden.
Datenschutz: Reicht eine Einwilligung bei Google Fonts?
Eine vorherige Zustimmung (Einwilligung) zur Datenverarbeitung reicht in den meisten Fällen leider nicht aus, da bei Besuch der Website die Daten bereits verschickt werden. Deshalb muss man als Website-Betreiber dafür sorgen, dass die personenbezogenen Daten in datenschutzkonformer Weise übermittelt werden. Bei Website-Baukästen (beispielsweise WordPress) gibt es im jeweiligen Theme meistens eine Option, die die Fonts über den eigenen Server zur Verfügung stellt. Jedoch kann sich dadurch das ganze Layout und das Design der Website verändern. Es empfiehlt sich daher, ein Plugin zu nutzen, dass Google Fonts über eigene Server bereitstellt bzw. komplett unterbindet, sodass keine Gefahr mehr besteht. Die folgenden Schritte können Ihnen helfen, Google Fonts von einer WordPress-Website zu entfernen:
- Entfernen Sie den Google Fonts-Code aus dem CSS-Stylesheet: Suchen Sie im Quellcode Ihrer Website nach dem Google Fonts-Code und entfernen Sie ihn.
- Verwenden Sie ein Plugin: Es gibt Plugins, die Google Fonts automatisch von Ihrer Website entfernen, z. B. „Disable Google Fonts“ oder „Optimize Google Fonts“.
- Verwenden eines eigenen, lokal gehosteten Schriftarten: Statt Google Fonts zu verwenden, können Sie eigene Schriftarten auf Ihrem Server hosten und verwenden.
Google Fonts: Grauzone im Recht
Zusammenfassend kann man sagen, dass Google Fonts, obwohl sie eine praktische Ressource für Designer und Entwickler sind, auch einige Risiken bergen können. Dazu gehören langsamere Ladezeiten aufgrund der Abhängigkeit von einem externen Server sowie mögliche Datenschutzprobleme, da Google Fonts Informationen über Ihre Website-Besucher sammeln können. Um eine Abmahnung zu vermeiden ist empfehlenswert, Google Fonts zunächst direkt abzustellen. Denn sobald eine Abmahnung hinsichtlich der Datenschutz-Verletzung eingegangen ist, besteht in der Regel auch ein Anspruch auf Auskunft. Das bedeutet, dass die Website-Betreiber die Dauer der Verletzung darlegen müssen.
Wenn Sie Bedenken hinsichtlich der Leistung und Datenschutz haben, sollten Sie in Erwägung ziehen, lokal gehostete Schriftarten zu verwenden oder alternative Schriftartenlösungen zu nutzen. Nehmen Sie hierfür unsere Datenschutz-Experten zu Rate. Der Erstkontakt ist immerhin kostenlos und kann Ihnen eine Menge Arbeit ersparen. Die Kosten des Schadensersatzes kann die Kosten des Rechtsanwalts schnell übersteigen.