DSGVO und Patientendaten: Was auf Ihrer Praxis-Website erlaubt ist
Eine Arztpraxis in Bayern antwortete auf eine negative Google-Bewertung – und nannte dabei Gesundheitsdaten des Patienten. Bußgeld: 3.300 Euro. Ein Krankenhaus in Rheinland-Pfalz hatte Patienten aufgrund mangelhafter Prozesse verwechselt und Daten offengelegt. Bußgeld: 105.000 Euro. Beides keine Großkonzerne. Beides DSGVO-Verstöße, die auf der Website begannen.
Ihre Praxis-Website verarbeitet mehr Daten, als Sie denken. Schon wenn ein Patient das Kontaktformular öffnet, greift die DSGVO. Beschreibt er seine Symptome, greifen die strengsten Regeln des europäischen Datenschutzes – gemäß Art. 9 DSGVO, besondere Kategorien personenbezogener Daten.
Und wenn Ihre Website Google Fonts extern lädt, liegt seit dem Urteil des LG München I ein Datenschutzverstoß vor – bei jeder einzelnen Seitenansicht.
Dieser Artikel zeigt, was Ihre Praxis-Website darf und was nicht. Keine juristischen Aufsätze, sondern konkrete Antworten: Welche Daten verarbeitet Ihre Website? Wann brauchen Sie einen Cookie-Banner? Und was passiert, wenn etwas schiefgeht?
Das Wichtigste in Kürze
| Thema | Key Takeaway |
|---|---|
| Gesundheitsdaten | Schon die Nennung einer Fachrichtung im Kontaktformular ist ein Gesundheitsdatum nach Art. 9 DSGVO – strengste Schutzkategorie. |
| Cookie-Banner | Pflicht, sobald nicht-technische Cookies gesetzt werden. Seit EuGH Planet49: Opt-in erforderlich, kein Opt-out. |
| Google Fonts | Externes Laden ist seit LG München I (2022) ein Datenschutzverstoß. Lokal einbinden. |
| Bußgeld | Bis 20 Mio. Euro oder 4 % des Jahresumsatzes. In der Praxis: 3.300 bis 105.000 Euro. |
| DSB-Pflicht | Ab 20 Mitarbeitern mit regelmäßigem Datenzugang oder bei Verarbeitung von Gesundheitsdaten. |
Welche Patientendaten verarbeitet eine Praxis-Website?
Eine Praxis-Website verarbeitet Patientendaten, sobald Besucher das Kontaktformular nutzen, einen Termin online buchen oder Symptome beschreiben. Schon IP-Adressen gelten als personenbezogene Daten. Werden Gesundheitsinformationen übermittelt, greifen die strengen Regeln des Art. 9 DSGVO für besondere Datenkategorien.
Was sind Gesundheitsdaten?
Art. 4 Nr. 15 DSGVO definiert Gesundheitsdaten als Daten, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen. Der EuGH legt den Begriff weit aus. Schon indirekte Rückschlüsse reichen: Wenn ein Patient „Orthopädie-Termin" in ein Buchungsformular eingibt, sind das Gesundheitsdaten.
Konkrete Beispiele:
- Gesundheitsdaten: Symptombeschreibungen im Kontaktformular, Behandlungsgrund bei der Terminbuchung, Allergieangaben, Vorher-Nachher-Fotos, Testimonials mit Krankheitsbezug
- Keine Gesundheitsdaten: Name, E-Mail, Telefonnummer bei allgemeiner Kontaktaufnahme ohne Gesundheitsbezug
Warum das für Ihre Website wichtig ist
Für Gesundheitsdaten gilt ein grundsätzliches Verarbeitungsverbot nach Art. 9 Abs. 1 DSGVO. Es gibt Ausnahmen – die wichtigste für Praxis-Websites: die ausdrückliche Einwilligung des Patienten (Art. 9 Abs. 2 lit. a). Das „berechtigte Interesse" (Art. 6 Abs. 1 lit. f), das für normale Websites oft ausreicht, genügt bei Gesundheitsdaten nicht.
In der Praxis bedeutet das: Wenn Ihr Kontaktformular ein Freitextfeld hat, in dem Patienten ihre Beschwerden schildern können, brauchen Sie eine Einwilligungs-Checkbox mit explizitem Hinweis auf die Verarbeitung besonderer Datenkategorien. Nicht versteckt in der Datenschutzerklärung, sondern direkt am Formular.
Kontaktformulare: Die häufigste Schwachstelle
Die meisten Praxis-Websites haben ein Kontaktformular. Die meisten dieser Formulare verstoßen gegen die DSGVO. Drei typische Probleme:
1. Fehlende Verschlüsselung: HTTPS ist Pflicht für jede Praxis-Website. Art. 32 DSGVO nennt Verschlüsselung explizit als technische Maßnahme. Ohne SSL-Zertifikat ist bereits der Seitenaufruf ein Verstoß.
2. E-Mail-Weiterleitung ohne Ende-zu-Ende-Verschlüsselung: Viele Kontaktformulare leiten die Eingaben per unverschlüsselter E-Mail an die Praxis weiter. Der LfDI Nordrhein-Westfalen hat klargestellt: Bei Gesundheitsdaten reicht Transportverschlüsselung (TLS) allein nicht aus. Die bessere Lösung: Formulardaten in einer verschlüsselten Datenbank speichern und über ein sicheres Backend abrufen.
3. Fehlender Datenschutzhinweis: Unter jedem Kontaktformular muss stehen: Zweck der Datenerhebung, Rechtsgrundlage, Speicherdauer, Hinweis auf Widerrufsrecht, Link zur Datenschutzerklärung. Bei erwarteten Gesundheitsdaten zusätzlich: Einwilligungs-Checkbox nach Art. 9 Abs. 2 lit. a DSGVO.
Für technische Schutzmaßnahmen im Detail – SSL, Hosting-Sicherheit, Backups – verweisen wir auf unseren Artikel zur Datensicherheit auf Praxis-Websites.
Braucht eine Arztpraxis-Website einen Cookie-Banner?
Ja, wenn die Website nicht-technische Cookies setzt, etwa für Google Analytics, Google Maps oder YouTube-Videos. Seit dem TDDDG ist eine aktive Einwilligung vor dem Setzen solcher Cookies Pflicht. Nur technisch notwendige Cookies wie Session- oder Spracheinstellungs-Cookies sind von der Einwilligungspflicht ausgenommen.
Die Rechtslage: TDDDG + DSGVO
Seit dem 14. Mai 2024 heißt das bisherige TTDSG jetzt TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz). § 25 TDDDG regelt: Jeder Zugriff auf ein Endgerät – also jedes Cookie, das nicht technisch notwendig ist – braucht eine aktive Einwilligung vor dem Setzen. Das gilt unabhängig davon, ob personenbezogene Daten verarbeitet werden.
Der EuGH hat im Planet49-Urteil (C-673/17, 01.10.2019) entschieden: Vorangekreuzte Checkboxen sind unwirksam. Es braucht ein echtes Opt-in. „Ablehnen" muss genauso einfach sein wie „Akzeptieren" – gleiche Schriftgröße, gleiche Farbgebung. Alles andere sind Dark Patterns, gegen die NOYB bereits 422 formelle DSGVO-Beschwerden eingereicht hat.
Die fünf häufigsten Drittanbieter-Probleme
1. Google Fonts extern eingebunden
Das LG München I hat am 20. Januar 2022 (Az. 3 O 17493/20) entschieden: Die dynamische Einbindung von Google Fonts über Google-Server verstößt gegen die DSGVO. Bei jedem Seitenaufruf wird die IP-Adresse des Besuchers an Google in den USA übertragen. Schadensersatz: 100 Euro je betroffenem Nutzer. Die anschließende Abmahnwelle führte zu 2.418 Ermittlungsverfahren wegen Abmahnbetrugs.
Die Lösung: Google Fonts lokal einbinden – auf dem eigenen Server hosten. Keine Datenübertragung, keine Einwilligung nötig, kein Risiko.
2. Google Maps direkt eingebettet
Bei Standard-Einbettung werden IP-Adresse und Standortdaten an Google übertragen. Lösung: 2-Klick-Lösung (erst Platzhalter, dann Karte nach Klick), statisches Kartenbild mit Link oder OpenStreetMap als Alternative.
3. YouTube-Videos ohne Datenschutzmodus
Beim Einbetten von YouTube-Videos werden bereits beim Seitenaufruf Daten an Google übertragen – auch ohne Abspielen. Lösung: Erweiterten Datenschutzmodus nutzen (youtube-nocookie.com), 2-Klick-Lösung oder selbst gehostete Videos.
4. Social-Media-Plugins
Facebook-Like-Buttons und Instagram-Feeds übertragen beim Seitenaufruf automatisch Daten an die Netzwerke. Das LG Düsseldorf hat 2016 entschieden: unzulässig. Lösung: Shariff-Buttons (reine Grafiken, Kontakt erst nach Klick) oder einfache Icon-Links ohne Plugin.
5. Google Analytics ohne Einwilligung
Auch nach dem EU-US Data Privacy Framework (seit Juli 2023) bleibt die Einwilligungspflicht nach § 25 TDDDG bestehen. Datenschutzfreundliche Alternative: Matomo – lokal gehostet, mit IP-Anonymisierung und cookielosem Tracking kann es ohne Einwilligung betrieben werden.
Was Ihre Praxis-Website sofort entfernen sollte
| Muss sofort weg | Warum | Ersatz |
|---|---|---|
| Google Fonts extern (fonts.googleapis.com) | LG München I: DSGVO-Verstoß | Lokal einbinden |
| Google Analytics ohne Consent | § 25 TDDDG + DSGVO | Matomo (lokal) oder Consent-Lösung |
| Google Maps direkt eingebettet | IP-Übertragung an Google | 2-Klick-Lösung oder OpenStreetMap |
| YouTube ohne Datenschutzmodus | Datenübertragung bei Seitenaufruf | youtube-nocookie.com + Consent |
| Facebook/Instagram Plugins | Automatische Datenübertragung | Shariff-Buttons oder einfache Links |
| Cookie-Banner mit nur „OK"-Button | Planet49: Opt-in erforderlich | Banner mit gleichwertigem „Ablehnen" |
Bei einer professionellen Praxis-Website sind diese Punkte von Anfang an gelöst. Bei bestehenden Websites – besonders bei WordPress-Installationen mit vielen Plugins – ist eine systematische Prüfung nötig.
Was droht bei DSGVO-Verstößen auf der Praxis-Website?
Bei DSGVO-Verstößen drohen Bußgelder bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. In der Praxis liegen Bußgelder für Arztpraxen im drei- bis vierstelligen Bereich. Seit dem BGH-Urteil vom März 2025 sind DSGVO-Verstöße zusätzlich wettbewerbsrechtlich abmahnbar.
Reale Bußgelder gegen Arztpraxen
| Jahr | Bußgeld | Verstoß |
|---|---|---|
| 2024 | 3.300 EUR | Veröffentlichung von Patientendaten als Reaktion auf Google-Bewertung |
| 2023 | 3.600 EUR | Unsachgemäße Entsorgung von Patientenakten |
| 2019 | 105.000 EUR | Krankenhaus Rheinland-Pfalz: mangelhafte Prozesse, Patientendaten offengelegt |
Die Bußgelder liegen weit unter dem theoretischen Maximum von 20 Millionen Euro. Aber: Bei Gesundheitsdaten werten die Aufsichtsbehörden besonders streng. Und die Bußgelder sind nicht das einzige Risiko.
BGH-Urteil 2025: DSGVO-Verstöße sind abmahnbar
Am 27. März 2025 hat der BGH (Az. I ZR 186/17) entschieden: DSGVO-Verstöße sind wettbewerbsrechtlich abmahnbar. Das bedeutet: Nicht nur die Datenschutzbehörde kann aktiv werden, sondern auch Mitbewerber, Branchenverbände und Verbraucherschutzorganisationen.
Die Kombination aus DSGVO-Abmahnbarkeit und BFSG-Abmahnrisiko macht Praxis-Websites zu einem juristischen Doppel-Risiko. Wer beides nicht im Griff hat, ist von zwei Seiten angreifbar.
Datenpannen: 72 Stunden
Kommt es zu einer Datenschutzverletzung – ein Hackerangriff auf die Website, unverschlüsselte Formulardaten, öffentlich zugängliche Backups –, müssen Sie die zuständige Landesaufsichtsbehörde innerhalb von 72 Stunden informieren (Art. 33 DSGVO). Bei Gesundheitsdaten ist ein hohes Risiko für Betroffene anzunehmen. Das heißt: Sie müssen in der Regel auch die betroffenen Patienten direkt benachrichtigen (Art. 34 DSGVO).
Was Ihre Praxis-Website haben muss: Checkliste
- HTTPS auf allen Seiten (kostenlos via Let's Encrypt)
- Datenschutzerklärung nach Art. 13/14 DSGVO (eigene Seite, von überall erreichbar)
- Cookie-Banner mit echtem Opt-in (wenn nicht-notwendige Cookies gesetzt werden)
- Google Fonts lokal eingebunden
- AVV (Auftragsverarbeitungsvertrag) mit Webhoster, Formularanbietern und Analysediensten
- Datenschutzhinweis am Kontaktformular mit Verweis auf die Datenschutzerklärung
- Verzeichnis der Verarbeitungstätigkeiten (VVT) – Pflicht für Arztpraxen, keine Ausnahme
- Löschkonzept für Formulardaten (Empfehlung: spätestens nach 6 Monaten bei allgemeinen Anfragen)
Die Datenschutzerklärung selbst muss alle Dienste benennen, die auf der Website laufen: Hosting, Kontaktformular, Terminbuchung, Analyse-Tools, eingebettete Inhalte. Fehlende oder veraltete Datenschutzerklärungen – etwa noch mit „TTDSG" statt „TDDDG" – sind einer der häufigsten Verstöße.
Braucht Ihre Praxis einen Datenschutzbeauftragten?
- Einzelpraxis unter 10 Mitarbeitern: Kein DSB zwingend (aber empfohlen)
- Gemeinschaftspraxis / MVZ ab 10 Mitarbeitern: In der Regel DSB-Pflicht
- Ab 20 Personen mit automatisierter Datenverarbeitung: Immer DSB-Pflicht
Der Grund: Arztpraxen verarbeiten Gesundheitsdaten als Kerntätigkeit. Sobald diese Verarbeitung als „umfangreich" gilt (ab ca. 10 Personen laut Aufsichtsbehörden), greift Art. 37 Abs. 1 lit. c DSGVO.
Was sollten Arztpraxen jetzt für den Datenschutz ihrer Website tun?
Die meisten DSGVO-Verstöße auf Praxis-Websites lassen sich in wenigen Stunden beheben: Google Fonts lokal einbinden, Cookie-Banner korrekt konfigurieren und die Datenschutzerklärung aktualisieren. Bei strukturellen Problemen wie unverschlüsselten Kontaktformularen oder fehlenden AVVs ist ein systematischer Durchgang nötig. Google Fonts lokal einbinden, Cookie-Banner korrekt konfigurieren, Datenschutzerklärung aktualisieren – das sind keine Großprojekte.
Schwieriger wird es bei strukturellen Problemen: unverschlüsselte Kontaktformulare, fehlende AVVs, keine Löschkonzepte. Hier hilft ein systematischer Durchgang – am besten zusammen mit Ihrem Website-Dienstleister und einem Datenschutzberater.
Neben dem HWG und dem BFSG ist die DSGVO die dritte regulatorische Säule, die Ihre Praxis-Website betrifft. Alle drei gleichzeitig im Griff zu haben, ist kein Zufall – es ist das Ergebnis einer sauber geplanten Website.
Wenn Sie nicht sicher sind, ob Ihre Praxis-Website DSGVO-konform ist – oder ob ein Relaunch sinnvoller ist als einzelne Korrekturen –, sprechen Sie mit uns. In einem kostenlosen Erstgespräch prüfen wir Ihre Situation und zeigen Ihnen die nächsten Schritte.
Häufig gestellte Fragen (FAQ)
Darf ich Google Fonts auf meiner Praxis-Website nutzen?
Ja, aber nur lokal eingebunden – auf Ihrem eigenen Server gehostet. Bei externer Einbindung über Google-Server (fonts.googleapis.com) wird die IP-Adresse des Besuchers an Google in die USA übertragen. Das LG München I hat das 2022 als DSGVO-Verstoß eingestuft und 100 Euro Schadensersatz pro Seitenaufruf zugesprochen.
Muss meine Praxis einen Datenschutzbeauftragten benennen?
In der Regel ja, wenn mindestens 10 Personen regelmäßig Patientendaten verarbeiten – Arztpraxen verarbeiten Gesundheitsdaten als Kerntätigkeit, was die Schwelle senkt. Einzelpraxen unter 10 Mitarbeitern sind meist ausgenommen, sollten aber trotzdem einen DSB benennen. Ab 20 Mitarbeitern in der automatisierten Datenverarbeitung ist der DSB immer Pflicht.
Reicht HTTPS für das Kontaktformular meiner Praxis-Website?
HTTPS (TLS-Transportverschlüsselung) ist das Minimum. Wenn Patienten Gesundheitsdaten über das Formular senden, empfiehlt der LfDI Nordrhein-Westfalen zusätzlich eine Ende-zu-Ende-Verschlüsselung. Die bessere Lösung: Formulardaten direkt in einer verschlüsselten Datenbank speichern, statt sie per E-Mail weiterzuleiten.
Darf ich Google-Bewertungen auf meiner Praxis-Website einbinden?
Ja, aber DSGVO-konform: Am besten als statische Zitate (manuell kopiert, keine Datenverbindung zu Google) oder über serverseitiges Caching. Direkte Widget-Einbindungen, die IP-Adressen an Google übertragen, brauchen eine vorherige Einwilligung über den Cookie-Banner.
Was muss in der Datenschutzerklärung meiner Praxis-Website stehen?
Name und Kontaktdaten des Verantwortlichen, Kontaktdaten des DSB (falls vorhanden), alle Verarbeitungszwecke mit Rechtsgrundlagen, Empfänger der Daten, Speicherfristen, Betroffenenrechte (Auskunft, Löschung, Widerspruch), Hinweis auf Beschwerderecht bei der Aufsichtsbehörde und alle genutzten Drittanbieter-Dienste (Hosting, Analytics, Maps, Fonts).
Kann ich für DSGVO-Verstöße auf meiner Website abgemahnt werden?
Ja. Der BGH hat am 27. März 2025 (Az. I ZR 186/17) bestätigt, dass DSGVO-Verstöße wettbewerbsrechtlich abmahnbar sind. Besonders riskant: extern eingebundene Google Fonts, fehlender Cookie-Banner und fehlende Datenschutzerklärung. Die Kosten einer Abmahnung liegen bei 500 bis 2.000 Euro plus Vertragsstrafe bei Wiederholung.
Über den Autor
Sven Huchel
Geschäftsführer & Creative Director
Seit 2005 entwickelt Sven Websites, Brandings und digitale Strategien für Unternehmen im deutschsprachigen Raum. TÜV-zertifiziert für Verkaufspsychologie. Spezialisiert auf verkaufspsychologisch optimierte Websites für Ärzte, Anwälte und Unternehmer.
DSGVO-Check für Ihre Praxis-Website
Google Fonts lokal einbinden, Cookie-Banner korrekt konfigurieren, Datenschutzerklärung aktualisieren — das sind keine Großprojekte. Bei strukturellen Problemen hilft ein systematischer Durchgang.
Erstgespräch vereinbaren