Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien über Verarbeitungen veröffentlicht, die auf der Rechtsgrundlage für Vertrage (Art. 6 Abs. 1 lit. b DSGVO) im Zusammenhang mit Online-Diensten beruhen.
Gerade im Internet nehmen viele Dienstleister ihre umfangreichen Datenverarbeitungen in Verträge mit den Nutzern auf und stützen sie somit auf Art. 6 abs. 1 lit. b DSGVO. Der EDSA hat dies in den Leitlinien nun begrenzt. Es wird klargestellt, dass es nicht allein darauf ankommt was vertraglich vereinbart wurde, vielmehr muss eine Analyse anhand der in Art. 5 DSGVO zugrunde gelegten Datenschutzgrundsätzen wie Fairness und Transparenz erfolgen. Insbesondere eine faire Verarbeitung gebietet eine Anerkennung der angemessenen Erwartungen der betroffenen Person.
Somit kann eine Datenverarbeitung auf einen Vertrag gestützt werden, wenn entweder die Verarbeitung für die Erfüllung eines Vertrages oder für vorvertragliche Maßnahmen auf Antrag der betroffenen Person objektiv erforderlich sind.
Kann der Verantwortliche nicht nachweisen, dass (a) ein Vertrag besteht, (b) der Vertrag gemäß den geltenden nationalen Gesetzen gültig ist und (c) die Verarbeitung für die Erfüllung objektiv erforderlich ist, sollte eine andere Rechtsgrundlage herangezogen werden. Denn eine bloße Bezugnahme oder Erwähnung der Verarbeitung im Vertrag ist nicht ausreichend um sie auf Art. 6 Abs. 1 lit. b DSGVO zu stützen.
Der EDSA nennt Beispiele für spezifische Situationen in denen Art. 6 Abs. 1 lit. b DSGVO gerade nicht einschlägig sei. Hierunter fallen bspw. die Serviceverbesserung, Betrugsprävention oder das behavioural advertising, da sie nicht als notwendig für den eigentlichen Vertrag anzusehen sind. Auch dann nicht, wenn dadurch mittelbar der Dienst finanziert wird.
Zudem werden Anhaltspunkte wie Fragen (z.B. Was sind die essentiellen Elemente des Vertrages?) genannt, an denen sich für eine Einordnung orientiert werden kann.