medizin-websites.de
Spoke-Artikel · 14 Min Lesezeit

DSGVO-konforme Praxiswebsite , die Checkliste 2026.

Datenschutz auf Praxis-Websites ist 2026 nicht mehr verhandelbar, und Heilberufe stehen besonders im Fokus, weil Gesundheitsdaten als besonders schützenswert gelten. Dieser Artikel fasst die wichtigsten Anforderungen in 20 prüfbaren Punkten zusammen.

Von David Malewski · Gründer & Geschäftsführer, medizin-websites.de · Veröffentlicht am 11. Juni 2026

Hinweis. Dieser Artikel ersetzt keine Rechtsberatung. Er fasst die aktuell etablierte Praxis 2026 zusammen, bei komplexen Setups (Patientenportal, Telemedizin, mehrere Standorte mit eigener Rechtsform) gehört ein Datenschutzanwalt oder ein:e externe:r DSB an Bord.

1. Warum Praxen ein erhöhtes DSGVO-Risiko tragen

Praxis-Websites verarbeiten potenziell Gesundheitsdaten. Diese gehören nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten und unterliegen einem strikten Verbot mit Erlaubnisvorbehalt: erlaubt nur mit ausdrücklicher Einwilligung, im Rahmen der Behandlung oder bei gesetzlicher Grundlage. Schon das Versenden einer Symptombeschreibung über ein unverschlüsseltes Kontaktformular ist ein Risiko.

Hinzu kommt: Patient:innen sind sensibilisiert. Beschwerden bei den Landesdatenschutzbehörden im Gesundheitssektor sind seit 2022 deutlich gestiegen, und spezialisierte Abmahnkanzleien haben sich auf Heilberufe-Websites eingeschossen.

2. Hosting und Auftragsverarbeitung

Pflicht: Server in Deutschland oder im EU-Raum. Anbieter mit US-Hosting (auch wenn Server in Frankfurt stehen, aber Mutterkonzern in den USA) sind nach dem Schrems-II-Urteil rechtlich heikel; mit „Trans-Atlantic Data Privacy Framework“ wieder etwas entspannter, aber für Gesundheitsdaten weiterhin risikobehaftet.

AVV: Mit dem Hosting-Anbieter und jedem Drittdienstleister, der Daten verarbeitet (Mailprovider, Terminbuchungs-Tool, Newsletter-System), wird ein Auftragsverarbeitungsvertrag geschlossen. Seriöse Anbieter (All-Inkl, IONOS Business, Hetzner, Plausible) stellen ihn automatisch im Kundenkonto bereit.

3. Tracking: Plausible, Matomo, GA4

GA4: Datenfluss in die USA, ausdrückliche Einwilligung erforderlich, IP-Anonymisierung Pflicht. Für Praxen praktisch ungeeignet, weil hohe Banner-Dismissal-Quote die Daten unbrauchbar macht.

Plausible: Open-Source-Analytics aus der EU, ohne Cookies, ohne personenbezogene Speicherung. Kein Banner nötig. ~9 € / Monat.

Matomo (Cloud, Cookieless): Vergleichbar, etwas umfangreicher, ebenfalls EU-basiert. ~19 € / Monat.

Empfehlung Praxen: Plausible. Reicht für die drei relevanten KPIs (Anrufe, Anfragen, Bewerbungen), spart Banner-Frust.

4. Google Fonts und Schriften

Das Urteil LG München I, 20.01.2022, Az. 3 O 17493/20 hat den Standard gesetzt: Google Fonts müssen lokal gehostet werden. Praktisch: WOFF2-Dateien herunterladen, im Projekt-Ordner ablegen, per @font-face einbinden. Keine Einbindung überfonts.googleapis.com. Das Gleiche gilt analog für andere CDN-Fonts (Adobe Fonts, Bunny Fonts ist EU-basiert und gilt als unkritisch).

5. Videos, Karten, Social-Media-Embeds

Jedes externe Embed lädt im Hintergrund Daten und ist daher DSGVO-relevant.

  • YouTube: youtube-nocookie.com mit „Klick-zum-Laden“-Overlay (Lite-YouTube-Embed). Sonst Einwilligung im Banner.
  • Google Maps: Statisches Bild verlinkt zu Maps, oder OpenStreetMap mit eigener Tile-URL (Leaflet, MapLibre). Iframe nur mit Einwilligung.
  • Instagram / Facebook: Niemals direkt einbetten. Stattdessen Screenshot mit Verlinkung oder Shariff-Buttons.

6. Kontaktformulare und Patientendaten

Pflichten: SSL-Verschlüsselung (TLS 1.2+), Pflichtfelder klar markieren, Einwilligungs- Checkbox mit Verweis auf Datenschutzerklärung. Keine medizinischen Detail-Abfragen im unverschlüsselten Formular, Faustregel: alles, was über „Name, Telefon, kurzer Anlass“ hinausgeht, gehört nicht ins Webformular, sondern in einen geschützten Patientenportal-Bereich.

Speicherfristen definieren: Kontaktformular-Eingänge nach Bearbeitung max. 6 Monate (oder kürzer) aufbewahren, danach löschen. Im Mailprogramm regelmäßige Aufräum-Routine.

7. Cookie-Banner nach DSGVO und TTDSG

Wer einen Banner braucht, braucht einen rechtskonformen. Mindestanforderungen:

  • „Akzeptieren“ und „Ablehnen“ gleich prominent (kein Dark Pattern).
  • Keine Vor-Häkchen bei nicht-essenziellen Cookies.
  • Granulare Auswahl (Statistik, Marketing) möglich.
  • Einwilligung dokumentiert und revozierbar (Consent-Manager).
  • Erst nach Einwilligung dürfen Skripte geladen werden.

Tools: Cookiebot, Borlabs Cookie, Real Cookie Banner. Alle drei seriös, Preise 5–25 € / Monat. Wer mit Plausible + lokalen Fonts + ohne US-Embeds arbeitet, kann den Banner komplett vermeiden, und gewinnt Conversion.

8. Datenschutzerklärung, Pflichtbestandteile

  • Verantwortlicher mit Anschrift und Kontakt.
  • Datenschutzbeauftragte:r (falls Bestellpflicht besteht, bei vielen Praxen ja).
  • Zwecke und Rechtsgrundlagen jeder Datenverarbeitung.
  • Empfänger (Hosting, Mail, Terminbuchung, Analytics).
  • Speicherdauer pro Datenkategorie.
  • Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch).
  • Beschwerderecht bei der zuständigen Aufsichtsbehörde.
  • Hinweis auf Verarbeitung besonderer Kategorien nach Art. 9 DSGVO.

9. Online-Termin und Patientendaten in der Cloud

Bei Tools wie Doctolib, Doctena, samedi, jameda Termin: AVV abschließen, in der Datenschutzerklärung benennen, Speicherorte transparent machen. Praktisch sicher sind Anbieter mit EU-Server-Standort und expliziter Gesundheitsdaten-Zertifizierung. Patient:innen müssen vor Eingabe der Termindaten über die Datenverarbeitung informiert werden, eine kurze Erläuterung neben dem Eingabefeld reicht.

10. Bußgeld-Realität im Heilberufe-Sektor

Die Landesdatenschutzbehörden veröffentlichen jährlich Tätigkeitsberichte. Wiederkehrende Verstöße bei Praxis-Websites: fehlende Verschlüsselung von Kontaktformularen, Google Fonts extern eingebunden, fehlende AVV, US-Tracker ohne Einwilligung, intransparente Datenschutzerklärung. Bußgelder liegen typischerweise zwischen 1.500 € (Erstverstoß, kooperativ) und 25.000 € (mehrfach, vorsätzlich). Abmahnungen von Mitbewerbern oder Verbraucherzentralen beginnen bei 700 €.

11. 20-Punkte-Audit-Checkliste

  1. SSL-Zertifikat aktiv (alle Seiten unter https)?
  2. Hosting-Standort Deutschland oder EU?
  3. AVV mit Hosting-Anbieter geschlossen und dokumentiert?
  4. Google Fonts lokal eingebunden?
  5. Keine externen CDN-Skripte ohne Einwilligung?
  6. Analytics über Plausible / Matomo Cookieless (oder GA4 mit Einwilligung)?
  7. YouTube über nocookie-Domain oder „Klick-zum-Laden“-Overlay?
  8. Google Maps statisch oder mit Einwilligung?
  9. Kontaktformular mit SSL und Einwilligungs-Checkbox?
  10. Keine medizinischen Detail-Abfragen im Webformular?
  11. Cookie-Banner rechtskonform (gleichgewichtet, keine Vor-Häkchen)?
  12. Skripte werden erst nach Einwilligung geladen?
  13. Datenschutzerklärung aktuell, vollständig, individualisiert?
  14. Impressum nach § 5 TMG vollständig (siehe Pillar-Artikel)?
  15. Datenschutzbeauftragte:r benannt und in DSE genannt (falls erforderlich)?
  16. Online-Termin-Anbieter mit AVV und EU-Standort?
  17. Mailprovider mit AVV und EU-Standort?
  18. Newsletter-System (falls genutzt) mit Double-Opt-In und Abmeldung?
  19. Bewertungs-Widget DSGVO-konform (kein externer Iframe ohne Einwilligung)?
  20. Regelmäßiges Re-Audit (alle 12 Monate) im Kalender?
Audit gefällig?

Wir prüfen Ihre Praxis-Website auf DSGVO-Konformität.

Im Rahmen unserer Webdesign-Pakete ist das DSGVO-konforme Setup Standard, auch beim Relaunch bestehender Websites.

Leistung ansehen Audit anfragen
Häufige Fragen

DSGVO Praxiswebsite, häufige Fragen.

Warum ist DSGVO bei Praxis-Websites besonders kritisch?

Praxis-Websites verarbeiten potenziell Gesundheitsdaten, eine besondere Kategorie personenbezogener Daten nach Art. 9 DSGVO. Schon das bloße Senden einer Symptombeschreibung über ein Kontaktformular kann eine besonders schützenswerte Datenverarbeitung darstellen. Verstöße werden härter geahndet als bei „normalen“ Websites.

Darf ich Google Analytics 4 (GA4) einsetzen?

Nur mit ausdrücklicher, granularer Einwilligung im Cookie-Banner und mit IP-Anonymisierung, und auch dann mit Restrisiko (Datenfluss in die USA). Empfehlung für Praxen: auf GA4 verzichten und stattdessen Plausible oder Matomo (Cookieless) einsetzen.

Muss ich Google Fonts lokal hosten?

Ja. Das Urteil LG München I vom 20.01.2022 (Az. 3 O 17493/20) stellte fest: Die Übertragung der IP-Adresse an Google beim Laden externer Fonts ist ohne Einwilligung unzulässig. Praktisch heißt das: Fonts als WOFF2-Dateien lokal einbinden, nicht via Google-Fonts-CDN.

Brauche ich einen Cookie-Banner?

Nur wenn nicht-essenzielle Cookies oder Tracking-Tools eingesetzt werden, die personenbezogene Daten verarbeiten. Wer auf Plausible / Matomo (Cookieless) setzt und keine US-Embeds nutzt, kann den Banner oft weglassen, das verbessert nebenbei die Conversion-Rate um 5–10 %.

Sind YouTube-Embeds erlaubt?

Mit Standard-Embed: nur mit aktiver Einwilligung im Cookie-Banner, da YouTube beim Laden Cookies setzt und Daten in die USA überträgt. Bessere Lösung: YouTube-Nocookie-Domain (youtube-nocookie.com) plus „Klick zum Laden“-Lösung (Shariff, Lite-YouTube), die das Video erst nach explizitem Klick einbettet.

Was passiert bei einem DSGVO-Verstoß auf der Praxis-Website?

Abmahnung von Mitbewerber:innen, Verbraucherzentralen oder spezialisierten Kanzleien ab 700 € Aufwandsentschädigung. In Heilberufen zusätzlich Risiko durch Patient:innen-Beschwerden bei der Landesdatenschutzbehörde, Bußgeld i. d. R. 1.500–10.000 €, in schweren Fällen auch fünfstellig.

Was muss in die Datenschutzerklärung einer Praxis-Website?

Verantwortlicher, Datenschutzbeauftragte:r (falls bestellt), Zweck und Rechtsgrundlage jeder Verarbeitung, Empfänger (z. B. Hosting-Anbieter, Mailprovider, Terminbuchungs-Tool), Speicherdauer, Betroffenenrechte, Beschwerderecht. Bei besonderen Kategorien (Gesundheitsdaten): Hinweis auf Art. 9 Abs. 2 DSGVO.

Reicht eine Vorlage aus dem Internet?

Als Ausgangspunkt ja, als Endprodukt nein. Generatoren von eRecht24, activeMind oder Datenschutz-Generator sind brauchbar, müssen aber an die tatsächlich eingesetzten Dienste angepasst werden. Eine generische Vorlage ohne Anpassung ist abmahnbar.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Vertrag mit jedem Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet, Hosting, Mailprovider, Newsletter-Tool, Terminbuchungs-Software. Ohne AVV ist die Datenverarbeitung formal unrechtmäßig. Seriöse Anbieter stellen den AVV automatisch im Kundenbereich bereit.

Darf ich Patient:innen-Bewertungen auf der Website einbinden?

Ja, aber DSGVO-konform: keine direkte Google-Maps-Iframe-Einbindung. Stattdessen Server-seitiger Abruf der Bewertungen über die Google-API mit Caching, oder ein passives Sterne-Widget. Bei der Auswahl der angezeigten Bewertungen: nur echte, vollständig wiedergeben, Vor-Filterung nur 5-Sterne ist wettbewerbsrechtlich riskant.

Foto von David Malewski

David Malewski · Gründer & Geschäftsführer, medizin-websites.de

David ist Gründer und Geschäftsführer von medizin-websites.de. Gemeinsam mit seinem Team aus Designer:innen, Entwickler:innen und SEO-Spezialist:innen setzt er Praxiswebsites für Arzt-, Zahnarzt- und Therapie-Praxen in ganz Deutschland um, über 40 Projekte zwischen Hamburg und München. Schwerpunkte: HWG-konformes Webdesign, Local SEO für Heilberufe und Recruiting-Strecken für MFA, ZFA und Therapeut:innen.

Veröffentlicht am 11. Juni 2026

Verwandte Artikel

Weiterlesen im Wissens-Cluster

Praxiswebsite erstellen: Leitfaden 2026

Anbieter, Recht, Local SEO, BFSG.

Kosten einer Praxiswebsite

Festpreis, TCO, ROI-Rechnung.

Local SEO für Arztpraxen

12-Schritte-Plan.

Leistung: Praxiswebsite erstellen
Branche: Hausärzte
Branche: Zahnärzte