Geltende Gesetze und Verordnungen (SGV. NRW.)  mit Stand vom 10.6.2021

93 / 140

§ 91a (Fn 2)
Verarbeitung von Personalakten im Auftrag

(1) Die Verarbeitung von Personalaktendaten im Auftrag der personalverwaltenden Behörde ist auch außerhalb des öffentliches Dienstes zulässig,

1. soweit sie erforderlich ist für die automatisierte Erledigung von Aufgaben und

2. wenn der Verantwortliche die Einhaltung der beamten- und datenschutzrechtlichen Vorschriften durch den Auftragsverarbeiter regelmäßig kontrolliert.

(2) Die Auftragserteilung bedarf der vorherigen Zustimmung der obersten Dienstbehörde. Zu diesem Zweck hat der Verantwortliche der obersten Dienstbehörde rechtzeitig vor der Auftragserteilung schriftlich mitzuteilen:

1. den Auftragsverarbeiter, die von diesem getroffenen technischen und organisatorischen Maßnahmen und die ergänzenden Festlegungen nach Absatz 3,

2. die Aufgabe, zu deren Erfüllung der Auftragsverarbeiter die Daten verarbeiten soll,

3.  die Art der Daten, die für den Verantwortlichen verarbeitet werden sollen, und den Kreis der Beschäftigten, auf den sich diese Daten beziehen, sowie

4. die beabsichtigte Erteilung von Unteraufträgen durch den Auftragsverarbeiter.

(3) In dem Auftrag ist insbesondere schriftlich festzulegen:

1. der Gegenstand und die Dauer des Auftrags,

2. der Umfang, die Art und der Zweck der vorgesehenen Datenverarbeitung, die Art der Daten und der Kreis der Betroffenen,

3. die nach § 15 des Datenschutzgesetzes Nordrhein-Westfalen zu treffenden technischen und organisatorischen Maßnahmen,

4. die Berichtigung, Löschung und Einschränkung der Verarbeitung  von Daten und gegebenenfalls die Vernichtung der Papierakte,

5. die von dem Auftragsverarbeiter vorzunehmenden Kontrollen der Datenverarbeitung, insbesondere die Überprüfung, ob das Ergebnis bildlich und inhaltlich mit der Papierakte übereinstimmt,

6. die Kontrollrechte des Verantwortlichen und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragsverarbeiters,

7. mitzuteilende Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

8. der Umfang der Weisungsbefugnisse, die sich der Verantwortliche gegenüber dem Auftragsverarbeiter vorbehält,

9. die Verpflichtung des Auftragsverarbeiters, den Verantwortlichen unverzüglich darauf hinzuweisen, wenn er der Ansicht ist, dass eine Weisung des Verantwortlichen gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, und

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragsverarbeiter gespeicherter Daten, sobald diese für die Erfüllung des Auftrags nicht mehr benötigt werden, spätestens nach Beendigung des Auftrags.

Soweit der Auftragsverarbeiter eine nichtöffentliche Stelle ist, ist auch festzulegen, dass der Auftragsverarbeiter die Kontrolle durch die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit zu dulden hat. Diese Kontrolle richtet sich nach den maßgeblichen datenschutzrechtlichen Bestimmungen.

(4) Eine nichtöffentliche Stelle darf nur beauftragt werden, wenn

1. beim Verantwortlichen sonst Störungen im Geschäftsablauf auftreten können oder der Auftragsverarbeiter die übertragenen Aufgaben erheblich kostengünstiger erledigen kann und

2. die beim Auftragsverarbeiter mit der Datenverarbeitung beauftragten Beschäftigten besonders auf den Schutz der Personalaktendaten verpflichtet sind.

Satz 1 Nummer 1 findet keine Anwendung für Gemeinden und Gemeindeverbände.

(5) Der Auftragsverarbeiter darf die Daten nur im Rahmen der Weisungen des Verantwortlichen verarbeiten. Der Auftragsverarbeiter darf die Daten nur für die im Auftrag festgelegten Zwecke verarbeiten und für die im Auftrag festgelegte Dauer speichern.

(6) Die Rechte der betroffenen Person nach dem geltenden Datenschutzrecht sind gegenüber dem Verantwortlichen geltend zu machen.

(7) Unteraufträge dürfen nur mit vorheriger Zustimmung des Verantwortlichen erteilt werden. Für Unterauftragsverarbeiter gelten die für den Auftragsverarbeiter bestehenden Vorgaben entsprechend.

Fußnoten:

Fn 1

In Kraft getreten am 1. Juli 2016 (GV. NRW. S. 310, ber. S. 642); geändert durch Artikel 7 des Gesetzes vom 7. April 2017 (GV. NRW. S. 414), in Kraft getreten am 22. April 2017; Artikel 1 des Gesetzes vom 19. September 2017 (GV. NRW. S. 764), in Kraft getreten am 28. September 2017; Artikel 7 des Gesetzes vom 17. Mai 2018 (GV. NRW. S. 244), in Kraft getreten am 25. Mai 2018.

Fn 2

§ 82a, § 91a und § 109 Absatz 2a eingefügt, § 110 Absatz 1 geändert, § 117 Absatz 4 neu gefasst und § 118 Absatz 7 geändert durch Artikel 7 des Gesetzes vom 7. April 2017 (GV. NRW. S. 414), in Kraft getreten am 22. April 2017; § 91a neu gefasst durch Artikel 7 des Gesetzes vom 17. Mai 2018 (GV. NRW. S. 244), in Kraft getreten am 25. Mai 2018.

Fn 3

§ 19 Absatz 6 neu gefasst durch Artikel 1 des Gesetzes vom 19. September 2017 (GV. NRW. S. 764), in Kraft getreten am 28. September 2017.

Fn 4

Inhaltsübersicht zuletzt geändert durch Artikel 7 des Gesetzes vom 17. Mai 2018 (GV. NRW. S. 244), in Kraft getreten am 25. Mai 2018.

Fn 5

§ 83 Absatz 1 und 4, § 84 sowie § 91 Absatz 5 geändert durch Artikel 7 des Gesetzes vom 17. Mai 2018 (GV. NRW. S. 244), in Kraft getreten am 25. Mai 2018.

Fn 6

§ 86 und § 87 neu gefasst durch Artikel 7 des Gesetzes vom 17. Mai 2018 (GV. NRW. S. 244), in Kraft getreten am 25. Mai 2018.

Fn 7

§ 89 Absatz 1, 3 und 4 geändert und Absatz 2 neu gefasst durch Artikel 7 des Gesetzes vom 17. Mai 2018 (GV. NRW. S. 244), in Kraft getreten am 25. Mai 2018.