(1) Patientendaten sind grundsätzlich in der Einrichtung oder öffentlichen Stelle zu verarbeiten; eine Verarbeitung im Auftrag ist nur nach Maßgabe der Absätze 2 bis 4 zulässig.

(2) Die Verarbeitung von Patientendaten im Auftrag ist nur zulässig, wenn sonst Störungen im Betriebsablauf nicht vermieden oder Teilvorgänge der automatischen Datenverarbeitung hierdurch erheblich kostengünstiger vorgenommen werden können.

(3) Vor der Vergabe eines Auftrages zur Verarbeitung von Patientendaten hat sich der Auftraggeber zu vergewissern, dass beim Auftragnehmer die Wahrung der Datenschutzbestimmungen dieses Gesetzes und der ärztlichen Schweigepflicht sichergestellt ist. Patientendaten aus dem ärztlichen Bereich sind vom Auftragnehmer auf physisch getrennten Dateien zu verarbeiten. Der Auftragnehmer darf Patientendaten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Der Auftraggeber hat erforderlichenfalls dem Auftragnehmer Weisungen zur Ergänzung seiner technischen und organisatorischen Einrichtungen und Maßnahmen zu erteilen.

(4) Sofern Auftragnehmer eine nicht öffentliche Stelle ist, hat der Auftraggeber sicherzustellen, dass der Auftragnehmer sich, sofern die Datenverarbeitung im Geltungsbereich dieses Gesetzes durchgeführt wird, der Kontrolle durch den Landesbeauftragten für den Datenschutz unterwirft. Bei einer Auftragsdurchführung außerhalb des Geltungsbereichs dieses Gesetzes ist die zuständige Datenschutzkontrollbehörde zu unterrichten.