§ 11 Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
(1) Werden personenbezogene Daten im Auftrag durch andere Stellen
verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der
Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz
verantwortlich. Die in den §§ 6 bis 8 genannten Rechte sind ihm gegenüber
geltend zu machen.
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der
von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig
auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei die
Datenverarbeitung oder -nutzung, die technischen und organisatorischen
Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Er kann
bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden.
(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des
Auftraggebers verarbeiten oder nutzen. Ist er der Ansicht, daß eine Weisung
des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den
Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf
hinzuweisen.
(4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1, Abs. 3 und 4
sowie § 44 Abs. 1 Nr. 2, 5, 6 und 7 und Abs. 2 nur die Vorschriften über die
Datenschutzkontrolle oder die Aufsicht, und zwar für
1.
a) öffentliche Stellen,
b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die
Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht
und der Auftraggeber eine öffentliche Stelle ist,
die §§ 18, 24 bis 26 oder die entsprechenden Vorschriften der
Datenschutzgesetze der Länder,
2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene
Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig
verarbeiten oder nutzen, die §§ 32, 36 bis 38.
converted with guide2html by Kochtopf