In der Praxis führt der Grundsatz der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO häufig zu der Frage, wie Unternehmen die Anforderungen erfüllen können. Denn die rechtliche Anforderung ist sehr weit gefasst und vage: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ Wie der Nachweis konkret erfolgen soll bzw. kann, wird nicht spezifiziert.
Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien zu „Dark Patterns“ (Leitlinien 3/2022, PDF) einige Präzisierungen zur Frage der Umsetzung dieser Verpflichtung vorgenommen (Rz. 11). Der EDSA stellt fest (inoffizielle Übersetzung):
- Die Benutzeroberfläche und die User Journey können als Dokumentationsinstrument verwendet werden, um nachzuweisen, dass die Nutzer bei ihren Handlungen auf der Social-Media-Plattform die Datenschutzinformationen gelesen und berücksichtigt haben, dass sie ihre Einwilligung frei gegeben haben, dass sie ihre Rechte problemlos wahrgenommen haben, usw.
- Qualitative und quantitative Nutzerforschungsmethoden wie A/B-Tests, Eye-Tracking oder Nutzerinterviews, ihre Ergebnisse und ihre Analyse können ebenfalls zum Nachweis der Einhaltung der Vorschriften verwendet werden.
- Wenn die Nutzer beispielsweise ein Kästchen ankreuzen oder eine von mehreren Datenschutzoptionen anklicken müssen, können Screenshots der Schnittstellen dazu dienen, den Weg der Nutzer durch die Datenschutzinformationen zu zeigen und zu erklären, wie die Nutzer eine informierte Entscheidung treffen.
Die Hinweise des EDSA zeigen, dass man bei der Erfüllung der Rechenschaftspflicht durchaus kreativ sein kann und auch Prozesse bzw. Dokumentation relevant ist, die ohnehin, etwa im Rahmen der Produktentwicklung, genutzt werden. Spannend ist sicherlich, ob der EDSA mit diesen Hinweisen gleichzeitig auch ein Tracking als zulässig ansehen würde, welches das Verhalten der Nutzer in Bezug auf die Interaktion mit Datenschutzhinweisen oder z.B. Datenschutzeinstellungen erfasst und auswertet. In diesem Fall kann man sicher argumentieren, dass hierfür keine Einwilligung nach § 25 Abs. 1 TTDSG erforderlich ist, sondern eine Erforderlichkeit nach § 25 Abs. 2 Nr. 2 TTDSG. Zur Erfüllung rechtlicher Pflichten aus der DSGVO.