◀ Zum Blog

Praxis-Website und DSGVO: Was Arztpraxen und Therapeuten beim Datenschutz beachten müssen

Auf der Website einer Praxis geht es nicht um Klicks, sondern um Gesundheitsdaten. Genau deshalb gelten hier strengere Maßstäbe als bei jeder anderen Firmenseite. Ich zeige, wo die typischen Datenschutz-Fallen liegen, was das Heilmittelwerberecht verbietet und wie eine Praxis-Website aussieht, die Vertrauen schafft statt Abmahnrisiken.

Schutzschild mit medizinischem Kreuz als Sinnbild für Datenschutz und Schweigepflicht auf Praxis-Websites

Wer die Website einer Arztpraxis oder Therapiepraxis besucht, gibt oft schon mit dem Aufruf etwas Sensibles preis: das Interesse an einer bestimmten Behandlung. Läuft im Hintergrund ein US-Analysedienst mit, wandert genau diese Information an Dritte, ohne dass der Besucher es merkt. Für Praxen ist Datenschutz auf der Website deshalb keine Formalie, sondern Teil der beruflichen Schweigepflicht, und gleichzeitig eines der am häufigsten unterschätzten Abmahnrisiken.

Das Wichtigste in Kürze

  • Schon der Besuch einer Praxis-Website kann Rückschlüsse auf Gesundheitsdaten zulassen, die nach Artikel 9 DSGVO besonders geschützt sind
  • Typische Fallen sind US-Tracking-Dienste, extern geladene Schriften, eingebettete Karten und Videos sowie unverschlüsselte Kontaktformulare
  • Eine Praxis-Website kann komplett ohne Cookie-Banner auskommen, wenn sie ohne Tracking und ohne einwilligungspflichtige Dienste gebaut ist
  • Das Heilmittelwerberecht setzt zusätzlich Grenzen: keine Heilversprechen, keine irreführenden Erfolgsaussagen
  • Deutsche Server, sparsame Formulare und eine saubere Datenschutzerklärung sind kein Luxus, sondern die Grundausstattung

Warum für Praxen strengere Maßstäbe gelten

Die DSGVO behandelt Gesundheitsdaten als besondere Kategorie personenbezogener Daten nach Artikel 9. Dazu gehört nicht erst der Befund, sondern schon jede Information, aus der sich der Gesundheitszustand ableiten lässt. Ruft jemand die Unterseite zu Psychotherapie, Schmerzbehandlung oder Kinderwunsch auf und wird dabei von einem Werbenetzwerk wiedererkannt, ist genau das passiert: Ein an sich harmloser Websitebesuch wird zur Verarbeitung besonderer Kategorien personenbezogener Daten, für die im Regelfall eine ausdrückliche Einwilligung nötig wäre. Praxen tragen hier eine doppelte Verantwortung: rechtlich als Verantwortliche im Sinne der DSGVO und standesrechtlich über die ärztliche beziehungsweise therapeutische Schweigepflicht nach Paragraf 203 Strafgesetzbuch.

Der Unterschied zu einer gewöhnlichen Unternehmenswebsite liegt im Kontext. Wenn ein Malerbetrieb Google Analytics einsetzt und ein Besucher später Werbung für Fassadenfarbe sieht, ist das unangenehm, aber selten existenzbedrohend. Wenn dagegen aus dem Surfverhalten auf einer Praxis-Website rekonstruierbar wird, dass jemand sich für eine Suchtberatung, eine HIV-Diagnostik oder eine Schwangerschaftsabbruch-Beratung interessiert hat, sind die Folgen für die betroffene Person ungleich gravierender, und entsprechend strenger prüfen Aufsichtsbehörden und Abmahnvereine gerade diese Branche.

Dazu kommt ein praktischer Punkt, den viele unterschätzen: Patienten wählen Praxen nach Vertrauen aus, oft schon bevor sie das erste Wort mit jemandem aus dem Team gewechselt haben. Eine Website, die beim Aufruf erst einmal ein mehrstöckiges Cookie-Banner mit Dutzenden Werbepartnern einblendet, sendet das falsche Signal, noch bevor der erste Text gelesen ist: Wer so sorglos mit den eigenen Daten umgeht, dem traut man auch die Sorgfalt bei der Behandlungsdokumentation nicht ohne Weiteres zu. Wie eine Website grundsätzlich ganz ohne dieses Banner auskommt, habe ich im Beitrag Cookies ohne Banner beschrieben.

Die häufigsten Datenschutz-Fallen auf Praxis-Websites

In den Website-Prüfungen, die ich für kleine Betriebe und Praxen mache, tauchen immer wieder dieselben Probleme auf. Die wenigsten davon sind böse Absicht, die meisten stammen aus Baukästen, Templates oder gut gemeinten Plugins:

  • US-Tracking-Dienste wie Google Analytics oder Meta-Pixel, die Besucherdaten in Drittländer übertragen, oft ohne wirksame Einwilligung
  • Schriften, die beim Seitenaufruf von US-Servern geladen werden und dabei die IP-Adresse des Besuchers übermitteln
  • Eingebettete Karten und YouTube-Videos, die schon beim Laden der Seite Verbindungen zu Drittanbietern aufbauen
  • Kontakt- und Terminformulare, die sensible Angaben unverschlüsselt oder an Dienste außerhalb der EU übertragen
  • Veraltete Systeme und Plugins, über die Angreifer an Formulardaten oder den gesamten Auftritt gelangen können
  • Datenschutzerklärungen aus dem Generator, die Dienste beschreiben, die es auf der Seite gar nicht gibt, und die echten Dienste verschweigen

Jeder einzelne dieser Punkte ist für sich schon ein Risiko. In Kombination entsteht eine Website, die im Widerspruch zu dem steht, was die Praxis ihren Patienten im Behandlungszimmer zusichert. Eine allgemeine Übersicht, welche Pflichten für jede Unternehmenswebsite gelten, finden Sie in meiner DSGVO-Checkliste.

Ein Punkt, der bei Praxen besonders oft übersehen wird, ist die Terminbuchung. Viele Praxisverwaltungssysteme bieten ein Online-Buchungsformular als Zusatzmodul an, das sich über ein iFrame in die eigene Website einbetten lässt. Technisch bequem, datenschutzrechtlich aber heikel: Das eingebettete Formular läuft auf den Servern des Anbieters, oft außerhalb der EU, und überträgt dorthin bereits beim Laden Metadaten wie IP-Adresse und Browserkennung, unabhängig davon, ob am Ende tatsächlich ein Termin gebucht wird. Wer ein solches Modul einsetzt, sollte den Auftragsverarbeitungsvertrag mit dem Anbieter prüfen und den Serverstandort verifizieren, statt sich auf das Wort des Vertriebs zu verlassen.

Heilmittelwerberecht: Die zweite Baustelle neben der DSGVO

Neben dem Datenschutz gilt für Praxen das Heilmittelwerbegesetz (HWG). Es verbietet unter anderem irreführende Werbung, also Erfolgsversprechen, die sich nicht sicher einhalten lassen, und Aussagen, die den Eindruck erwecken, ein Behandlungserfolg sei garantiert. Formulierungen wie „dauerhafte Schmerzfreiheit“ oder „garantierte Heilung“ gehören deshalb nicht auf eine Praxis-Website, auch dann nicht, wenn sie gut klingen und im ersten Entwurf harmlos wirken.

Konkret betroffen sind vor allem drei Textbausteine, die in Praxis-Texten immer wieder auftauchen: Vorher-Nachher-Vergleiche bei bestimmten Behandlungen, die ohne Einordnung wie eine Garantie wirken; Aussagen zu Erfolgsquoten, die ohne belastbare Quelle genannt werden; und Formulierungen, die den Anschein erwecken, eine Behandlung sei für jeden Patienten gleich wirksam. Auch Angstwerbung, also das gezielte Erzeugen von Sorge vor Krankheitsfolgen, um zu einer Behandlung zu drängen, fällt unter das Verbot irreführender Werbung.

Ein ehrliches Wort dazu: Diese Grenze ist kein Nachteil. Texte, die sachlich beschreiben, was eine Behandlung leistet, für wen sie geeignet ist, wie der Ablauf aussieht und welche Grenzen sie hat, wirken auf Patienten deutlich glaubwürdiger als Werbeversprechen. Wer zusätzlich offen mit Risiken und Behandlungsdauer umgeht, statt sie zu verschweigen, gewinnt genau das Vertrauen, das später über die Entscheidung für oder gegen eine Praxis entscheidet. Genau diese sachlichen, vollständigen Inhalte sind zugleich das, was in Suchmaschinen gut funktioniert, weil sie echte Fragen von Patienten beantworten statt nur Werbeversprechen zu wiederholen.

So sieht eine saubere Praxis-Website aus

Die gute Nachricht: Eine datenschutzfreundliche Praxis-Website ist kein Hexenwerk, sie muss nur von Anfang an so gebaut werden. Bei mir gehören diese Punkte zur Grundausstattung, nicht zum Aufpreis-Paket:

  • Hosting ausschließlich auf deutschen Servern, ohne Datenflüsse in Drittländer
  • Keine Tracking-Cookies und keine US-Dienste, dadurch entfällt das Cookie-Banner komplett
  • Schriften, Bilder und alle Ressourcen werden lokal von der eigenen Domain geladen
  • Formulare mit Verschlüsselung und Datensparsamkeit: abgefragt wird nur, was für die Kontaktaufnahme nötig ist
  • Karten und Videos als Verweis statt Einbettung, sodass erst der Klick des Besuchers eine Verbindung öffnet
  • Eine Datenschutzerklärung, die exakt zu den tatsächlich eingesetzten Diensten passt

Warum EU-Hosting und der Verzicht auf US-Dienste auch über die Praxis hinaus der richtige Standard sind, habe ich am Beispiel von Software-Diensten im Beitrag Datenschutzkonforme SaaS auf EU-Servern ausgeführt.

So sieht der Ablauf für eine Praxis bei mir aus

  • Bestandsaufnahme: Welche Dienste laufen aktuell auf der Website, welche Formulare gibt es, wohin fließen die Daten?
  • Fachrichtungen und Leistungen klären: Welche Behandlungen sollen dargestellt werden, welche Patientengruppen sprechen Sie an?
  • Texte sachlich formulieren: Beschreibung von Leistung, Ablauf und Zielgruppe statt Erfolgsversprechen, Heilmittelwerberecht als feste Prüfgröße
  • Technischer Aufbau ohne Tracking: deutsches Hosting, lokale Schriften und Ressourcen, verschlüsseltes Kontaktformular
  • Datenschutzerklärung passgenau erstellen, abgestimmt auf die tatsächlich eingesetzten Dienste, nicht aus dem Generator
  • Go-Live und laufende Pflege: Updates, Sicherheits-Checks und inhaltliche Aktualisierung sind im Mietmodell inklusive

Was eine Praxis-Website kostet

Viele Praxen schieben den Relaunch auf, weil Agenturangebote schnell vierstellig werden. Bei mir läuft es anders: Im Mietmodell startet eine professionelle, datenschutzfreundliche Website bei 19 Euro im Monat, eine mehrseitige Praxisseite mit eigenen Behandlungsseiten liegt bei 49 Euro im Monat, jeweils inklusive Hosting auf deutschen Servern, Wartung und Pflege, monatlich kündbar und ohne Einrichtungsgebühr. Die Details und eine ehrliche Vergleichsrechnung finden Sie auf der Seite Website mieten: Kosten im Überblick, das Angebot speziell für Praxen unter Website für Praxen.

Häufige Missverständnisse in der Praxis

In Gesprächen mit Praxisinhabern kommen immer wieder zwei Annahmen vor, die so nicht stimmen. Die erste: „Wir haben ja nur ein Kontaktformular, das kann doch kein Problem sein.“ Auch ein einfaches Formular verarbeitet personenbezogene Daten, und wenn es an einen externen Formular-Dienst außerhalb der EU angebunden ist, gilt dafür dieselbe Prüfpflicht wie bei jedem anderen Drittanbieter. Die zweite Annahme: „Unsere Website-Agentur hat das sicher schon bedacht.“ In der Praxis stimmt das oft nicht, weil viele Agenturen Standard-Templates verwenden, die für generische Unternehmenswebsites gebaut sind, nicht für die besonderen Anforderungen einer Praxis.

Ein dritter Punkt betrifft die interne Kommunikation im Team: Selbst eine technisch saubere Website nützt wenig, wenn parallel Terminanfragen über einen nicht datenschutzkonformen Messenger-Dienst laufen, weil das für die Praxisorganisation bequemer erscheint. Die Website ist nur ein Baustein, der Datenschutz endet nicht an ihren Grenzen.

Fazit

Für Praxen ist die Website die digitale Verlängerung der Schweigepflicht. Wer auf Tracking verzichtet, auf deutschen Servern hostet und beim Texten die Grenzen des Heilmittelwerberechts respektiert, ist nicht nur rechtlich auf der sicheren Seite, sondern gewinnt genau das, worauf es bei Patienten ankommt: Vertrauen. Wenn Sie wissen wollen, wo Ihre Praxis-Website heute steht, prüfe ich sie im Rahmen meines kostenlosen Website-Checks, unverbindlich und ohne Fachchinesisch.

Häufige Fragen

Braucht eine Praxis-Website ein Cookie-Banner?

Nur wenn sie einwilligungspflichtige Dienste einsetzt, etwa Tracking oder Marketing-Cookies. Eine Website, die ohne diese Dienste gebaut ist, braucht kein Banner und wirkt auf Patienten deutlich seriöser. Meine Seiten laufen grundsätzlich cookie-frei, damit stellt sich die Frage gar nicht erst.

Darf eine Arztpraxis Google Analytics einsetzen?

Davon rate ich Praxen klar ab. Der Dienst überträgt Besucherdaten an einen US-Anbieter, und auf einer Praxis-Website können schon aufgerufene Unterseiten Rückschlüsse auf Gesundheitsthemen zulassen. Wer Besucherzahlen braucht, kann sie mit datenschutzfreundlichen, cookie-freien Werkzeugen auf EU-Servern messen.

Was gehört in die Datenschutzerklärung einer Praxis-Website?

Alle tatsächlich eingesetzten Dienste und Datenverarbeitungen: Hosting, Kontaktformular, gegebenenfalls Terminbuchung, Server-Logs und die Rechte der Betroffenen. Wichtig ist die Übereinstimmung mit der Realität, denn eine Generator-Erklärung, die andere Dienste beschreibt als die Seite nutzt, schützt nicht, sondern schadet. Bei jedem neuen Dienst muss die Erklärung nachgezogen werden.

Was verbietet das Heilmittelwerbegesetz auf der Website?

Vor allem irreführende Werbung: Erfolgs- und Heilversprechen, die sich nicht sicher einhalten lassen, sowie Aussagen, die einen garantierten Behandlungserfolg suggerieren. Sachliche Beschreibungen von Leistungen, Abläufen und Qualifikationen sind dagegen erlaubt und wirken auf Patienten ohnehin glaubwürdiger. Im Zweifel gilt: beschreiben statt versprechen.

Dürfen Patientenbewertungen auf der Praxis-Website stehen?

Grundsätzlich ja, aber mit Vorsicht. Bewertungen dürfen nicht irreführend ausgewählt oder verfälscht wiedergegeben werden, und veröffentlichte Zitate brauchen die Zustimmung der Verfasser. Auf erfundene oder gekaufte Bewertungen sollte eine Praxis schon aus Haftungsgründen komplett verzichten.

Was kostet eine datenschutzfreundliche Praxis-Website?

Bei mir ab 19 Euro im Monat im Mietmodell, eine mehrseitige Praxisseite liegt bei 49 Euro im Monat, jeweils inklusive Hosting auf deutschen Servern, SSL, Wartung und Pflege, ohne Einrichtungsgebühr und monatlich kündbar. Wer lieber kauft, bekommt eine WordPress-Website ab 700 Euro oder eine individuell entwickelte statische Seite ab 1.890 Euro netto. Alle Preise verstehen sich netto zuzüglich Umsatzsteuer.

Wie finde ich heraus, ob meine bestehende Praxis-Website Datenschutz-Probleme hat?

Erste Anhaltspunkte liefern die Browser-Entwicklertools: Baut die Seite beim Laden Verbindungen zu US-Diensten auf, ist das ein Warnsignal. Verlässlicher ist eine strukturierte Prüfung von Diensten, Formularen, Verschlüsselung und Datenschutzerklärung zusammen. Genau das mache ich im kostenlosen Website-Check mit schriftlichem Ergebnis innerhalb von 48 Stunden.

Das könnte Sie auch interessieren

DatenschutzDSGVO-Checkliste für kleine UnternehmenWeiterlesen →DatenschutzWebsite ohne Cookie-Banner, datenschutzfreundlich und schnellerWeiterlesen →DatenschutzDatenschutz-konforme SaaS und Web-Apps: warum EU-Server und zertifizierte Rechenzentren zählenWeiterlesen →
◀ Alle Beiträge ansehen
Ihre Website

Bereit für eine Website, die für Sie arbeitet?

Schreiben Sie mir kurz, was Sie vorhaben. Ich melde mich mit einer ehrlichen Einschätzung, unverbindlich.

Carlo Krämer · ausgebildeter Mediengestalter Digital und Print (IHK)