§ 17 LDSG
Schleswig-Holsteinisches Gesetz zum Schutz personenbezogener Information (Landesdatenschutzgesetz - LDSG)
Landesrecht Schleswig-Holstein
Titel: Schleswig-Holsteinisches Gesetz zum Schutz personenbezogener Information (Landesdatenschutzgesetz - LDSG)
Normgeber: Schleswig-Holstein
Amtliche Abkürzung: LDSG
Referenz: 204-4
Abschnitt: Abschnitt III – Besondere Formen der Datenverarbeitung
 

§ 17 LDSG – Verarbeitung personenbezogener Daten im Auftrag, Wartung

(1) Lässt eine Daten verarbeitende Stelle personenbezogene Daten in ihrem Auftrag verarbeiten, bleibt sie für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Rechte der Betroffenen sind ihr gegenüber geltend zu machen. Die Weitergabe der Daten von der Daten verarbeitenden Stelle an die Auftragnehmenden gilt nicht als Übermittlung im Sinne von § 2 Abs. 2 Nr. 3.

(2) Werden bei automatisierter Datenverarbeitung Verantwortlichkeiten auf eine zentrale Stelle übertragen, gilt § 8 Abs. 2 entsprechend. Die zentrale Stelle übernimmt für das automatisierte Verfahren die Verantwortung nach Absatz 1 Satz 1.

(3) Die Daten verarbeitende Stelle hat dafür Sorge zu tragen, dass personenbezogene Daten nur im Rahmen ihrer Weisungen verarbeitet werden. Sie hat die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um dies sicherzustellen. Sie hat Auftragnehmende unter besonderer Berücksichtigung ihrer Eignung für die Gewährleistung der nach den §§ 5 und 6 notwendigen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Aufträge, ergänzende Weisungen zu technischen und organisatorischen Maßnahmen und die etwaige Zulässigkeit von Unterauftragsverhältnissen sind schriftlich festzulegen.

(4) Sofern die Vorschriften dieses Gesetzes auf Auftragnehmende keine Anwendung finden, hat die Daten verarbeitende Stelle diese zu verpflichten, jederzeit von ihr veranlasste Kontrollen zu ermöglichen.

(5) Bei der Erbringung von Wartungsarbeiten oder von vergleichbaren Unterstützungstätigkeiten bei der Datenverarbeitung durch Stellen oder Personen außerhalb der Daten verarbeitenden Stelle gelten die Absätze 1 bis 3 entsprechend.

(6) Zur Durchführung von beratenden oder begutachtenden Tätigkeiten im Auftrag der Daten verarbeitenden Stelle ist die Übermittlung personenbezogener Daten zulässig, wenn die übermittelnde Stelle die beauftragten Personen verpflichtet,

  1. 1.
    die Daten nur zu dem Zweck zu verarbeiten, zu dem sie ihnen überlassen worden sind und
  2. 2.
    nach Erledigung des Auftrags die ihnen von der Daten verarbeitenden Stelle überlassenen Datenträger zurückzugeben und die bei ihnen gespeicherten Daten zu löschen, soweit nicht besondere Rechtsvorschriften entgegenstehen.

Die Absätze 1 bis 4 gelten entsprechend.