21. Bayerischer IT-Rechtstag: Neue Regeln für digitale Räume: Daten, Plattformen, Metaverse

Passenderweise hielt die erste Keynote Herr Prof. Dr. Christian Djeffal, Technische Universität München, Forschungsgruppe Recht, Wissenschaft und Technologie des Department for STS, zum Thema: „Das Metaverse und seine ethischen, rechtlichen und sozialen Aspekte: ein Fall für Legal Design?“ Nach einer erfrischenden Mentimeter-Umfrage im Publikum zu den Chancen und Risiken des Metaverse (mit einem recht gemischt-verhaltenen Stimmungsbild), gab Herr Professor Djeffal eine Begriffs-Definition dieser noch in der Entwicklung begriffenen neuen Infrastruktur, deren genaues Aussehen und Nutzungsaussichten noch offen seien (These 1). Umso sinnvoller sei es aber, sich in Anbetracht der massiven Investitionen (laut McKinsey bereits mehr als 120 Mrd. USD dieses Jahr) schon jetzt mit möglichen Anwendungsfeldern zu beschäftigen; und das noch vor der EU-Kommission, die sich erst in 2023 damit vertieft auseinandersetzen werde.

Die Chancen des Metaverse seien mithilfe einer Technik-Folgen-Abschätzung bereits bestehender use-cases auszuloten (These 2): Die größten Investitionsfelder seien bisher Spiele, Bildung und Medizin. Als konkrete Anwendungsfelder führte er Bildung (Unterricht anhand eines digitalen Zwillings bspw. eines Motors), Gesundheit (Life-logging-Technologien), Tourismus und Kulturgüterschutz (u.a. Erlebbarmachen von Sehenswürdigkeiten), Bauplanung und Partizipation (Interesse der Verwaltung an Erlebbarmachen von Gebäuden in unterschiedl. Stadt-Umgebung) sowie Journalismus an. Hinsichtlich möglicher Risiken sei zu differenzieren: Zum einen zeigten sich aus den bisherigen use-cases bereits einige spezifische Risiken wie bspw. Fragen des Datenschutzes aufgrund enormer Mengen an Sensordaten, Fragen der physischen und insbesondere psychischen Gesundheit sowie weitere Online-Enthemmungs-effekte im Bereich der Nutzerkommunikation (bspw. hate-speech und sexuelle Gewalt). Andererseits seien aufgrund der weiterhin offenen Fortentwicklung z.T. auch noch keine klaren Tendenzen bzw. Szenarien benennbar (These 3).Diese Entwicklungsoffenheit des Metaversums bleibe vorerst eine große Herausforderung für den modus operandi des Rechts. In diesem Zusammenhang ging er auf die interessante Problematik des sog. Collindrige-Dilemmas ein und präsentierte „Legal Design“ als proaktiven, gestaltungsorientierten Ansatz, der die Verwirklichung der Ziele des Rechts ermögliche und von den Prinzipien „By-Design-Denken“, „Wissen/-sweitergabe“ und „Partizipation“ geprägt sei (These 4). Denn schließlich sei ein solcher Ansatz nicht nur entscheidend für die Annahme neuer Technologien, sondern auch die Akzeptanz des Rechts als solches hänge von dessen Fähigkeit ab, mit neuen Problemen umgehen zu können (These 5).

In der zweiten Keynote ging Herr Prof. Dr. Meinhard Schröder, Universität Passau, Lehrstuhl für Öffentliches Recht, Europarecht und Informationstechnologierecht der Frage „Datenschutz 2.0 als Antwort auf das Metaverse und Co“ nach. Er begann mit einer Einführung über die 50-jährige Erfolgsgeschichte des Datenschutzes 1.0 in Deutschland, derer man sich vorab bewusst sein solle, wenn man über möglichen Datenschutz 2.0 sprechen wolle. Kernpunkte seien sicherlich neben einer erfolgten Konstitutionalisierung in den 80ern durch das Volkszählungsurteil des BVerfG und der anschließenden Verankerung in Art. 16 AEUV und Art. 8 GRCh zum einen die Datenschutz-RL, die erstmal einen Ausgleich mit ggf. ebenfalls betroffenen Grundrechten versucht habe. Der DSGVO sei u.a. eine enorm gestiegene Sensibilisierung für das Thema Datenschutz in der Gesamt-Bevölkerung zu verdanken („70% der Bevölkerung kennt die DSGVO“) Nicht zu schweigen von den Auswirkungen des sog. „Brussels-Effect“ auf den internationalen Datentransfer und die bereits erfolgten Anpassungen anderer Rechtsordnungen an die Europäischen Standards.
Dabei gebe es natürlich auch (z.T. berechtigte) Kritik am geltenden Datenschutzrecht; und das nicht erst seit der neuesten BITKOM-Studie von 2022 zu dem Thema. Neben dem großen Problem der durchaus nicht datenschutzspezifischen Rechtsunsicherheit würden hier vor allem ein mögliches Innovationshemmnis einerseits sowie eine mögliche „Scheinautonomie“ der Verbraucher andererseits genannt. Er unterstrich, dass Recht in einer freiheitlichen Gesellschaft immer der Technik hinterherhinken müsse, da es vor einer Neuregulierung zunächst eines Missstandes bedürfe. Zumal mittels Generalklauseln auch moderne Phänomene zumeist gut regelbar seien.

Dennoch stelle sich natürlich aktuell die Frage, ob das Datenschutzrecht noch fit für das Metaverse sei, was er beispielhaft an dessen Charakteristika Dezentralität und Kollaboration sowie Immersion betrachten wolle: Für den Bereich des vermehrten Zusammenwirkens verschiedener Akteure sowie nochmals zunehmender Datentransfers gäbe es in der DSGVO bereits de lege lata gute Lösungen, wobei die Interoperabilität im Metaverse an Bedeutung gewinnen werde, was dem Art. 20 DSGVO aus seinem „bisherigen Schattendasein“ verhelfen könnte. Einwilligungen müssten ggf. in ihrer konkreten Art der Abgabe und Adressierung neu gedacht werden („bspw. Hindurchschreiten durch eine Tür, jedoch an wen zu adressieren?“), wobei er auf die erste Keynote zu „legal design“ verwies. Problematisch sei allerdings, dass der Datenschutz in seiner bisherigen Konzeption immer an bestimmten Verarbeitungen anknüpfe, im Metaverse jedoch ganze Räume mit begrenzten Interaktionsmöglichkeiten zur Verfügung gestellt würden. Der zu erwartenden Datenverarbeitung durch KI sei durch die geplante KI-VO sowie einer ggf. breiteren Auslegung des Verantwortlichkeits-Begriffs zu begegnen.

Folge der Immersion, also einer fortschreitenden Verbindung bzw. Vermischung von digitaler und realer Welt, seien u.a. eine wachsende Bedeutung sensibler (Sensor-) Daten iSv Art. 9 DSGVO sowie potenziell intensivere Rückwirkungen der Datenverarbeitungen auf das reale Leben. Letzteres sei indes bereits in der DSGVO angelegt. Somit käme das Datenschutzrecht mit der Immersion „eigentlich ganz gut klar“, weshalb es im Ergebnis keinen Anlass für ein neues Datenschutzrecht gäbe, wenngleich Schwachstellen de lege lata durch neue Innovationen wie das Metaverse sichtbarer gemacht würden. Das gravierendste Problem sei, dass es weiterhin kein datenschutzrechtliches Rezept gegen zu große Datenkonzentrationen beim Verantwortlichen gäbe, dies aber nicht nur ein Problem des Kartellrechts sei („Stichwort Facebook-Entscheidung des BKartA“).

Es gäbe Überlegungen zu bestimmten Verwendungsbeschränkungen sowie einem Wegkommen vom bisherigen one-size-fits-all-Ansatz der DSGVO. Er plädiere für eine Stärkung der Autonomie, anstatt auf Paternalismus zu setzen. Zweifel habe er jedenfalls an der Praktikabilität von Metaverse-Recht, da das Völkerrecht Staaten adressiere und nicht Individuen. Zudem sei ein weltumspannender Konsens bzgl. des Metaverse wohl nicht erreichbar.

Vor dem reichhaltigen Mittagessen hielt Frau Dr. Katharina Krauß aus der 7. Beschlussabteilung Bundeskartellamt (zuständig u.a. für Google) ihren Vortag mit dem Titel „Neue Digitale Räume – neue Monopole? Regulierungsansätze aus europäischer und deutscher Sicht“. Sie führte zunächst aus, dass die Digitalisierung unzweifelhaft große Chancen auch für den Wettbewerb insgesamt biete. Da das herkömmliche Kartellrecht, insbesondere bzgl. der neuen Gatekeeper, jedoch an seine Grenzen gestoßen sei, seien weltweit die Gesetzgeber aktiv geworden; neben den USA, Australien, Japan und Südkorea eben auch die EU und Deutschland - zuletzt im Januar 2021 mit der 10. Novellierung des Wettbewerbsrechts qua Stärkung der Missbrauchsaufsicht, wobei die 11. GWB-Novelle bereits in Arbeit sei und auf europäischer Ebene der DMA am 01.11.2022 in Kraft trete.

Kernstück der 10. GWB-Novelle sei der § 19a GWB mit seinem zweistufigen Verfahren in den Absätzen 1 und 2. Zum einen gehe es um die Feststellung der Normadressateneigenschaft in Abs. 1 sowie in Abs. 2 um die Untersagung bestimmter Verhaltensweisen. Im Folgenden ging sie intensiv auf die verschiedenen, nicht kumulativ erforderlichen Merkmale des Abs. 1 ein, die zur Bestimmung der Adressateneigenschaft heranzuziehen sind. Vorteil dieser Regelungstechnik sei aus Sicht der Behörde, dass die Normadressatenstellung nicht jedes Mal aufs Neue zu beweisen sei, sondern qua Feststellung für 5 Jahre sowie für alle Dienste des Unternehmens gelte (bei Google seien dies bspw. über 100), was auch den betroffenen Unternehmen eine Rechtssicherheit böte. Hinsichtlich Google, Meta und Amazon habe man deren überragende marktübergreifende Stellung bereits festgestellt; bzgl. Apple laufe das Verfahren noch. Anschließend besprach sie anhand von Beispielen aus laufenden Verfahren gegen die GAFA die in den Regelbeispielen des Abs. 2 aufgeführten untersagbaren Verhaltensweisen und betonte den innovativen und flexiblen Ansatz des § 19a GWB. Grund dafür sei zum einen das Aufgreifermessen des BKartA sowie - in S. 2 - die Möglichkeit der sachlichen Rechtfertigung, für die jedoch das Unternehmen die Beweislast trage.

Der Europäische Ansatz sei mit dem neuen DMA als Kernstück der EU-Digitalstrategie noch weiter: Der Anwendungsbereich des DMA beziehe sich auf die gem. den Voraussetzungen des Art. 3 DMA als solche benannten, designierten Gatekeeper bzw. deren designierte zentrale Plattformdienste, Art. 2 Abs. 1 und 2 DMA. Wichtig hierbei sei, dass der Gatekeeper-Status sowie die Liste der designierten Core Platform Services (CPS) regelmäßig geprüft und aktualisiert werden solle, wobei die Unternehmen selbst der COM die Überschreitung der Schwellenwerte anzuzeigen hätten. Somit sei zu erwarten, dass etwa 10-15 Unternehmen als Gatekeeper eingestuft werden würden. Mit der designierten Stellung korrespondierten die Verhaltenspflichten der Art. 5 ff. DMA. Allerdings würden diese automatisch und nicht erst durch behördlichen Ausspruch gelten, wenngleich auch nicht für die gesamten Tätigkeiten des Gatekeepers, sondern nur für die jeweils als CPS designierten. Es bestehe keine Rechtfertigungsmöglichkeit wie in § 19a GWB und auch keine Generalklausel hinsichtlich der konkreten Verhaltenspflichten. Jedoch könne die Kommission den bestehenden Katalog zumindest in begrenztem Umfang aktualisieren.

Nach einem Überblick über die (empfindlichen) Durchsetzungsmöglichkeiten des DMA ging sie abschließend auf das strittige Verhältnis von DMA und Wettbewerbsrecht ein: Das BKartA wolle dem DMA nicht in die Queere komme, sondern im Gegenteil, dass er zur Erfolgsgeschichte werde. Beim DMA handele es sich aber um Regulierung, während der § 19a GWB als Wettbewerbsrecht ex post auf einzeln vorliegende Verstöße reagieren würde. Dafür spreche auch der Art. 1 Abs. 6 des DMA. Somit bleibe der § 19a GWB eingeschränkt anwendbar; jedenfalls bzgl. Nicht-Gatekeepern und wenn Verhaltensweisen nicht in der Liste des DMA aufgeführt seien. Dies sei auch sinnvoll, da eine fixe schwarze Liste nur schwer vollumfänglich dynamische Geschäftsmodelle erfassen könne.

Die internationale Perspektive nahm nach dem Mittags-Buffet Frau RAin Prof. Dr. Romina Polley LL.M. (Fordham University, New York), Cleary Gottlieb Steen & Hamilton LLP, Köln ein und präsentierte zu „Neue Digitale Räume – neue Monopole? Regulierungsansätze aus US-Amerikanischer Sicht“. Nach einer Dekade des fehlenden Enforcements sei, angesichts weiter steigender Marktmacht, auch in den USA Druck aufgekommen, „Big Tech“ strenger zu kontrollieren. Unter der Biden-Administration gebe es eine Zeitenwende in der Antitrust-Politik: Neben der Neubesetzung von Führungspositionen in den Kartellbehörden (Khan (FTC) und Kanter (DOJ)) seien hier v.a. zwei Gesetzesvorhaben zu nennen, die für mehr Wettbewerb im Digitalsektor sorgen sollen.

Allerdings bleibe vorerst offen, ob der Vorstoß der „kartellrechtlichen Ayatollahs“ in den Behörden bzw. der dahinterstehende politische Wille durch die weiterhin stark konservativen Gerichte ausgebremst würde. Jahrzehntelang habe dort nämlich der traditionelle „consumer welfare standard“ vorgeherrscht, der als “Chicago School” bekannt und durch den liberalen Richter Robert Bork geprägt worden sei. Dieser Theorie zufolge bestünde -vereinfacht gesagt- eine Kartellrechtswidrigkeit nur bei Preiserhöhungen für den Verbraucher, sodass eine reine Innovationsbehinderung nicht ins Gewicht falle. Gerade im Digitalbereich, wo häufig keine monetären Preise verlangt würden, sei dies für Unternehmen eine „recht angenehme Zeit“ gewesen.

Demgegenüber habe die „Neo-Brandeis School“, ähnlich dem Ordoliberalismus, stark die politische Dimension von Wettbewerbsrecht erkannt. Bereits zu Beginn habe die Biden-Administration per Executive Order drei Themenfelder adressiert: die Verbesserung der Fusionskontrolle, die Bedeutung von Daten über andere geschäftliche Nutzer und Verbraucher sowie die Behinderung kleinerer Wettbewerber, um so das Ende der “technoliberalen Ära” einzuleiten. Weitere Faktoren für eine veränderte US Antitrust Policy seien u.a. der viel zitierte Brüssel-Effekt.

Im Folgenden ging die Speakerin auf zwei konkrete Gesetzesvorhaben (AICOA und OAMA) ein und verglich sie mit dem DMA: Der American Innovation and Choice Online Act der Sen. Amy Klobuchar (D) und Sen. Chuck Grassley (R) adressiere “covered platforms”, für welche neben Nutzergrenzen insbesondere die auslegungsbedürftige Eigenschaft eines „kritischen Handelspartners“ erfüllt sein müsse. Er normiere, grds. ähnlich dem DMA, 10 Verbote; insbesondere das Verbot der Selbstbevorzugung. Anders als der DMA biete er jedoch „konventionelle“ Rechtfertigungsmöglichkeiten, indem sich das Unternehmen auf Gesetzestreue/Compliance oder auch die (Plattform-) Sicherheit berufen könne. Ein Verstoß gegen den AICOA solle zudem “unfairen Wettbewerb” nach Section 5 FTC Act verwirklichen und sei mit bis zu 10% des US-Umsatzes sanktionierbar. Allerdings erfolge das Enforcement zentral durch FTC und DOJ gemeinsam; ein private enforcement sei -eher US-untypisch- nicht vorgesehen.

(Noch) unwahrscheinlicher sei der Open App Markets Act aus der Feder von Sen. Richard Blumenthal (D). Zwar würden sich beide Vorschläge überlappen, letzterer führe jedoch einen „Feldzug“ speziell gegen das App-Store-Duopol und dessen Auswirkungen (Apple und Google Play). So solle es verpflichtend möglich sein, auch andere (In-App) Bezahldienste zu nutzen, während Meistbegünstigungsklauseln nicht mehr erlaubt wären. Ungleich zum DMA bestünden aber auch weiterhin Rechtfertigungsmöglichkeiten.

Abschließend folgte ein Überblick über die Trends in der Verwaltungspraxis mit u.a. stark gestiegenen Budgets für die Vollzugs-Behörden (40% Steigerung des FTC-Budget in 2023 sowie 48% der antitrust division des DOJ) sowie eines insgesamt strengeren und auf Big Tech fokussiertes Antitrust Enforcements.
 

Nach diesem „Parforceritt” durch das europäische und US-amerikanische Kartellrecht, wie der Moderator treffend anmerkte, gab Frau Anna Ludin, Policy Officer, Directorate-General for Communications Networks, Content and Technology, Europäische Kommission einen fundierten Überblick über „Daten in digitalen Räumen: Die neuen Datenregeln der EU“, indem sie zunächst auf die vier Säulen der Europäischen Datenstrategie näher einging (insb. das Ziel gemeinsamer Europäischer Datenräume mitsamt eines im Aufbau befindlichen „Data Spaces Support Centre“).

Es folgte ein breiter Überblick über den (zT weiterhin im Aufbau befindlichen) horizontalen Rechtsrahmen (der Verfasser empfiehlt die in den Tagungsunterlagen befindliche Übersichten), wobei sie vertieft auf den Data Act, den Data Governance Act, die Open Data und PSI-Richtlinie sowie Hochwertige Datensätze einging. Der Data Act verfolge im Kern die Zielsetzung einer fairen Verteilung der Wertschöpfung in der Datenökonomie sowie- in sehr begrenztem Umfang- Zugangsrechte für die öffentliche Hand in außergewöhnlichen Situationen, während es dem DGA um das freiwillige Datenteilen ginge, weshalb durch ihn das Vertrauen der beteiligten Akteure gestärkt werden solle. Dazu habe man bspw. in Kap. III Datenintermediäre als Begriff neu eingeführt.

Hinsichtlich der noch strittigen Aspekte des Data Act arbeite die tschechische Ratspräsidentschaft gerade an einem zweiten Kompromissvorschlag. Es sei sogar nicht ausgeschlossen, dass die Trilogverhandlungen bereits zu Beginn des nächsten Jahres 2023 starten könnten; das sei aber letztlich Spekulation. Im Kap. II des Data Act werde hinsichtlich IoT-Daten das bisher bereits aus der DSGVO bekannte Portabilitätsrecht weitergedacht, weil Hersteller und Nutzer eben Co-Generateure der Daten seien. Daher sollten auch Nutzer Zugang zu diesen Daten bekommen bzw. Dritten Zugang zu diesen Daten gewähren können. Es werde aber ausdrücklich keine Pflicht für den Hersteller eingeführt, bestimmte Daten zu sammeln und abgeleitete Daten würden nicht erfasst. Zudem solle die DSGVO nicht unterlaufen werden. Wenn der Nutzer also nicht zugleich der von der Datenverarbeitung Betroffene sei, dann brauche es eine entsprechende Verarbeitungsgrundlage. Trotz großer Anstrengungen seitens des Moderators war ihr nicht final zu entlocken, ob es bei dem jetzigen Stand der groben Linien bleiben werde: Es bleibe „äußerst spekulativ“, ob noch tiefgreifende Änderungen zu erwarten seien. Zum Schluss ging sie noch versiert auf einige Spezial-Fragen aus dem Publikum ein, u.a. auf das Verhältnis vom sui generis-Recht für Datenbanken im Verhältnis zum Data Act.
 

Im Anschluss an eine weitere Kaffee-Pause referierte Herr RA Andreas Daum, LL.M. (LSE), Noerr Partnerschaftsgesellschaft mbH, zu „Zivilrechtliche Rahmenbedingungen für digitale Räume – Digitale Inhalte, Warenkauf und das Metaverse“. Er warf nach einer Einleitung die Frage auf, ob das BGB bereits „fit for Metaverse“ sei, wozu er einen Überblick über die zivilrechtlichen Rahmenbedingungen gab, die entscheidend durch die neue Warenkauf-RL, die Digitale-Inhalte-RL sowie die nicht voll-harmonisierende Omnibus-RL bzw. ihre jeweilige Umsetzung ins deutsche Recht (BGB, EGBGB und UWG) geprägt seien. Im Metaverse werde es künftig im Wesentlichen drei Kategorien an Gütern geben, die die Provider im Rahmen des E-Commerce vertreiben werden: 1. rein physische Produkte wie Lebensmittel, die man aber bspw. in einem virtuellen Einkaufsladen in seinen Einkaufswagen legen könnte, 2. physische Produkte mit einem virtuellen Pendant wie bspw. Sneaker mit den korrespondierenden Schuhen für den eigenen Avatar sowie 3. rein virtuelle Gegenstände wie bspw. „Skins“ für diesen Avatar.

Als rechtliche Vorgaben hinsichtlich des Vertragsschlusses bei solchen Gütern seien insbesondere die geltenden Informationspflichten, die Widerrufsmöglichkeiten sowie weitere gestalterische Vorgaben beim Vertragsschluss zu beachten. Er beleuchtete die einschlägigen Informationspflichten nach dem BGB und dem EGBGB in den Phasen der Vertragsanbahnung, des Bestellvorgangs sowie nach Vertragsschluss und stellte dabei – unter Verweis auf Erwägungsgrund 39 der Verbraucherrechte-Richtlinie - fest, dass die rechtlichen Vorgaben überwiegend von einem zweidimensionalen und textbasierten Interface ausgehen. Dies stelle die Metaverse-Provider folglich vor das Problem, wie sie bei einem immersivem 3D-Raum-Erlebnis die gesetzlichen Vorgaben umsetzen sollen. „Hier knirscht es noch! Möglicherweise ist eine Umsetzung durch das virtuelle Durchschreiten einer Tür möglich.“

Zu den Widerrufsrechten führte Herr Daum aus, dass die Abgrenzung zwischen Digitalen Dienstleistungen und Digitalen Inhalten schwierig sei. Daher könne der Zeitpunkt, wann die Widerrufsrechte gem. § 356 Abs. 4 BGB bzw. Abs. 5 BGB erlöschen, nicht rechtssicher bestimmt werden (vollständige Erbringung der Dienstleistung vs. Beginn der Vertragserfüllung). Hinsichtlich der gestalterischen Vorgaben an den „Kündigungsbutton“, den „Bestellbutton“ sowie „Eingabefehler“ skizzierte er die verschiedenen Anwendungsbereiche, Vorgaben und möglichen Rechtfolgen der§§ 312i ff. BGB.

Abschließend ging er auf das, gerade aus Verbrauchersicht, höchst relevante Thema der Übertragbarkeit digitaler Gegenstände ein. Dabei sei zu unterscheiden zwischen der Übertragbarkeit digitaler Gegenstände „Cross-Hardware“ und ihrer Übertragbarkeit „Cross-World“. Aus Verbrauchersicht mindere die Nicht-Übertragbarkeit eines Gegenstandes nicht nur dessen Wert, sondern auch das Interesse am Gegenstand selbst, was sich potenziere, je mehr die Spielumgebung einen sozialen Zweck verfolge bzw. je größer deren Bedeutung für das eigene Selbstverständnis in der digitalen Welt sei. Derzeit liege der Umfang der Verwendungsmöglichkeiten digitaler Gegenstände in der Hand der Anbieter, wie er anhand einer beispielhaften Endnutzer-Lizenzvereinbarung verdeutlichte. Die neu in das BGB eingeführten §§ 327 ff. gäben dem Verbraucher keinen entsprechenden Anspruch gegen den Provider an die Hand. Inwieweit digitale Gegenstände interoperabel sein müssen, bestimme sich allein anhand der subjektiven Vereinbarung der Parteien. Es gäbe demnach keinen unveränderlichen funktionalen Kern digitaler Gegenstände. Auch aus den Vorschriften der DSGVO sowie den Regelungen des kürzlich von der Kommission vorgeschlagenen Data Acts lasse sich kein Anspruch auf Übertragung digitaler Gegenstände herleiten.

Als letzten Speaker kündigte Herr Professor Bräutigam schließlich „DEN Mann für Datenrecht und AI“ an, der auf dem jüngsten
73. Deutschen Juristentag das Gutachten zu KI-Haftung vorgelegt hat, welcher „am Schluss doch eigentlich ein weiterer Höhepunkt“ sei. Prof. Dr. iur. Dipl.-Biol. Herbert Zech, Humboldt-Universität zu Berlin, Weizenbaum-Institut für die vernetzte Gesellschaft begann seinen Vortrag zu „AI-Regulierung im Metaverse“ sodann mit der amüsanten Feststellung, dass er bei seinem Vortragsthema zunächst an zwei im Trend liegende Buzzwords habe denken müssen.

Kern ihrer allerdings sehr relevanten Verbindungen sei der Einsatz von Automated Decision Making seitens der Anbieter als auch der Nutzer des Metaverse bspw. beim Einsatz von Chatbots oder der Inhaltsmoderation sowie bei der Erstellung immersiver Welten. Wenngleich bzgl. beider Technologien noch im Fluss sei, wie genau man sie regulieren sollte. Neben dem klassischen Technik-Recht kämen als Regulierungsansatz für KI auch (neue) Haftungsregelungen in Frage. Hierbei sei zu beachten, dass das Setzen von Steuerungseffekten durch Haftungsregelungen für potenziell Haftungspflichtige häufig sehr erfolgsversprechend sei, da diese mit Unsicherheit in einem neuen Markt bzw. mit sich erst noch fortentwickelnder Technik am ehesten umgehen könnten. Es schaffe zudem mehr Freiheit, ein Produkt nicht a priori zu verbieten, sondern durch eine (verschuldensunabhängige) Haftung den Anbietern Anreize zu setzen, ihr Wissen für eine Abschätzung zu nutzen, ob sich das Produkt trotz bestehender Risiken überhaupt lohnen könnte.

Hinsichtlich der betroffenen Rechtsgüter betonte er, dass die (etablierte) Diskussion um virtuelle Rechtsgüter ins Metaverse übertragen werden könne und verwies auf die bereits im Zusammenhang mit dem Spiel „second life“ in den 2000ern erschienenen Doktorarbeiten. Daneben gäbe es die Rechtsgüter in der realen Welt, insbesondere geschützte Persönlichkeitsaspekte. Der diesbzgl. Rechtsgüterschutz erfolge de lege lata durch einen grundrechtlichen Schutz qua näherer Konkretisierung im AGG (bspw. das auch bei KI anwendbare Benachteiligungsverbot nach § 7 AGG) sowie -eben indirekt- durch Haftungsrecht. Bei der Haftung wiederum könne man die bestehende Diskussion zur Haftung für KI heranziehen. Hier seien insbesondere die Produzentenhaftung nach § 823 Abs. 1 BGB zu nennen, die mit ihrer Beweislastverteilung unproblematisch auch für Software bzw. KI gelte, sodass es für § 831 BGB analog an sich keinen Bedarf gäbe. Für eine Zurechnung nach § 278 BGB bedürfte es indes des Verschuldens einer Hilfsperson; allerdings sei man inzwischen von der Ausgestaltung einer e-person abgekommen, da es u.a. wenig Sinn ergäbe, eine KI ohne eigene Haftungsmasse selbst haften zu lassen. Zumal agiere eine KI eben einfach anders als eine (natürliche) Person, was gegen das Abstellen auf ein „Verschulden“ der KI spreche. Hinsichtlich einer vertraglichen Haftung bestehe mit dem Metaverse nun noch verstärkt das Problem, dass sich der Nutzer nur noch selten mit nur einem Anbieter konfrontiert sieht. Hier tue sich das Deliktsrecht leichter.

Sehr lange habe es danach ausgesehen, als bestünde Konsens pro Einführung einer neuen Gefährdungshaftung für KI. Seit dem 28.09. wisse man aber nun, dass sich die EU-Kommission in ihrem neuen Vorschlag einer KI-Haftungsrichtlinie dagegen entschieden habe. Vielmehr werde in diesem, dennoch sinnvollen, Vorschlag der Kommission mit Beweislastverteilungen bzw. einer Kausalitätsvermutung im Art. 4 des RL-E gearbeitet. Daneben habe die Kommission mit dem Entwurf der KI-VO einen 4-stufigen, sektorspezifischen Regulierungsansatz vorgestellt, der neben einer sehr breiten Definition von KI einen Katalog von Hochrisiko-KI-Systemen, Art. 6 KI-VO, sowie verbotenen KI-Systemen, Art. 5 KI-VO enthalte und somit der Grundrechtssicherung diene. Auf das Metaverse bezogen falle u.a. auf, dass sich das Verbot von Social-Scoring in Art. 5 Abs. 1 lit. c KI-VO bislang nur auf den Einsatz durch Behörden beschränke. Hingegen ergäbe sich aus Art. 52 KI-VO eine für das Metaverse relevante Kennzeichnungspflicht für Chatbots.

Abschließend kam Herr Professor Zech noch auf zwei benachbarte Themenkreise zu sprechen: Erstens die Frage nach der Zuweisung von und dem Zugang zu Daten im Metaverse, die eng mit der Zuweisung virtueller Güter verknüpft sei. Hier verwies er auf den neuen Regelungsansatz des geplanten Data Act, der auf Zugangsrechte statt auf Eigentumsrechte an Daten abziele. Wenn der Hersteller aber, wie derzeit geplant, eine Nutzungslizenz des Datennutzers benötigen sollte, käme es zu einer quasi-Zuweisung der Daten an den Datennutzer. Analog wie bei der Diskussion um die Anerkennung von Daten als sonstiges Recht im Sinne des § 823 Abs. 1 BGB sei die Folgefrage einer solchen Zuweisung jedoch immer die der Übertragbarkeit. Und auch eine vorgeschlagene Lösung über NFT’s als „digitales Eigentum“ sehe er kritisch, da hier rechtliche Regeln durch technische Macht ersetzt würden. Zudem sei aus Sicht des Immaterialgüterrechts eine weitere Verknappung digitaler Ressourcen immer problematisch und rechtfertigungsbedürftig. Anders der Inhalt des Metaverse-Buches von Matthew Ball: dort gehe es zu 50 % um Eigentumsfragen.

Und zweitens: Die Durchsetzungsinstrumente der Plattformregulierung seien auch weiterhin für den Schutz von Rechtsgütern in der realen Welt unmittelbar anwendbar, wobei hier die psychische Gesundheit mehr und mehr in den Fokus rücke. Hinsichtlich der Privilegierung der Plattformanbieter durch den neuen DSM und § 7 TMG aufgrund des reinen zur-Verfügung-Stellens von fremden Inhalten sei anzudenken, ob diese getroffene Risikoverteilung für das Metaverse anders zu beurteilen sei, da ja letztlich mehr als der Content der Nutzer bereitgestellt würde; eben ggf. ein immersives Parallel-Universum. Dies wolle sich ja nun (in 2023) auch die COM nochmal genauer anschauen. Vielleicht könnte ja jede Plattform für ihr jeweiliges Teil-Metaversum verantwortlich sein. Dann bestünde indes weiterhin das Problem, dass der Nutzer (deliktisch) über mehrere Anbieter gehen müsse. Ein weiterer Weg führe ggf. über weitere Standardisierung von „vll. ja doch nicht allzu vielen Anbietern“, wo dann aber wieder die bekannte Gatekeeper-Problematik bestehe.

Nach diesem würdigen Abschluss blieb dem Moderator nur noch übrig, den Speakerinnen und Speakern des Tages für ihren „fulminanten Input“ zu danken: Er nehme u.a. die Second-life-Diskussion bzgl. mangelnder Übertragbarkeiten, die „Einwilligung als Amen des Digitalzeitalters“ sowie das neue Gewicht des Datenschutzes auch im Kartellrecht mit; sowie, dass der Data Act vielleicht doch schneller komme, als man dachte.

Und aufgepasst: Für den 22. Bayerischen IT-Rechtstag am 16.10.2023 in München könne man sich bereits jetzt Themen wünschen.
Er sei gespannt!

Na dann: Wir freuen uns auch schon auf nächstes Jahr!

Simon Tannen,
Rechtsreferendar im Bundeskanzleramt | Wiss.Mit. am IP-Center Bucerius Law School