1. Der Datenexporteur verpflichtet sich, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn dies beantragt oder eine solche Hinterlegung nach dem geltenden Datenschutzrecht erforderlich ist. Beispiel: Eine betroffene Person stellt ihre Postleitzahl zur Verfügung, um festzustellen, ob ein bestimmter Dienstanbieter in ihrem Gebiet tätig ist. Dies kann als Verarbeitung angesehen werden, die erforderlich ist, um auf Antrag der betroffenen Person vor Vertragsabschluss gemäß Artikel 6 Absatz 1 Buchstabe b) Maßnahmen zu ergreifen. Ein häufiger Fehler besteht darin, sich zu leicht auf das Zustimmungskriterium zu verlassen. Es ist sogar völlig unlogisch, sich bei derselben Verarbeitung sowohl auf die Zustimmung als auch auf Artikel 6 Absatz 1 Buchstabe b zu verlassen. Ein für die Verarbeitung Verantwortlicher kann in der Tat nicht davon ausgehen, dass er eine frei erteilte Zustimmung erlangt hat, wenn die Verarbeitung für die Ausführung des Auftrags oder für seine Gründung erforderlich ist. Anders ausgedrückt: Betroffene können nicht frei zustimmen, wenn sie wissen, dass sie ohne ihre Zustimmung letztlich nicht den Dienst oder die Gutgut erhalten, für die sie vertraglich vereinbart haben. Verarbeitungstätigkeiten, die vor dem tatsächlichen Vertragsabschluss auf Antrag der betroffenen Person erfolgen, können auch durch die Erfüllung einer Vertragsrechtsgrundlage abgedeckt werden. Dies wäre z. B. der Fall, wenn Kontaktinformationen oder Standortdaten verarbeitet werden, um zu überprüfen, ob die von der betroffenen Person angeforderte Dienstleistung in diesem Bereich verfügbar ist.

Die Forderung nach einer gesonderten Rechtsgrundlage im Gegensatz zu einem Vertrag zur Abdeckung der zugrunde liegenden Datenverarbeitung läuft den Erwartungen der Nutzer zuwider. Dies ist besonders wichtig, wenn die EDPB das gegenseitige Verständnis der Vertragserfüllung zwischen dem für die Verarbeitung Verantwortlichen und der betroffenen Person berücksichtigt. Aus dem EDPB geht hervor, dass, wenn der Vertrag aus mehreren separaten Dienstleistungen (Take-it-or-leave-it-Bündelvertrag) besteht, die vernünftigerweise getrennt und unabhängig ausgeführt werden können, der Vertrag in Hauptleistungen unterteilt werden muss, damit man beurteilen kann, welche Rechtsgrundlage für jede Dienstleistung und nicht unbedingt für den Vertrag als Ganzes geeignet ist. Es kommt auf das oben erläuterte Problem der Geschäftsmodellnotwendigkeit zurück (Punkt 10). Der Europäische Datenschutzausschuss (EDPB) hat Leitlinienentwürfe für die Nutzung der “Vertragserfüllung” oder den Abschluss eines Vertrags (Artikel 6.1 Buchstabe b)) für die Verarbeitung personenbezogener Daten im Rahmen der Erbringung von Online-Diensten veröffentlicht. Der übergreifende Grundsatz der Transparenz ist nach Ansicht des EDPB der Schlüssel, um Jegliche Verwirrung zu vermeiden, wenn Einzelpersonen einen Vertrag über Online-Dienste abschließen. Es wird das Risiko hervorgehoben, dass Einzelpersonen fälschlicherweise den Eindruck erwecken können, dass sie ihre Zustimmung geben, wenn sie einen Vertrag unterzeichnen oder Bedingungen für eine Dienstleistung akzeptieren. Das EDPB sagt, dass der Begriff des “notwendigen” Für die Ausführung eines Vertrags nicht nur eine Beurteilung dessen ist, was durch die Bedingungen zulässig oder in die Bedingungen geschrieben ist. In den Leitlinien heißt es; Eine Bank hat einen Vertrag mit einem Kunden, um dem Kunden ein Bankkonto und einen persönlichen Kredit zur Verfügung zu stellen.