(1) Die Erteilung eines Auftrags zur Verarbeitung von Personalaktendaten einschließlich der Inanspruchnahme einer weiteren Auftragsverarbeiterin oder eines weiteren Auftragsverarbeiters im Sinne des Artikels 28 der Verordnung (EU) 2016/679 ist nur zulässig, wenn
1.
die dort genannten Voraussetzungen vorliegen und
2.
die oberste Dienstbehörde der Auftragserteilung zugestimmt hat.Die personalverwaltende Behörde hat die Einhaltung der beamten- und datenschutzrechtlichen Vorschriften durch die Auftragsverarbeiterin oder den Auftragsverarbeiter regelmäßig zu kontrollieren.
(2) Eine nichtöffentliche Stelle darf nur beauftragt werden, wenn
1.
bei der personalverwaltenden Behörde sonst Störungen im Geschäftsablauf auftreten können oder die Auftragsverarbeiterin oder der Auftragsverarbeiter die übertragenen Aufgaben erheblich kostengünstiger erledigen kann und
2.
die bei der Auftragsverarbeiterin oder dem Auftragsverarbeiter zur Verarbeitung der Personalaktendaten befugten Personen besonders auf den Schutz der Personalaktendaten verpflichtet sind.