Auch Krankenhäuser haben die gesetzliche Pflicht, einen Datenschutzbeauftragten zu bestellen (§ 51 Landeskrankenhausgesetz – LKHG).
§ 51 LKHG schreibt für jedes Krankenhaus einen Beauftragten vor, unabhängig vom
Datenverarbeitungsverfahren und der Zahl der damit betrauten Arbeitnehmer. Es kann für mehrere Krankenhäuser zusammen ein gemeinsamer Beauftragter bestellt werden. Eine Obergrenze wird nicht festgelegt. Sie ist jedoch dort erreicht, wo der Datenschutzbeauftragte angesichts der Zahl und Größe der Krankenhäuser seine Aufgaben nicht mehr sachgerecht erfüllen könnte. Entsprechendes gilt für Vorsorge- und Rehabilitationseinrichtungen (§§ 51, 43 LKHG).
Im Übrigen gelten die Bestimmungen der §§ 4f und 4g des Bundesdatenschutzgesetzes (BDSG). Für die ohnehin unter das BDSG fallenden Krankenhäuser (z.B. GmbH) gelten sie unmittelbar; für die unter das Landesdatenschutzgesetz fallenden öffentlichen Krankenhäuser gelten sie dagegen entsprechend.
Betroffene Einrichtungen handeln ordnungswidrig, wenn sie nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig einen Beauftragten für den Datenschutz bestellt haben (§ 43 Absatz 1 Nr. 2 BDSG). Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden (§ 43 Absatz 3 Satz 1 BDSG).