Der Begriff „Metaverse“ wurde erstmals im Jahr 1992 vom Autor Neal Stephenson im Roman „Snow Crash“ genannt. Der Begriff setzt sich aus den Wörtern „Meta“ (griechisch für „jenseits von“) und dem Wort „universe“ (englisch für „Universum“) zusammen. Metaverse bedeutet also „jenseits des Universums“. Konkret geht es um einen virtuellen dreidimensionalen Raum, in dem Menschen als Avatare (künstliche Person, die einem Nutzer zugewiesen wird) mit Hilfe von Virtual-Reality-Technologien (z.B. VR-Brillen) miteinander interagieren können. Insbesondere der US-Technologiekonzern Meta (u. a. Facebook, WhatsApp und Oculus VR) arbeitet intensiv an der Entwicklung des Metaverse. Warum? Das Metaverse bietet Unternehmen wie Meta enorme Möglichkeiten: Unternehmen, die im Metaverse präsent sind, könnten ihre Services dezentral – ganz im Sinne des Web 3.0 – allen Menschen anbieten und ein neues Level des Nutzererlebnisses schaffen. Beispielsweise könnten Menschen ansehen und erleben, ohne reisen zu müssen. Jedoch birgt das Metaverse neben Chancen auch Risiken. Ein Risikobereich ist unter anderem der Datenschutz. Der Anwendungsbereich der DSGVO wird i.d.R. eröffnet sein, da das Metaverse ist auf die Verarbeitung großer Datenmengen ausgerichtet ist. Dazu gehören neben personenbezogene Daten wie Bewegungen, Verhalten, psychische und physische Reaktionen sowie visuelle Daten. Auch teils auch sensible Daten nach Art. 9 DSGVO werden mitunter verarbeitet. Dies bedeutet, dass von den Beteiligten die Anforderungen der DSGVO beachten werden müssen.

Im Metaverse bestehen insbesondere die folgenden datenschutzrechtlichen Herausforderungen:

Eine Verantwortlichkeit liegt vor, wenn ein Beteiligter bei funktionaler Betrachtung des jeweiligen Verarbeitungsvorgangs allein (Art. 4 Nr. 7 DSGVO) oder gemeinsam mit anderen (Art. 26 DSGVO) über die Zwecke und Mittel der Datenverarbeitung entscheidet. Da im Metaverse verschiedene Akteure (z.B. Plattformbetreiber, Unternehmen, Nutzer) agieren, stellt sich die Frage, wer Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO ist. Hierbei kommt es u.a. auf die Struktur der Plattform an. So ist ein zentral organisierter Plattformbetreiber wie Horizon von Meta unstrittig Verantwortlicher.

Art. 12 DSGVO legt dem Verantwortlichen umfangreiche Informationspflichten gegenüber dem Betroffenen auf. Bereits heute – im Web 2.0 – führen die Anforderungen an Datenschutzerklärungen und Cookie-Banner zu einer Informationsüberflutung auf Seiten der Betroffenen. Es stellt sich die Frage, wie diese Anforderungen im Web 3.0 in einem Umfeld aus einer Vielzahl von Akteuren und Produkten (sinnvoll) umgesetzt werden können. Denkbar wäre es z.B., dass die Plattformbetreiber dazu angehalten werden, den Verantwortlichen diejenigen Tools bereitzustellen, die sie benötigen, um ihren Verpflichten gegenüber den Betroffenen nachkommen zu können. Gleiches gilt für die Umsetzung der Betroffenenrechte (Art. 15-22 DSGVO), wie z.B. das Auskunftsrecht der betroffenen Person (Art. 15 DSGVO).

Verantwortliche müssen nach Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen (TOM) treffen, damit die Grundsätze der DSGVO (z. B. Zweckbindung, Datenminimierung) wirksam umgesetzt werden können. Welche Maßnahmen wären im Metaverse angemessen? Beispielsweise könnte durch eine Blockchain-Verschlüsselung eine Pseudonymisierung der Daten erreicht werden.