Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Datenschutz

Generative KI und Datenschutz

09/2025

1. Vorwort: Risiken und Herausforderungen generativer KI

Nachdem der anfängliche Hype um generative künstliche Intelligenz (KI) in Form von grossen Sprachmodellen und Bildgeneratoren abgeklungen ist, rücken nun rechtliche Fragen in den Vordergrund. Neben Diskussionen über generative KI und Urheberrecht rückt zunehmend die Reibung zwischen generativen Modellen und den Anforderungen des Datenschutzrechts in den Fokus. In den USA sind mehrere Klagen gegen Google und OpenAI wegen möglicher Datenschutzverletzungen durch generative Modelle anhängig. In der Europäischen Union sind derzeit Regulierungsbehörden aktiv, und der Europäische Datenschutzausschuss hat eine Task Force eingerichtet, die sich mit ChatGPT befassen soll. Die italienische Datenschutzbehörde Garante hatte bereits 2023 ein Verfahren gegen OpenAI eingeleitet, das zu einem vorübergehenden nationalen Verbot von ChatGPT führte. Nach Abschluss des Verfahrens stellte die Behörde Verstösse gegen die DSGVO fest. Auch in Polen laufen Ermittlungen wegen Datenschutzverstössen. Andere Länder wie Deutschland haben Auskunftsersuchen gestellt, und die französische Datenschutzbehörde hat einen Aktionsplan entwickelt. Im Fall Maximilian Schrems reichte die Datenschutz-NGO NYOB im April 2024 eine Beschwerde bei der österreichischen Datenschutzbehörde ein, in der es um falsche Angaben zu einer Person durch ChatGPT ging, die OpenAI weder korrigierte noch auf die Anfrage nach Auskunft über die verarbeiteten Daten reagierte. Diese Fälle machen deutlich, dass Datenschutzbehörden bereits KI-Regulierer sind und generative KI ein zentrales Thema für den Datenschutz ist.

Aus rechtlicher Sicht werfen generative Modelle eine Reihe spezifischer Fragen auf, die in verschiedenen wissenschaftlichen Quellen gut dokumentiert sind. Insbesondere die Grundmodelle, auf denen die beliebten grossen Sprachmodelle (LLMs) aufbauen, bergen neue Sicherheitsrisiken und Schwachstellen, die angegangen werden müssen. Daher ist eine soziotechnische Bewertung erforderlich, um diese Risiken und die notwendigen Sicherheitsmechanismen, einschliesslich rechtlicher und ethischer Aspekte, zu verstehen. Das Verständnis der von LLMs ausgehenden Risiken erfordert einen kontextbezogenen Ansatz: Normative Regeln, wie Gesetze, wirken immer im Kontext.

Ein wichtiges Anliegen ist der Schutz personenbezogener Daten und der Privatsphäre. Verschiedene Experimente haben gezeigt, dass es möglich ist, personenbezogene und sensible Informationen über Einzelpersonen aus LLMs zu extrahieren. Forscher haben nachgewiesen, dass LLMs in der Lage sind, Trainingsdaten zu speichern, entweder durch übermässige Anwendung zahlreicher Parameter auf kleine Datensätze, wodurch die Fähigkeit zur Verallgemeinerung auf neue Daten verringert wird, oder durch Optimierung für die Verallgemeinerung in Long-Tail-Datenverteilungen. Obwohl dieses Phänomen am häufigsten auftritt, wenn Duplikate in den Trainingsdaten vorhanden sind, tritt es auch dann auf, wenn die Trainingsdaten teilweise dedupliziert wurden. Grössere Modelle mit mehr Parametern „merken“ sich mehr Daten als kleinere Modelle. Verletzungen der Privatsphäre und des Rechts auf Datenschutz von Personen resultieren sowohl aus falschen Informationen als auch aus korrekten Informationen, deren Veröffentlichung sie nicht wünschen. Diese Risiken werden durch eine unregulierte und damit unkontrollierte sekundäre Weiterverwendung der Modelle noch verstärkt. Im Falle beliebter LLMs, die von globalen Technologieunternehmen betrieben werden, scheint eine kommerzielle Weiterveräusserung unwahrscheinlich, da die Unternehmen kein Interesse daran haben, auf ihre exklusive Option zur kommerziellen Verwertung zu verzichten. Anders sieht es bei kleineren, aber in einigen Fällen nicht weniger risikobehafteten Modellen aus: Mixtral 8x7B konkurriert mit GPT 3.5 und übertrifft es in einigen Punkten dank einer intelligenten Architektur, die acht verschiedene Expertenmodelle kombiniert und kürzlich als Open Source veröffentlicht wurde. Dies unterstreicht nur die Notwendigkeit einer Übersicht über die Verwendungszwecke dieser Modelle und einer Kategorisierung, die eine kontextbezogene Risikobewertung ermöglicht.

Das Datenschutzrecht bringt seine eigenen besonderen Reibungspunkte mit sich, die sich einerseits aus der allgemeinen Funktion und den technischen Besonderheiten von Big-Data-Anwendungen und generativer KI und andererseits aus den Besonderheiten generativer Modelle ergeben. Generative Modelle werden in unterschiedlichen Kontexten für unterschiedliche Zwecke eingesetzt, um Texte, Codes, Videos, Bilder, Audiodateien usw. zu generieren. In diesem Artikel werde ich mich auf LLMs konzentrieren, die Texte durch Berechnung der Wahrscheinlichkeit der Wortfolge generieren. Daten, die sprachlich übersetzbar sind, d. h. von menschlichen Empfängern verstanden werden können, können natürlich auch personenbezogene Daten im Sinne des Datenschutzrechts enthalten. Aus diesem Grund sind LLMs ein gutes Beispiel für die Probleme, die sich im Zusammenhang mit KI-generierten Inhalten für das Datenschutzrecht ergeben.

Dieser Artikel ist wie folgt aufgebaut: Zunächst skizziere ich die übergreifenden Konfliktlinien zwischen Datenschutzrecht und generativer KI. Anschliessend gehe ich auf die spezifischen rechtlichen Fragen der DSGVO ein: den Anwendungsbereich und die Rechtsgrundlage für die Zulässigkeit verschiedener Schritte der Datenverarbeitung durch generative KI (Abschnitt 2), die Grundsätze der Datenverarbeitung (Abschnitt 3), die Rechte der betroffenen Personen (Abschnitt 4) und Fragen der Verantwortlichkeit (Abschnitt 5). In Abschnitt 6 diskutiere ich die Übertragbarkeit der Argumentation auf Modelle, die Bilder, Audio- und Videodateien erstellen. Der Artikel schliesst mit einem Ausblick (Abschnitt 7).

2. Strukturelle Herausforderungen generativer KI für das Datenschutzrecht

Das Datenschutzrecht in der EU wird in erster Linie durch die DSGVO geregelt. Das derzeitige System der DSGVO basiert auf der 1995 verabschiedeten Datenschutzrichtlinie, dem Recht auf Datenschutz (Artikel 8 GRCh) und dem Recht auf Privatsphäre (Artikel 7 GRCh) sowie den primären Rechtsgrundlagen in Artikel 16 AEUV. Artikel 1 DSGVO legt den Gegenstand und den Anwendungsbereich als die Verarbeitung personenbezogener Daten zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen fest. Dementsprechend ist der Begriff „Verarbeitung“ im Zusammenhang mit personenbezogenen Daten sehr weit gefasst und umfasst praktisch jede Interaktion mit personenbezogenen Daten. Aus diesem Grund können alle Phasen des Lebenszyklus eines KI-Modells in den Anwendungsbereich der DSGVO fallen, wenn personenbezogene Daten beteiligt sind.

Aus regulatorischer Sicht sind daher die verschiedenen Schritte der Datenverarbeitung im Lebenszyklus eines KI-Modells von Bedeutung und lassen sich bei generativen Modellen wie folgt unterscheiden: Der erste Schritt ist die Erhebung von Trainingsdaten, die aus vielen Datenpunkten bestehen. Diese Datenpunkte können personenbezogene oder nicht personenbezogene Informationen umfassen. In bestimmten Fällen werden dabei extrem grosse Datensätze verwendet, was eine Unterscheidung zwischen verschiedenen Datenkategorien schwierig, wenn nicht gar unmöglich macht. So wurde beispielsweise ChatGPT unter Verwendung umfangreicher, im Internet frei verfügbarer Daten entwickelt. Der zweite Schritt ist das eigentliche Training des Modells unter Verwendung der gesammelten Daten, das zu einem konfigurierten Modell führt. Der dritte Schritt ist die Modellanwendung, d. h. das trainierte Modell wird auf bestimmte Fälle oder Personen angewendet, wodurch das Modell zu einem Werkzeug wird, das als Reaktion auf Eingabedaten eine bestimmte Ausgabe berechnet. Aufgrund dieser Datenmenge und des Trainingsprozesses enthält die Modellausgabe Informationen über Fälle oder Personen sowie über „Dritte“, die nicht Teil der Trainingsdaten waren.

2.1 Menge

Der erste Problembereich betrifft die Frage, wie das Training leistungsfähiger KI-Modelle oder die Verarbeitung grosser Datenmengen in Bezug auf die verarbeitete Datenmenge funktioniert. Die schiere Menge der von leistungsfähigen KI-Modellen verarbeiteten Daten ist das zentrale, bislang ungelöste Problem der KI und des Datenschutzes. Generative KI-Modelle werden in der Regel mit Milliarden, wenn nicht sogar Hunderten von Milliarden Parametern trainiert und erfordern grosse Mengen an Trainingsdaten und Rechenleistung. Das Datenschutzrecht basiert hingegen auf der Idee, dass die einzelnen Schritte der Datenverarbeitung und die verarbeiteten Daten identifiziert werden können. Dieses Konzept wendet den Gedanken der individuellen Kontrolle an, um Einzelpersonen zu stärken, indem es ihnen ermöglicht, ihre eigenen personenbezogenen Daten zu verwalten. Modelle, die auf beispiellos grossen Datensätzen trainiert wurden, machen es jedoch unmöglich, manuell zu identifizieren oder auch nur zu überprüfen, ob die Daten en den gesetzlichen Anforderungen entsprechen, und bergen somit das Potenzial für Verletzungen der Privatsphäre und des Datenschutzes. Darüber hinaus steht dieser Ansatz im Widerspruch zum Grundsatz der Datenminimierung gemäss Artikel 5 Absatz 1 Buchstabe c. Diese Vorgehensweise offenbart die Governance-Probleme, die sich aus der systematischen Ausgestaltung der DSGVO ergeben, die beispielsweise die Einwilligung des Einzelnen als Grundlage für die Erlaubnis vorsieht und die Identifizierung einzelner betroffener Personen und der ihnen zuzuordnenden Daten voraussetzt.

2.2 Zwecke

Auch in Bezug auf die Relevanz der Zwecke scheinen Datenschutz und Privatsphäre im Widerspruch zum allgemeinen Konzept der generativen KI zu stehen. Datenschutz ist in hohem Masse kontextabhängig, und sein Schutzniveau hängt davon ab, welche Art von Daten verarbeitet wird, von wem, in welchem Umfeld und zu welchen Zwecken (Artikel 5 Absatz 1 Buchstabe b). LLMs hingegen decken ein breites Spektrum von Zwecken, Anwendungen und Betriebsumgebungen ab. Gemäss Artikel 3 Absatz 63 der neuen europäischen Verordnung über KI (im Folgenden: KI-Gesetz) umfasst ein Allzweck-KI-Modell KI-Modelle, die mit einer grossen Datenmenge unter Verwendung von Selbstüberwachung in grossem Massstab trainiert wurden, eine erhebliche Allgemeinheit aufweisen, in der Lage sind, eine Vielzahl unterschiedlicher Aufgaben unabhängig davon, wie das Modell in Verkehr gebracht wird, kompetent auszuführen, und die in eine Vielzahl von nachgelagerten Systemen oder Anwendungen integriert werden können. Nicht darunter fallen KI-Modelle, die vor ihrer Inverkehrbringung für Forschungs-, Entwicklungs- oder Prototyping-Tätigkeiten verwendet werden. Diese Definition beschreibt die aktuelle Marktsituation gut: OpenAI bietet beispielsweise mittlerweile eine grössere Auswahl an verschiedenen GPTs für spezifische Aufgaben an: den „Laundry Buddy“ für Fragen zu Flecken und Waschprogrammen, den „Sous Chef“, der Nutzern Rezepte liefert, oder den „Negotiator“, der Nutzern hilft, in ihrem Sinne zu argumentieren (verfügbar unter ChatPT 4o auf chatgpt.com mit kostenpflichtigem Abonnement). Diese nachgelagerten Anwendungen werden an Bedeutung gewinnen, da davon auszugehen ist, dass die Basismodelle nicht wie bisher vor allem als isolierte Anwendungen genutzt werden, sondern als modulare Bausteine in andere Modelle integriert werden. Dadurch werden sowohl wünschenswerte als auch unerwünschte Effekte aufgrund der möglichen Skalierung der Modelloutputs zunehmen. Hier ist bereits der Designaspekt von LLMs schwer mit der Gesetzgebung in Einklang zu bringen und scheint im Widerspruch zum Zweckbindungsgrundsatz der DSGVO zu stehen. Insbesondere wenn Modelle über eine Schnittstelle zahlreichen Dritten zur Verfügung gestellt werden, wird es schwierig, wenn nicht gar unmöglich, die Kompatibilität dieses Modells und seiner Daten mit den Zwecken zu gewährleisten, für die die personenbezogenen Daten ursprünglich erhoben wurden (Artikel 6 Absatz 4).

3. Geltungsbereich der DSGVO und Rechtsgrundlage

Die DSGVO ist sachlich und räumlich offen, d. h. sie gilt für die Verarbeitung personenbezogener Daten für Tätigkeiten innerhalb der EU, auch wenn diese Verarbeitung an einem anderen Ort erfolgt (Artikel 3 Absatz 1), und wenn Waren oder Dienstleistungen für betroffene Personen in der Union angeboten werden (Artikel 3 Absatz 2). Sie gilt daher für alle generativen Modelle, die in der Union verwendet werden.

3.1 Anwendungsbereich

3.1.1 Personenbezogene Daten

Die DSGVO gilt für die Verarbeitung personenbezogener Daten (Artikel 2 Absatz 1), sofern keine der Ausnahmen in den Absätzen 2 und 3 zutrifft. Diese Verarbeitung umfasst sowohl die Erhebung von Trainingsdaten und das Training der Modelle als auch die Nutzung oder den Verkauf des Modells zur Generierung von Ergebnissen auf Grundlage von Nutzeranfragen.

Die Verarbeitung personenbezogener Daten beginnt mit Schritt eins, der Erhebung grosser Datenmengen, mit denen ein LLM trainiert wird. Da die Wirksamkeit von LLMs in direktem Zusammenhang mit der Breite und Vielfalt ihrer Datensätze steht, werden diese Daten durch das Scraping von Inhalten zahlreicher Websites gewonnen. Dabei fallen zwangsläufig auch personenbezogene Daten wie Namen, Geburtsdaten oder andere identifizierende Informationen an. Da personenbezogene Daten auch unvollständige oder indirekte Angaben umfassen, die durch zusätzliche Informationen zu einer Identifizierung einer Person führen können, fällt diese Verarbeitung bereits vor dem Training oder der Freigabe des Modells unter die DSGVO.

Im zweiten Schritt der Datenverarbeitung, dem Training des Modells, wird die Identifizierung personenbezogener Daten schwieriger, da das endgültige trainierte Modell von den Trainingsdaten abweichen kann. Ein künstliches neuronales Netzwerk wird beispielsweise durch eine grosse Matrix von Zahlen dargestellt, die wiederum durch Gewichte und andere Parameter wie Aktivierungsschwellen bestimmt werden. Während die Trainingsdaten personenbezogene Informationen enthalten können, müssen die Daten im Modell diese Eigenschaft nicht unbedingt beibehalten: Personenbezogene Daten können anonymisiert werden, wenn während des Trainingsprozesses fortschrittliche Techniken wie Differential Privacy und föderiertes maschinelles Lernen eingesetzt werden, um Verweise auf die Trainingsdaten zu entfernen.

Ein trainiertes Modell, das aus einer solchen Anonymisierung hervorgeht und die Rekonstruktion der Trainingsdaten unmöglich oder höchst unwahrscheinlich macht, gilt nicht als personenbezogene Daten. Die derzeit beliebten grossen Sprachmodelle auf Basis von „ “ neigen jedoch dazu, identifizierende Informationen zu produzieren, sei es absichtlich oder zufällig. Es kann daher nicht immer davon ausgegangen werden, dass Modelldaten vollständig anonymisiert wurden: Die Forschung zu diesem „Erinnerungsphänomen“ ist noch nicht abgeschlossen. Dies ist aus Sicht der DSGVO von entscheidender Bedeutung, da die Speicherung des Modells ebenfalls eine Datenverarbeitung im Sinne der DSGVO darstellt, wenn die Modelldaten nicht anonymisiert sind. Darüber hinaus argumentieren viele Autoren, dass die Anonymisierung personenbezogener Daten selbst ebenfalls eine Verarbeitung darstellt, die nach der DSGVO einer Rechtfertigung bedarf.

Im dritten Verarbeitungsschritt, der Erstellung der Ausgabe, können die Modelle oder Anwendungen, die sie verwenden, personenbezogene Daten erzeugen. Dabei ist es unerheblich, ob die bereitgestellten Informationen korrekt sind oder nicht: Wenn LLMs Ausgaben erstellen, die Namen und bibliografische Informationen realer Personen enthalten, verarbeiten sie personenbezogene Daten. Darüber hinaus können Personen oft leicht anhand des Kontexts der Textvorlage oder der Textausgabe oder mithilfe von Suchmaschinen identifiziert werden. Mit Suchmaschinen verknüpfte LLMs können die Identifizierung ebenfalls erleichtern. Insbesondere bei öffentlichen LLMs ist es aus den oben genannten Gründen wahrscheinlich, dass viele betroffene Personen identifiziert werden können. Es ist wichtig zu beachten, dass die Personen in den Trainingsdaten theoretisch nicht mit denen in den Output-Daten identisch sind, selbst wenn sie denselben Namen haben, da LLMs auch Namen von existierenden Personen generieren können, beispielsweise durch die Erstellung von Informationen, die dann von Nutzern zugeordnet werden können.

3.1.2 Räumlicher Geltungsbereich

Artikel 3 Absatz 1 DSGVO besagt, dass die Verordnung „auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union [Anm. d. Red.: EU] Anwendung findet, unabhängig davon, ob die Verarbeitung in der Union stattfindet oder nicht“. Somit muss die Verarbeitung personenbezogener Daten nicht in der Union selbst stattfinden, sondern kann auch auf Servern erfolgen, die beispielsweise in den USA oder anderen Drittländern stehen. Wie bereits erwähnt, ist die lex loci-Lösung das Prinzip der DSGVO, Artikel 3 Absatz 2 DSGVO, was bedeutet, dass die Anforderungen auch dann gelten, wenn der Datenverarbeiter nicht in der EU ansässig ist, aber seine Dienste EU-Bürgern anbietet. Damit fallen globale Technologien wie LLMs und andere KI-Modelle wie Chat-GPT, Bard, Gemini usw., die aus der Europäischen Union zugänglich sind, eindeutig unter die DSGVO.

3.2 Rechtsgrundlage für die Datenverarbeitung

Jede Verarbeitung personenbezogener Daten im Anwendungsbereich der DSGVO bedarf einer Rechtsgrundlage, Artikel 6 Absatz 1 DSGVO. Die Frage der Rechtsgrundlage für die Datenverarbeitung über den gesamten Lebenszyklus eines generativen KI-Systems wirft unterschiedliche Probleme auf, da sie vom Stadium der Datenverarbeitung abhängt. Wie bereits dargelegt, ist es bei der Analyse von KI und Datenschutz unerlässlich, zwischen den verschiedenen Schritten der Datenverarbeitung zu unterscheiden.

3.2.1 Erhebung von Trainingsdaten

Der erste Schritt im Lebenszyklus eines generativen Modells ist die Erhebung von Trainingsdaten. Bei LLMs wie GPT-4 oder Bard besteht dieser Schritt darin, Daten aus dem Internet zu scrapen. Das wahllose Durchsuchen fast des gesamten Internets schliesst logischerweise die Rechtsgrundlage der Einwilligung gemäss Artikel 6 Absatz 1 Buchstabe a aus. In Ermangelung gesetzlicher Verpflichtungen oder vertraglicher Beziehungen zwischen den Betreibern von LLMs und allen Internetnutzern weltweit kann das Scraping von Trainingsdaten nur auf der Rechtsgrundlage des berechtigten Interesses gemäss Artikel 6 Absatz 1 Buchstabe f DSGVO beruhen.

Artikel 6 Absatz 1 Buchstabe f DSGVO besagt, dass die Datenverarbeitung rechtmässig ist, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Grundrechte und Grundfreiheiten der betroffenen Personen, die der Verarbeitung durch den Verantwortlichen unterliegen, überwiegen. Der EuGH hat klargestellt, dass diese Bestimmung drei kumulative Voraussetzungen für die Rechtmässigkeit der Verarbeitung personenbezogener Daten festlegt: (1) die Verfolgung eines berechtigten Interesses durch den Verantwortlichen oder einen Dritten; (2) die Verarbeitung personenbezogener Daten muss zur Verfolgung dieses berechtigten Interesses erforderlich sein; und (3) das berechtigte Interesse des Verantwortlichen oder eines Dritten darf nicht durch die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Die Tatsache, dass dies die einzige plausible Rechtsgrundlage darstellt, offenbart das strukturelle Problem des Datenschutzrechts im Zusammenhang mit datenintensiven Technologien, nicht zuletzt, weil die Frage, ob Artikel 6 Absatz 1 Buchstabe f eine ausreichende Rechtsgrundlage bietet, von Fall zu Fall zu entscheiden ist. Es gibt Hinweise darauf, dass das allgemeine Interesse den Zweck der Verarbeitung überwiegen kann oder dass davon ausgegangen werden kann, wenn die betroffenen Personen vernünftigerweise davon ausgehen können, dass ihre Daten zu Schulungszwecken verarbeitet werden. Letztendlich hängt dies vom Einzelfall ab. Die Art und Weise, wie Massendaten-Scraping funktioniert, macht es jedoch fast unmöglich, individuelle Interessen überhaupt zu ermitteln, und kann daher im Rahmen der aktuellen Rechtslehre und der Rechtsordnungen keine zufriedenstellenden Antworten liefern.

3.2.2 Berechtigtes Interesse

Der Begriff „berechtigte Interessen” ist bewusst weit gefasst, um rechtliche, wirtschaftliche oder idealistische Interessen zu erfassen, wobei nur hypothetische und öffentliche Interessen ausgeschlossen sind. Die Erhebung von Daten zum Training eines generativen Modells für kommerzielle Zwecke ist zunächst ein berechtigtes wirtschaftliches Interesse und durch die unternehmerische Freiheit gemäss Artikel 16 EGKR geschützt. Das Argument, dass der EuGH im Fall Google Spain auch die Informationsfreiheit (Artikel 11 Absatz 2 EGKR) als berechtigtes Interesse an der Verarbeitung, das auf das Training generativer Modelle übertragbar ist, angeführt hat, gilt nicht für Modelle, die nur gegen Entgelt zugänglich sind. Darüber hinaus funktionieren Suchmaschinen und generative Modelle unterschiedlich und sind daher nicht vergleichbar. Quellenangaben in Suchmaschinen können gelöscht oder korrigiert werden, während LLMs für jede Frage einen einzigartigen neuen Text generieren, für den eine neue Wahrscheinlichkeit berechnet wird. Ist der ausgegebene Text falsch, kann er für zukünftige Ausgaben nicht korrigiert werden.

3.2.3 Notwendigkeit

Der Erforderlichkeitstest gemäss Artikel 3 Absatz 1 Buchstabe f dieser Bestimmung bedeutet, dass die Verarbeitung personenbezogener Daten ein verhältnismässiges Mittel zur Erreichung der berechtigten Interessen sein muss. Die Verarbeitung gilt als erforderlich, wenn die Verarbeitung personenbezogener Daten für die Erreichung des Ziels des berechtigten Interesses des Verantwortlichen, in diesem Fall ein trainiertes KI-Modell, unerlässlich ist und diese Interessen nicht die Rechte der betroffenen Person überwiegen. In seltenen Fällen, in denen nur anonymisierte Daten für das Training des Modells ausreichen, sind für das Training möglicherweise keine personenbezogenen Daten erforderlich. Anonymisierte Daten allein reichen jedoch in der Regel nicht für das Training generativer Modelle aus, selbst wenn eine solche Anonymisierung in der Trainingsphase möglich wäre.

3.2.4 Interessenabwägung

Artikel 6 Absatz 1 Buchstabe f DSGVO verlangt eine Abwägung der widerstreitenden Rechte und Interessen zwischen dem Auftragsverarbeiter und der betroffenen Person, wobei auch die Rechte der betroffenen Personen gemäss den Artikeln 7 und 8 EG-GRÜNDUNGSVERTRAG zu berücksichtigen sind. Ihre Interessen sind besonders betroffen, wenn KI personenbezogene Daten, die im Internet verfügbar sind, als Antwort auf Nutzeranfragen sammelt, verknüpft und kontextualisiert.

Die Tatsache, dass leistungsfähige generative Modelle eine grosse Menge an Trainingsdaten benötigen, um ein bestimmtes Leistungsniveau zu erreichen, z. B. um Wortfolgen zu generieren, die der menschlichen Sprache entsprechen, spricht für die Interessen der Betreiber. Es ist jedoch nicht zwingend erforderlich, Daten in einem Umfang zu scrapen, der fast alle öffentlich zugänglichen Ressourcen im Internet abdeckt, um generative Modelle zu entwickeln: Datensätze können auch auf andere Weise generiert werden, z. B. durch Datenspenden, wirksame Einwilligungslösungen oder die Datenerhebung durch den Datenverantwortlichen selbst. Allerdings würde keine dieser Alternativen die erforderliche Datenbreite schaffen. Es stellt sich daher die Frage, welches konkrete Interesse des Datenverarbeiters schutzwürdig ist. Meta hat beispielsweise öffentlich eingeräumt, dass die Erwerbung von Lizenzen für urheberrechtlich geschütztes Material die Entwicklung generativer Modelle erheblich erschwert hätte, einfach weil sie dadurch teurer geworden wären. Das gleiche Argument wurde gegen die datenschutzkonforme Erhebung von Trainingsdaten vorgebracht: Der Ansatz hätte erhebliche Ressourcen erfordert. Es ist jedoch unwahrscheinlich, dass Kosteneinsparungen ein berechtigtes Interesse darstellen können, und ein auf strukturellen Verstössen beruhendes Interesse hat ohnehin einen erheblich geringeren Schutzwert.

Im Fall Meta entschied der EuGH ausserdem, dass die Personalisierung von Inhalten – das Kerngeschäftsmodell von Meta – für den Betrieb eines sozialen Netzwerks nicht erforderlich ist.

Der EuGH führte weiter aus, dass berechtigte Interessen die Praktiken von Meta, Personen zum Zwecke der betriebsinternen verhaltensorientierten Werbung auf seinen sozialen Plattformen zu verfolgen und zu profilieren, nicht ausreichend rechtfertigen:

Es ist darauf hinzuweisen, dass der Nutzer eines sozialen Netzwerks wie Facebook, auch wenn dessen Dienste kostenlos sind, nicht vernünftigerweise erwarten kann, dass der Betreiber des sozialen Netzwerks seine personenbezogenen Daten ohne seine Einwilligung für personalisierte Werbung verarbeitet. Unter diesen Umständen ist davon auszugehen, dass die Interessen und Grundrechte eines solchen Nutzers das Interesse des Betreibers an einer solchen personalisierten Werbung, mit der er seine Tätigkeit finanziert, überwiegen, so dass die Verarbeitung durch diesen Betreiber zu diesen Zwecken nicht unter Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe f der DSGVO fallen kann.

Dies wirft erhebliche Zweifel daran auf, ob Unternehmen wie OpenAI die Verarbeitung grosser Mengen personenbezogener Daten zum Aufbau eines kommerziellen Unternehmens im Bereich der generativen KI rechtfertigen können, insbesondere angesichts der zahlreichen neuen Risiken, die solche Tools für identifizierte Personen mit sich bringen, darunter Desinformation, Verleumdung, Identitätsdiebstahl und Betrug.

Der Kontext ist daher für den Schutz der Privatsphäre und den Datenschutz von entscheidender Bedeutung. Die öffentliche Zugänglichkeit von Daten im Internet, selbst wenn sie von den betroffenen Personen selbst offengelegt wurden, hebt deren berechtigtes Interesse an deren Schutz nicht vollständig auf. Wie in Erwägungsgrund 47 festgestellt wird, können die Interessen und Grundrechte der betroffenen Person insbesondere dann Vorrang vor dem Interesse des Verantwortlichen haben, wenn personenbezogene Daten unter Umständen oder in einer Weise verarbeitet werden, die die betroffenen Personen nicht vernünftigerweise erwarten können. Obwohl es mittlerweile allgemein bekannt ist, dass im Internet veröffentlichte Daten auf andere Weise verarbeitet werden können als ursprünglich angenommen, kommt es auch auf den konkreten Zweck der Verarbeitung an. So bedeutet die berechtigte Erwartung auf Privatsphäre, dass jahrzehntealte oder gelöschte Beiträge, persönliche Websites und Einträge nicht auf unbegrenzte Zeit für das Training kommerzieller Modelle verwendet werden dürfen. Es ist davon auszugehen, dass der typische Internetnutzer nicht erwartet oder beabsichtigt, dass seine Daten als Trainingsmaterial für LLMs zum finanziellen Vorteil anderer verwendet werden. Daher stellt die Verwendung der Daten zum Training dieser Modelle einen sekundären Zweck dar. In den meisten Fällen ist es unwahrscheinlich, dass eine betroffene Person ihre Daten öffentlich zugänglich gemacht hat, um sie als Datensatz zum finanziellen Vorteil von LLM-Anbietern zu nutzen, sodass die Verwendung solcher öffentlich zugänglichen Daten eine Verletzung der kontextbezogenen Privatsphäre darstellt.

Darüber hinaus muss ein berechtigtes Interesse im weiteren europäischen und nationalen regulatorischen Kontext festgestellt werden. Der breite Anwendungsbereich des Scraping bedeutet auch, dass eine unüberschaubare Anzahl von Personen betroffen ist, was die Rechtmässigkeit unter dem Gesichtspunkt der Verhältnismässigkeit in Frage stellt. Nach der deutschen Verfassungsrechtslehre des Bundesverfassungsgerichts kann dies zu einer Verschärfung von Eingriffen führen, wenn eine besonders grosse Zahl von Personen ohne Grund betroffen ist, was die Rechtfertigung in Frage stellen kann. Diese Auswirkung wird als „Streubreite” bezeichnet und ist ein Argument, das auch vom EuGH verwendet wird. Solche Auswirkungen treten auch bei einer universellen Datenverarbeitung auf, da fast alle Internetnutzer betroffen sind.

Darüber hinaus muss das berechtigte Interesse auch rechtmässig sein, d. h. es sollte allen geltenden Gesetzen und Vorschriften entsprechen, einschliesslich der Grundsätze und sonstigen Bestimmungen des Datenschutzrechts. Dazu gehört auch, dass die Verarbeitung den Erwartungen der betroffenen Person aufgrund ihrer Beziehung zum Verantwortlichen entspricht, den Grundsätzen der Datenminimierung entspricht und geeignete Garantien vorsieht. Im Falle eines gross angelegten Web-Scraping sind individuelle Interessen schwer zu identifizieren. Allerdings gab es von Anfang an Bedenken hinsichtlich der Rechtmässigkeit des Scraping, auch im Hinblick auf mögliche Urheberrechtsverletzungen. Ein durch strukturelle Verstösse verfolgtes Interesse kann nicht berechtigt sein.

Bei der Abwägung der Interessen spielt auch die Vereinbarkeit mit den Grundsätzen des Datenschutzrechts gemäss Artikel 5 DSGVO eine Rolle. Dies erfordert eine Bewertung der berechtigten Interessen im Hinblick auf die Fairness der Verarbeitung (Artikel 5 Absatz 1 Buchstabe a), die Zweckbindung (Artikel 5 Absatz 1 Buchstabe b), die Datenminimierung (Artikel 5 Absatz 1 Buchstabe c) und die Richtigkeit der Daten (Artikel 5 Absatz 1 Buchstabe d).

Daher kann nicht bei allen Trainingsdaten von berechtigten Interessen ausgegangen werden. Die Angelegenheit wird noch komplexer, da es äusserst schwierig, wenn nicht gar unmöglich ist, personenbezogene Daten von Minderjährigen oder besondere Kategorien personenbezogener Daten gemäss Artikel 9 Absatz 1 vollständig aus den Trainingsdaten auszuschliessen. Erschwerend kommt hinzu, dass noch nicht abschliessend geklärt ist, ab wann die Verarbeitung personenbezogener Daten besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 DSGVO „offenbart“.

3.2.5 Training des Modells

Es lohnt sich, die verschiedenen Datenverarbeitungsvorgänge, die für das Training des Modells verwendet werden, chronologisch zu betrachten. Eine wichtige Frage ist dabei, ob die Anonymisierung der Daten während des Modelltrainings erfolgt. Die vorherrschende Auffassung ist, dass eine Erlaubnisgrundlage erforderlich ist. In diesem Zusammenhang wird Anonymisierung eher normativ als technisch verstanden, in Übereinstimmung mit dem EuGH-Urteil, wonach Daten auch dann als anonymisiert gelten, wenn es zwar technisch möglich, aber unwahrscheinlich ist, dass der Verantwortliche mit den verfügbaren Mitteln, einschliesslich zusätzlicher Informationen, eine Identifizierung vornehmen kann. Darüber hinaus gelten Daten nach Ansicht des Gerichtshofs als anonym im Sinne der DSGVO, wenn eine Re-Identifizierung rechtswidrig ist.

Grundsätzlich ist die Anonymisierung personenbezogener Daten nach Artikel 6 DSGVO in der Regel leicht zu rechtfertigen. Die Praxis steht im Einklang mit dem Grundsatz der Datenminimierung und Speicherbegrenzung, und eine wirksame und dauerhafte Anonymisierung kann sowohl den Interessen der betroffenen Personen als auch denen der Verantwortlichen dienen: Erstere werden vor unbefugten Eingriffen in ihre grundlegenden Datenschutzrechte geschützt, während Letztere von einigen der vermeintlichen Belastungen durch die Einhaltung der strengen Anforderungen des Datenschutzrechts befreit werden. Dieses Argument ist jedoch angesichts des Datenvolumens schwer haltbar, da eine wirksame Einwilligung der betroffenen Personen gemäss Artikel 6 Absatz 1 Buchstabe a und Artikel 7 DSGVO in der Praxis nicht eingeholt werden kann.

Zwar ist es denkbar, eine gesetzliche Verpflichtung zur Anonymisierung von Trainingsdaten gemäss Artikel 6 Absatz 1 Buchstabe c einzuführen, doch ist dies in der Praxis noch nicht relevant. Dies bedeutet, dass die Rechtsgrundlage des berechtigten Interesses in Artikel 6 Absatz 1 Buchstabe f auch für die Anonymisierung gelten kann. Generell kann diese Bestimmung zu angemessenen Ergebnissen führen, da die Anonymisierung in der Regel im Interesse der betroffenen Personen selbst liegt und zumindest ein Interessenkonflikt unwahrscheinlich ist. Bei grossen LLMs ist es ebenso unwahrscheinlich, dass eine betroffene Person ein individuelles Interesse an der Nichtanonymisierung hat, und selbst wenn ein solches Interesse einer einzelnen betroffenen Person besteht, würde es andere relevante Interessen, z. B. der anderen betroffenen Personen, überwiegen.

Die Bewertung der Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 ist schwieriger. Wenn die Anonymisierung als rechtfertigungsbedürftige Verarbeitung einen Fall nach Artikel 9 Absatz 2 erfordern würde. Wie oben beschrieben, kann die Verarbeitung besonderer Datenkategorien für LLMs nicht ausgeschlossen werden. Die Hürden des Artikels 9 Absatz 2 sind zwar hoch, aber die Bestimmung „veröffentlicht“ in Artikel 9 Absatz 2 Buchstabe e kann hier ebenfalls berücksichtigt werden. Andere plädieren für eine teleologische Reduzierung von Artikel 9 Absatz 1 für die Anonymisierung. Keine der beiden Varianten stellt eine Verletzung der Rechte der betroffenen Personen dar, wenn die Trainingsdaten anonymisiert wurden. Diese komplexen Überlegungen zeigen allein schon, dass es Lücken zwischen dem personenbezogenen Ansatz der DSGVO und den Instrumenten gibt, die für eine angemessene Regulierung generativer KI erforderlich sind.

3.2.6 Generierung von Ergebnissen

Die Ausgabe generativer Sprachmodelle kann die Verarbeitung personenbezogener Daten darstellen. Hier ist zwischen der Verarbeitung von gescrapten Trainingsdaten und der Verarbeitung von Nutzerdaten in Form von Eingabeaufforderungen während der Nutzung des Modells zu unterscheiden. Es besteht kein berechtigtes Interesse an der Verarbeitung von Nutzerdaten, z. B. im Zusammenhang mit Eingabeaufforderungen bei der Nutzung von LLMs. Stattdessen muss eine wirksame Einwilligung gemäss Artikel 6 Absatz 1 Buchstabe a eingeholt werden, eine rechtliche Massnahme, die im digitalen Raum kritisch zu bewerten ist. Open AI musste nach einer Untersuchung durch die italienische Datenschutzbehörde seine Datenschutzerklärung für EU-Nutzer aktualisieren. Darin heisst es nun: „Wir verwenden die von Ihnen bereitgestellten Inhalte, um unsere Dienste zu verbessern, beispielsweise um die Modelle zu trainieren, die unsere Dienste ausführen. Lesen Sie unsere Anweisungen, wie Sie der Verwendung Ihrer Inhalte zum Trainieren unserer Modelle widersprechen können.“ Die Einwilligung ist jedoch nur eine gültige Grundlage für Eingabeaufforderungen, die personenbezogene Daten über den Nutzer selbst enthalten. Wenn Nutzer Eingabeaufforderungen generieren, die personenbezogene Daten anderer Personen enthalten, können sie nicht wirksam in deren Namen einwilligen.

Wenn ein generatives Modell in der Lage ist, Ergebnisse zu liefern, die personenbezogene Daten enthalten, bleibt die Frage, wie die Trainingsdaten erhoben wurden, während des gesamten Lebenszyklus des Modells relevant. Wenn es keine Rechtsgrundlage für die Erhebung der Trainingsdaten gab, gibt es auch keine Rechtsgrundlage für deren Verwendung zur Erzeugung von Ergebnissen. Theoretisch könnte hier auch ein berechtigtes Interesse gemäss Artikel 6 Absatz 1 Buchstabe f in Betracht kommen, das jedoch anhand der oben beschriebenen Kriterien im Einzelfall geprüft werden muss. LLMs erschweren jedoch individuelle Bewertungen aufgrund der Menge der von ihnen verarbeiteten Daten. Darüber hinaus sind generative Modelle hinsichtlich ihrer Ergebnisse skalierbar, was bedeutet, dass falsche Informationen an eine grosse Anzahl von Nutzern und Dritten verbreitet werden können.

Die Verarbeitung der Ergebnisse ist auch problematisch, wenn Modelle besondere Kategorien personenbezogener Daten gemäss Artikel 9 Absatz 1 DSGVO ableiten oder offenlegen. Es hat sich gezeigt, dass Modelle private und personenbezogene Informationen wie Telefonnummern, Adressen und medizinische Dokumente speichern und reproduzieren können. Im Zeitalter von Big Data ist es nun potenziell möglich, aus fast allen Daten sensible Informationen abzuleiten, insbesondere wenn man die grenzenlose Kategorie der politischen Meinungen einbezieht, die in Artikel 9 Absatz 1 DSGVO enthalten ist. Das bedeutet, dass „normale“ personenbezogene Daten besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 offenlegen können, obwohl die Kriterien für die Unterscheidung zwischen allgemeinen und sensiblen Daten nach wie vor umstritten sind. Ein vorgeschlagenes Kriterium bezieht sich auf die Absicht hinter der Datenverarbeitung. In Szenarien mit kontextspezifischen Informationen könnte der Zweck der Auswertung je nach Auswertungszweck zur Generierung sensibler Daten führen. Gerichtsurteile stützen diese Annahme tendenziell: Der EuGH schien den Begriff „offenlegen“ im Fall Meta weit auszulegen, und in einem anderen Urteil entschied das Gericht, dass die Offenlegung des Namens eines Ehepartners, Lebenspartners oder Lebensgefährten möglicherweise auf die sexuelle Orientierung des Antragstellers hindeuten könnte. Der Gerichtshof hat Mindestkriterien für die „Offenlegung“ sensibler Daten festgelegt: Eine „intellektuelle Verarbeitung, die einen Vergleich oder eine Schlussfolgerung beinhaltet“, reicht aus, um den besonderen Schutz für sensible Daten auf personenbezogene Daten auszudehnen, die nicht von Natur aus sensibel sind. Dieses Urteil stand jedoch nicht in direktem Zusammenhang mit Big Data, sodass die Unterscheidung etwas unklar bleibt.

In vielen Fällen im Zusammenhang mit Big Data kann daher bereits die blosse Möglichkeit, sensible Informationen abzuleiten, dazu führen, dass Prozesse wie das Training von KI den Bestimmungen des Artikels 9 unterliegen, und es ist unwahrscheinlich, dass LLMs die Ausnahmen in Artikel 9 Absatz 2 erfüllen. So ist beispielsweise die Forschungsausnahme gemäss Artikel 9 Absatz 2 Buchstabe j auf die «Entwicklung von Modellen zu Forschungszwecken» beschränkt und erlaubt keine kommerzielle Verwertung, wie in den Erwägungsgründen 159 und 162 dargelegt.

Eine weitere wichtige Unterscheidung besteht darin, ob LLM-Ausgaben dazu verwendet werden können, sensible Informationen über Personen abzuleiten, die diese nicht selbst veröffentlicht haben. Selbst wenn bestimmte Indikatoren, z. B. für die politische Orientierung, im Internet verfügbar sind, können LLM-Ausgaben diese Informationen aggregieren. Daher stellt Artikel 9 Absatz 2 Buchstabe e keine Rechtsgrundlage für diese Art der Ableitung dar.

Die Anforderungen an die Richtigkeit der Daten (Artikel 5 Absatz 1 Buchstabe d DSGVO) gelten auch für LLM-Ausgaben. Es hat sich gezeigt, dass LLMs „halluzinieren“ und falsche Informationen, einschliesslich falscher personenbezogener Daten, produzieren können. Nach der DSGVO sind die Betreiber für die Gewährleistung der Richtigkeit der Daten verantwortlich (Artikel 5 Absatz 2, Artikel 24 und Artikel 25 Absatz 1 DSGVO). Zwar enthalten alle gängigen Anwendungen Haftungsausschlüsse, die die Nutzer darauf hinweisen, dass die Modelle nicht immer korrekt sein können, doch ist die Wirksamkeit solcher Hinweise angesichts der Automatisierungsverzerrung fraglich. Auch wenn die derzeitige Fehlerquote von LLMs ein generelles Verbot solcher Anwendungen aus Gründen der Datengenauigkeit nicht rechtfertigt, beeinträchtigt sie doch die Rechte der betroffenen Personen. Das Recht auf Datengenauigkeit gewinnt noch mehr an Bedeutung, wenn das Recht auf Berichtigung oder Löschung nicht wirksam durchgesetzt werden kann.

4. Rechte der betroffenen Personen

Wie in anderen Bereichen datenintensiver Technologieanwendungen gibt es auch bei generativen Modellen Probleme mit der Durchsetzung der Rechte der betroffenen Personen. Im Allgemeinen werden viele datengesteuerte KI-Technologien von einer Handvoll grosser Technologieunternehmen entwickelt, vermarktet, verkauft und genutzt, was zu einer Informationsasymmetrie zwischen den mächtigen Verarbeitern und den Nutzern führt. Infolgedessen reichen Datenschutzrechte allein nicht aus, um das Problem der Datenentmachtung zu lösen. Einzelpersonen verfügen in der Regel nur über begrenzte Möglichkeiten, ihre personenbezogenen Daten zu verwalten, da ihre Kontrollmöglichkeiten grundsätzlich begrenzt sind. Zwar können Rechte in bestimmten Einzelfällen einen gewissen Einfluss gewähren, doch ist dieser zu sporadisch und unzusammenhängend, um die Privatsphäre wirksam zu schützen. Letztendlich fungieren Rechte in erster Linie als untergeordnetes Element innerhalb eines umfassenderen Rahmens.

Die schiere Menge der aus verschiedenen Quellen verarbeiteten Daten scheint es unmöglich zu machen, Einzelpersonen über die Verarbeitung oder den Verarbeiter ihrer Daten zu informieren, wodurch die Einhaltung des Rechts auf Information praktisch ausgeschlossen ist und es für die betroffenen Personen schwierig wird, ihre Rechte geltend zu machen. In der Praxis zeigen Berichte, dass Unternehmen wie OpenAI und Midjourney nicht auf Auskunftsersuchen von Personen reagiert haben, die sich in den Trainingsdaten wiedergefunden haben.

Die Voraussetzung für die Ausübung der Rechte der betroffenen Personen gemäss den Artikeln 13 bis 22 der DSGVO ist in erster Linie, dass die betroffene Person über die Datenverarbeitung informiert ist. Nutzer, die in Form von Eingabeaufforderungen Input in ein KI-Modell liefern, fallen unter Artikel 13 DSGVO. Artikel 14 DSGVO kommt jedoch auch dann zum Tragen, wenn die Daten nicht von den betroffenen Personen selbst erhoben wurden. Nach beiden Normen müssen die betroffenen Personen darüber informiert werden, wer welche Daten (Datenkategorien) zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeitet hat und ob diese Daten an Dritte weitergegeben wurden. Diese Transparenzbestimmungen dienen insbesondere dazu, den betroffenen Personen die Ausübung ihrer anderen Rechte, wie das Recht auf Löschung oder Berichtigung, zu ermöglichen. Artikel 14 Absatz 5 enthält die Ausnahme, dass die Transparenzpflicht nicht gilt, wenn und soweit die Bereitstellung dieser Informationen unmöglich ist oder einen „unverhältnismässigen Aufwand erfordern würde, insbesondere bei Verarbeitung zu Zwecken der Archivierung im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken […] In solchen Fällen trifft der Verantwortliche geeignete Massnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu schützen, einschliesslich der Veröffentlichung der Informationen.“

Auch hier kommt es auf den Einzelfall an, wobei es fraglich erscheint, ob LLM-Betreiber sich auf Unzumutbarkeit berufen können, wenn sie bereits vor der Entwicklung des Modells wussten, dass individuelle Auskunftsersuchen nicht durchsetzbar sind. In jedem Fall bedeutet der Grundsatz der Verantwortlichkeit in Artikel 5 Absatz 2 DSGVO, dass eine Nichtbeantwortung solcher Anfragen oder ein Verweis auf eine allgemeine Unmöglichkeit nicht ausreicht.

Die Praxis hat gezeigt, dass LLMs und möglicherweise auch andere generative KI-Modelle, die Inhalte produzieren, fast universell funktionieren, nicht nur auf individueller Ebene. Diese nahezu universelle Rechtsverletzung spiegelt die tiefgreifende Diskrepanz zwischen datenintensiven Modellen und dem individuellen Rechtsansatz der Datenschutzgesetze wider. Aufgrund dieser Universalität existieren andere Rechte der betroffenen Personen, wie das Recht auf Berichtigung (Artikel 16 DSGVO) und das Recht auf Löschung (Artikel 17 DSGVO), zwar auf dem Papier, sind aber in der Praxis nicht durchsetzbar. Darüber hinaus können Löschungsanträge einer einzelnen betroffenen Person nicht zum gewünschten Ergebnis führen, insbesondere in Fällen, in denen dieselben Informationen von mehreren Nutzern, die mit dem LLM interagieren, verbreitet wurden. Im Wesentlichen bietet die einfache Löschung von Daten aus einem Trainingsdatensatz nur eine oberflächliche Abhilfe, da sie nicht garantiert, dass die Möglichkeit, diese Daten wiederherzustellen oder in den Modellparametern eingebettete Informationen zu extrahieren, beseitigt wird. Da die Ausgabe bestimmter Modelle des maschinellen Lernens durch die während der Trainingsphase verwendeten Daten geprägt ist, können die ursprünglichen Trainingsdaten oder Informationen zu gelöschten Daten abgeleitet oder „durchgesickert“ werden.

5. Verantwortung

Zusätzlich zu den verschiedenen Schritten der Datenverarbeitung in generativen Modellen könnten aufgrund ihrer unterschiedlichen Beteiligungsgrade mehrere Parteien als Datenverantwortliche im Sinne der DSGVO in Betracht kommen. Die DSGVO legt drei Kategorien von Verantwortlichkeiten für die Datenverarbeitung in Bezug auf die betroffene Person fest: Verantwortlicher, Auftragsverarbeiter und Dritte.

Der Verantwortliche ist in erster Linie für die Einhaltung der Bestimmungen der DSGVO verantwortlich (Artikel 5 Absatz 2). Gemäss Artikel 4 Absatz 7 DSGVO ist der Verantwortliche „die natürliche oder juristische Person […], die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Artikel 4 Absatz 8 definiert den Auftragsverarbeiter als „natürliche oder juristische Person […], die personenbezogene Daten von einem Dritten oder von einer anderen Stelle erhält und diese verarbeitet“. Dritte sind hingegen andere Akteure als die betroffene Person, der Verantwortliche oder der Auftragsverarbeiter (Artikel 4 Absatz 10).

Auf den ersten Blick sind die juristischen Unternehmen, die generative Modelle entwickeln und einsetzen, die Verantwortlichen. In den verschiedenen Schritten der Datenverarbeitung ergibt sich jedoch ein differenziertes Bild. Unbestritten sind Unternehmen wie OpenAI und Google in Bezug auf die Verarbeitungsschritte zur Festlegung der Parameter für das Basistraining und die Speicherung des Modells als Verantwortliche tätig, da sie ausschliesslich die Modalitäten der Datenverarbeitung bestimmen, wie beispielsweise die Entscheidung, ein frei zugängliches LLM zu veröffentlichen. Bei der Erzeugung von Outputs verarbeiten generative Modelle jedoch Daten auf der Grundlage der Eingaben ihrer Nutzer. Ob dies dazu führen kann, dass Anbieter und Nutzer als gemeinsame Verantwortliche im Sinne von Artikel 26 DSGVO gelten, bleibt offen.

Die gemeinsame Verantwortlichkeit gemäss Artikel 26 DSGVO bezieht sich auf den Fall, dass zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen. Im Gegensatz dazu ist das Verhältnis zwischen einem Verantwortlichen und einem Auftragsverarbeiter (Artikel 4 Absätze 7 und 8, Artikel 28 DSGVO) anders gelagert, da in dieser Konstellation der Auftragsverarbeiter Daten im Auftrag und auf Weisung des Verantwortlichen verarbeitet. Die gemeinsame Verantwortung ist somit ein gleichberechtigtes Verhältnis, während der Auftragsverarbeiter den Weisungen des Verantwortlichen unterliegt. Ob diese Bewertungen auf das Verhältnis zwischen Anbietern generativer Modelle und Nutzern übertragen werden können, ist fraglich.

Nutzer gelten nicht als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO, da sie zwar einen Vertrag mit den Anbietern haben, aber nicht die Pflichten eines Auftragsverarbeiters, insbesondere nicht die in Artikel 28 Absatz 3 DSGVO, da sie Prompts nach Belieben generieren können und keine Daten nach Weisungen verarbeiten. Der Zweck generativer Modelle besteht darin, Nutzern die freie Verwendung des Modells für ihre eigenen definierten Zwecke zu ermöglichen, ohne dass sie Weisungen der Anbieter befolgen müssen.

Nutzer und Anbieter könnten daher gemeinsam für die Verarbeitung verantwortlich sein, dies würde jedoch voraussetzen, dass sie gemeinsam die Zwecke der Datenverarbeitung festlegen und transparente und gegenseitige Verpflichtungen festlegen. Diese Einstufung wird durch die Tatsache gestützt, dass sowohl Nutzer als auch Anbieter Einfluss auf die Zwecke der Datenverarbeitung haben: Die Anbieter generativer Modelle legen den grundlegenden Rahmen fest, innerhalb dessen ihre Modelle verwendet werden, während die Nutzer die Zwecke entsprechend ihren individuellen Bedürfnissen festlegen. Folglich sind sowohl Nutzer als auch Anbieter voneinander abhängig und beeinflussen sich gegenseitig bei der Datenverarbeitung und sind auch aufeinander angewiesen. Dem steht jedoch entgegen, dass Nutzer in der Regel auch betroffene Personen sind und gemäss Artikel 26 Absatz 3 DSGVO das Recht haben, Ansprüche gegen jeden der gemeinsam Verantwortlichen geltend zu machen. Obwohl das Gesetz nicht verlangt, dass gemeinsame Verantwortliche das gleiche Mass an Verantwortung tragen, reicht eine blosse Mitverursachung ohne kooperatives Handeln für eine gemeinsame Verantwortung nicht aus. Darüber hinaus bedeutet der begrenzte Einfluss der Nutzer auf die Datenverarbeitung, dass Nutzer generativer Modelle gegenüber Dritten nicht wirksam haftbar gemacht werden können, da sie nicht in der Lage sind, den Anbietern Zugriffsrechte zu gewähren oder personenbezogene Daten aus den Trainingsdaten zu löschen.

Das Verhältnis zwischen Nutzern und Anbietern generativer KI stellt daher einen Sonderfall dar, der nicht nahtlos unter die Kategorien der DSGVO subsumiert werden kann. Einerseits sind Nutzer mehr als nur betroffene Personen, da ihre aktiven Beiträge erforderlich sind, um die Ergebnisse des Modells zu generieren und zu gestalten. Andererseits sind sie weder Datenverarbeiter noch gemeinsame Verantwortliche, da sie keinen Einfluss auf die grundlegenden Modalitäten der Datenverarbeitung haben. So können Anbieter beispielsweise Modelle einfach deaktivieren oder kostenpflichtig machen (wie im Fall von ChatGPT). Der EuGH hält es für entscheidend, inwieweit die Verantwortlichen an der gemeinsamen Datenverarbeitung beteiligt sind und welche konkreten Verarbeitungsphasen sie durchlaufen. Im vorliegenden Fall sind die Nutzer nur an der Generierung der Ergebnisse beteiligt, die in hohem Masse von den vorherigen Schritten, wie z. B. dem Training, abhängt. Der Zweck und das Ziel der Vorschriften zur gemeinsamen Verantwortlichkeit besteht darin, einer Verantwortungsdiffusion zwischen mehreren Beteiligten entgegenzuwirken. Betroffene Personen sollten klar erkennen können, wer ihre personenbezogenen Daten zu welchem Zweck erhebt (Erwägungsgrund 58). Daher können Anbieter zwar im Falle generativer Modelle für nutzergenerierte Inhalte verantwortlich sein, aber das Gegenteil gilt nicht. Dies folgt aus der Begründung und dem Grundrechtsschutz der DSGVO-Bestimmungen zur Verantwortlichkeit und entspricht auch der technischen und wirtschaftlichen Realität.

6. Bilder, Audio- und Videodateien als personenbezogene Daten

Die Überlegungen zu LLMs lassen sich nicht immer auf generative Modelle übertragen, die Audio-, Bild- und Videodaten erzeugen. Denn das Ziel dieser Modelle ist nicht die Generierung von Informationen, die möglicherweise unrichtig sind, sondern die Generierung von neuem Audio- oder Bildmaterial. Das primäre Ziel, neue Inhalte zu generieren, hat in diesen Fällen zu vielen urheberrechtlichen Fragen geführt. Bilder und Videos können auch personenbezogene Daten sein, wenn sie zur Identifizierung der Person verwendet werden können, was heute durch Bildersuchen leicht möglich ist.

Ein grosses Problem ist die deutliche Zunahme von Deepfakes im digitalen Kontext, von denen mittlerweile nicht nur Personen des öffentlichen Lebens, sondern auch die allgemeine Bevölkerung betroffen sind. Insbesondere Frauen sind häufig Opfer von Deepfake-Pornografie, bei der ohne ihre Zustimmung explizite Bilder und Videos unter Verwendung ihrer Bilder erstellt werden. Dies ist eine unrechtmässige Verarbeitung personenbezogener Daten, die gegen die DSGVO und in vielen Fällen auch gegen nationale Vorschriften verstösst. Das fotografierte Bild einer Person stellt in diesen Fällen personenbezogene Daten dar, wenn die Person noch lebt, unabhängig davon, ob die Daten gefälscht sind oder nicht. Der Zweck von Deepfakes besteht darin, eine bestimmte Person zu verunglimpfen oder zu diskreditieren, wodurch das entscheidende Merkmal von Artikel 4 Absatz 1 DSGVO erfüllt ist, nämlich dass die Person identifiziert oder identifizierbar ist. Auch Stimmen können personenbezogene Daten darstellen, wenn die Person identifizierbar ist. Visuelle oder akustische Identifizierungsmethoden, die mittels Mustererkennung aufgezeichnet werden, wie beispielsweise die Gesichts- oder Stimmerkennung (Sprechererkennung), können sogar als biometrische Daten im Sinne von Artikel 4 Absatz 14 DSGVO angesehen werden.

Als jüngster Neuzugang in der Datenschutz-Kavallerie schreibt das KI-Gesetz lediglich eine Kennzeichnungspflicht für Deepfakes vor (Artikel 50 Absatz 4), sodass erhebliche Zweifel bestehen, ob auf europäischer Ebene ein angemessenes Schutzniveau gewährleistet ist.

7. Fazit und Ausblick

Die populären Anwendungsfälle generativer KI-Modelle zeigen, dass das Datenschutzrecht bei der Regulierung datenintensiver Technologien an seine Grenzen stösst. Neben den hier aufgezeigten Problemen stellen sich weitere Fragen zum Grundsatz der Zweckbindung der Datenverarbeitung für datenintensive Modelle und deren nachgelagerte Anwendungen. Der Einsatz von LLMs in Entscheidungssituationen wirft Fragen zum Umfang des Verbots in Artikel 22 DSGVO auf.

Strukturelle Probleme von nahezu universeller Bedeutung bestehen zwischen dem Fokus der DSGVO auf den Schutz des Einzelnen und dem Umfang der zu Trainingszwecken verarbeiteten Daten sowie hinsichtlich eines strukturellen Durchsetzungsdefizits, insbesondere in Bezug auf Datenschutzgrundsätze und die Rechte der betroffenen Personen.

So wichtig die Struktur des Datenschutzrechts für den Schutz der Grundrechte auch ist, so sind doch neue Lösungen für die strukturellen Herausforderungen erforderlich, die sich durch generative KI und andere datenintensive Technologien ergeben. Diese können auch ausserhalb des Datenschutzrechts liegen. Um diesen Herausforderungen zu begegnen, ist es wichtig, die strukturelle Dimension der KI als soziotechnische Entwicklung anzuerkennen. Daher sind strukturelle Lösungen erforderlich, die über die Durchsetzung individueller Rechte hinausgehen. Leider bleiben diese Fragen unberücksichtigt, da das KI-Gesetz keine Lösungen für die strukturellen und spezifischen Herausforderungen für das Datenschutzrecht durch generative KI bietet. Trotz seines erklärten Ziels, Grundrechte einschliesslich des Datenschutzes zu schützen, folgt der Aufbau des KI-Gesetzes den Parametern des Produktsicherheitsrechts und verfolgt damit einen grundlegend anderen Ansatz als Rechtsrahmen zum Schutz von Grundrechten, wie sie in der DSGVO zu finden sind. Das KI-Gesetz legt zwar bestimmte Verpflichtungen für risikoreiche KI-Systeme fest, wie z. B. Daten-Governance, Transparenzanforderungen und Standards für die menschliche Aufsicht. Diese Bestimmungen befassen sich jedoch nicht mit dem Schutz der Privatsphäre und der Daten von Nutzern. Damit besteht ein grosser Bedarf an gesetzlicher Regulierung.

Zur einfacheren Lesbarkeit wurden die Literatur- und Quellverweise entfernt.

Übersetzung durch Boris Wanzeck, Swiss Infosec AG

Hanna Ruschemeier in: Cambridge Forum on AI: Law and Governance Volume 1 , 2025 , e6

DOI: https://doi.org/10.1017/cfl.2024.2

http://creativecommons.org/licenses/by/4.0

Kategorie: Datenschutz | Künstliche Intelligenz

Das Metaverse – kein strafrechtsfreier Raum

08/2025

Anwendbarkeit des schweizerischen Strafgesetzbuches bei Betrugsfällen im Metaverse

A Einleitung

Technologie ist zu einem integralen Bestandteil des alltäglichen Lebens geworden. Bei technologischen Weiterentwicklungen hat die Gesellschaft stets Anpassungsfähigkeit bewiesen. Disruptive Technologien wie das Metaverse haben daher das Potenzial, zahlreiche Lebensbereiche grundlegend zu verändern. Neue Technologien bieten neben Chancen auch neue Angriffsflächen für Kriminelle. Europol und Interpol warnen bereits vor Kriminalität im Metaverse und empfehlen den Strafverfolgungsbehörden, ihre virtuelle Präsenz auszubauen. Einige Personen nutzen die durch die Avatare vermeintlich vermittelte Anonymität im Metaverse bereits aus, wie von verschiedenen Strafverfolgungsbehörden bestätigt wurde. Auch in den Medien ist vermehrt von ‹Verbrechen› im Metaverse zu lesen. Im Januar 2024 leitete die Polizei im Vereinigten Königreich erstmals ein Verfahren wegen einer virtuellen Vergewaltigung des Avatars eines 16-jährigen Mädchens im Metaverse ein.

Laut der Prognose einer amerikanischen Großbank könnte das Metaverse bis zum Jahr 2030 einen Wert von bis zu 13 Billionen US-Dollar haben. Ende 2024 betrug das Handelsvolumen der Top-Metaverse-Coins ungefähr drei Milliarden Euro, die Marktkapitalisierung belief sich auf 22 Milliarden Euro und auf der Metaverse-Plattform Decentraland stand ein Stück virtuelles Land für umgerechnet USD 920’381.12 zum Verkauf. Die Konzentration solcher Vermögenswerte zieht zwangsläufig kriminelle Verhaltensweisen an. Diese Anziehungskraft wird dadurch verstärkt, dass Metaverse-Ökosysteme voraussichtlich von verschiedenen Kryptowährungen dominiert sein werden, die aufgrund ihrer Pseudoanonymität bei Kriminellen besonders beliebt sind. Es kann daher die Annahme getroffen werden, dass Wirtschaftsdelikte einen Großteil der Straftaten im Metaverse ausmachen werden.

Avatare, gesteuert von Menschen aus verschiedenen Teilen der Welt, können sich im grenzenlosen Metaverse vernetzen und in Echtzeit miteinander interagieren. Es ist daher zu erwarten, dass Straftaten im Metaverse nicht zwingend, aber häufig Landesgrenzen überschreiten und somit eine internationale Dimension aufweisen werden, was die Bestimmung der maßgeblichen räumlichen Anknüpfungspunkte herausfordert. Wie lassen sich die Regelungen des schweizerischen Strafanwendungsrechts aus dem vordigitalen Jahr 1937 auf Delikte im Metaverse anwenden? Im vorliegenden Beitrag soll untersucht werden, ob die aktuelle rechtliche Konzeption für die räumliche Erfassung von Betrugsfällen im Metaverse genügt.

Anhand des folgenden fiktiven, aber realitätsnahen Sachverhalts soll die Lösung illustriert werden.

NFT-Betrug im Metaverse: A gelingt es, von Russland aus den Decentraland Account des berühmten amerikanischen Künstlers zu hacken. In der Folge erstellt A NFTs nach dem ERC-721-Standard, die auf digitale Werke des Künstlers verweisen. Die Schweizerin B besucht während ihres Urlaubs von Spanien aus mit ihrem Avatar die virtuelle Kunstgalerie, wo sie von dem von A gehackten Avatar über die Echtheit des zum Verkauf stehenden NFTs getäuscht wird. Die Avatare vereinbaren, dass angeblich vom amerikanischen Künstler geprägte und damit wertvolle NFT gegen 1000 Einheiten der nativen Währung von Decentraland, MANA, zu tauschen. Das Geschäft soll über einen Smart Contract abgewickelt werden. B sendet von ihrer Wallet-Adresse 1000 MANA an die Adresse des Smart Contracts, der anschließend das von ihm gehaltene NFT an Bs und die 1000 MANA an As Wallet-Adresse überträgt. Zurück in ihrer Wohnung in der Schweiz liest B folgende Schlagzeile: «Der Avatar des amerikanischen Künstlers wurde gehackt». B wird klar, sie wurde Opfer eines sog. Impersonation Scams. B fragt sich, ob die Schweizer Strafbehörden überhaupt ermächtigt bzw. verpflichtet sind, Delikte im grenzenlosen Metaverse zu verfolgen.

B Terminologie

I Metaverse

Der Hype um das begehbare Internet wurde im Oktober 2021 durch die Umbenennung von Facebook in Meta ausgelöst. Seither ist das öffentliche Interesse und das Bewusstsein für das Metaverse weiter gewachsen. Zuletzt berichteten einige Medien im Zusammenhang mit der im Jahr 2024 neu auf dem Markt erschienenen Apple Vision Pro Brille vom zweiten Frühling oder gar vom Durchbruch ‹des› Metaverses. Für andere ist ‹das› Metaverse hingegen nur ein vorübergehender Hype. Die Techunternehmen selbst scheinen uneinig zu sein, ob und in welchem Ausmaß sich ‹das› Metaverse in Zukunft durchsetzen wird. Doch was genau verbirgt sich hinter diesem abstrakten Begriff?

Der Begriff Metaverse ist eine Kombination aus dem griechischen Wort ‹meta› (jenseits) und dem englischen Wort ‹universe›. Bis heute existiert ‹das› eine umfassende Metaverse (noch) nicht. Vielmehr handelt es sich um einen Oberbegriff für eine Vielzahl virtueller Welten, die sich in ihrer Form und Ausgestaltung unterscheiden. In der Literatur konnte sich daher noch keine einheitliche Definition durchsetzen. Der wissenschaftliche Dienst des Europäischen Parlaments beschreibt das Metaverse als eine dreidimensionale virtuelle Welt, in denen Menschen über Avatare interagieren, arbeiten, handeln und Transaktionen mit Krypto-Assets durchführen.

II Metacrimes

Bislang existiert keine allgemeingültige Definition des Begriffes ‹Metacrime›. Da Metacrimes regelmäßig Computer- und Internetsachverhalte berühren, ist es sinnvoll, sich einer Begriffsbestimmung durch eine Analyse bestehender Definitionen in diesem Bereich anzunähern. Innerhalb der Internetkriminalität hat sich der Begriff Cybercrime etabliert, der i.e.S. alle Straftaten erfasst, die sich gegen die Informations- und Kommunikationstechnik richten, sowie i.w.S. alle Straftaten, die mittels dieser Informationstechnik begangen werden.

Der Begriff Metacrime – wie er in dieser Arbeit verstanden wird – soll deutlich enger gefasst werden. Es sollen lediglich strafrechtlich relevante Handlungen erfasst werden, die durch Menschen mittels ihrer Avatare zumindest teilweise innerhalb einer Metaverse-Plattform durch gewöhnliche Nutzungsmethoden verwirklicht werden. Diese Fälle weisen Besonderheiten auf, die eine analytische Begutachtung aus strafanwendungsrechtlicher Sicht rechtfertigen. Handlungen im Zusammenhang mit der Programmierung, der Gestaltung, dem Aufbau und dem Betrieb des Metaverses sowie Handlungen außerhalb der Plattform mit Bezugspunkten zum Metaverse sollen dagegen nicht erfasst sein.

C Die Blockchain-Technologie

Blockchains bilden das Rückgrat des Metaverses und sind für dessen Entwicklung von großer Bedeutung. Sie bilden insbesondere die technische Grundlage für die nativen Bezahlmittel, Smart Contracts und damit auch NFTs. Weiter könnte die Blockchain-Technologie die Interoperabilität ermöglichen, sodass sich Nutzende mit ihren Avataren und virtuellen Gütern zwischen verschiedenen Metaverse-Plattformen hin- und herbewegen können.

Bei der Blockchain handelt es sich um eine Art digitales Kontobuch, das die gesamte Transaktionshistorie enthält. Sie ist dezentral auf den (privaten) Rechnern aller Netzwerkteilnehmenden (Nodes) gespeichert. Das sog. Public-/Private-Key-Konzept, das allen Teilnehmenden zwei Schlüssel zuteilt, einen privaten (Private Key) und einen öffentlichen (Public Key), ermöglicht es, den Teilnehmenden Tokens auf der Blockchain zuzuordnen. Das Schlüsselpaar wird in einer Wallet gespeichert.

Die meisten Teilnehmenden verfügen zwar über Tokens, betreiben jedoch selbst keinen Node. Um den Zugang zum Netzwerk dennoch sicherzustellen und insbesondere Transaktionen tätigen zu können, nehmen die Teilnehmenden i.d.R. die Dienstleistungen eines Wallet-Anbieters in Anspruch. Es gibt zwei Arten von Wallet-Anbietern: verwahrende und nicht- verwahrende (engl. Custodian und Non-Custodian). Erstere verwahren den Private Key für die Teilnehmenden, während zweitere es ermöglichen, den Private Key selbst abzuspeichern.

Um einen Token On-Chain zu transferieren, muss eine Transaktionsnachricht an das Netzwerk übermittelt werden, wo sie von verschiedenen Nodes empfangen und weitergeleitet wird. Die Full-Nodes, die eine vollständige, aktuelle Version der Blockchain lokal abgespeichert haben, überprüfen pendente Transaktionen und fassen die bestätigten Transaktionen regelmäßig zu Blöcken zusammen. Letztere werden vom Netzwerk validiert und anschließend an die lokale Kopie sämtlicher Full-Nodes angehängt. Die Tokens werden nicht tatsächlich übermittelt, sondern es ändern sich lediglich die Zuordnungsverhältnisse auf der Blockchain. Die Transaktion ist i.d.R. als endgültig zu betrachten, wenn sie sich sechs Blöcke tief in der Blockchain befindet. Die gesamte Transaktionshistorie ist bei öffentlichen Blockchains von allen jederzeit einsehbar.

D Schweizer Strafanwendungsrecht

Da es sich beim virtuellen Raum um keinen (straf-)rechtsfreien Raum handelt, stellt sich insbesondere die Frage nach der konkreten Anwendbarkeit des Schweizer Strafrechts bei Betrugsfällen im Metaverse.

I Einführung

Gemäß ihrer Marginalie regeln die Art. 3–8 i.V.m. Art. 333 Abs. 1 schwStGB den räumlichen Geltungsbereich des Schweizer (Neben-)Strafrechts (sog. Strafanwendungsrecht). Sie legen autonom fest, wann das schwStGB anwendbar ist und bestimmen somit über die Zuständigkeit der Schweizer Strafverfolgungsbehörden. Die Autonomie wird durch das Völkerrecht begrenzt, wobei Inhalt und Tragweite dieser Grenzen umstritten sein können. Aufgrund des Fehlens eines internationalen Normenkomplexes besteht die Möglichkeit, dass neben der Schweiz auch andere Jurisdiktionen für denselben Sachverhalt ihre eigene Strafzuständigkeit beanspruchen.

II Allgemeiner Überblick

Das Schweizer Strafanwendungsrecht folgt bestimmten Prinzipien, die international weit verbreitet und völkerrechtlich grundsätzlich anerkannt sind. Das Territorialitätsprinzip konstituiert die uneingeschränkte Anwendbarkeit des schwStGB auf inländische Straftaten (Art. 3). Bei Auslandstaten kommt das schwStGB nur in Ausnahmefällen zur Anwendung.

Letztere umfassen Verbrechen oder Vergehen gegen den Staat oder die Landesverteidigung (Art. 4 schwStGB; Staatsschutzprinzip), Straftaten gegen Minderjährige (Art. 5 schwStGB; unbeschränktes Weltrechtsprinzip), Fälle, in denen die Schweiz zur Strafverfolgung staatsvertraglich verpflichtet ist (Art. 6 schwStGB; stellvertretende Strafrechtspflege), sowie Situationen, in denen Schweizer Interessen i.S.v. Art. 7 Abs. 1 schwStGB betroffen sind, sei es, weil sich die Tat entweder gegen eine Person mit Schweizer Staatsangehörigkeit richtet (passives Personalitätsprinzip) oder von einer solchen begangen wird (aktives Personalitätsprinzip). Der Fokus der vorliegenden Analyse liegt im Folgenden auf dem Territorialitäts- und Personalitätsprinzip.

III Territorialitätsprinzip

Ausgangspunkt des Strafanwendungsrechts bildet das Territorialitätsprinzip. Sobald eine Tat (teilweise) in der Schweiz begangen wird, ist darauf ohne Weiteres das schwStGB anwendbar (Art. 3 Abs. 1 schwStGB). In Art. 8 schwStGB wird für die Schweiz definiert, dass die Tat dort als begangen gilt, wo die Person sie ausführt oder pflichtwidrig untätig bleibt und am Ort des Erfolgseintrittes. Nach der vorherrschenden Auffassung genügt es, wenn entweder der Handlungs- oder der Erfolgsort in der Schweiz liegt (Ubiquitätsprinzip). Das Primat des Handlungsortes in Art. 31 schwStPO und die weiteren Gerichtsstandsregeln in den folgenden Artikeln kommen erst zum Tragen, wenn das schwStGB auf eine Tat überhaupt anwendbar ist.

Das etablierte Territorialitätsprinzip scheint herausgefordert zu sein, da sich Nutzende aus verschiedenen Staaten im grenzenlosen Metaverse bewegen. Im Folgenden wird anhand des Fallbeispiels untersucht, ob sich die für die Anwendbarkeit des Schweizer Strafrechts relevanten Handlungs- und Erfolgsorte bei Betrugsfällen im Metaverse bestimmen lassen.

1. Anknüpfung an den inländischen Handlungsort

Als Handlungsort gilt der Ort, wo der Täter die Tat ausführt bzw. versucht auszuführen, und der Ort des pflichtwidrigen Untätigbleibens (Art. 3 Abs. 1 i.V.m. Art. 8 Abs. 1 oder 2 schwStGB). Bei Begehungsdelikten wird auf den physischen Aufenthaltsort des Täters zum Zeitpunkt der (versuchten) Vornahme einer tatbestandlichen Handlung abgestellt, während bei Unterlassungsdelikten der Ort maßgeblich ist, wo der Täter hätte handeln sollen. Bei Metacrimes lassen sich für die Bestimmung des Handlungsortes meines Erachtens mehrere Ansätze vertreten.

a) Aufenthaltsort des Avatars

Zunächst wäre es meines Erachtens vertretbar, für die Ermittlung des Ausführungsortes an den (virtuellen) Aufenthaltsort des täuschenden Avatars anzuknüpfen. Da sich die einzelnen virtuellen Räume keinem bestimmten Hoheitsgebiet zuordnen lassen, müssen hier Fragen bezüglich der Verortung des virtuellen Raumes aufgeworfen werden, die je nach Aufbau der Metaverse-Plattform unterschiedlich zu beantworten sind.

Um die Location des Avatars zu bestimmen, könnte bei blockchainbasierten Metaverse-Plattformen, die den Avatar als NFT auf der Blockchain registrieren, an die physische Lage der einzelnen Full-Nodes angeknüpft werden. Aufgrund ihrer weltweiten Verteilung läge der Aufenthaltsort des Avatars überall und doch nirgendwo. Gegen eine solche Anknüpfung spricht aber primär, dass nur der Username auf der Blockchain hinterlegt ist: 3D-Modelle, Texte etc. werden dagegen aus Kosten- und Praktikabilitätsgründen außerhalb der Blockchain gespeichert. Für die Verortung des virtuellen Aufenthaltsortes des Avatars käme daher der Standort des zentralen Servers in Frage, auf dem die fraglichen Inhalte gespeichert werden. Aufgrund der hohen Rechenleistung genügt ein einzelner Server bei Metaverse-Plattformen nicht. Vielmehr besteht der Server aus einer Vielzahl von Rechnern (sog. Cluster). Ein einzelner Rechner ist z.B. für bestimmte Abschnitte der virtuellen Welt zuständig, während ein anderer für die Verwaltung der virtuellen Güter verantwortlich ist. Die Details der Serverstrukturen und insbesondere die jeweiligen Standorte sind den Nutzenden i.d.R. nicht bekannt, weshalb die Anknüpfung daran meines Erachtens willkürlich erscheint. Beruht die Metaverse-Plattform dagegen auf einer P2P-Architektur, werden die Inhalte lokal von den verschiedenen Nutzenden (sog. Peers) gespeichert, was wiederum eine eindeutige Lokalisierung erschwert bzw. verunmöglicht. Insgesamt führt meines Erachtens jeder Versuch, den virtuellen Raum anhand von physischen Komponenten zu lokalisieren (z.B. Nodes, Server oder Peers), zu realitätsfernen bzw. willkürlichen Ergebnissen.

Gegen die Anknüpfung an den Aufenthaltsort des täuschenden Avatars spricht aber hauptsächlich, dass er lediglich die Marionette oder, um im Strafrechtsjargon zu bleiben, das willenlose Werkzeug des dahinterstehenden Menschen ist, das, technische Fehler vorbehalten, ausführt, was ihm befohlen wird. Der Avatar selbst ist ein Konstrukt aus Daten und Protokollen, aus denen grafische Darstellungen erzeugt werden (sog. Rendering). Ihm kommt keine Rechtspersönlichkeit zu. Die im Metaverse dargestellten (Nicht-)Aktionen eines Avatars bilden damit lediglich den menschlichen Steuerungsbefehl ab und weisen selbst nicht die Qualität einer Handlung im strafrechtlichen Sinne auf, worunter jedes willensgetragene menschliche Verhalten verstanden wird. Damit scheidet der Aufenthaltsort des Avatars als Anknüpfungskriterium für den Handlungsort aus. Vielmehr ist der Steuerungsbefehl des hinter dem Avatar stehenden Menschen Ausgangs- bzw. Anknüpfungspunkt.

b) Aufenthaltsort der steuernden Person

Die Handlungen des Avatars im Metaverse sind zwar strafrechtlich nicht relevant, der Steuerungsbefehl des Menschen hingegen schon. Im Zusammenhang mit den Cybercrimes wurde in der Lehre und Rechtsprechung festgehalten, dass der Ausführungsort dort liegt, wo sich der Täter bei der Eingabe des entsprechenden Übermittlungs- bzw. Abspeicherungsbefehls physisch aufhält. Für die Metacrimes kann meines Erachtens nichts anderes gelten. Die Vorgänge unterscheiden sich einzig im Punkt des ausführenden ‹Kommunikationswerkzeugs›. Beim Cyberbetrug bedient sich der Täter z.B. einer täuschenden Webseite, im Metaverse eines täuschenden Avatars. Somit muss der Ausführungsort meiner Meinung nach auch bei Metacrimes dort liegen, wo sich die Person, die den fraglichen Avatar durch Gestik, Mimik, verbale Sprache oder Berühren eines Touchdisplays steuert, im Moment der Erteilung der entsprechenden Befehle physisch aufhält.

A steuert den gehackten Avatar, der die Täuschungshandlungen im Metaverse verwirklicht, von Russland aus. Somit liegt der Handlungsort des fiktiven Meta-Betruges in Russland. Bei den strafbaren Vorbereitungshandlungen, dem Hacken des User-Accounts (Cybercrime i.e.S.) und der Abspeicherung des digitalen Werkes des amerikanischen Künstlers, das dem NFT zugrunde liegt (Urheberrechtsverletzung), handelt es sich hingegen nicht um Metacrimes, wie sie in dieser Arbeit definiert wurden. Bei diesen ‹klassischen› Delikten läge der Ausführungsort nach den allgemeinen Grundsätzen ebenfalls in Russland.

c) Ort der Auswirkung

In der deutschen Literatur wird konstatiert, dass auch der Ort, wo sich die konkrete Wirkung im Metaverse entfalte, für die Bestimmung des Handlungsortes in Betracht komme. Nach diesem Ansatz würden im Fallbeispiel zusätzlich die Aufenthaltsorte aller Nutzenden, die die Täuschungshandlungen des gehackten Avatars aufgrund ihrer virtuellen Anwesenheit wahrgenommen haben, einen Handlungsort begründen. Dies ist meiner Ansicht nach aus mehreren Gründen abzulehnen. Es ist in Erinnerung zu rufen, dass das Strafrecht an die unmittelbare tatbestandliche Handlung anknüpft. Der Radius der Wahrnehmbarkeit einer Handlung ist nicht Teil ihrer selbst. In diesem Sinne hat das Bundesgericht in einem älteren Entscheid bereits entschieden, dass bei einer im Fernsehen übertragenen strafbaren Äußerung nicht das gesamte Sendegebiet als Ausführungsort gelte, sondern nur derjenige Ort, wo die Person vor die Kamera getreten sei. Zuletzt spricht die Gefahr, dass dadurch die Grenzen zum Erfolgsort verwischt werden, gegen diesen Ansatz.

d) Standorte der Server bzw. der Peers

Es wäre meines Erachtens auch vertretbar, auf den Ort abzustellen, wo die entsprechenden Befehle verarbeitet bzw. ausgeführt werden. Hierfür werden im Folgenden die Prozesse hinter den Avatar-Interaktionen stark vereinfacht erläutert.

Bei einer Metaverse-Plattform mit einer Client-Server-Struktur wird der Befehl von der Client-Software an den zentralen Server gesendet, der ihn wiederum an den spezifischen Rechner schickt, wo er registriert, interpretiert, und anschließend an die entsprechenden Nutzenden zurückgesendet wird. Verwendet die Plattform dagegen ein P2P-Netzwerk für die Interaktionen, werden die Daten direkt zwischen den Peers ausgetauscht. Die Speicherung und die Verarbeitung erfolgen dezentral auf den individuellen Geräten der Peers. Folglich könnten die Standorte der involvierten Server bzw. Peers einen Handlungsort begründen.

Im Zusammenhang mit den Cybercrimes hat die Lehre und Rechtsprechung den Standort des penetrierten Servers als Ausführungsort abgelehnt, mit der Begründung, dass dem Täter beim Transport und der Speicherung der Daten keine Kontrolle zukomme. Gleiches muss meiner Meinung nach für Metacrimes gelten. Durch die oben beschriebenen Strukturen werden die Befehle automatisch und innert Sekundenbruchteilen gespeichert und verarbeitet. Der Täter kann im Metaverse nicht in den Prozess der Befehlsübermittlung und -speicherung eingreifen. Der Transit durch die allfälligen Länder, wo sich die Server oder die Peers befinden, gehört nach der hier vertretenen Auffassung nicht zur Ausführungshandlung i.S.v. Art. 8 schwStGB.

2. Anknüpfung an den inländischen Erfolgsort

Neben dem Handlungsort gilt auch der Ort, wo der Erfolg eingetreten ist bzw. hätte eintreten sollen, als Begehungsort (Art. 3 Abs. 1 i.V.m. Art. 8 Abs. 1 bzw. Abs. 2 schwStGB). Da es sich beim Betrug um ein Erfolgsdelikt handelt, hat die langjährige Kontroverse um den Erfolgsbegriff in Art. 8 schwStGB keine Auswirkung auf die hier untersuchte territoriale Anknüpfung.

Als Erfolgsorte kommen beim Betrug gemäß bundesgerichtlicher Rechtsprechung der Ort der Entreicherung sowie der Ort der (beabsichtigten) Bereicherung in Frage (sog. kupiertes Erfolgsdelikt). Fallen Irrtum, Vermögensdisposition und -schaden räumlich auseinander, vertritt ein Teil der Lehre die Ansicht, dass diesfalls an allen drei Orten angeknüpft werden könne. Das Bundesgericht hat sich bis anhin nicht vertieft damit auseinandergesetzt, im Allgemeinen pflegt es aber eine großzügige Praxis und bejaht die Schweizer Zuständigkeit zur Vermeidung negativer Kompetenzkonflikte auch in Fällen ohne engen Bezug zur Schweiz. Die genauen Erfolgsorte sind bei Betrugsfällen mit Tokens nicht immer eindeutig, wie folgende Ausführungen zeigen.

a) Ort des Irrtums (1. Erfolgsort)

Der Ort des Irrtums liegt dort, wo sich die getäuschte Person im Moment der Irrtumserregung physisch aufhält. In Bezug auf das Metaverse ergeben sich in diesem Punkt keine Besonderheiten. A ruft mittels des gehackten Avatars bei B, nicht ihrem Avatar, einen Irrtum hervor. Im Fallbeispiel liegt der Ort der Irrtumserregung folglich in Spanien.

b) Ort der Vermögensdisposition (2. Erfolgsort)

Maßgebend ist der physische Aufenthaltsort der verfügenden Person zum Zeitpunkt der Vermögensdisposition. Nicht der Avatar, sondern die dahinterstehende Person disponiert über ihr Vermögen. Als Vermögensdisposition gilt jede Handlung oder Unterlassung, die unmittelbar dazu geeignet ist, das Vermögen zu vermindern.

Beim Eingehungsbetrug ist der Vertrag wegen der absichtlichen Täuschung gemäß bundesgerichtlicher Rechtsprechung ex tunc ungültig, weshalb das Vermögen im Moment des Vertragsschlusses im Metaverse (noch) nicht als unmittelbar vermindert gilt. Doch wann ist dies bei einer Token-Transaktion der Fall?

Die Tatsache, dass die transferierten Tokens nicht im Moment der Übermittlung der Transaktionsnachricht an das Netzwerk unmittelbar ‹abgezogen› bzw. einer anderen Adresse zugeordnet werden, sondern effektiv erst nach der Validierung durch die Full-Nodes, kann meines Erachtens nicht zum Entfallen der Unmittelbarkeit führen. Eine Nichtvalidierung oder ein rechtzeitiger Abbruch der Transaktion sowie ein allfälliger Rücktransfer der Tokens durch den Smart Contract bei Nichteintritt der Bedingungen hätte lediglich die Folge, dass der Vermögensschaden ausbliebe.

Bei einer nicht-verwahrenden Wallet signiert und übermittelt die irrende Person die Transaktionsnachricht an das Netzwerk eigenständig. Bei einer verwahrenden Wallet übernimmt dies der Anbieter im Auftrag der irrenden Person. Bei letzterer Konstellation könnte, wie im Zusammenhang mit Buchgeld, umstritten sein, ob bereits die Erfassung des Transaktionsauftrags oder erst dessen Vollzug durch die Mittelsperson (verwahrender Wallet-Anbieter) als Verfügung gilt. Da die Eignung zur Vermögensverminderung genügt, gilt meines Erachtens bereits die Transaktionsanweisung der irrenden Person als Verfügungshandlung.

Maßgebend ist damit der Aufenthaltsort der irrenden Person im Moment der Übermittlung der Transaktionsnachricht bzw. der Erfassung des Transaktionsauftrages.

c) Ort der Entreicherung (3. Erfolgsort)

Bislang bestehen territoriale Anknüpfungspunkte in Russland (Ausführungsort) und in Spanien (1. und 2. Erfolgsort). Zu prüfen bleibt, ob der Ort der Entreicherung die Schweizer Strafverfolgungsbehörden zur Verfol‐ gung des MetaBetruges ermächtigt bzw. verpflichtet.

aa) Vermögensbegriff

Zuerst soll kurz eruiert werden, ob Tokens überhaupt vom strafrechtlichen Vermögensbegriff erfasst sind. Gemäß herrschender Lehre und Praxis ist von einem wirtschaftlich-juristischen Vermögensbegriff auszugehen, wonach alle rechtlich geschützten wirtschaftlichen Güter, die gegen Geld getauscht werden können, erfasst sind.

Metaverse-Tokens werden i.d.R. an verschiedenen Krypto-Börsen oder über Broker gehandelt und können entweder direkt oder indirekt über eine andere Kryptowährung in Fiat-Geld umgetauscht werden. Solche Metaverse-Tokens haben damit sowohl innerhalb als auch außerhalb des Metaverses einen Wert, womit sie meines Erachtens klar vom strafrechtlichen Vermögensbegriff erfasst sind. Dasselbe muss für Metaverse-NFTs gelten, die auf externen und internen Marktplätzen gehandelt werden.

bb) Eintritt des Vermögensschadens

Bei On-Chain Token-Transaktionen liegt der Vermögensschaden in der endgültigen Veränderung Zuordnungsverhältnisse auf der Blockchain: Nach erfolgreicher Abwicklung über den Smart Contract wird der NFT Bs Wallet-Adresse zugeordnet. Im Gegenzug reduziert sich das ihrer Wallet-Adresse zugeordnete MANA-Guthaben um 1000. Der Schaden ergibt sich aus der Wertdifferenz der erbrachten Leistung (1000 MANA) und der erhaltenen Gegenleistung (wertloser NFT) und kann mithilfe des MANA-Kurses ohne Weiteres beziffert werden.

cc) Ort des Vermögensschadens

Für das Strafanwendungsrecht ist es von Bedeutung, wo der Vermögensschaden eingetreten ist, wobei auch bei strittiger dinglicher Lokalisierbarkeit soweit möglich auf die konkrete Lage der geschädigten Person bzw. ihrer Vermögenswerte und nicht generell auf ihren Wohn- oder Steuersitzabzustellen ist. Demnach stellt sich die Frage, wo die konkreten Vermögenswerte zu verorten sind bzw. was als Anknüpfungspunkt hierfür dienen kann. Es sind meines Erachtens mehrere Ansätze vertretbar.

(1) Belegenheitsort der transferierten Tokens

Der Speicher- oder Aufbewahrungsstandort der Wallet kommt als Anknüpfungspunkt für den Belegenheitsort der Tokens nicht in Betracht, da die transferierten Tokens nicht in die Wallet übertragen werden, sondern stets auf der Blockchain verbleiben. Folglich kommt die Blockchain als Belegenheitsort der transferierten Tokens in Frage. Hier ergibt sich aber folgendes Problem: Die gesamte Blockchain ist nicht auf einem zentralen Server, sondern dezentral auf einer Vielzahl von Full-Nodes gespeichert. Diese Dezentralität hätte zur Folge, dass in jedem Land, in dem ein solcher Full-Node betrieben wird, mitunter auch in der Schweiz, ein (dezentraler) Erfolgsort läge.

Dieser Betrachtungsweise ist entgegenzuhalten, dass die Tokens auf der Blockchain auch dann weiter existieren, wenn ein einzelner Full-Node die Blockchain löscht. Allein aus diesem Grund kann der Ort des Betriebes eines einzelnen Full-Nodes aus tatsächlicher Sicht keinen physischen Belegenheitsort der Tokens begründen. Aus normativer und praktischer Sicht spricht Folgendes dagegen: Die Anerkennung des Erfolgsortes als Begehungsort beruht auf dem Gedanken, dass das schwStGB Anwendung findet, wenn es zu Schädigungen oder Gefährdungen geschützter Rechtsgüter im Inland kommt. Der alleinige Betrieb von Nodes genügt hierfür offensichtlich nicht. Zuletzt würde es die Schweizer Strafverfolgungsbehörden überfordern, da das schwStGB bei sämtlichen On-Chain Token-Transaktionen Anwendung finden würde.

Abschließend kann festgehalten werden, dass der physische Belegenheitsort der transferierten Tokens nach der hier vertretenen Auffassung nicht ermittelt werden kann. Der Vermögensschaden tritt stets nur virtuell in der Blockchain ein. In diesem Sinne hat auch das Bundesstrafgericht in einem Urteil erwogen, dass es sich bei Kryptowährungen um dematerialisierte Vermögenswerte ohne eindeutige örtliche Zuordnung handle.

(2) Belegenheitsort des betroffenen Wallet-Kontos

Bei Buchgeldtransaktionen hat das Bundesgericht bereits auf den Ort abgestellt, an dem sich das Bankkonto befindet, auf welchem sich das Vermögen vermindert. Wird diese Rechtsprechung auf Token-Transaktionen angewendet, wäre das schwStGB immer dann anwendbar, wenn das Wallet-Konto, auf welchem sich der Token-Bestand vermindert, einem Wallet-Anbieter mit Sitz in der Schweiz zugeordnet werden könnte.

Eine Übertragung dieser Rechtsprechung ist nach der hier vertretenen Auffassung jedenfalls für nicht-verwahrende Wallet-Anbieter abzulehnen. Letztere stellen lediglich die Software zur Verfügung und sind selbst nicht an der Übertragung der Tokens beteiligt. Im Übrigen sind sie regelmäßig als dezentral organisierte Open Source-Projekte konzipiert, die keinen eindeutigen Sitz haben, woran angeknüpft werden könnte.

Ähnlich wie eine Bank haben die verwahrenden Wallet-Anbieter die Verfügungsmacht über die Tokens inne und lösen im Auftrag und im Namen ihrer Kundschaft Transaktionen aus. Es ist allerdings erneut darauf hinzuweisen, dass auch die verwahrenden Wallet-Anbieter die Tokens nicht direkt bei sich aufbewahren, sondern nur die Private Keys. Sie signieren und übermitteln lediglich die Transaktionsnachricht an die Full-Nodes, die anschließend die Transaktion vollziehen. Aus diesen Gründen scheitert meines Erachtens auch bei nicht-verwahrenden Wallet-Anbietern die Übertragung der obigen Rechtsprechung.

Weiter führt die Tatsache, dass ein Wallet-Konto heute von überall aus eröffnet und verwaltet werden kann, dazu, dass die Anknüpfung an dessen Belegenheitsort meines Erachtens ohnehin eher zufällig als präzisierend erscheint. Im Übrigen ist die Inanspruchnahme eines Wallet-Anbieters nicht zwingend. Zusammenfassend ist der Belegenheitsort des Wallet-Kontos für die Lokalisierung der Vermögensverminderung nach der hier vertretenen Auffassung abzulehnen.

(3) Das Vermögen

Die obigen Ausführungen haben gezeigt, dass sich die Vermögensverminderung im Zusammenhang mit On-Chain Token-Transaktionen nicht (zweckmäßig) lokalisieren lässt. Daher erachte ich es für sachgerecht, das Vermögen als Ganzes als geschädigt zu betrachten und entsprechend auf den Lebensschwerpunkt (natürliche Person) bzw. Sitz (juristische Person) der geschädigten Person abzustellen.

d) Ort der Bereicherung

Nach erfolgreicher Übermittlung durch den Smart Contract werden As Wallet-Adresse 1000 MANA mehr zugeordnet. Bezüglich der Lokalisierung der Vermögensvermehrung kann auf die zuvor dargelegten Ausführungen zum Ort des Vermögensschadens verwiesen werden. Es ergeben sich dieselben Problematiken. Da es nach der hier vertretenen Auffassung nicht möglich ist, die Vermögensvermehrung zu lokalisieren bzw. diese rein virtuell eintritt, gilt das Vermögen als Ganzes als bereichert, weshalb auf den Lebensschwerpunkt bzw. Sitz der bereicherten Person abzustellen ist.

3 Ergebnis

Beim Handlungsort ist meines Erachtens die ausschließliche Anknüpfung an den Ort, wo sich die den Avatar steuernde Person physisch aufhält, am überzeugendsten. Hier wird unmittelbar an das menschliche Verhalten angeknüpft, wie dies der Gesetzeswortlaut verlangt.

Bei den Erfolgsorten der Irrtumserregung und der Vermögensdisposition treten de lege lata keine wesentlichen Schwierigkeiten im Zusammenhang mit Token-Transaktionen auf. Mangels Lokalisierbarkeit der Vermögensverminderung bzw. -vermehrung ist nach der hier vertretenen Auffassung das Vermögen bei einer On-Chain Token-Transaktion insgesamt als geschädigt bzw. bereichert anzusehen, weshalb subsidiär auf den Lebensschwerpunkt oder Sitz der geschädigten bzw. bereicherten Person abzustellen ist.

Anhand des Fallbeispiels konnte illustriert werden, dass grundsätzlich auch die Handlungs- und Erfolgsorte bei Betrugsfällen im Metaverse bestimmt werden können und dies zu vertretbaren Ergebnissen führt. Obwohl in casu lediglich der Ort des Vermögensschadens in der Schweiz liegt, muss dies meiner Ansicht nach genügen, um die Schweizer Strafzuständigkeit zu begründen, da das Bundesgericht in internationalen Verhältnissen tendenziell eine großzügige Praxis pflegt. Damit sind die Schweizer Strafverfolgungsbehörden ermächtigt bzw. verpflichtet den vorliegenden Betrugsfall im grenzenlosen, aber nicht strafrechtsfreien Metaverse zu verfolgen.

IV Personalitätsprinzip

In Art. 7 schwStGB wird eine gegenüber Art. 4–6 schwStGB subsidiäre und abschließende schweizerische Zuständigkeit für extraterritoriale Handlungen begründet. Im Zentrum steht der Schutz von Personen mit Schweizer Staatszugehörigkeit im Ausland (passives Personalitätsprinzip) bzw. die Anwendung des schwStGB auf Personen mit Schweizer Staatszugehörigkeit für ihre Taten im Ausland (aktives Personalitätsprinzip). Dies ergibt sich implizit aus Art. 7 Abs. 2 schwStGB. Dieses Prinzip lässt sich grundsätzlich auch auf das Metaverse übertragen, sofern der Avatar einer bestimmten (natürlichen oder juristischen) Person zugeordnet werden kann. Maßgeblich ist die Staatsangehörigkeit der Person, die den Avatar steuert.

In der Praxis wird sich der Begehungsort eines Metacrimes oft nur schwer bestimmen lassen. Dies liegt einerseits daran, dass der Täter regelmäßig vom Ausland aus agieren wird und andererseits häufig Tokens involviert sein werden, was zusätzlich zur Verschleierung des Begehungsortes beiträgt. Bei Fehlen eines (ermittelbaren) Schweizer Handlungs- und Erfolgsortes könnte daher das Personalitätsprinzip als ‹Auffangprinzip› dienen. Im Zentrum soll nachfolgend das passive Personalitätsprinzip stehen.

  1. 1. Passives Personalitätsprinzip

Gemäß dem passiven Personalitätsprinzip findet das schwStGB Anwendung, wenn ein Täter im Ausland ein Delikt gegen eine (natürliche oder juristische) Person mit Schweizer Staatszugehörigkeit begeht, die Tat auch am ausländischen Begehungsort strafbar ist oder sie dort keiner Strafgewalt unterliegt und sich der Täter in der Schweiz aufhält oder ihr wegen dieser Tat ausgeliefert wird. Weiter darf er nicht ins Ausland ausgeliefert werden, obwohl eine Auslieferung nach Schweizer Recht zulässig wäre. Unter diesen Voraussetzungen findet das schwStGB auch auf alle hinter den Avataren stehenden Personen Anwendung, selbst wenn kein Begehungsort in der Schweiz liegt oder ein solcher nicht ermittelbar ist.

Wäre der von A begangene MetaBetrug gegen die Schweizerin B auch nach russischem Recht strafbar und würde er der Schweiz gestützt auf Art. 35 Abs. 1 lit. a schwIRSG i.V.m. Art. 146 schwStGB ausgeliefert werden, sind die Schweizer Strafbehörden unabhängig davon, ob der Handlungs- oder Erfolgsort in der Schweiz liegt, zur Verfolgung des Metacrimes ermächtigt bzw. verpflichtet.

In der Praxis könnte insbesondere die Voraussetzung der doppelten Strafbarkeit Probleme bereiten. Um dies zu illustrieren, werden im Folgenden einige nicht abschließende Überlegungen im Zusammenhang mit dem Betrugstatbestand angestellt.

Die Problematik liegt meines Erachtens zunächst beim Tatbestandsmerkmal des Vermögensschadens. Hier stellt sich insbesondere die Frage, ob virtuelle Gegenstände, NFTs und Metaverse-Währungen vom strafrechtlichen Vermögensbegriff der jeweiligen Rechtsordnung erfasst sind. Im Zusammenhang mit der schweizerischen Besonderheit der Arglist stellt sich sodann die Frage, ob dieselben Maßstäbe wie in der realen Welt gelten. Bedient sich der Täter besonderer Machenschaften allein dadurch, dass er die Täuschungshandlungen mittels eines Avatars im Metaverse ausführt? Dies muss meiner Einschätzung nach verneint werden. Die Registrierung bei einer Metaverse-Plattform und die Erstellung eines Avatars sind mit wenigen Klicks und für ein überschaubares Entgelt möglich und stellen für sich allein keine besonderen Vorkehrungen dar. Für die Begründung der Arglist müssen zusätzliche Umstände hinzutreten (z.B. das Hacking eines User-Accounts). Auch kann im Zusammenhang mit der Opfermitverantwortung erwartet werden, dass einem fremden Avatar respektive der dahinterstehenden Person nicht gleich (schnell) vertraut werden kann wie einer physisch vor sich stehen‐ den Person.

Die Frage nach der Strafbarkeit im Zusammenhang mit Metacrimes ist neu und bislang in den meisten Jurisdiktionen noch ungeklärt. Daher scheint die Funktion des passiven Personalitätsprinzips als Auffangprinzip derzeit noch eingeschränkt zu sein. Meines Erachtens wäre es zu begrüßen, nach dem Vorbild des Übereinkommens über Cyberkriminalität (CCC) Regelungen zur Angleichung materiell-strafrechtlicher Strafbarkeitsvoraussetzungen auf internationaler Ebene zu erlassen, um die internationale Zusammenarbeit diesbezüglich zu erleichtern. Dies ist notwendig, weil bei Metacrimes nicht zwangsläufig, aber regelmäßig mehrere Staaten involviert sein werden.

  1. 2. Aktives Personalitätsprinzip

Die ratio legis des aktiven Personalitätsprinzips ist nicht die Begründung einer Personalhoheit, sondern der Umstand, dass Schweizer Staatsangehörige ohne ihre Einwilligung nicht ausgeliefert werden können. Im Übrigen gelten die gleichen Voraussetzungen wie beim passiven Personalitätsprinzip (Doppelte Strafbarkeit, Anwesenheit im Inland, Auslieferungsdelikt und fehlende Auslieferung). Bezüglich der Problematik im Zusammenhang mit der doppelten Strafbarkeit gilt das oben Gesagte im gleichen Masse.

E. Schlussfolgerungen und Ausblick

I. Schlussfolgerungen

Da es sich beim Metaverse nicht um einen strafrechtsfreien Raum handelt, müssen die schweizerischen Strafverfolgungsbehörden im Einzelfall prüfen, ob sie zur Verfolgung des konkreten Metacrimes ermächtigt bzw. verpflichtet sind.

Der Handlungsort im Metaverse lässt sich insbesondere anhand der in der Rechtsprechung und Literatur aufgestellten Grundsätze zu den Cybercrimes bestimmen. Die Berücksichtigung des Aufenthaltsortes des Avatars, des Auswirkungsortes im Metaverse sowie der Standorte der Server bzw. der Peers ist abzulehnen, da hier nicht an die unmittelbare menschliche Handlung angeknüpft wird. Nach der hier vertretenen Auffassung ist auch bei Metacrimes ausschließlich der physische Aufenthaltsort des Täters maßgebend.

Im Zusammenhang mit Token-Transaktion treten bei der Ermittlung des Ortes der Irrtumserregung und der Vermögensdisposition keine größeren Probleme auf. Nicht der Avatar, sondern die dahinterstehende Person irrt sich bzw. verfügt über ihr Vermögen. Allerdings treten bei der Verortung der Vermögensverminderung bzw. -vermehrung aufgrund der Dezentralität der Blockchain-Technologie einige Schwierigkeiten auf. Wird der in dieser Arbeit vertretenen Auffassung gefolgt und ein (dezentraler) Erfolgsort an allen Standorten der Full-Nodes verneint und stattdessen an den Lebensmittelpunkt bzw. Sitz der entreicherten bzw. bereicherten Person angeknüpft, erfordert es de lege lata keine Modifikation des Erfolgsortes im Sinne einer Einschränkung desselben bei Vorliegen solch dezentraler Strukturen.

Beim passiven und aktiven Personalitätsprinzip bestehen keine Besonderheiten im Zusammenhang mit Metacrimes. Maßgeblich ist die Staatsangehörigkeit des hinter dem Avatar stehenden Menschen. Jedoch bestehen (inter-)national auf materiellrechtlicher Ebene in Bezug auf Metacrimes noch viele ungeklärte Fragen, was die Funktion als Auffangprinzip derzeit noch einschränken dürfte.

Zusammenfassend wurde im vorliegenden Beitrag anhand des fiktiven Fallbeispiels aufgezeigt, dass die im vordigitalen Zeitalter verankerten Bestimmungen des schweizerischen Strafanwendungsrechts in Art. 3 ff. schwStGB grundsätzlich auch Betrugsfälle im Metaverse räumlich zu erfassen vermögen. Die (theoretische) Bestimmung des Handlungs- und Erfolgsortes erweist sich damit im Metaverse unproblematisch bzw. nicht problematischer als bisher. Sie verstärkt allerdings ein bereits bestehendes Problem, nämlich die Überlastung der Strafverfolgungsbehörden.

II. Ausblick

Diese Arbeit beschränkte sich auf Fragen im Zusammenhang mit dem Schweizer Strafanwendungsrecht. Spannend bleibt die effektive Verfolgung von Metacrimes und damit die Durchsetzung des Schweizer Strafrechts. In diesem Zusammenhang ist fraglich, ob die Schweizer Strafverfolgungsbehörden mit den gegenwärtigen Rechtsgrundlagen, technischen Ressourcen und Fachkenntnissen für die Ermittlung und die Verfolgung im Metaverse gerüstet sind. Auch hinsichtlich des materiellen Strafrechts stellen sich viele interessante Fragen. Offensichtlich können Handlungen eines Avatars nicht ohne Weiteres mit den entsprechenden Handlungen in der analogen Welt gleichgesetzt werden. So führt ein Faustschlag eines Avatars gegen einen anderen Avatar zu keiner körperlichen Beeinträchtigung des dahinterstehenden Menschen. Das Metaverse wird sodann neue ‹Delikte› zum Vorschein bringen (z.B. die Tötung eines Avatars oder der virtuelle Hausfriedensbruch). In diesem Zusammenhang muss (inter-)national über die Notwendigkeit der Anerkennung neuer Rechtsgüter und Strafnormen nachgedacht werden. Dabei ist zu beachten, dass Nutzende mit ihrer Registrierung bei der konkreten Metaverse-Plattform in bestimmte Handlungen ‹einwilligen›. In einer virtuellen Welt, in der es gerade das Ziel ist, gegenseitig Avatare zu ‹töten›, muss die Frage nach der Strafbarkeit unterschiedlich beantwortet werden als in einer sozialen Welt wie z.B. Decentraland.

Auch im Zusammenhang mit dem Konzept des Avatars gibt es auf (inter-)nationaler Ebene noch viele Fragen zu klären. In der Literatur finden sich bereits mehrere Ansätze für die rechtliche Einordnung des Avatars. Diese reichen von der Qualifikation als bloßes Werkzeug oder Stellvertreter der steuernden Person bis hin zur Anerkennung einer eigenständigen Rechtspersönlichkeit. Insbesondere im Zusammenhang mit der Möglichkeit KI im Metaverse einzusetzen, müssen grundlegende Entscheidungen getroffen werden. Können KI-Avatare, die aus Erfahrungen lernen und autonom entscheiden, im strafrechtlichen Sinne handeln?

Das Metaverse ist keinesfalls bloß ein Hype oder eine Fantasie aus einem Science-Fiction Roman. Eine frühzeitige Auseinandersetzung mit den tatsächlichen und rechtlichen Herausforderungen einer solch mächtigen Technologie ist notwendig, um dem ihr inhärenten Bedrohungspotenzial adäquat zu begegnen. Es muss untersucht werden, an welchen Stellen Anpassungen des nationalen Straf- und Strafprozessrechts vorgenommen werden müssen. Angesichts der Tatsache, dass Metacrimes nicht zwingend, aber regelmäßig über die Landesgrenzen hinweg begangen werden, muss über die Notwendigkeit internationaler Übereinkommen zur Harmonisierung der Gesetzeslage nachgedacht werden, um eine effektive Strafverfolgung im Metaverse zu ermöglichen. Gleichzeitig müssen die (straf-)rechtlichen Rahmenbedingungen so ausgestaltet werden, dass die wirtschaftlichen und gesellschaftlichen Chancen, die das Metaverse zweifellos bietet, nicht untergraben werden.

Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.

Nadine Jost in: Chancen und Grenzen im Digitalwirtschaftsrecht; Lukas Staffler, Franz Pegger, Katharina Körber-Risak, Fabian Bösch; Nomos Verlagsgesellschaft, Baden-Baden; 2025

DOI https://www.nomos-elibrary.de/de/10.5771/9783748952282-153/das-metaverse-kein-strafrechtsfreier-raum-anwendbarkeit-des-schweizerischen-strafgesetzbuches-bei-betrugsfaellen-im-metaverse?page=1

https://creativecommons.org/licenses/by-sa/4.0

Kategorie: Datenschutz
© Swiss Infosec AG 2025