Handreichung zur Auslagerung von Aufgaben

(Outsourcing)
Stand: 23.09.2004

gemeinsam erstellt durch das Ministerium des Innern des Landes Sachsen-Anhalt und den
Landesbeauftragten für den Datenschutz Sachsen-Anhalt in Anlehnung an
- eine Orientierungshilfe und Checkliste zur Auftragsdatenverarbeitung des LfD
Niedersachsen und
- ein Muster des Regierungspräsidiums Darmstadt.

Vorbemerkung

Der Begriff „Outsourcing“ stammt aus dem amerikanischen Wirtschaftsleben und setzt sich
aus den Worten „Outside Resource Using = Mittel von außen gebrauchen“ zusammen. Die
Erscheinungsformen des Outsourcing sind vielfältig. Es kann darin bestehen, dass einzelne
Tätigkeiten, z.B. der Wach- oder Reinigungsdienst, die bisher vom Unternehmen oder von
einer Verwaltungsbehörde selbst erledigt wurden, auf Externe übertragen werden. Möglich
ist aber auch, dass die Produktion ganz oder teilweise ausgelagert wird, z.B. in der
Automobilindustrie bei der Herstellung von Cabrios für verschiedene Hersteller durch ein
hierauf spezialisiertes Unternehmen.

Der Hauptgrund für Outsourcing ist Kostensenkung. Der Outsourcingnehmer ist regelmäßig
aufgrund von Vorteilen, die sich aus seiner Spezialisierung, aus seinem Standort (z.B.
Produktion in Billiglohnländern), mangelnder Tarifbindung usw. ergeben können, in der Lage
eine Leistung kostengünstiger zu erbringen oder ein Produkt billiger herzustellen, als der
Outsourcinggeber selbst.

Mit der Herstellung des Binnenmarktes ist Outsourcing innerhalb des Europäischen
Wirtschaftsraums längst zu einer Selbstverständlichkeit geworden. Angesichts der
zunehmenden Globalisierung der Wirtschaft macht Outsourcing aber nicht an den Grenzen
des Europäischen Wirtschaftsraums halt. Bedienten sich in der Vergangenheit noch
vorrangig ausländische und weltweit operierende deutsche Konzerne des weltweiten
Outsourcing („Offshore“), wird dieses Instrument jetzt auch von kleineren Firmen vermehrt
genutzt.

Nachfolgend wird auf die Aspekte des Outsourcing eingegangen, die sich auf den Umgang
mit personenbezogenen Daten beziehen.

1. Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung

Datenschutzrechtlich zu unterscheiden sind beim Outsourcing die Auftragsdatenverarbeitung

und die Funktionsübertragung. Die Frage ob ein Outsourcing als Auftragsdatenverarbeitung
oder Funktionsübertragung anzusehen ist, hängt von der jeweiligen rechtlichen
Ausgestaltung ab und kann daher nur im Einzelfall beantwortet werden. Die rechtlichen
Ausgestaltungsmöglickeiten sind ähnlich vielfältig wie die tatsächlichen Erscheinungsformen
des Outsourcing.
Bei der Datenverarbeitung im Auftrag wird nicht die Aufgabe selbst, zu deren Zweck die
Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten erfolgt, ausgelagert,
sondern lediglich der zur Aufgabenerledigung erforderliche Umgang mit den Daten. Der in
Anspruch genommenen Serviceeinrichtung wird der Umgang mit den Daten nach Weisung
und unter materieller Verantwortung des Auftraggebers übertragen. Die
datenschutzrechtliche Verantwortung für die Erhebung, Verarbeitung oder Nutzung der
personenbezogenen Daten verbleibt beim Auftraggeber. Er schreibt die technischen und
organisatorischen Maßnahmen zur Datensicherheit beim Auftragnehmer vor.

Erkennungsmerkmale für Auftragsdatenverarbeitung:

• fehlende Entscheidungsbefugnis des Auftragnehmers,

• Weisungsgebundenheit des Auftragnehmers bezüglich dessen, was mit den Daten
geschieht,
• Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt; es sei denn, der
Auftrag ist auch auf die Erhebung personenbezogener Daten gerichtet,
• Ausschluss der Verarbeitung oder Nutzung der Daten zu eigenen Zwecken des
Auftragnehmers,
• keine (vertragliche) Beziehung des Auftragnehmers zum Betroffenen,
• Auftragnehmer tritt (gegenüber dem Betroffenen) nicht in eigenem Namen auf.

Bei der Funktionsübertragung wird dagegen auch die der Erhebung, Verarbeitung oder
Nutzung personenbezogner Daten zugrunde liegende Aufgabe ganz oder teilweise
abgegeben. Die in Anspruch genommene Serviceeinrichtung erbringt - über die technische
Durchführung des Umgangs mit personenbezogenen Daten hinaus - materielle Leistungen
mit Hilfe der überlassenen Daten. Sie handelt hierbei eigenverantwortlich, auch im Sinne des
Datenschutzrechts.

Erkennungsmerkmale für Funktionsübertragung:

• Weisungsfreiheit des Dienstleisters bezüglich dessen, was mit den Daten

geschieht,
• Überlassung von Nutzungsrechten an den Daten,
• eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten
durch den Dienstleister, einschließlich des Sicherstellens der Rechte von
Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch),
• Handeln des Dienstleisters (gegenüber dem Betroffenen) im eigenen Namen,
• Entscheidungsbefugnis des Dienstleisters in der Sache,

2. Sonderfall Wartung und Pflege

Einen Sonderfall bildet die Prüfung oder Wartung automatisierter Verfahren oder von
Datenverarbeitungsanlagen. Solche Tätigkeiten sind z.B.

• Installation, Wartung, Pflege und Prüfung von Netzwerken, Hardware (einschließlich

Telekommunikationsanlagen)
und Software u.a. (Betriebssysteme, Middleware, Anwendungen)
• Parametrisieren von Software
• Programmentwicklungen/-anpassungen/-umstellungen, Fehlersuche und Tests
• Durchführung von Migrationen im Produktivsystem.
 3

Sie können direkt vor Ort oder per Fernwartung durchgeführt werden. Die Tätigkeiten sind
nicht auf den Umgang mit personenbezogenen Daten gerichtet, allerdings ist die
Kenntnisnahme von personenbezogenen Daten nicht immer ausgeschlossen. Daher
unterwirft der Bundesgesetzgeber im Bundesdatenschutzgesetz (BDSG) gänzlich und der
Landesgesetzgeber im Gesetz zum Schutz personenbezogener Daten der Bürger (DSG-
LSA) weitgehend die Erbringung von Wartungs- und Pflegearbeiten den Regelungen zur
Auftragsdatenverarbeitung, soweit bei diesen Tätigkeiten ein Zugriff auf personenbezogene
Daten unvermeidlich ist (vgl.: § 11 Abs. 5 BDSG, § 8 Abs. 7 DSG-LSA).

3. Rechtsstellung von Auftraggeber und Auftragnehmer zu einander bei

Auftragsdatenverarbeitung:

Die Auftragsdatenverarbeitung ist, soweit sie durch eine Stelle

- im Inland,
- in einem anderen Mitgliedstaat der Europäischen Union oder
- in einem anderen Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum

erfolgt, privilegiert. Ein solcher Auftragnehmer gilt nach § 3 Abs. 8 BDSG / § 2 Abs. 9 DSG-
LSA nicht als Dritter. Daher finden im Rahmen des Auftrags auf den Datenaustausch
zwischen Auftraggeber und Auftragnehmer nicht die einschränkenden Regelungen der
Datenschutzgesetze für Übermittlungen Anwendung. Der Auftragnehmer ist aber Empfänger
im Sinne des § 3 Abs. 8 Satz 1 BDSG / § 2 Abs. 10 DSG-LSA.

Die Erhebung, Verarbeitung oder Nutzung personenbezogner Daten im Auftrag ist für
öffentliche Stellen des Bundes und für nicht-öffentliche Stellen bereichsübergreifend in § 11
BDSG und für öffentliche Stellen des Landes in § 8 DSG-LSA geregelt.

Das Privileg besteht nicht, wenn der Auftragnehmer eine nicht privilegierte ausländische
Stellen ist, also in einem Drittland ansässig ist. In diesem Fall (Offshore-
Auftragsdatenverarbeitung) müssen für die Weitergabe von Daten durch den Auftraggeber
an den Auftragnehmer die Voraussetzungen für eine Übermittlung ins Ausland erfüllt sein.

Entsprechend der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom
24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr (Abl. EG Nr. L 281/31 vom
23.11.1995) – nachfolgend EG-Datenschutzrichtlinie genannt - bestimmt § 4 b Abs. 2 Satz 2
BDSG / § 13 Abs. 2 Satz 2 DSG-LSA, dass die Übermittlung an eine Stelle in einem Drittland
unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der
Übermittlung hat, insbesondere wenn bei dem Dritten ein angemessenes Datenschutzniveau
nicht gewährleistet ist. Danach kommt eine Auftragsdatenverarbeitung in einem Drittland in
Betracht wenn:

1. die Kommission nach Art. 25 Abs. 6 der EG-Datenschutzrichtlinie die Feststellung

getroffen hat, dass in dem Drittland ein angemessenes Datenschutzniveau besteht
(bisher festgestellt für Argentinien, Guernsey, Kanada, Insel Man, Schweiz und Ungarn),

2. ohne Feststellung nach Nummer 1

a) bei Verwendung der von der Europäischen Kommission angenommenen
„Standardvertragsklauseln für die Übermittlung personenbezogner Daten an
Auftragsdatenverarbeiter in Drittländern“ (Abl. EG Nr. L 6 vom 10.1.2002, S. 52);
siehe auch
http://europa.eu.int/comm/internal_market/privacy/modelcontracts_de.htm,
b) bei Anwendung einer verbindlichen Unternehmensregelung im Sinne des § 4c Abs.
2 Satz 1 BDSG im Konzernverbund,
 5

c) wenn der Auftragnehmer in den USA ansässig ist und sich verpflichtet hat, sich den
„Grundsätzen des sicheren Hafens zum Datenschutz (Safe-Harbor)“ und den
„Häufig gestellten Fragen (Frequently Asked Questions (FAQ)“ unterworfen hat,
d) Feststellung eines angemessenen Datenschutzniveaus nach § 4b Abs. 2 Satz 2
i.V.m. Abs. 3 BDSG beim Auftragnehmer durch den Auftraggeber,
e) Genehmigung der zuständigen Aufsichtsbehörde nach § 4c Abs. 2 Satz 1 BDSG.*

Die einschlägigen Entscheidungen im Sinne vorstehender Nrn. 1 und 2 der Europäischen

Kommission zur Angemessenheit des Schutzes personenbezogener Daten in Drittstaaten
sind im Internet unter http://europa.eu.int/comm/internal_market/privacy/adequacy_de.htm
abrufbar.

Es erscheint unwahrscheinlich, dass bei einer öffentlichen Stelle bei Erledigung öffentlich-
rechtlicher Aufgaben die rechtlichen Voraussetzungen vorliegen, um personenbezogene
Daten zum Zwecke der Auftragsdatenverarbeitung an eine nicht privilegierte ausländische
Stelle zu übermitteln.

4. Rechtsvorschriften zur Auftragsdatenverarbeitung

Regelungen zur Auftragsdatenverarbeitung treffen für nicht-öffentliche Stellen, also

insbesondere für die Wirtschaft, § 11 BDSG und für öffentliche Stellen des Landes § 8 DSG-
LSA. Beide Vorschriften stimmen inhaltlich weitergehend überein, auch bezüglich der
Auftragsdatenverarbeitung durch von öffentlichen Stellen beherrschte Auftragnehmer in § 11
Abs. 4 Nr. 1b BDSG und § 8 Abs. 5 DSG-LSA. Eine Besonderheit des Landesrechts ist, dass
der Auftragnehmer nach § 8 Abs. 3 DSG-LSA zur Unterrichtung des Landesbeauftragten für
den Datenschutz verpflichtet ist, wenn der Auftraggeber an einer datenschutzwidrigen
Weisung festhält. Ferner muss sich ein Auftragnehmer, der nicht Adressat des DSG-LSA ist,
nach § 8 Abs. 6 des Gesetzes vertraglich verpflichten, die Bestimmungen des DSG-LSA
einzuhalten und sich der Kontrolle durch den Landesbeauftragten für den Datenschutz
entsprechend
§§ 22 bis 24 DSG-LSA unterwerden.

Bereichsspezifische Regelungen zur Auftragsdatenverarbeitung haben gegenüber den

Regelungen der allgemeinen Datenschutzgesetze Vorrang, z.B. bei

• Auftragsdatenverarbeitung von Sozialdaten

§ 80 Abs. 2 bis 5 SGB X. Die Regelungen entsprechen weitgehend § 11 BDSG.
Besonderheiten sind u.a. Beschränkungen und Anzeigepflichten gegenüber
Aufsichtsbehörden bei der Beauftragung nicht-öffentlicher Stellen in § 80 Abs. 3 und 5
SGB X.
• Auftragsdatenverarbeitung von Statistikdaten
§ 17 des Landesstatistikgesetzes Sachsen-Anhalt, der die Vergabe statistischer
Arbeiten an Dritte regelt.
• Auftragsdatenverarbeitung von durch besondere Berufsgeheimnisse geschützte
personenbezogene Daten
In der Weitergabe von fremden Geheimnissen an den Auftragnehmer durch Ärzte,
Apotheker, Angehörige der privaten Kranken-, Unfall- oder Lebensversicherungen,
Rechtsanwälte, Steuerberater u.a. läge grundsätzlich eine unbefugte Offenbarung im
Sinne des § 203 Abs. 1 StGB, so dass Auftragsdatenverarbeitung nur mit Einwilligung
der Betroffenen möglich erscheint.

* dem Vorgehen, nach Buchst. b, d) und e) ist die Verwendung von Standardvertragsklauseln vorzuziehen; nicht
alle Aufsichtsbehörden verzichten bei der Festsstellung des angemessenen Datenschutzniveaus, durch den
Auftraggeber auf die Genehmigung nach § 4 c Abs. 2 Satz 1 BDSG. Das Genehmigungsverfahren ist in jedem
Fall zeitaufwändig und mit Kosten verbunden.
• Auftragsdatenverarbeitung von Steuerdaten
Aus § 30 Abgabenordnung (Steuergeheimnis) wird von mehreren
Datenschutzkontrollinstitutionen im Hinblick auf Art. 108 GG sowie § 2 Abs. 2 und § 17
Abs. 3 des Finanzverwaltungsgesetzes auf die Unzulässigkeit der
Auftragsdatenverarbeitung durch nicht-öffentliche Stellen geschlossen; siehe auch Walz
in Simitis u.a., BDSG, § 11 Randnr. 37.
Dagegen ist in Sachsen-Anhalt bezüglich der Beteiligung eines privaten
Dienstleistungsunternehmens bei der Ausstellung und Versendung von
Lohnsteuerkarten die Befugnis für die hierzu erforderliche Offenbarung von dem
Steuergeheimnis unterliegenden Verhältnissen auf § 30 Abs. 4 Nr. 1 AO gestützt
worden; vgl. 3. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz, S. 36.

Bei der Auftragsdatenverarbeitung für öffentliche Stellen durch nicht-öffentliche Stellen ist,
soweit Aufgaben der öffentlichen Verwaltung ausgeführt werden, zu fordern, dass die dabei
beschäftigten Personen des Auftragnehmers neben der Verpflichtung auf das
Datengeheimnis auch nach dem Verpflichtungsgesetz verpflichtet sind. Verpflichtungen auf
das Datengeheimnis nimmt der Auftragnehmer, die nach dem Verpflichtungsgesetz die
durch Verordnung bestimmte zuständige öffentliche Stelle, regelmäßig ist dies der
Auftraggeber, vor.

Die Auftraggeber in Wirtschaft und Verwaltung sind in gleicher Weise verpflichtet, die zu
übertragende Datenverarbeitung, die vom Auftragnehmer einzuhaltenden technischen und
organisatorischen Datensicherheitsmaßnahmen sowie etwaige Unterauftragsverhältnisse
schriftlich festzulegen.

Sollte der Auftragnehmer ausnahmsweise eine nicht privilegierte ausländische Stelle sein,
gelten die Regelungen zur Auftragsdatenverarbeitung nicht. Gleichwohl sollte in einem
solchen Fall den Anforderungen des § 11 Abs. 2 Sätze 1 und 3 sowie Abs. 3 Satz 1 BDSG
durch entsprechende Vertragsgestaltung genügt werden. Nur dann dürfte – ein
angemessenes Datenschutzniveau beim Auftragsdatenverarbeiter vorausgesetzt – die
übrigen Übermittlungsvoraussetzungen, die sich aus § 4b Abs. 1 in Verbindung mit §§ 28
bzw. 29 BDSG ergeben, erfüllt sein.

Als Anlage ist eine Checkliste beigefügt, die beim Abschluss von Verträgen zur
Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
abgearbeitet werden sollte.
 7

Anlage

Checkliste
- Datenschutz bei Auftragsdatenverarbeitung –

Die Checkliste dient der Wahrnehmung der Sorgfaltspflichten des Auftraggebers (AG) aus
§ 11 Abs. 2 BDSG / § 8 Abs. 2 DSG-LSA bei der
• Auswahl eines geeigneten Auftragnehmers,
• Erarbeitung datenschutzgerechter Lösungen,
• Ausgestaltung der vertraglichen Vereinbarungen.

Ihr liegen ausschließlich Anforderungen zum Datenschutz und zur Datensicherheit

zu Grunde.

Die Auftragsdatenverarbeitung kann in verschiedenen Varianten vorkommen. Folgende

Varianten lassen sich z. B unterscheiden:

• Externe Datenhaltung, z.B. teilweise oder gesamtes Outsourcing in ein Rechenzentrum

• Marktforschung,
• Zugriff auf personenbezogene Daten vor Ort beim Auftraggeber,
• „Remote“ Zugriff des Auftragnehmers auf personenbezogene Daten beim Auftraggeber;
z.B. Fernwartung von Hard- und Software,
• Papier-/Aktenvernichtung, Vernichtung von Datenträgern,
• Archivierungsservice (manuell und elektronisch),
• Werbung,
• Telefonmarketing,
• Kundenservice.

Die verschiedenen Varianten der Auftragsdatenverarbeitung erfordern unterschiedliche

Anforderungen an den Auftragnehmer und an die vertragliche Ausgestaltung.

Dienstleistungsverträge mit z. B. Gebäudereinigung, Umzugsservice, Sicherheitsdienste sind

grundsätzlich nicht auf Auftragsdatenverarbeitung gerichtet. Bei ihrem Abschluss sind daher
Vorschriften über die Auftragsdatenverarbeitung regelmäßig nicht zu beachten. Es ist aber
auch sicherzustellen, dass Verschwiegenheitspflichten vereinbart werden.

Je nach Situation sind die Fragen in der Checkliste von mehr oder weniger großer
Bedeutung, oder auch gar nicht anwendbar. In Zweifelsfällen und bei Rückfragen wenden
Sie sich bitte an ihren Beauftragten für den Datenschutz.
1. Allgemeine Anforderungen

Welche Stellen
verarbeiten im
Auftrag
personenbezogene
Daten?

Für welche Stellen

werden
personenbezogene
Daten im Auftrag
verarbeitet?

Wird der Auftrag im

Ausland ausgeführt
(wenn ja: EU oder
außerhalb der EU?)?

Gibt es
Unterauftragsverhältn
isse?

Auftragsdatenverarbe
itung nach
§ 80 SBG X

Ggf. Zusatzfrage:

2. Auftragsorganisation

Erfüllt Nicht Nicht Bemerkungen

zutreffe
erfüllt
nd

Der Auftragnehmer wurde durch

Überprüfung der von ihm
getroffenen technischen und
organisatorischen Maßnahmen
sorgfältig ausgewählt (§ 11 Abs. 2
Satz 1 BDSG / § 8 Abs. 2 Satz 1
DSG-LSA).
 9

Erfüllt Nicht Nicht Bemerkungen

zutreffe
erfüllt
nd

Die Ergebnisse der

Auftragsdatenverarbeitung werden
zumindest stichprobartig auf
Richtigkeit überprüft.

Es sind jeweils schriftliche Aufträge

in einer der folgenden Formen
erteilt worden (§ 11 Abs. 2 BDSG /
§ 8 Abs. 2 Satz 2 DSG-LSA):
- Einzelverträge oder
- Rahmenverträge mit
Einzelaufträgen (Lieferscheine,
Belege, Quittungen).

Nur für öffentliche Auftraggeber:

Soweit auf den Auftragnehmer das
DSG-LSA nicht anwendbar ist,
Unterrichtung des
Landesbeauftragten für den
Datenschutz LSA durch den
Auftraggeber nach
§ 8 Abs. 6 Satz 2 DSG-LSA.

Nur für öffentliche Auftraggeber bei

Auftragsdatenverarbeitung nach
§ 80 SGB X:
- Sind beim Auftragnehmer die
Datenschutzanforderungen nach
§ 80 Abs. 2 Satz 1 SGB X erfüllt?
- Unterrichtung der
Aufsichtsbehörde nach § 80 Abs.
3 SGB X?
- Liegen bei Einschaltung eines
privaten Auftragnehmers die
Voraussetzungen des § 80
Abs.5 SGB X vor?

Ggf. Zusatzfrage:
3. Vertragsgestaltung

Erfüllt Nicht Nicht Bemerkunge

erfüllt zutreffend n
Genaue Bezeichnung des
Vertragspartners

Beschreibung des Gegenstandes des

Vertragsverhältnisses, ggf. mit
Leistungsverzeichnis, Pflichtenheft oder
sonstigen Unterlagen, die die Art und den
Umfang der zu erbringenden Leistungen
festschreiben

Wichtige technische und organisatorische

Maßnahmen zur Datensicherheit bei der
Auftragsabwicklung, z.B.
- Protokollierung
- Aufbewahrung
- Zugriffskontrolle
- Umgang mit nicht mehr benötigten
Arbeitsergebnissen
- sonstige:____________

Vereinbarung über das Recht des

Auftragnehmers, zur Erbringung der
Leistungen Dritte heranzuziehen

Festlegung der Unterauftragsverhältnisse

Genaue Bezeichnung des Speicherungs-

und des Verarbeitungsortes

Bestimmung der Eigentumsverhältnisse

an Soft- und Hardware

Regelungen über „Eigentumsvorbehalte“

des Auftragnehmers an gespeicherten
Daten und maschinellen Ergebnissen bei
Nichterfüllung des Vertrages durch den
Auftraggeber

Bezeichnung der Weisungsberechtigten

beim Auftraggeber

Bezeichnung der Weisungsberechtigten

beim Auftragnehmer

Verantwortung, Art, schriftliche

Bestätigung, Transportkontrolle sowie
Protokollierung für den
Datenträgertransport

Prüfung der Richtigkeit der Ergebnisse

durch den Auftraggeber
 11

Erfüllt Nicht Nicht Bemerkunge

erfüllt zutreffend n

Unterrichtung des Auftraggebers bei

Störungen

Bereitstellung von Testmaterial durch den

Auftraggeber

Information des Auftragnehmers über

Programm- und Verfahrensänderungen

Einwilligung zu Verfahrensänderungen

Festlegung des Umfangs der Verfahrens-

und Programmdokumentation

Nachweis der tatsächlich gespeicherten

Daten

Nachweis der ordnungsgemäßen

Berichtigungs-, Sperrungs- und
Löschungsmöglichkeiten

Festlegung der Aufbewahrungsdauer der

Datenbestände und der Software

Verknüpfung der
Datensicherheitsmaßnahmen des
Auftraggebers mit denen des
Auftragnehmers

Definition der Weisungs- und

Kontrollrechte des Auftraggebers

Recht zur sofortigen Kündigung bei

Nichtbeachtung von Verpflichtungen, evtl.
Vertragsstrafen.

Verpflichtung der Mitarbeiter des

Auftragnehmers auf das Datengeheimnis.
Bei Auftragsdatenverarbeitung für
öffentliche Stellen durch
Auftragsdatenverarbeiter, die nicht dem
DSG-LSA unterfallen:
Vertraglich sicherzustellen nach § 8 Abs.
6 Satz 1 DSG-LSA:
- Befolgung der Bestimmungen des
DSG-LSA,
- Unterwerfung unter die Kontrolle
durch den Landesbeauftragten für den
Datenschutz entsprechend den §§ 22
bis 24 DSG-LSA,
- Bei Erledigung öffentlicher Aufgaben
Verpflichtung nach dem
Verpflichtungsgesetz

Bei Auftragsdatenverarbeitung nach § 80

SGB X durch eine nicht-öffentliche Stelle:
- Einräumung der Rechte nach
§ 80 Abs. 2 Satz 4 Nr. 1 bis 3 SGB X.