(1) Die Rechtsträger der Krankenanstalten sind ermächtigt, zum Zweck der Erfüllung der Aufgaben der Krankenanstalt, insbesondere zur Erfüllung der §§ 33 und 34, die dafür erforderlichen personenbezogenen Daten von Patienten, die in Anstaltspflege genommen oder ambulant untersucht oder behandelt werden, einschließlich der notwendigen Gesundheitsdaten zu verarbeiten. Die Verarbeitung darf auch mittels automatisierter Verfahren erfolgen.

(2) Soweit es sich um Daten handelt, die sich unmittelbar auf die Krankheit (Krankheitsbehandlung) beziehen, kann die Beauskunftung auf Anordnung des ärztlichen Leiters der Krankenanstalt oder eines von ihm beauftragten Arztes zum Schutz des Patienten im unbedingt erforderlichen Ausmaß verweigert oder eingeschränkt werden, wenn und soweit durch die Beauskunftung der Fortgang des Behandlungsprozesses nachteilig beeinflusst werden kann.

(3) Das medizinische Personal und das Verwaltungspersonal der Krankenanstalten und der Rechtsträger der Krankenanstalten dürfen auf Patientendaten insoweit zugreifen, als dies zur Erfüllung ihrer Aufgaben erforderlich ist. Dies gilt auch für die in einer Kinder-, Opfer- oder Gewaltschutzgruppe (§ 30a) tätigen Personen zum Zweck der Erfüllung der Aufgaben einer solchen Gruppe. Im Übrigen sind der Zugriff auf solche Daten und deren Weitergabe, sofern dadurch die betreffenden Personen identifiziert werden können, nur mit deren Einwilligung und nur dann gestattet, wenn kein öffentliches Interesse entgegensteht.

(4) Die Rechtsträger von Krankenanstalten sind ermächtigt, anonymisierte Daten von Patienten zu Zwecken der Ausbildung an Ausbildungseinrichtungen für Gesundheitsberufe zu übermitteln. Die Übermittlung darf nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen.