§ 8 DSG-LSA, Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag

§ 8 DSG-LSA
Gesetz zum Schutz personenbezogener Daten der Bürger (Datenschutzgesetz Sachsen-Anhalt - DSG LSA)
Landesrecht Sachsen-Anhalt

Erster Abschnitt – Allgemeine Bestimmungen

Titel: Gesetz zum Schutz personenbezogener Daten der Bürger (Datenschutzgesetz Sachsen-Anhalt - DSG LSA)
Normgeber: Sachsen-Anhalt
Amtliche Abkürzung: DSG LSA
Gliederungs-Nr.: 204.1
Normtyp: Gesetz

(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 17 und 18 genannten Rechte sind ihm gegenüber geltend zu machen.

(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

  1. 1.

    der Gegenstand und die Dauer des Auftrags,

  2. 2.

    der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

  3. 3.

    die nach § 6 zu treffenden technischen und organisatorischen Maßnahmen,

  4. 4.

    die Berichtigung, Löschung und Sperrung von Daten,

  5. 5.

    die bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

  6. 6.

    die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

  7. 7.

    die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

  8. 8.

    mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

  9. 9.

    der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

  10. 10.

    die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags,

  11. 11.

    gegebenenfalls die nach Absatz 6 Satz 1 bestehenden Verpflichtungen des Auftragnehmers.

Der Auftrag kann auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber, die Fachaufsichtsbehörde oder eine von der Fachaufsichtsbehörde bestimmte Stelle hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Hält der Auftraggeber trotz der Bedenken an der Weisung fest, so hat der Auftragnehmer den Landesbeauftragten für den Datenschutz zu informieren.

(4) Für den öffentlichen Auftragnehmer gelten nur die Absätze 1 bis 3 sowie die §§ 5, 6, 14 Abs. 1, §§ 14a, 22 bis 24, 31 bis 32.

(5) Ist der Auftragnehmer eine juristische Person , Gesellschaft oder andere Personenvereinigung des privaten Rechts, bei der dem Land, den Gemeinden, den Landkreisen oder den sonstige der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht, gelten § 14 Abs. 1, §§ 19 sowie 22 bis 24 entsprechend, soweit diese Personen oder Personenvereinigungen personenbezogene Daten im Auftrag der in § 3 Abs. 1 genannten Stellen erheben, verarbeiten oder nutzen. Sofern kein Beauftragter für den Datenschutz nach den Bestimmungen des Bundesdatenschutzgesetzes bestellt ist, findet § 14a entsprechend Anwendung.

(6) Sind auf den Auftragnehmer die Vorschriften dieses Gesetzes nicht anwendbar, ist der Auftraggeber verpflichtet, vertraglich sicherzustellen, dass der Auftragnehmer die Bestimmungen dieses Gesetzes befolgt und sich der Kontrolle durch den Landesbeauftragten für den Datenschutz entsprechend den §§ 22 bis 24 unterwirft. Der Auftraggeber hat den Landesbeauftragten für den Datenschutz über die Beauftragung zu unterrichten.

(7) Werden Datenverarbeitungsanlagen oder -verfahren durch Dritte gewartet, gelten, soweit bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht vermieden werden kann, die Absätze 1 und 2 sowie Absatz 3 Satz 1 entsprechend.

Diese Artikel im Bereich Internet, IT und Telekommunikation könnten Sie interessieren

Warnung vor neuem Verschlüsselungstrojaner Goldeneye

Warnung vor neuem Verschlüsselungstrojaner Goldeneye

Besonders Personalabteilungen sollten vorsichtig sein, wenn sie eine E-Mail von einem „Rolf Drescher“ erhalten. Sonst werden sie schnell das Opfer des Verschlüsselungstrojaners Goldeneye. Dieser… mehr

Warnung vor Abzocke Plattform ɢoogle.com

Warnung vor Abzocke Plattform ɢoogle.com

Google Nutzer sollten sich vor ɢoogle.com in Acht nehmen. Ansonsten geraten Sie schnell in eine Abofalle und Ihr Rechner ist in Gefahr. mehr

Telekom-Störung in Deutschland – Haben Betroffene Anspruch auf Schadensersatz?

Telekom-Störung in Deutschland – Haben Betroffene Anspruch auf Schadensersatz?

Über 900.000 Telekom-Kunden sind teilweise bereits seit Sonntag von dem Ausfall bundesweit betroffen. Die Störung umfasst sowohl Internet, Telefonie als auch das Fernsehen. Eine mögliche… mehr