DSGVO-konforme Website für Arztpraxen
← Alle Beiträge
Recht & Barrierefreiheit

DSGVO Arztpraxis Website: Was du wissen solltest

24. Februar 2026 · 7 Min. Lesezeit · Greenstein Designagentur

DSGVO-konforme Website für Arztpraxen: Datenschutz, Patientendaten und rechtliche Anforderungen für medizinische Praxen.

Eine Website für eine Arztpraxis ist nicht wie jede andere Website. Ärzte und medizinische Fachkräfte behandeln hochsensible Patientendaten. Das bedeutet: Besondere rechtliche und datenschutzrechtliche Anforderungen.

Die Datenschutz-Grundverordnung (DSGVO) und das Telemediengesetz (TMG) stellen klare Anforderungen an medizinische Websites. Wer diese ignoriert, riskiert empfindliche Bußgelder – bis zu 20 Millionen Euro oder 4% des Jahresumsatzes.

In diesem Artikel zeigen wir dir, worauf du achten musst.

Das Wichtigste auf einen Blick

  • Die DSGVO gilt auch für medizinische Websites – Patientendaten sind „besondere Kategorien” von Daten mit höchstem Schutz
  • Besondere technische und organisatorische Maßnahmen sind erforderlich – nicht nur Standard-Datenschutz
  • Kontaktformulare und Anfragen müssen verschlüsselt sein – unverschlüsselte Patientendaten sind nicht DSGVO-konform
  • Patienten-Einwilligung ist essentiell – für alle Datenverarbeitungen
  • Eine klare Datenschutzerklärung ist Pflicht – nicht nur optional

Warum ist Datenschutz bei Arztpraxen so wichtig?

Gesundheitsdaten sind hochsensibel

Medizinische Informationen sind persönliche Daten der höchsten Kategorie. Ein Datenleck könnte:

  • Patienten-Vertrauen zerstören
  • Medizinische Geheimhaltung brechen
  • Berufsgeheimnis verletzen
  • Massive Bußgelder nach sich ziehen

Juristische Konsequenzen

Datenschutzverstöße im medizinischen Bereich führen zu:

  • Bußgelder bis 50.000 Euro pro Verstoß (je nach Schweregrad)
  • Abmahnungen durch Wettbewerber oder Datenschutzbehörden
  • Haftung gegenüber Patienten (Schadensersatzansprüche)
  • Reputationsschaden (kaum zu reparieren)

Anforderung 1: SSL/TLS-Verschlüsselung

Dies ist das Minimum und muss vorhanden sein:

Was ist erforderlich:

  • HTTPS überall – die gesamte Website muss mit HTTPS verschlüsselt sein
  • Valid SSL-Zertifikat – nicht selbstsigniert
  • Starke Verschlüsselung – mindestens TLS 1.2 oder höher
  • Sicheres Hosting – nicht auf fragwürdigen, günstigen Servern Kontrolle:
  • Öffne deine Website in einem Browser
  • Oben links sollte es ein grünes Schloss geben
  • Wenn nicht: Sofort handeln! Kosten:
  • SSL-Zertifikate kosten 20-200 Euro pro Jahr
  • Oft kostenlos bei guten Hosting-Anbietern

Anforderung 2: Kontaktformulare und Anfragen richtig gestalten

Kontaktformulare auf medizinischen Websites sind kritisch: Was du NICHT machen darfst:

  • Keine sensiblen Patientendaten via einfaches Kontaktformular sammeln
  • Keine Krankengeschichte im Formularfeld anbringen
  • Nicht nach Name + Medizinischer Vorgeschichte fragen Was du TUN solltest:
  • Minimale Datenabfrage: Nur Name, Telefon, E-Mail
  • Einwilligungscheckbox: “Ich habe die Datenschutzerklärung gelesen und akzeptiert”
  • Verschlüsselte Übertragung: HTTPS muss aktiviert sein
  • Hinweis unter dem Formular: z.B. “Sensitive Patientendaten bitte nicht per Formular senden – rufen Sie uns an”
  • Double-Opt-In optional: Bestätigung der E-Mail ist empfohlen Muster-Formulierung: “Ihre Anfrage wird verschlüsselt übertragen. Für medizinische Notfälle rufen Sie bitte direkt an: [TELEFON]“

Anforderung 3: Datenschutzerklärung

Eine generische Datenschutzerklärung reicht NICHT aus. Du brauchst eine spezialisierte Datenschutzerklärung für deine Praxis. Muss enthalten:

  • Welche Daten du sammelst (Name, Email, Kontaktformular, Google Analytics, etc.)
  • Wofür du diese Daten nutzt
  • Wie lange du sie speicherst
  • Wer hat Zugriff darauf
  • Wo die Daten gehostet werden
  • Rechte der Patienten (Auskunft, Berichtigung, Löschung)
  • Deine Datenschutzbeauftragte (wenn erforderlich)
  • Widerspruchsrecht gegen Datenverarbeitung

Wichtig

  • Schreib selbst, nicht einfach Kopieren
  • Spezifisch für deine Praxis sein (nicht generisch)
  • Regelmäßig aktualisieren
  • Anwalt oder Datenschutzexperte sollte das überprüfen

Anforderung 4: Google Analytics und Tracking

Viele Websites nutzen Google Analytics oder Facebook Pixel zum Tracking. Bei Arztpraxen ist das kritisch: Das Problem:

  • Google erhält Daten über Besucher (IP-Adressen, Verhalten)
  • Facebook Pixel verfolgt Nutzer über Websites
  • Dies kann gegen DSGVO verstoßen, wenn nicht richtig umgesetzt Erlaubte Optionen:
  • Google Analytics mit anonymisierten IP-Adressen (IP muss anonymisiert sein)
  • Matomo (Open Source Alternative) – Datenschutz-freundlicher
  • Lokales Analytics-Tool – beste Lösung
  • Kein Tracking – ebenfalls akzeptabel (Facebook Pixel ist problematisch) Muss dokumentiert sein:
  • Datenschutzerklärung muss Google Analytics erwähnen
  • Patienten müssen der Nutzung zustimmen können
  • Opt-Out Möglichkeit sollte vorhanden sein

Anforderung 5: Hosting und Datenverarbeitung

Wo deine Website gehostet wird, ist wichtig: DSGVO-konformes Hosting erfordert:

  • EU-Server: Idealerweise Deutschland oder andere EU-Länder (NICHT USA)
  • Auftragsverarbeitungsvertrag (AVV): Mit dem Hosting-Provider (muss unterschrieben sein)
  • Datenschutzgerechte Infrastruktur: Backup, Verschlüsselung, Sicherheit
  • Keine unerlaubten Datenübermittlungen: Z.B. keine US-Server (Schrems-II Urteil beachten) Empfehlung:
  • Deutsches Hosting nutzen (z.B. Strato, Webgo, Hetzner, 1&1)
  • AVV mit Provider abschließen
  • Regelmäßige Sicherheitsüberprüfungen

Anforderung 6: Patient’s Rights und Auskunftspflicht

Patienten haben Rechte nach DSGVO: Du musst auf Anfrage bieten können:

  • Auskunft: Welche Daten hast du über den Patienten?
  • Berichtigung: Daten korrigieren, wenn falsch
  • Löschung: “Recht auf Vergessenwerden”
  • Widerspruch: Gegen Datenverarbeitung
  • Portabilität: Daten exportieren in maschinenlesbarer Form Praktisch heißt das:
  • Dokumentieren, welche Patientendaten du hast
  • Prozess für Auskunftsanfragen etablieren
  • System zur Beantwortung von DSGVO-Anfragen

Anforderung 7: Datenschutzbeauftragte (DSB)

Die Frage: Brauchst du einen Datenschutzbeauftragten? Ja, wenn:

  • Du systematisch und in großem Umfang Patientendaten verarbeitest
  • Deine Praxis 10+ Mitarbeiter hat
  • Es um Patientenbehandlung und -abrechnung geht Nein, wenn:
  • Du Solo-Praktiker bist
  • Du minimal Daten sammelst
  • Hauptsächlich Informationen bereitstellst Empfehlung: Auch bei kleineren Praxen ist ein externer DSB oft sinnvoll (kostet 300-500 Euro/Jahr)

Anforderung 8: Patientenfotos und Datenschutz

Falls du Patientenfotos auf der Website zeigen möchtest: Das ist problematisch und erfordert:

  • Schriftliche Einwilligung des Patienten (nicht mündlich)
  • Spezifische Zustimmung für jeden Bereich (Website, Broschüre, etc.)
  • Einfaches Widerrufsrecht für den Patienten
  • Dokumentation der Einwilligung Besser:
  • Nur generische Fotos verwenden (keine Patientengesichter)
  • Falls Patienten gezeigt: Stock-Fotos mit prominenten, bezahlten Modellen

Anforderung 9: Telemedizin und Video-Konsultationen

Falls du Telemedizin anbietest: Anforderungen:

  • Verschlüsselte Verbindung (End-to-End)
  • DSGVO-konforme Videokonferenz-Plattform (z.B. Jitsi, nicht Zoom für Patienten)
  • Sichere Authentifizierung (z.B. Two-Factor Authentication)
  • Einwilligung des Patienten zur Datenverarbeitung
  • Datensicherung nach Termin (NICHT dauerhaft speichern)
  • Speicherdauer dokumentieren (z.B. 30 Tage nach Konsultation)

Checkliste: Ist deine Website DSGVO-konform?

  • HTTPS überall aktiviert (grünes Schloss sichtbar)
  • Datenschutzerklärung vorhanden und aktuell
  • Kontaktformulare mit Einwilligung ausgestattet
  • Google Analytics mit anonymisierter IP (oder Alternative)
  • AVV mit Hosting-Provider abgeschlossen
  • Deutsche/EU-Server genutzt
  • Keine sensiblen Patientendaten im Formular
  • Patientenrechte dokumentiert
  • Evtl. Datenschutzbeauftragte benannt
  • Telemedizin (falls angeboten) verschlüsselt
  • Regelmäßige Sicherheitsüberprüfungen geplant

Häufige Fehler vermeiden

Fehler 1: Zu viele Daten sammeln

Manche Praxen fragen im Formular nach kompletter Krankengeschichte. Das ist nicht nötig und erhöht das Datenschutz-Risiko.

Fehler 2: Keine Einwilligung

Kontaktformulare ohne Datenschutz-Checkbox sind nicht konform.

Fehler 3: Unverschlüsselte Übertragung

Alte Websites ohne HTTPS sind nicht akzeptabel.

Fehler 4: Patientenfotos ohne Zustimmung

Die größte Rechtsverletzung: Patienten auf der Website zeigen ohne schriftliche Zustimmung.

Fehler 5: Generische Datenschutzerklärung kopiert

Copy-Paste ist nicht DSGVO-konform. Du brauchst eine individuelle Datenschutzerklärung.

Budget für DSGVO-Compliance

  • Datenschutzerklärung: 500-1.500 Euro (Anwalt)
  • Website-Audit: 500-1.000 Euro
  • AVV mit Hosting: Meist kostenlos oder als Vertrag
  • Externe Datenschutzbeauftragte: 300-500 Euro/Jahr
  • Schulung von Mitarbeitern: 500-2.000 Euro Gesamtbudget: 1.500-4.000 Euro initial, dann 300-500 Euro/Jahr Wartung

Fazit: Datenschutz ist Vertrauen

Patienten vertrauen dir mit ihren sensitivsten Daten. Eine DSGVO-konforme Website zeigt, dass du dieses Vertrauen ernst nimmst.

Die gute Nachricht: Mit den richtigen Maßnahmen (HTTPS, klare Datenschutzerklärung, sichere Formulare, EU-Hosting) ist es nicht kompliziert. Nächste Schritte:

  1. Überprüfe deine Website mit der Checkliste
  2. Falls Probleme: Beauftrage einen Experten für ein Audit
  3. Implementiere die notwendigen Änderungen
  4. Dokumentiere alles
  5. Schule dein Team

Eine sichere, konforme Website ist nicht nur legal – sie ist auch ein Wettbewerbsvorteil. Patienten schätzen Praxen, die ihre Daten schützen.

Bereit, deine Marke auf das nächste Level zu bringen?

Greenstein Designagentur ist dein Partner für Webdesign, Employer Branding und Markenstrategie – aus Hildesheim für ganz Deutschland.

Erstgespräch vereinbaren → Unsere Projekte ansehen
← Zurück zum Blog
Mehr lesen: Employer Branding Mitarbeitergewinnung Über uns
5.0 47 Bewertungen
Kostenlose Analyse