Patientendaten auf der Website schützen

Über 90 Prozent aller Kontaktformulare auf Arzt-Websites erfüllen die Datenschutzanforderungen nicht (Studie Dr. DSGVO, 2025). Gleichzeitig zeigt die GDV-Studie: 9 von 10 Ärzten verwenden schwache Passwörter, und jede vierte Arztpraxis war 2023 Ziel eines Cyberangriffs.

Patientendaten gehören zu den sensibelsten Daten überhaupt. Die DSGVO stuft Gesundheitsdaten als besondere Kategorie ein (Art. 9). Das Strafgesetzbuch schützt sie zusätzlich über die ärztliche Schweigepflicht (§203 StGB). Und trotzdem läuft auf den meisten Praxis-Websites vieles schief – nicht aus böser Absicht, sondern weil die technischen Anforderungen unklar sind.

Dieser Artikel zeigt konkret, welche Maßnahmen Ihre Praxis-Website braucht, um Patientendaten zu schützen. Keine Rechtsberatung. Sondern eine praktische Anleitung mit klaren Prioritäten.

Für die rechtlichen Grundlagen der DSGVO im Praxiskontext haben wir einen eigenen Leitfaden. Dieser Artikel geht einen Schritt weiter: Er zeigt, WIE Sie die Anforderungen technisch umsetzen.

Das Wichtigste in Kürze

Warum Praxis-Websites besonders gefährdet sind

Arztpraxen sind für Angreifer attraktive Ziele. Die Daten sind wertvoll, die Sicherheit ist oft mangelhaft, und der Druck zur Zahlung bei Ransomware-Angriffen ist hoch – weil ohne IT-System kein Praxisbetrieb möglich ist.

Die Zahlen sprechen eine deutliche Sprache:

Dazu kommt: Die KBV IT-Sicherheitsrichtlinie (§390 SGB V, ehemals §75b) stellt seit Oktober 2025 erhöhte Anforderungen an alle Praxen. Praxispersonal muss in den sicheren Umgang mit der Praxis-IT eingewiesen und sensibilisiert werden – das schließt die Website ein.

Welche Sicherheitsmaßnahmen braucht eine Arzt-Website?

Eine Arzt-Website braucht mindestens sechs Sicherheitsmaßnahmen: SSL/TLS-Verschlüsselung (HTTPS), DSGVO-konforme Kontaktformulare mit Einwilligungserklärung, einen Webhoster mit Serverstandort in Deutschland oder der EU und AV-Vertrag, ein Cookie-Consent-Banner nach TDDDG, regelmäßige Backups nach der 3-2-1-Regel und aktuelle Software ohne bekannte Sicherheitslücken.

SSL/TLS: Verschlüsselung als Grundlage

HTTPS ist für Arzt-Websites keine Empfehlung, sondern rechtliche Pflicht. Die DSGVO verlangt in Art. 32 technische Maßnahmen zum Schutz personenbezogener Daten. Bereits die Übertragung einer IP-Adresse ist eine Datenverarbeitung. Ein Kontaktformular ohne HTTPS ist ein klarer Rechtsverstoß.

Was Sie prüfen müssen:

• TLS-Version: Mindestens TLS 1.2, idealerweise TLS 1.3. TLS 1.0 und 1.1 sollten deaktiviert sein.
• Zertifikat-Typ: Mindestens DV-Zertifikat (z. B. kostenlos über Let's Encrypt). Für erhöhtes Vertrauen: OV-Zertifikat (ca. 50–200 Euro/Jahr).
• Mixed Content: Keine HTTP-Ressourcen auf HTTPS-Seiten. Nach einer SSL-Umstellung alle URLs in der Datenbank prüfen.
• HSTS-Header: Erzwingt HTTPS-Verbindungen und verhindert Downgrade-Attacken.

Google Chrome markiert HTTP-Seiten als „Nicht sicher" – für eine Arztpraxis ist das fatal.

Kontaktformulare: Die größte Schwachstelle

Die Studie von Dr. DSGVO (2025) hat Kontaktformulare auf Arzt-Websites systematisch untersucht. Das Ergebnis: Über 90 Prozent erfüllen die Datenschutzanforderungen nicht. 65 Prozent informieren zwar über die Datenverarbeitung, aber nur 47 Prozent erfüllen beide Informationspflichten vollständig.

Was Ihr Kontaktformular braucht

Pflicht:

• Checkbox (nicht vorausgewählt) für die Einwilligung zur Datenverarbeitung
• Link zur Datenschutzerklärung direkt am Formular
• Hinweis auf Widerrufsrecht (Art. 7 Abs. 3 DSGVO)
• Angabe des Verarbeitungszwecks

Empfohlen:

• Hinweis „Bitte teilen Sie uns keine Gesundheitsinformationen über dieses Formular mit"
• Beschränkung auf notwendige Felder (Name, Kontaktdaten, Anliegen)
• Verschlüsselte Übertragung UND verschlüsselte Speicherung

Online-Anamnesebogen: Ja – aber richtig

Ein Online-Anamnesebogen ist erlaubt, aber nur unter strengen Bedingungen: verschlüsselte Übertragung (HTTPS), ausdrückliche Einwilligung, Datenminimierung und geschützte Speicherung. Lösen Sie das nicht über ein einfaches Website-Formular, sondern über zertifizierte Anbieter wie myMedax oder Nelly. Patientendaten dürfen nicht im CMS gespeichert werden.

E-Mail und Chat: Was geht, was nicht

Standard-E-Mail ist kein zulässiger Übermittlungsweg für Patientendaten. Für die Arzt-zu-Arzt-Kommunikation gibt es KIM (Kommunikation im Medizinwesen) über die Telematikinfrastruktur. Für die Patient-Arzt-Kommunikation über die Website gilt: Verwenden Sie verschlüsselte Messaging-Lösungen oder sichere Patientenportale.

WhatsApp ist für die Patientenkommunikation nicht DSGVO-konform – Datenserver außerhalb der EU, Metadatenverarbeitung, Rückschlüsse auf das Arzt-Patienten-Verhältnis. Alternativen: Threema, Siilo, medflex.

Die DSGVO-konforme Online-Terminbuchung haben wir in einem eigenen Artikel behandelt.

Worauf kommt es beim Hosting einer Arzt-Website an?

Beim Hosting einer Arzt-Website sind drei Faktoren entscheidend: ein Serverstandort in Deutschland oder der EU, ein abgeschlossener Auftragsverarbeitungsvertrag (AVV) mit dem Hoster und eine professionelle Backup-Strategie nach der 3-2-1-Regel.

Serverstandort Deutschland oder EU

Für Gesundheitsdaten ist ein Serverstandort in Deutschland oder der EU de facto Pflicht. Ein Datentransfer in Drittländer wie die USA ist nur unter besonderen Voraussetzungen zulässig – und bei Patientendaten kaum zu rechtfertigen.

AV-Vertrag ist Pflicht

Nach Art. 28 DSGVO müssen Sie mit jedem Dienstleister, der personenbezogene Daten verarbeitet, einen Auftragsverarbeitungsvertrag (AVV) abschließen:

• Webhoster
• E-Mail-Provider
• Newsletter-Tool
• Terminbuchungs-Software
• Cookie-Consent-Tool
• Analytics-Dienst

Ohne AVV drohen Bußgelder – für beide Parteien.

Shared vs. Managed Hosting

Empfehlung: Sobald Ihre Website Kontaktformulare oder Terminbuchungen anbietet, ist Managed Hosting die bessere Wahl. Die Mehrkosten stehen in keinem Verhältnis zum Risiko eines Datenlecks.

Backup: Die 3-2-1-Regel

• 3 Kopien aller Daten (Original + 2 Sicherungen)
• 2 verschiedene Speichermedien (z. B. Server + Cloud)
• 1 Kopie außerhalb des Standorts

Tägliche automatische Backups, mindestens 30 Tage Aufbewahrung, regelmäßige Wiederherstellungstests. 60 Prozent der Praxen haben kein automatisiertes Backup – ein existenzgefährdendes Risiko.

Welche Cookies und Tracking-Tools sind auf Arzt-Websites erlaubt?

Auf Arzt-Websites sind technisch notwendige Cookies ohne Einwilligung erlaubt. Alle anderen Cookies und Tracking-Tools – etwa Google Analytics oder eingebettete YouTube-Videos – erfordern eine vorherige, aktive Einwilligung per Cookie-Consent-Banner nach TDDDG.

Cookie-Consent-Banner

Seit dem TDDDG (ehemals TTDSG) ist ein Cookie-Consent-Banner Pflicht, wenn technisch nicht notwendige Cookies oder Tracking-Tools eingesetzt werden. Der Banner muss eine echte Wahl bieten – „Alle akzeptieren" darf nicht prominenter sein als „Ablehnen".

Google Analytics: Problematisch

Google Analytics überträgt Daten an Google-Server in den USA. Auf einer Arzt-Website, die Gesundheitsdaten verarbeitet, ist das besonders kritisch. Empfehlung: Matomo (self-hosted) als datenschutzkonforme Alternative. Bei korrekter Konfiguration ist Matomo ohne Cookie-Einwilligung nutzbar.

Drittanbieter-Scripts: Die häufigsten Fallen

Google Fonts war Auslöser einer massiven Abmahnwelle seit 2022 (LG München I). Rund 170 Euro Abmahngebühr plus Anwaltskosten – auch Arztpraxen waren betroffen. Lösung: Fonts lokal auf dem eigenen Server hosten.

Was sind die häufigsten Sicherheitslücken auf Arzt-Websites?

Die häufigsten Sicherheitslücken auf Arzt-Websites sind veraltete CMS-Versionen und Plugins, schwache Passwörter ohne Zwei-Faktor-Authentifizierung, fehlende AV-Verträge mit dem Webhoster, Google Fonts und Maps ohne lokales Hosting, unverschlüsselte Kontaktformulare und fehlende oder fehlerhafte Cookie-Consent-Banner. Laut GDV-Studie haben 9 von 10 Arztpraxen ein Passwort-Problem.

Die 10 kritischsten Lücken

Wer WordPress als CMS nutzt, sollte besonders auf Plugin-Sicherheit achten. 60 Prozent aller erfolgreichen Hackerangriffe auf WordPress-Seiten nutzen veraltete Plugins oder Themes.

Ihre Sicherheits-Checkliste nach Priorität

Die folgende Checkliste ordnet alle Sicherheitsmaßnahmen nach Dringlichkeit. Priorität 1 betrifft Maßnahmen, die sofort umgesetzt werden müssen, weil sie die größten Risiken eliminieren.

Priorität 1: Sofort umsetzen

• SSL/TLS-Zertifikat aktiv und korrekt konfiguriert
• Starke, einzigartige Passwörter für alle Zugänge
• Zwei-Faktor-Authentifizierung für Admin-Zugang aktiviert
• CMS und alle Plugins auf neueste Version aktualisiert
• Google Fonts lokal gehostet
• AV-Verträge mit Webhoster und allen Dienstleistern abgeschlossen
• Automatisches Backup-System eingerichtet
• Datenschutzerklärung aktuell und vollständig

Priorität 2: Zeitnah umsetzen

• Cookie-Consent-Banner implementiert (TDDDG-konform)
• Kontaktformulare geprüft: Checkbox, Datenschutzhinweis, Verschlüsselung
• Google Maps durch 2-Klick-Lösung oder OpenStreetMap ersetzt
• Security Headers eingerichtet (HSTS, X-Frame-Options)
• Admin-URL geändert, Login-Versuche begrenzt
• Serverstandort geprüft: Deutschland oder EU

Priorität 3: Mittelfristig umsetzen

• Managed Hosting statt Shared Hosting
• Matomo statt Google Analytics (self-hosted)
• Content Security Policy (CSP) konfiguriert
• Uptime- und Malware-Monitoring eingerichtet
• Notfallplan für Datenpannen erstellt (72-Stunden-Meldepflicht)
• Regelmäßige Backup-Wiederherstellungstests

Was Sie selbst tun können – und was nicht

Eine professionell entwickelte Praxis-Website berücksichtigt diese Sicherheitsanforderungen von Anfang an – statt sie nachträglich aufwändig nachzurüsten.

Kostenloses Erstgespräch vereinbaren – wir prüfen Ihre Praxis-Website auf Sicherheitslücken und DSGVO-Konformität.

Was bei einer Datenpanne passiert

Wenn Patientendaten kompromittiert werden, greift die 72-Stunden-Meldepflicht (Art. 33 DSGVO). Bei Gesundheitsdaten wird grundsätzlich ein Risiko angenommen – die Meldepflicht greift fast immer.

Sie müssen der Aufsichtsbehörde melden: Art der Datenschutzverletzung, Anzahl betroffener Datensätze, betroffene Personengruppe und bereits ergriffene Maßnahmen. Bei hohem Risiko müssen auch die betroffenen Patienten informiert werden (Art. 34 DSGVO).

Die durchschnittliche Zeit bis zur Erkennung und Eindämmung eines Datenlecks im Gesundheitswesen beträgt 279 Tage (IBM, 2025). Je länger die Erkennung dauert, desto höher die Kosten.

Investieren Sie in Prävention. Die Kosten für professionelle Website-Sicherheit stehen in keinem Verhältnis zu den Folgen einer Datenpanne.

Erstgespräch anfragen – wir helfen Ihnen, Patientendaten auf Ihrer Website richtig zu schützen.

Häufig gestellte Fragen

Braucht meine Praxis-Website ein SSL-Zertifikat?

Ja, SSL/TLS ist für jede Arzt-Website rechtliche Pflicht. Die DSGVO verlangt technische Schutzmaßnahmen für personenbezogene Daten, und bereits die Übertragung einer IP-Adresse ist eine Datenverarbeitung. Google Chrome markiert HTTP-Seiten als „Nicht sicher".

Dürfen Patienten über ein Website-Formular Gesundheitsdaten übermitteln?

Ein Standard-Kontaktformular ist dafür nicht geeignet. Für Online-Anamnese oder Symptom-Abfragen brauchen Sie ein verschlüsseltes System mit ausdrücklicher Einwilligung und geschützter Speicherung – idealerweise über zertifizierte Anbieter, nicht über das CMS.

Brauche ich einen AV-Vertrag mit meinem Webhoster?

Ja, Art. 28 DSGVO schreibt einen Auftragsverarbeitungsvertrag mit jedem Dienstleister vor, der personenbezogene Daten verarbeitet. Das gilt für den Webhoster, den E-Mail-Provider, Terminbuchungs-Software und Analytics-Dienste. Ohne AVV drohen Bußgelder.

Darf ich Google Analytics auf meiner Praxis-Website nutzen?

Google Analytics überträgt Daten an US-Server und ist für Arzt-Websites problematisch. Die datenschutzkonforme Alternative ist Matomo (self-hosted). Bei korrekter Konfiguration kann Matomo sogar ohne Cookie-Einwilligung genutzt werden.

Was kostet ein Datenleck für eine Arztpraxis?

Die Kosten variieren stark. Ein mehrtägiger IT-Ausfall kostet eine Gemeinschaftspraxis 15.000 bis 50.000 Euro (finanzskalpell.com). Dazu kommen mögliche Bußgelder, Anwaltskosten und Reputationsschäden. Der globale Durchschnitt für Healthcare-Breaches liegt bei 7,42 Millionen US-Dollar (IBM, 2025).

Muss ich Google Fonts lokal hosten?

Ja. Wenn Google Fonts von Google-Servern geladen werden, wird die IP-Adresse des Besuchers an Google übertragen – ein DSGVO-Verstoß. Seit dem LG-München-I-Urteil von 2022 gab es eine Abmahnwelle mit rund 170 Euro Abmahngebühr pro Fall. Lösung: Fonts auf dem eigenen Server hosten.