Metaverse Fashion Week in Decentraland, einer der beliebtesten virtuellen Welten.

Legal Watch Nr. 48 – Juni 2022

Schöne neue WeltIm März 2022 fand die Metaverse Fashion Week in Decentraland statt, einer der beliebtesten virtuellen Welten.

Ein auf der Spieleplattform Fortnite gestreamtes Online-Konzert zog kürzlich 12 Millionen Zuschauer an.

Heute entwickelt sich eine virtuelle Welt, deren menschliche, wirtschaftliche und soziale Auswirkungen noch nicht vollständig verstanden sind.

Der kürzlich veröffentlichte Bericht des Europäischen Parlaments zu diesem Thema besagt, dass bis 2026 25 % der Menschen mindestens eine Stunde pro Tag im Metaversum verbringen werden, um zu arbeiten, einzukaufen, sich weiterzubilden, soziale Aktivitäten auszuüben und/oder sich zu unterhalten.

Viele kommerzielle Unternehmen haben begonnen, dort eigene Plattformen zu entwickeln, auch wenn ihre Aktivitäten nur einen sehr entfernten Bezug zur digitalen Technologie haben.

Das Metaverse kann als eine immersive, konstante virtuelle 3D-Welt beschrieben werden, in der Menschen über einen Avatar interagieren, um Unterhaltung zu genießen, Einkäufe und Transaktionen zu tätigen oder zu arbeiten, ohne ihr Zuhause zu verlassen.

Das wirtschaftliche Metaverse-Ökosystem nutzt Blockchain- und Kryptowährungstechnologien wie nicht fungible Token (NFTs), um Transaktionen in der digitalen Umgebung zu monetarisieren.

Diese Entwicklung des Internets wirft viele Fragen auf, insbesondere im Hinblick auf die Anwendung des Gesetzes.

Wie können wir Online-Fusionen und -Übernahmen, Schikanen, mehr oder weniger legale Transaktionen in Kryptowährungen, die massive Datenerfassung über das Verhalten von Personen über ihre Avatare oder sogar die Online-Überwachung von Personen durch die Strafverfolgungsbehörden praktisch regulieren?

Wie ein kürzlich am 20. Mai in der Zeitung „Le Monde“ veröffentlichter Artikel hervorhebt und das Europäische Parlament angesichts der beispiellosen Qualität und Quantität der erfassten Daten betont, steht im Zusammenhang mit der DSGVO viel auf dem Spiel.

Dazu können Gesichtsausdrücke, Gesten oder andere Arten von körperlichen oder emotionalen Reaktionen gehören, die ein Avatar während Interaktionen in Echtzeit und unbewusst erzeugen kann.

Dabei können sensible Daten wie biometrische Daten erhoben werden.

Mithilfe dieser Informationen können Unternehmen beispielsweise das Nutzerverhalten besser verstehen und Werbekampagnen gezielter anpassen.

Werden die bestehenden Regeln an dieses neue Universum angepasst?

Wie können wir die Zustimmung von Einzelpersonen zu einer solchen Datenerfassung einholen und wer ist für die Erfassung verantwortlich, in einer Umgebung, in der es mehrere Rollen gibt und es umso schwieriger ist, den für die Datenverarbeitung Verantwortlichen zu identifizieren?

Wie lassen sich Interaktionen mit künstlicher Intelligenz, die der Funktionsweise des Metaverse innewohnen, und die daraus resultierenden automatisierten Entscheidungen verwalten?

Es werden verschiedene Ansätze geprüft, die nicht nur auf der DSGVO, sondern auch auf den vorgeschlagenen europäischen Vorschriften zu künstlicher Intelligenz und Datenverwaltung basieren.

Erwähnen wir die Rolle von Datenvermittlern, die die Berechtigungen der Benutzer hinsichtlich der Verwendung ihrer Daten zentralisieren könnten.

Die vorgeschlagene Verordnung zur Datenverwaltung sorgt für den Schutz persönlicher Datenräume bzw. Datenportfolios, indem sie den Datenaustausch reguliert und die Zustimmung des Einzelnen kontrolliert.

Sofern Vermittler jedoch künstliche Intelligenz bei der Datenverwaltung einsetzen, sind Sicherheitsvorkehrungen erforderlich, um eine missbräuchliche Verwendung und einen Missbrauch zu verhindern.

Es sei daran erinnert, dass diese beiden Verordnungsvorschläge Gegenstand von Kommentaren des Europäischen Datenschutzbeauftragten und des Europäischen Datenschutzausschusses waren. Diese betonen die Einhaltung des Zweckbindungsprinzips bei der Datenverwendung und fordern Maßnahmen, die mehr Kontrollen und Garantien für die betroffenen Personen vorsehen, beispielsweise Verhaltenskodizes oder Zertifizierungsmechanismen.

Auch im Kontext sozialer Netzwerke im Allgemeinen und insbesondere im Metaverse gibt es bei den Behörden Vorbehalte gegenüber Social Scoring.

Besondere Aufmerksamkeit sollte auch dem Schutz gefährdeter Gruppen, insbesondere von Kindern, gewidmet werden, um ihr Alter zu überprüfen und sie davon abzuhalten, ihre personenbezogenen Daten preiszugeben.

Einige plädieren außerdem für ein offenes und dezentrales Metaverse, das von den Benutzern selbst in Form dezentraler autonomer Organisationen (DAOs) kontrolliert wird.

Bei diesem Modelltyp hätten die Benutzer im Gegensatz zu einem zentralisierten Geschäftsmodell mehr Kontrolle über ihre Daten und deren Freigabe.

Auch hier würden neben regulatorischen Vorgaben Verhaltenskodizes und Zertifizierungsmechanismen zu mehr Rechtssicherheit beitragen.

Ein paar Antworten auf viele Fragen...

Die Anwendung des Gesetzes wird jedenfalls ohne eine stärkere Rechenschaftspflicht der betroffenen Akteure nicht möglich sein.

Und auch

Frankreich:

Am 7. Juni veröffentlichte die CNIL Fragen und Antworten zur Verwendung von Google Analytics.

Die Kommission hat mehrere Organisationen zur Einhaltung der DSGVO verpflichtet, da keine der ihr vorgelegten zusätzlichen Sicherheitsvorkehrungen ausreichte, um den Zugriff der US-Geheimdienste auf die personenbezogenen Daten europäischer Nutzer zu verhindern.

Eine Lösung, die die Verwendung eines Proxys ermöglicht, um jeglichen direkten Kontakt zwischen dem Endgerät des Internetnutzers und den Servern des Messtools zu vermeiden, könnte ihrer Ansicht nach möglich sein, wenn dieser Server eine Reihe von Kriterien erfüllt, die den Empfehlungen des Europäischen Datenschutzausschusses (EDSA) vom 18. Juni 2021 entsprechen.

Der Staatsrat bestätigte, dass die CNIL befugt sei, Sanktionen außerhalb des europäischen Single-Window-Mechanismus zu verhängen.

Der vorliegende Fall betrifft das Unternehmen Amazon Online France, das eine Niederlassung auf französischem Gebiet hat und die Daten von in Frankreich ansässigen Personen verarbeitet.

Damit wurde die im Jahr 2020 verhängte Geldbuße in Höhe von 35 Millionen Euro bestätigt, die die Verwendung von Cookies ohne Einwilligung der Nutzer unter Strafe stellte.

Am 30. Juni verhängte die CNIL eine Strafe in Höhe von 1 Million Euro gegen das Unternehmen Total Energies Electricité et Gaz de France. insbesondere wegen Nichtbeachtung der Verpflichtungen hinsichtlich der kommerziellen Prospektion und der Rechte des Einzelnen.

Am 13. Juni startete die CNIL eine Studie zu Geolokalisierungsdaten, die von mobilen Anwendungen erfasst werden.

Wie in ihrem Strategieplan 2022–2024 angekündigt, möchte die CNIL die Öffentlichkeit und Fachleute für die Probleme im Zusammenhang mit der Erfassung von Geolokalisierungsdaten durch mobile Anwendungen sensibilisieren.

Es geht auch darum, die Einhaltung der DSGVO durch Fachleute im Bereich der kommerziellen Kundenakquise zu überprüfen.

Europa:

Der Europäische Datenschutzbeauftragte (EDSB) äußert seine Bedenken hinsichtlich der Änderungen der Europol-Verordnung, die am 28. Juni 2022 in Kraft getreten sind.

Der EDSB betont, dass sie das Grundrecht auf Datenschutz schwächen, keine angemessene Aufsicht über die Agentur gewährleisten und das Mandat von Europol im Hinblick auf den Austausch personenbezogener Daten mit privaten Parteien, den Einsatz künstlicher Intelligenz und die Verarbeitung großer Datensätze erheblich erweitern.

Am 14. Juni hat der Europäische Datenschutzausschuss (EDSA) veröffentlichte seine Antwort auf die Konsultation der Europäischen Kommission zur Schaffung eines digitalen Euro.

Am 16. JuniEDSA verabschiedeten Leitlinien für die Zertifizierung als Instrument für die Übermittlung personenbezogener Daten in Drittländer, die kein angemessenes Schutzniveau bieten.

Die im Juni organisierte KonferenzEDSB, die online und persönlich von mehr als 2.000 Menschen verfolgt wurde, endete mit kritischen Beobachtungen über die Europäische Zusammenarbeit bei Ermittlungen.

Für den EDSB sollte jedes gute Modell starke Kollegialitätsmechanismen beinhalten und strategische Untersuchungen könnten auf zentraler Ebene durchgeführt werden, wodurch „Probleme, die sich aus inkompatiblen nationalen Rechtsvorschriften oder unterschiedlichen Harmonisierungsversuchen ergeben“, überwunden würden.

DER Europarat veröffentlicht eine Studie über die Pegasus-Spyware und ihre Auswirkungen auf die Grundrechte. Es sei daran erinnert, dass diese Spyware auch Gegenstand einer Untersuchung des Europäischen Parlaments ist.

DER Netzwerk zur Zusammenarbeit im Verbraucherschutz (CPC) hat in Zusammenarbeit mit Datenschutzbehörden 5 Schlüsselprinzipien für eine faire Werbung für KinderS.

DER Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) riet der Suva (Schweizerische Unfallversicherungsanstalt, die ihre Mitarbeiter krankenversichert) seine Entscheidung, die Verarbeitung seiner personenbezogenen Daten in die Vereinigten Staaten auszulagern, zu überdenkens – genauer gesagt im Cloud-Dienst von Microsoft, obwohl die Daten auf einem MS-Server in der Schweiz gehostet werden.

Transfers außerhalb Europas stehen auch im Mittelpunkt der jüngsten Entscheidung des Der belgische Staatsrat hat die Entscheidung über die Auswahl eines amerikanischen Auftragnehmers ausgesetzt. im Rahmen eines öffentlichen Vergabeverfahrens mit der Begründung, dass diese Behörde nicht ausreichend geprüft habe, ob der Auftragnehmer die Anforderungen der DSGVO, insbesondere die Bestimmungen zu Übermittlungen, eingehalten habe.

Die Entscheidung stellt auch die weitere Verarbeitung durch ein anderes Unternehmen, Smart Analytics, mit Sitz in Russland in Frage (über GDPRhub).

Zehn Verbraucherverbände, unter der Koordination der Europäischer Verbraucherverband (BEUC)gab am 30. Juni bekannt, dass sie Schritte unternehmen, um sicherzustellen, dass Google das Gesetz einhält: Der Technologieriese würde Verbraucher bei der Anmeldung für ein Google-Konto zu seinem Tracking-System weiterleiten, anstatt den Schutz ihrer Daten standardmäßig und durch Technikgestaltung zu gewährleisten, wie es die DSGVO vorschreibt.

Die Reform der britischen Datenschutzgesetzgebung nach dem Brexit erreichte am 17. Juni mit der endgültigen Antwort der Regierung auf ihre öffentliche Konsultation einen neuen Meilenstein.

Das Dokument umfasst mehrere Reformen, wie etwa die Abschaffung der Verpflichtung zur Ernennung eines Datenschutzbeauftragten, den Ersatz der Zustimmungspflicht durch ein Widerspruchsrecht gegen die Verfolgung von Internetnutzern sowie Änderungen in der Arbeitsweise des Information Commissioner’s Office.

Finnische ODA ordnete an, dass ein Krankenhaus Mitarbeiterhistorien, Standortprotokolle und andere persönliche Daten löscht, die durch die standardmäßige Standortaufzeichnungsfunktion in Windows 10 generiert wurden.

Diese Einstellung verstieß gegen den Grundsatz des „datenschutzfreundlichen Vorgehens“ gemäß Artikel 25 Absatz 2 der DSGVO (über GDPRhub). 

Die italienische Datenschutzbehörde hat ein Krankenhaus mit einer Geldstrafe von 70.000 Euro belegt, weil es die Empfänger zweier medizinischer Newsletter in CC gesetzt hatte. anstelle von CCI, ihre personenbezogenen Daten (einschließlich Gesundheitsdaten) ohne Rechtsgrundlage an alle Empfänger weiterzugeben (über GDPRhub).

Zum gleichen Thema: Rumäniens ODA Außerdem wurde ein Subunternehmer, der für die Durchführung einer Marketingkampagne verantwortlich war, mit einer Geldstrafe von 1.000 Euro belegt, weil er eine Marketing-E-Mail an 27 Personen gesendet hatte, ohne deren E-Mail-Adressen zu verbergen.

Erinnern wir uns daran Belgien entschied am 29. April in einem ähnlichen Fall, dass das Versenden einer solchen E-Mail keine Sicherheitsverletzung darstelle, wenn weniger als 16 Personen daran beteiligt seien.

Internationales:

Russland: Ein Moskauer Gericht hat Google wegen wiederholter Nichteinhaltung der Datenlokalisierungsregel mit einer Geldstrafe von 15 Millionen Rubel belegt.

Gegen Google war bereits im Jahr 2021 eine Verwaltungssanktion verhängt worden, weil es gegen denselben Grundsatz des russischen Gesetzes über personenbezogene Daten verstoßen hatte, das Unternehmen dazu verpflichtet, die personenbezogenen Daten russischer Bürger auf dem Gebiet der Russischen Föderation zu speichern..

VEREINIGTE STAATEN: Die Auswirkungen der Entscheidung des Obersten Gerichtshofs im Fall Roe vs. Wade erstrecken sich auch auf Fragen des Datenschutzes. 

Die Frage betrifft die Haltung der Technologiegiganten zum Zugriff der Behörden auf Fruchtbarkeitsdaten.

Diese Daten können durch Quellen wie Browserverlauf, Suchvorgänge, E-Mail- und Textprotokolle, die Verwendung von Fruchtbarkeits-Apps und anderen kommerziellen Produkten, mit denen viele Benutzer täglich interagieren, offengelegt werden.

Wie The Register berichtet, wurden derartige Informationen von den Strafverfolgungsbehörden bereits als Beweismittel in Fällen verwendet, die mit Abtreibungen in Zusammenhang stehen.

China: Die New York Times veröffentlicht eine Untersuchung, in der sie Hunderte von Dokumenten zitiert, in denen detailliert beschrieben wird, welche Software China gekauft hat, um seine riesigen Überwachungsdatenbanken zu durchforsten und so vorherzusagen, wer als Verdächtiger oder potenzieller Unruhestifter in Frage kommt.

In Kanada Seit dem 16. Juni schützt eine Charta der digitalen Rechte Verbraucherrechte und personenbezogene Daten und regelt die künstliche Intelligenz..

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.