(1) ¹Werden Sozialdaten im Auftrag durch andere Stellen verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzbuches und anderer Vorschriften über den Datenschutz verantwortlich. ²Die in den §§ 82 bis 84 genannten Rechte sind ihm gegenüber geltend zu machen.

(2) ¹Eine Auftragserteilung für die Verarbeitung und Nutzung von Sozialdaten ist nur zulässig, wenn der Datenschutz beim Auftragnehmer nach der Art der zu verarbeitenden Daten den Anforderungen genügt, die für den Auftraggeber gelten. ²Der Auftrag ist schriftlich zu erteilen, wobei die Datenverarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. ³Der Auftraggeber ist verpflichtet, erforderlichenfalls Weisungen zur Ergänzung der beim Auftragnehmer- vorhandenen technischen und organisatorischen Maßnahmen zu erteilen. ⁴Die Auftragserteilung an eine nicht-öffentliche Stelle setzt außerdem voraus, daß der Auftragnehmer dem Auftraggeber schriftlich das Recht eingeräumt hat,

1. 1.
   Auskünfte bei ihm einzuholen,
2. 2.
   während der Betriebs- oder Geschäftszeiten seine Grundstücke oder Geschäftsräume zu betreten und dort Besichtigungen und Prüfungen vorzunehmen und
3. 3.
   geschäftliche Unterlagen sowie die gespeicherten Sozialdaten und Datenverarbeitungsprogramme einzusehen,

soweit es im Rahmen des Auftrags für die Überwachung des Datenschutzes erforderlich ist.

(3) ¹Der Auftraggeber hat seiner Aufsichtsbehörde rechtzeitig vor der Auftragserteilung

1. 1.
   den Auftragnehmer, die bei diesem vorhandenen technischen und organisatorischen Maßnahmen und ergänzenden Weisungen nach Absatz 2 Satz 2 und 3,
2. 2.
   die Art der Daten, die im Auftrag verarbeitet werden sollen, und den Kreis der Betroffenen,
3. 3.
   die Aufgabe, zu deren Erfüllung die Verarbeitung der Daten im Auftrag erfolgen soll sowie
4. den Abschluß von etwaigen Unterauftragsverhältnissen

schriftlich anzuzeigen. ²Wem der Auftragnehmer eine öffentliche Stelle ist, hat er auch schriftliche Anzeige an seine Aufsichtsbehörde zu richten.

(4) Der Auftragnehmer darf die zur Datenverarbeitung überlassenen Sozialdaten nicht für andere Zwecke verarbeiten oder nutzen und nicht länger speichern, als der Auftraggeber schriftlich bestimmt.

(5) Die Verarbeitung oder Nutzung von Sozialdaten im Auftrag durch nicht-öffentliche Stellen ist nur zulässig, wenn

1. 1.
   beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder
2. 2.
   die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden können und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfaßt. Der überwiegende Teil der Speicherung des gesamten Datenbestandes muß beim Auftraggeber oder beim Auftragnehmer, der eine öffentliche Stelle ist, und die Daten zur weiteren Datenverarbeitung im Auftrag an nicht-öffentliche Auftragnehmer weitergibt, verbleiben.

(6) ¹Ist der Auftragnehmer eine in § 35 des Ersten Buches genannte Stelle, gelten neben den §§ 85 und 85a nur § 18 Abs. 2 und 3 und die §§ 24, 25, 26 Abs. 1 bis 4 des Bundesdatenschutzgesetzes. ²Bei den in § 35 des Ersten Buches genannten Stellen, die nicht solche des Bundes sind, treten anstelle des Bundesbeauftragten für den Datenschutz insoweit die Landesbeauftragten für den Datenschutz. ³Ihre Aufgaben und Befugnisse richten sich nach dem jeweiligen Landesrecht. ⁴Ist der Auftragnehmer eine nicht-öffentliche Stelle, kontrolliert die Einhaltung der Absätze 1 bis 5 die nach Landesrecht zuständige Aufsichtsbehörde. ⁵Bei öffentlichen Steilen der Länder, die nicht Sozialversicherungsträger oder deren Verbände sind, gelten die landesrechtlichen Vorschriften über Verzeichnisse der eingesetzten Datenverarbeitungsanlagen und Dateien.