Zum Inhalt springen
Mann mit VR-Brille in einer neonbeleuchteten Cyberpunk-Stadt mit futuristischen Gebäuden und leuchtenden Farben rundherum
© Mitchell | stock.adobe.com

Datensicherheit im Metaverse

Erfahren Sie, wie die DSGVO im virtuellen Raum angewendet wird und welche Datenschutzprinzipien gelten.

Lesedauer: 2 Minuten

30.06.2025

Anforderungen der DSGVO im Metaversum

Sobald im oder für das Metaversum personenbezogene Daten verarbeitet werden, gilt die DSGVO – entweder wegen einer Niederlassung in der EU (Niederlassungsprinzip), oder weil sich die Angebote an EU-Bürger richten bzw. deren Verhalten in der EU beobachtet wird (Marktortprinzip). Wichtig wird sein, dass hinter jeder Datenverarbeitung eine Rechtsgrundlage steht, sei es zum Beispiel eine Einwilligung oder eine vertragliche Grundlage. Herausfordernd ist vor allem das Zusammenspiel der verschiedenen Akteure (Verantwortlicher, Auftragsverarbeiter, …).  Die hohen Anforderungen der DSGVO gelten damit auch für Unternehmen im Metaversum, die insbesondere die grundlegenden Datenschutzprinzipien einhalten müssen:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Die Verarbeitung personenbezogener Daten muss rechtmäßig sein und die betroffenen Personen müssen über die Verarbeitung informiert werden.
  • Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden.
  • Datenminimierung: Es dürfen nur die Daten erhoben werden, die für die Erreichung der Zwecke erforderlich sind.
  • Richtigkeit: Unternehmen müssen sicherstellen, dass die verarbeiteten Daten richtig und aktuell sind.
  • Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist.

Verarbeitung personenbezogener Daten

Im Metaversum werden häufig umfangreiche Daten über Nutzer erfasst – darunter nicht nur klassische Registrierungsdaten, sondern auch sensible biometrische Informationen wie Körperbewegungen, Mimik oder Blickverläufe. Unternehmen müssen darauf achten, wie sie diese Daten verarbeiten und speichern. Wichtige Punkte sind:

  • Einwilligung: Unternehmen müssen die ausdrückliche Einwilligung der Nutzer einholen, bevor sie personenbezogene Daten verarbeiten. Dies gilt insbesondere für die Erhebung von Daten in interaktiven Anwendungen im Metaversum.
  • Datenschutz durch Technikgestaltung: Unternehmen sollten technische und organisatorische Maßnahmen ergreifen, um den Datenschutz in den Entwicklungsprozess ihrer Anwendungen zu integrieren.
  • Datenübertragbarkeit: Nutzer haben das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Unternehmen müssen sicherstellen, dass sie in der Lage sind, diese Anforderungen zu erfüllen.

Sicherheitsmaßnahmen und Datenschutzrichtlinien

Datensicherheit ist im Metaversum von größter Bedeutung, da es eine Vielzahl von Bedrohungen gibt, wie Cyberangriffe und Datenlecks. Unternehmen sollten daher angemessene Sicherheitsmaßnahmen implementieren, um die Integrität und Vertraulichkeit personenbezogener Daten zu gewährleisten. Zudem sind viele der Anbieter von Metaverse-Applikationen in den USA angesiedelt, was zu einer Datenübermittlung in ein Drittland führt und wofür es entsprechender zusätzlicher Rahmenbedingungen bedarf (Angemessenheitsbeschluss, Standardvertragsklauseln). Zu den empfohlenen Maßnahmen gehören:

  • Technische Maßnahmen: Dazu gehören Verschlüsselung, Firewalls, Zugangskontrollen und regelmäßige Sicherheitsüberprüfungen. Unternehmen sollten auch sicherstellen, dass ihre IT-Systeme und -Infrastruktur auf dem neuesten Stand sind.
  • Organisatorische Maßnahmen: Schulungen für Mitarbeiter zum Thema Datenschutz und Datensicherheit sind entscheidend. Alle Mitarbeiter sollten über die Bedeutung des Datenschutzes informiert sein und wissen, wie sie Daten sicher verarbeiten.
  • Datenschutzrichtlinien: Unternehmen sollten klare Datenschutzrichtlinien formulieren, die den Umgang mit personenbezogenen Daten regeln. Diese Richtlinien sollten für alle Mitarbeiter zugänglich sein und regelmäßig überprüft und aktualisiert werden.
  • Es wird ausdrücklich empfohlen, beim Einsatz externer Metaverse-Plattformen eine Auftragsverarbeitungsvereinbarung (AVV) nach Art 28 DSGVO mit dem Anbieter abzuschließen. So stellen Sie sicher, dass personenbezogene Daten im Einklang mit Ihren Vorgaben und den Datenschutzanforderungen verarbeitet werden. Wenn Sie gemeinsam mit dem Anbieter über die Datenverarbeitung entscheiden, empfiehlt sich zusätzlich eine Vereinbarung zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO). Damit erhöhen Sie die Datensicherheit und minimieren rechtliche Risiken für Ihr Unternehmen.