Visionen erleichtern es, Informationen besser und effizienter zu verstehen
Virtual Reality (VR)-Lösungen integrieren Nutzerinnen und Nutzer in eine computergenerierte virtuelle Umgebung. Demgegenüber ergänzen Augmented Reality (AR) und Mixed Reality (MR)-Anwendungen die reale Umgebung durch zusätzliche Inhalte, etwa indem eine Datenbrille Arbeitsanweisungen für die Wartung an eine Maschine projiziert. Selbst ganze Produktionsanlagen lassen sich als digitaler Zwilling abbilden, um Logistik-Prozesse oder Materialzugänge auszuprobieren und zu optimieren, bevor die Anlage in Betrieb geht. Produziert diese bereits, kann Künstliche Intelligenz anhand des virtuellen Abbildes die Geschichte eines fehlerhaften Produkts ermitteln: Welche Chargen sind etwa infolge einer zu hohen Betriebstemperatur mit Fehlern behaftet? Und wie lässt sich solchen Mängeln künftig vorbeugen? Im Metaverse können Beschäftigte als Avatare miteinander kommunizieren und weit entfernte Experten hinzuziehen, um anhand eines 3-D-Modells die physikalischen Eigenschaften eines Autos oder einer Maschine zu analysieren und Verbesserungspotenzial zu identifizieren. Das spart gegenüber der Arbeit an realen Prototypen nicht nur Kosten, sondern kann auch mit Blick auf den Fachkräftemangel interessant sein, indem der Radius des Recruitings deutlich erweitert wird. Auch der Bewerbungsprozss dürfte immer häufiger im Metaverse stattfinden: Jobsuchende können sich dann virtuell einen ersten Eindruck verschaffen und die Büros oder Produktion des potenziellen Arbeitgebers inspizieren.
Doch es lauern auch rechtliche Risiken. Wir beschreiben Dos an Dont´s, die Unternehmen auf dem Radar haben müssen, wenn sie VR-, AR- und MR-Software in der Arbeitswelt einsetzen:
- Urheberrecht schützt auch virtuelle Werke
Bei der Bereitstellung von Software und digitalen Inhalten sind stets die Nutzungsrechte zu regeln. So muss der Lieferant einer VR- oder AR-Lösungen zum Beispiel sicherstellen, dass die erforderlichen Nutzungsrechte und Einwilligungen von Urhebern oder abgebildeten Personen vorliegen. Dasselbe gilt etwa für Elemente bekannter Marken oder Fotos bekannter Gebäude. Bei der Arbeit an 3-D-Modellen in Virtual Reality-Umgebungen kommt eine Besonderheit hinzu: Schaffen Nutzerinnen und Nutzer alleine oder gemeinsam mit anderen im virtuellen Raum etwas Neues, kommt auch insoweit die Schöpfung eines urheberrechtlichen Werks in Betracht. - Meist ist der Anwender verantwortlich für den Datenschutz
Fast alle VR-/AR-Lösungen haben gemeinsam, dass sie personenbezogene Daten verarbeiten. Anwendungen im Metaverse erfassen unter anderem auch Mimik und Gestik oder physiologische Reaktionen auf bestimmte Inhalte. Im geschäftlichen Bereich muss dies datenschutzkonform geschehen: etwa wenn Führungskräfte den Alltag von Beschäftigten mit Kundenkontakt erleben möchten, oder wenn Wartungsmechaniker virtuell an einer komplexen Maschine beim Kunden arbeiten. Bei einem Assessment Center oder VR-/AR-Schulungen, die mit einem Qualifikationsnachweis verbunden sind, ist den Beteiligten meist bewusst, dass die Datenschutz-Grundverordnung (DSGVO) zu beachten ist. Demgegenüber ist dies weniger bekannt in Fällen, in denen Ingenieure oder Produktdesigner gemeinsam in virtuellen Räumen an digitalen Zwillingen arbeiten. Oder wenn ein gemeinsamer Wartungseinsatz eines Technikers vor Ort und eines remote zugeschalteten Spezialisten dokumentiert wird.In der Regel sind die Anwender von VR-/AR-Software im datenschutzrechtlichen Sinne verantwortlich. Sie müssen also selbst prüfen, ob der unternehmensspezifische Einsatz der konkreten Lösung DSGVO-konform ist. Vor allem geht es dabei um die Frage, ob eine Rechtsgrundlage zur Verfügung steht. Werden Beschäftigtendaten verarbeitet, basiert dies häufig auf § 26 Abs. 1 Beschäftigtendatenschutzgesetz (BDSG), ansonsten wird häufig ein berechtigtes Interesse des Arbeitgebers als Rechtfertigungsgrund gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO angeführt. Allerdings reicht es nicht aus, wenn Arbeitgeber sich schlicht auf diese Vorschriften berufen – was aber in der Praxis häufig vorkommt. Voraussetzung ist stattdessen eine einzelfallbezogene und mitunter komplexe Risikoanalyse, die das Unternehmen auch dokumentieren muss. Auf eine Einwilligung des Arbeitnehmers im Sinne von Art. 6 Abs 1 S. 1 lit. a DSGVO sollten sich Arbeitgeber in der Regel nicht stützen, da es im Beschäftigungsverhältnis einerseits in der Regel an der Freiwilligkeit fehlt. Andererseits können Mitarbeitende die Einwilligung jederzeit für die Zukunft widerrufen. - Vorsicht bei Datenverarbeitung in „Drittländern“
Aus Sicht eines Unternehmens kommt es auch entscheidend darauf an, wo geschäftliche personenbezogene Daten verarbeitet werden. Das gilt insbesondere, wenn dies nicht auf dem Endgerät selbst, sondern auf einem Server des Anbieters der VR-/AR-Software geschieht. Steht dieser im Sinne der DSGVO in einem Drittland außerhalb der EU und nicht in einem Land, das laut Beschluss der EU-Kommission über ein angemessenens Datenschutzniveau verfügt, gelten die besonderen Regelungen zum grenzüberschreitenden Datenverkehr nach Art. 44 ff. DSGVO. Wenn der Anbieter einer VR- oder AR-Anwendung auf einen großen Cloud-Dienstleister zurückgreift, ist deshalb zu dokumentieren: Warum stand eine Alternative in einem Land mit angemessenem Datenschutzniveau nicht zur Verfügung? Und welche Maßnahmen wurden ergriffen, um dennoch sicherzustellen, dass die Daten angemessen geschützt werden? - Auf Bertriebsvereinbarung hinarbeiten
In mitbestimmten Unternehmen in Deutschland ist die Einführung von VR-/AR-Lösungen mitbestimmungspflichtig gemäß § 87 Abs. 1 Nr. 6 BetrVG. Denn die Interaktionen im virtuellen Raum werden dokumentiert und lassen Rückschlüsse zu, wer, wann, welche Handlung vorgenommen hat. Damit sind sie objektiv geeignet, das Verhalten oder die Leistung von Arbeitnehmenden zu überwachen.In Unternehmen mit Betriebsrat bietet die ohnehin verpflichtende Einbindung des Betriebsrates den Vorteil, dass sich mit Hilfe einer Betriebsvereinbarung auch eine Rechtsgrundlage für die Datenverarbeitung schaffen lässt, die -wie oben erläutert- allein auf Grundlage des § 26 Abs. 1 S. 1 BDSG oder Art. 6 Abs. 1 S. 1 lit. f DSGVO nicht zulässig wären. - Betriebs- und Geschäftsgeheimnisse schützen
Meist sind VR-/AR-Lösungen nicht nur im eigenen Unternehmen im Einsatz. Auch Außendienstmitarbeiter nutzen sie und Beschäftigte kollaborieren in virtuellen Räumen mit Kunden und Kundinnen sowie Dienstleistenden. Deshalb müssen sich Anwender von VR-/AR-Lösungen im Klaren darüber sein, dass sie die Betriebs- und Geschäftsgeheimnisse ihrer Kundinnen und Kunden gefährden können. Gerade Datenbrillen können entsprechende Informationen leicht erfassen: etwa wenn der Blick über Konstruktionspläne, dokumentierte Geschäftsprozesse, Rezepturen oder Maschinenanordnungen gleitet. Oder wenn Gespräche über geheimzuhaltende Informationen im Umfeld der Datenbrille aufgezeichnet werden. Deshalb kann es sinnvoll sein, von Kunden zu verlangen, dass sie angemessene technische und organisatorische Maßnahmen ergreifen, um Geschäftsgeheimnisse zu schützen. Hierzu zählen auch Geheimhaltungsvereinbarungen. - Klare Haftungsregeln
Anbieter und Anwender von Software für das Metaverse müssen klar regeln: Wer haftet dafür, dass die Anwendung ordnungsgemäß funktioniert? Und wer haftet für die Korrektheit der Informationen, die in der Lösung eingeblendet werden? Dies gilt vor allem dann, wenn der Anbieter eine Lösung auf der Grundlage von Informationen entwickelt, die der Anwender ihm zur Verfügung stellt. - Arbeits- und Gesundheitsschutz beachten
Wer eine VR-/AR-Lösung im Unternehmen nutzen will, muss sicherstellen, dass es die Sicherheitsbestimmungen am Einsatzort eingehalten werden. Unter Umständen kann der Fokus auf eine virtuelle Umgebung den Blick für reale Gefahren im unmittelbaren Umfeld verstellen, etwa bei der Wartung von Maschinen. Andererseits können beispielsweise Datenbrillen auch helfen, Unfälle zu vermeiden, indem sie überprüfen, ob ein Mitarbeiter Schutzhandschuhe trägt. - Verhaltenskodex auf virtuellen Raum ausdehnen
Mit Blick auf Avatare als digitale Zwillinge von Arbeitnehmern stellt sich auch die Frage, ob der Arbeitgeber Vorgaben für deren Aussehen und Verhalten machen darf. Deshalb ist es sinnvoll, bestehende Regelwerke, Richtlinien und Verhaltenskodizes in den virtuellen Raum auszudehnen.
Arbeiten im Metaverse wirft neue Rechtsfragen für HR auf und bietet eine spannende Herausforderung, mit der technischen Entwicklung Schritt zu halten. Dies gelingt umso besser, wenn sich Personalabteilungen proaktiv mit den Chancen sowie Risiken auseinandersetzen und bestehende Regelungen frühzeitig an die Besonderheiten der Arbeit im virtuellen Raum anpassen.