(1) 1Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 2Die in den §§ 17 und 18 genannten Rechte sind ihm gegenüber geltend zu machen.
(2) 1Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. 2Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:
1. |
der Gegenstand und die Dauer des Auftrags, |
2. |
der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, |
3. |
die nach § 6 zu treffenden technischen und organisatorischen Maßnahmen, |
4. |
die Berichtigung, Löschung und Sperrung von Daten, |
5. |
die bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, |
6. |
die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, |
7. |
die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, |
8. |
mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, |
9. |
der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, |
10. |
die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags, |
11. |
gegebenenfalls die nach Absatz 6 Satz 1 bestehenden Verpflichtungen des Auftragnehmers. |
3Der Auftrag kann auch durch die Fachaufsichtsbehörde erteilt werden. 4Der Auftraggeber, die Fachaufsichtsbehörde oder eine von der Fachaufsichtsbehörde bestimmte Stelle hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. 5Das Ergebnis ist zu dokumentieren.
(2) 1Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. 2Der Auftrag ist schriftlich zu erteilen, wobei die Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. 3Er kann auch durch die Fachaufsichtsbehörde erteilt werden. 4Der Auftraggeber hat sich in geeigneter Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.
(3) 1Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. 2Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. 3Hält der Auftraggeber trotz der Bedenken an der Weisung fest, so hat der Auftragnehmer den Landesbeauftragten für den Datenschutz zu informieren.
(4) Für den öffentlichen Auftragnehmer gelten nur die Absätze 1 bis 3 sowie die §§ 5, 6, 14 Abs. 1, §§ 14a, 22 bis 24, 31 bis 32.
(5) 1Ist der Auftragnehmer eine juristische Person, Gesellschaft oder andere Personenvereinigung des privaten Rechts, bei der dem Land, den Gemeinden, den Landkreisen oder den sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht, gelten § 14 Abs. 1, §§ 19 sowie 22 bis 24 entsprechend, soweit diese Personen oder Personenvereinigungen personenbezogene Daten im Auftrag der in § 3 Abs. 1 genannten Stellen erheben, verarbeiten oder nutzen. 2Sofern kein Beauftragter für den Datenschutz nach den Bestimmungen des Bundesdatenschutzgesetzes bestellt ist, findet § 14a entsprechend Anwendung.
(6) 1Sind auf den Auftragnehmer die Vorschriften dieses Gesetzes nicht anwendbar, ist der Auftraggeber verpflichtet, vertraglich sicherzustellen, dass der Auftragnehmer die Bestimmungen dieses Gesetzes befolgt und sich der Kontrolle durch den Landesbeauftragten für den Datenschutz entsprechend den §§ 22 bis 24 unterwirft. 2Der Auftraggeber hat den Landesbeauftragten für den Datenschutz über die Beauftragung zu unterrichten.
(7) Werden Datenverarbeitungsanlagen oder -verfahren durch Dritte gewartet, gelten, soweit bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht vermieden werden kann, die Absätze 1 und 2 sowie Absatz 3 Satz 1 entsprechend.