Datenschutz auf der Praxiswebsite: Was DSGVO für Ärzte und Therapeuten konkret bedeutet

Wer als Arzt oder Therapeut eine Praxiswebsite betreibt, verarbeitet Patientendaten – schon mit dem ersten Klick. Eine IP-Adresse, ein Kontaktformular, ein Buchungssystem, ein eingebettetes Google-Bewertungs-Widget: All das fällt unter die DSGVO. Und die ist im medizinischen Bereich besonders streng, weil Gesundheitsdaten zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO zählen.

Das Problem: Die meisten Praxen haben eine Datenschutzerklärung, die irgendwann mal von einem Generator erstellt wurde – und seit Jahren nicht mehr angepasst wurde. Das ist nicht nur juristisch riskant, sondern auch ein Vertrauensproblem. Patientinnen und Patienten erkennen sehr genau, ob eine Praxis sorgfältig mit ihren Daten umgeht oder nicht.

Dieser Artikel zeigt dir konkret, was du als Ärztin, Arzt oder Therapeut in Deutschland beim Datenschutz auf deiner Praxiswebsite beachten musst – und wo die typischen Stolperfallen lauern. Er ist Teil meiner ausführlichen Übersicht zum Thema Online-Vertrauen für Arztpraxen.

Hinweis in eigener Sache: Die Inhalte dieses Artikels sind sorgfältig recherchiert, ersetzen aber keine individuelle Rechtsberatung. Bei konkreten Fragen zur DSGVO, zum BDSG oder zur Patientendaten-Verarbeitung empfehle ich die Rücksprache mit einem Fachanwalt für IT-Recht oder einem zertifizierten Datenschutzbeauftragten.

Warum Datenschutz auf der Praxiswebsite ein doppelter Hebel ist

Datenschutz wird oft als reines Pflichtthema wahrgenommen – ein juristisches Übel, das man hinter sich bringen muss. In Wahrheit ist saubere Datenschutz-Praxis aber eines der stärksten Vertrauenssignale, die du online setzen kannst.

Studien zeigen: Patientinnen und Patienten, die das Gefühl haben, ihre Daten seien bei einer Praxis sicher aufgehoben, sind deutlich eher bereit, Online-Terminbuchungen zu nutzen, Kontaktformulare auszufüllen oder Newsletter zu abonnieren. Wer Datenschutz transparent kommuniziert, baut Vertrauen auf, das weit über die juristische Pflicht hinausgeht.

Gleichzeitig sind Datenschutz-Verstöße ein erhebliches Risiko. Die Bußgelder reichen bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes – und auch wenn solche Höchststrafen für Praxen unrealistisch sind, sind Abmahnungen wegen mangelhafter Datenschutzerklärungen oder fehlender Cookie-Banner regelmäßig zu beobachten. Der Reputationsschaden ist oft größer als das Bußgeld selbst.

Datenschutz ist also kein Nebenthema. Er ist Teil deiner Marketingstrategie für die Arztpraxis – und ein direkter Vertrauenshebel.

Die rechtlichen Grundlagen im Überblick

Bevor wir konkret werden, kurz die wichtigsten Rechtsgrundlagen, die für deine Praxiswebsite gelten:

DSGVO (EU-Datenschutz-Grundverordnung): Seit 25. Mai 2018 in Kraft. Regelt grundsätzlich, wie personenbezogene Daten verarbeitet werden dürfen. Besonders relevant für dich: Art. 6 (Rechtsgrundlagen), Art. 9 (besondere Kategorien wie Gesundheitsdaten), Art. 13 (Informationspflichten) und Art. 32 (technische und organisatorische Maßnahmen).

BDSG (Bundesdatenschutzgesetz): Ergänzt die DSGVO auf nationaler Ebene. Enthält besondere Regelungen für Beschäftigtendaten und ergänzende Anforderungen.

TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz): Seit Dezember 2021 in Kraft. Regelt Cookies und vergleichbare Technologien – die Grundlage für die Cookie-Banner-Pflicht.

§ 203 StGB (ärztliche Schweigepflicht): Strafrechtlich verankert. Wer Berufsgeheimnisse offenbart, riskiert Geldstrafe oder Freiheitsstrafe bis zu einem Jahr.

Berufsordnung der Landesärztekammern: Konkretisiert die ärztlichen Verpflichtungen zum Patientendatenschutz auf standesrechtlicher Ebene.

Diese Regelwerke greifen ineinander. Ein Verstoß auf einer Ebene kann gleichzeitig Bußgelder, Abmahnungen, berufsrechtliche Konsequenzen und strafrechtliche Folgen nach sich ziehen.

Die Datenschutzerklärung als Herzstück

Jede Praxiswebsite braucht eine Datenschutzerklärung – das ist Pflicht nach Art. 13 DSGVO. Aber: Eine Standardvorlage aus dem Internet reicht nicht. Sie muss auf deine konkrete Praxis und auf die tatsächlich eingesetzten Tools zugeschnitten sein.

Was deine Datenschutzerklärung enthalten muss

Verantwortlicher und Datenschutzbeauftragter: Wer ist für die Datenverarbeitung verantwortlich? Wer ist der oder die Datenschutzbeauftragte (sofern bestellt)? Mit Adresse und Kontaktmöglichkeit.

Zwecke der Datenverarbeitung: Wofür werden welche Daten verarbeitet? Konkret: Kontaktformular, Online-Terminbuchung, Newsletter, Analytics, Maps, Schriften und alle weiteren Tools.

Rechtsgrundlagen: Auf welcher Basis verarbeitest du Daten? Einwilligung (Art. 6 Abs. 1 lit. a), Vertragserfüllung (lit. b), berechtigtes Interesse (lit. f) – jeder Verarbeitungsschritt braucht eine klare Grundlage.

Speicherdauer: Wie lange werden die Daten aufbewahrt? Nach welchen Kriterien?

Empfänger der Daten: Wer bekommt die Daten? Hosting-Anbieter, Buchungssystem, Newsletter-Tool, Analytics-Anbieter? Auch Übermittlungen in Drittländer (USA!) müssen aufgeführt sein.

Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Beschwerde bei der Aufsichtsbehörde.

Cookie- und Tracking-Hinweise: Welche Cookies werden gesetzt? Welche sind technisch notwendig, welche optional?

Die häufigsten Fehler

Aus der Praxisarbeit sehe ich immer wieder dieselben Schwachstellen:

Veraltete Datenschutzerklärung. Datenschutzgeneratoren werden ständig aktualisiert – wer einmal eine Erklärung erstellt und dann nie wieder anschaut, hat nach 1–2 Jahren oft erhebliche Lücken.

Tools ohne Erwähnung. Google Maps, Google Fonts, YouTube-Videos, ein Newsletter-Tool, ein Buchungssystem – diese Tools werden oft eingebunden, ohne dass die Datenschutzerklärung sie nennt. Das ist ein Dauerklassiker bei Abmahnungen.

Keine Differenzierung nach Datenkategorien. Patientendaten sind besondere Daten nach Art. 9 DSGVO und brauchen eine eigene rechtliche Grundlage – meist die Einwilligung. Wer das nicht differenziert, verstößt gegen die Informationspflichten.

Fehlerhafte Drittland-Übermittlungen. Wer Google Analytics oder ähnliche US-Tools nutzt, muss die Datenübermittlung in die USA korrekt abbilden. Seit dem Schrems-II-Urteil 2020 ist das ein Minenfeld – viele Datenschutzerklärungen sind hier veraltet.

Konkreter Tipp: Lass deine Datenschutzerklärung mindestens einmal jährlich aktualisieren – idealerweise von einem zertifizierten Datenschutzbeauftragten oder einem Fachanwalt. Wie diese Pflichtelemente in eine professionelle Praxiswebsite integriert werden, ist auch Teil der zwölf Elemente einer guten Praxiswebsite.

Cookie-Banner: Was wirklich erlaubt ist

Das Cookie-Banner ist eines der meist-abgemahnten Themen überhaupt. Seit dem TTDSG und mehreren Urteilen des EuGH und BGH gelten klare Regeln – die viele Praxen trotzdem ignorieren.

Die Pflicht zur echten Wahl

Jeder Cookie-Banner muss eine echte Wahl ermöglichen:

• Annehmen und Ablehnen müssen gleichwertig prominent sein
• Kein „Nudging" durch Farbgebung oder Größe
• Keine voreingestellten Häkchen für optionale Cookies
• Zustimmung muss aktiv erfolgen – Schweigen oder Weiterscrollen reicht nicht
• Widerruf der Einwilligung muss genauso einfach sein wie die Erteilung Praktisch heißt das: Der „Alles akzeptieren"-Button und der „Alles ablehnen"-Button müssen visuell gleichberechtigt sein. Ein grüner, fetter „Akzeptieren"-Button und ein grauer, kleiner „Ablehnen"-Link ist abmahnfähig.

Welche Cookies brauchen eine Einwilligung?

Nicht alle Cookies brauchen eine aktive Einwilligung:

Die Faustregel: Sobald ein Cookie für Statistik, Marketing oder Tracking gesetzt wird, brauchst du die Einwilligung. Technisch notwendige Cookies (z.B. ein Login-Session-Cookie) sind ohne Einwilligung erlaubt.

Empfohlene Cookie-Tools für Praxiswebsites

Für die meisten Praxen reicht eine schlanke, datenschutzfreundliche Lösung. Bewährt haben sich:

• Borlabs Cookie (für WordPress)
• Cookiebot (Plattform-übergreifend)
• Usercentrics (Enterprise-Lösung)
• Native Squarespace-Lösung (für Squarespace-Sites, mittlerweile rechtskonform) Bei Squarespace-Sites ist die hauseigene Cookie-Lösung inzwischen ausreichend für deutsche Praxen – sofern du sie korrekt konfigurierst und keine zusätzlichen Tracking-Tools über Code-Injection einbaust.

Kontaktformulare und Patientendaten

Kontaktformulare sind ein Dauerklassiker im Praxismarketing – und gleichzeitig ein Datenschutz-Brennpunkt. Patientinnen und Patienten schicken oft Gesundheitsinformationen über Formulare, ohne sich der Konsequenzen bewusst zu sein.

Wie du Kontaktformulare richtig aufsetzt

Minimales Datenfeld-Prinzip. Frage nur nach den Daten, die du wirklich brauchst. Name, Telefon oder E-Mail, kurze Nachricht – mehr ist meist nicht nötig. Jedes zusätzliche Pflichtfeld senkt die Conversion-Rate und erhöht das Datenschutzrisiko.

Klarer Hinweis zu Gesundheitsdaten. Direkt am Formular sollte stehen:

„Bitte senden Sie keine sensiblen Gesundheitsdaten über dieses Formular. Für vertrauliche Anliegen rufen Sie uns bitte an: [Telefonnummer]."

Dieser Hinweis schützt sowohl deine Patienten als auch dich. Wenn jemand trotzdem Gesundheitsdaten schickt, hast du den Hinweis dokumentiert.

Einwilligungs-Checkbox. Vor dem Absenden muss der Nutzer aktiv zustimmen, dass seine Daten verarbeitet werden dürfen. Ein Beispieltext:

„Ich willige ein, dass meine Angaben zur Beantwortung meiner Anfrage gespeichert und verarbeitet werden. Hinweis zum Datenschutz: [Link zur Datenschutzerklärung]."

Diese Checkbox darf nicht vorausgewählt sein. Aktive Zustimmung ist Pflicht.

Verschlüsselte Übertragung. Die Website muss SSL-verschlüsselt sein (HTTPS). Ohne SSL keine moderne Website mehr – und Datenschutzbehörden verfolgen Verstöße aktiv.

Sichere Speicherung. Eingehende Anfragen müssen sicher gespeichert oder unmittelbar gelöscht werden. Wer Anfragen in einem Standard-E-Mail-Postfach sammelt, sollte mindestens auf E-Mail-Verschlüsselung achten.

Was du bei Gesundheitsdaten beachten musst

Wenn ein Patient trotz Hinweis sensible Daten schickt (z.B. „Ich habe Rückenschmerzen seit drei Monaten"), wirst du zum Verarbeiter dieser besonderen Daten nach Art. 9 DSGVO. Dann gilt:

• Die Daten dürfen nur für den Zweck der Anfragebeantwortung genutzt werden
• Speicherung nur so lange wie nötig (meist bis zur Erledigung der Anfrage + Aufbewahrungsfristen)
• Keine Weitergabe an Dritte ohne ausdrückliche Einwilligung
• Bei Konvertierung in eine Patientenakte greift zusätzlich die Schweigepflicht

Online-Terminbuchung: Doctolib, jameda, samedi

Online-Terminbuchung ist eines der beliebtesten Tools auf Praxiswebsites – und einer der häufigsten Datenschutz-Stolpersteine. Wer Doctolib, jameda Pro, samedi oder ähnliche Anbieter einbindet, übermittelt Patientendaten an einen Drittanbieter.

Was rechtlich zu beachten ist

Auftragsverarbeitungsvertrag (AVV). Du brauchst mit jedem Anbieter einen AVV nach Art. 28 DSGVO. Die großen Anbieter stellen diese Verträge bereit – du musst sie aber aktiv abschließen.

Datenschutzerklärung anpassen. In deiner Datenschutzerklärung muss der Buchungsanbieter explizit genannt sein, mit Beschreibung der Datenverarbeitung.

Einbindung auf der Website. Vermeide iframe-Einbindungen, die schon vor der Cookie-Einwilligung Daten an den Anbieter senden. Eine bessere Lösung ist die Verlinkung mit Hinweis: „Sie werden zu unserem Buchungspartner Doctolib weitergeleitet, der eigene Datenschutzbestimmungen anwendet."

Server-Standort prüfen. Doctolib speichert Daten in der EU – das ist ein Vorteil. Andere Anbieter speichern teilweise in den USA, was zusätzliche Anforderungen mit sich bringt (Standardvertragsklauseln, ergänzende Maßnahmen).

Empfehlung für die Praxis

Für die meisten Praxen ist Doctolib die rechtssicherste Wahl, weil der Anbieter:

• DSGVO-konform aufgestellt ist
• Daten in der EU speichert
• AVV automatisch bereitstellt
• Eine eigene Datenschutzerklärung mitbringt Wenn du dich für ein anderes System entscheidest, prüfe diese Punkte vor der Einrichtung – nicht erst wenn die Abmahnung kommt.

Newsletter und Patientenmarketing

Newsletter sind ein wertvolles Werkzeug für Patienten-Bindung – aber datenschutzrechtlich heikel. Die wichtigsten Punkte:

Double-Opt-In ist Pflicht. Nach Anmeldung muss der Nutzer eine Bestätigungs-E-Mail erhalten und den enthaltenen Link aktivieren. Ohne diesen zweiten Schritt ist die Einwilligung unwirksam.

Werbe-E-Mails brauchen aktive Einwilligung. § 7 UWG schreibt das vor. Du darfst Patienten nicht einfach zu deinem Newsletter anmelden, weil sie schon einmal in deiner Praxis waren – das wäre eine unzulässige Werbung.

Abmeldung muss einfach sein. Jede Newsletter-Mail muss einen funktionierenden Abmelde-Link enthalten. Eine versteckte oder schwer auffindbare Abmeldung ist abmahnfähig.

Datenschutzfreundliche Tools. CleverReach, Brevo (früher Sendinblue) und Rapidmail haben Server in der EU. Mailchimp speichert in den USA und bringt zusätzliche Datenschutzfragen mit sich.

Analytics und Tracking auf der Praxiswebsite

Das Tracking-Thema wird oft unterschätzt – und ist gleichzeitig eines der häufigsten Abmahnobjekte. Drei Szenarien:

Szenario 1: Du nutzt Google Analytics

Google Analytics ist nach DSGVO grundsätzlich erlaubt – aber nur mit aktiver Einwilligung des Nutzers (Cookie-Banner mit echter Wahl) und korrekter Konfiguration:

• IP-Anonymisierung aktiviert
• Datenaustausch mit anderen Google-Diensten deaktiviert
• AVV mit Google abgeschlossen
• Datenschutzerklärung enthält Google Analytics ausdrücklich Falls du diese Punkte nicht alle umgesetzt hast, ist die Einbindung problematisch.

Szenario 2: Du nutzt eine datenschutzfreundlichere Alternative

Matomo (selbst gehostet) ist die DSGVO-freundlichste Lösung – Daten bleiben auf deinem Server, kein Drittland-Transfer. Auch Plausible und Fathom Analytics sind datenschutzfreundliche Alternativen.

Bei diesen Tools brauchst du oft keine Cookie-Einwilligung, weil sie keine personenbezogenen Cookies setzen.

Szenario 3: Du nutzt gar kein Tracking

Auch das ist eine valide Option – besonders für kleine Praxen mit überschaubarem Online-Marketing. Ohne Tracking gibt es keine Daten, die geschützt werden müssten. Das vereinfacht die Datenschutzerklärung erheblich.

Embeds: Google Maps, YouTube, Schriften

Eingebettete Inhalte sind die unsichtbarsten Datenschutz-Risiken auf Praxiswebsites. Sobald die Seite lädt, werden Daten an externe Server geschickt – oft ohne dass der Nutzer es merkt.

Google Maps. Standard-Einbindung übermittelt Daten an Google. Lösung: 2-Klick-Lösung (Karte erscheint erst nach Bestätigung) oder einbettungsfreie Alternativen wie OpenStreetMap.

YouTube-Videos. Die normale Einbindung lädt sofort Daten an YouTube. Lösung: „Erweiterter Datenschutzmodus" (youtube-nocookie.com) und 2-Klick-Lösung.

Google Fonts. Werden viele Schriften standardmäßig von Google-Servern geladen. Lösung: Schriften lokal hosten – ist auch schneller.

Social-Media-Buttons. Echte Social-Plugins von Facebook, Twitter etc. übermitteln sofort Daten. Lösung: Statische Icons mit Link statt aktiver Plugins.

Der Aufwand für korrekte Einbindung ist überschaubar – aber die Auswirkung auf Vertrauen und Rechtssicherheit ist erheblich.

Was du heute konkret tun solltest

Wenn du aus diesem Artikel nur drei Dinge mitnehmen willst, dann diese:

Erstens: Lass deine Datenschutzerklärung von einem Profi prüfen. Eine veraltete oder unvollständige Erklärung ist das häufigste Abmahnrisiko.

Zweitens: Optimiere deinen Cookie-Banner. „Akzeptieren" und „Ablehnen" müssen gleichwertig sein – das ist abmahnfähig, wenn nicht.

Dritter Punkt: Prüfe alle externen Einbindungen. Google Maps, YouTube, Schriften, Buchungssysteme, Analytics – jedes externe Tool ist ein potenzielles Datenschutz-Thema.

Weiterlesen: Wie sich Datenschutz, Praxiswebsite, Google-Profil und Bewertungen zu einem konsistenten Vertrauensbild verbinden, zeigt der ausführliche Übersichtsartikel Online Vertrauen als Arzt oder Therapeut in Deutschland aufbauen.

Datenschutz ist nicht das Lieblingsthema vieler Praxen. Aber er ist eines der wenigen Themen, bei denen sich gute Arbeit doppelt auszahlt: rechtlich abgesichert und gleichzeitig vertrauensbildend. Wenn du wissen willst, wo deine Praxiswebsite aktuell steht, prüfen wir das im Rahmen eines Praxiswebsite-Checks konkret durch. Oder vereinbare gern ein kostenloses Erstgespräch mit Holger Ort.