§ 11   Verarbeitung oder Nutzung personenbezogener Daten im Auftrag

(1)  Werden  personenbezogene  Daten  im  Auftrag   durch   andere   Stellen
verarbeitet  oder  genutzt,  ist  der  Auftraggeber  für  die Einhaltung der
Vorschriften dieses Gesetzes und anderer Vorschriften über  den  Datenschutz
verantwortlich.  Die  in  den §§ 6 bis 8 genannten Rechte sind ihm gegenüber
geltend zu machen.

(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung  der
von  ihm  getroffenen technischen und organisatorischen Maßnahmen sorgfältig
auszuwählen.  Der  Auftrag  ist   schriftlich   zu   erteilen,   wobei   die
Datenverarbeitung  oder  -nutzung,  die  technischen  und  organisatorischen
Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen  sind.  Er  kann
bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden.

(3) Der Auftragnehmer darf  die  Daten  nur  im  Rahmen  der  Weisungen  des
Auftraggebers  verarbeiten oder nutzen. Ist er der Ansicht, daß eine Weisung
des Auftraggebers gegen dieses Gesetz  oder  andere  Vorschriften  über  den
Datenschutz   verstößt,   hat   er   den  Auftraggeber  unverzüglich  darauf
hinzuweisen.

(4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1, Abs. 3 und  4
sowie § 44 Abs. 1 Nr. 2, 5, 6 und 7 und Abs. 2 nur die Vorschriften über die
Datenschutzkontrolle oder die Aufsicht, und zwar für

    1.

        a) öffentliche Stellen,

        b) nicht-öffentliche Stellen, bei denen der  öffentlichen  Hand  die
        Mehrheit  der  Anteile  gehört oder die Mehrheit der Stimmen zusteht
        und der Auftraggeber eine öffentliche Stelle ist,

    die  §§  18,  24  bis  26  oder  die  entsprechenden  Vorschriften   der
    Datenschutzgesetze der Länder,

    2. die übrigen nicht-öffentlichen Stellen, soweit  sie  personenbezogene
    Daten   im   Auftrag   als   Dienstleistungsunternehmen   geschäftsmäßig
    verarbeiten oder nutzen, die §§ 32, 36 bis 38.