[[{}law:sgb_10:79|←]][[{}law:sgb_10|↑]][[{}law:sgb_10:81|→]]


=== § 80 Verarbeitung von Sozialdaten im Auftrag ===

<wrap #abs_1 />
(1)<sub><wrap #abs_1_1 />[[law:sgb_10:80#abs_1_1|1]]</sub> Die Erteilung eines Auftrags im Sinne des Artikels 28 der
Verordnung (EU) 2016/679 zur Verarbeitung von Sozialdaten ist nur
zulässig, wenn der Verantwortliche seiner Rechts- oder
Fachaufsichtsbehörde rechtzeitig vor der Auftragserteilung

1.  den Auftragsverarbeiter, die bei diesem vorhandenen technischen und
organisatorischen Maßnahmen und ergänzenden Weisungen,


2.  die Art der Daten, die im Auftrag verarbeitet werden sollen, und den
Kreis der betroffenen Personen,


3.  die Aufgabe, zu deren Erfüllung die Verarbeitung der Daten im Auftrag
erfolgen soll, sowie


4.  den Abschluss von etwaigen Unterauftragsverhältnissen



schriftlich oder elektronisch anzeigt. <sub><wrap #abs_1_2 />[[law:sgb_10:80#abs_1_2|2]]</sub>Soll eine öffentliche Stelle
mit der Verarbeitung von Sozialdaten beauftragt werden, hat diese
rechtzeitig vor der Auftragserteilung die beabsichtigte Beauftragung
ihrer Rechts- oder Fachaufsichtsbehörde schriftlich oder elektronisch
anzuzeigen.

<wrap #abs_2 />
(2)<sub><wrap #abs_2_1 />[[law:sgb_10:80#abs_2_1|1]]</sub> Der Auftrag zur Verarbeitung von Sozialdaten darf nur erteilt
werden, wenn die Verarbeitung im Inland, in einem anderen
Mitgliedstaat der Europäischen Union, in einem diesem nach § 35 Absatz
7 des Ersten Buches gleichgestellten Staat, oder, sofern ein
Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679
vorliegt, in einem Drittstaat oder in einer internationalen
Organisation erfolgt.

<wrap #abs_3 />
(3)<sub><wrap #abs_3_1 />[[law:sgb_10:80#abs_3_1|1]]</sub> Die Erteilung eines Auftrags zur Verarbeitung von Sozialdaten
durch nicht-öffentliche Stellen ist nur zulässig, wenn

1.  beim Verantwortlichen sonst Störungen im Betriebsablauf auftreten
können oder


2.  die übertragenen Arbeiten beim Auftragsverarbeiter erheblich
kostengünstiger besorgt werden können.



<sub><wrap #abs_3_2 />[[law:sgb_10:80#abs_3_2|2]]</sub>Dies gilt nicht, wenn Dienstleister in der Informationstechnik, deren
absolute Mehrheit der Anteile oder deren absolute Mehrheit der Stimmen
dem Bund oder den Ländern zusteht, mit vorheriger Genehmigung der
obersten Dienstbehörde des Verantwortlichen beauftragt werden.

<wrap #abs_4 />
(4)<sub><wrap #abs_4_1 />[[law:sgb_10:80#abs_4_1|1]]</sub> Ist der Auftragsverarbeiter eine in § 35 des Ersten Buches
genannte Stelle, gelten neben den §§ 85 und 85a die §§ 9, 13, 14 und
16 des Bundesdatenschutzgesetzes. <sub><wrap #abs_4_2 />[[law:sgb_10:80#abs_4_2|2]]</sub>Bei den in § 35 des Ersten Buches
genannten Stellen, die nicht solche des Bundes sind, tritt anstelle
des oder der Bundesbeauftragten insoweit die nach Landesrecht für die
Kontrolle des Datenschutzes zuständige Stelle. <sub><wrap #abs_4_3 />[[law:sgb_10:80#abs_4_3|3]]</sub>Ist der
Auftragsverarbeiter eine nicht-öffentliche Stelle, unterliegt dieser
der Aufsicht der gemäß § 40 des Bundesdatenschutzgesetzes zuständigen
Behörde.

<wrap #abs_5 />
(5)<sub><wrap #abs_5_1 />[[law:sgb_10:80#abs_5_1|1]]</sub> Absatz 3 gilt nicht bei Verträgen über die Prüfung oder Wartung
automatisierter Verfahren oder von Datenverarbeitungsanlagen durch
andere Stellen im Auftrag, bei denen ein Zugriff auf Sozialdaten nicht
ausgeschlossen werden kann. <sub><wrap #abs_5_2 />[[law:sgb_10:80#abs_5_2|2]]</sub>Die Verträge sind bei zu erwartenden oder
bereits eingetretenen Störungen im Betriebsablauf unverzüglich der
Rechts- oder Fachaufsichtsbehörde mitzuteilen.