DSGVO für Arztpraxen — Website-Anforderungen im Überblick

Warum Arztpraxen besondere Anforderungen haben

Arztpraxen verarbeiten Gesundheitsdaten — laut DSGVO Art. 9 Abs. 1 zählen diese zu den „besonderen Kategorien personenbezogener Daten”. Für die Verarbeitung solcher Daten gelten strengere Voraussetzungen als für gewöhnliche personenbezogene Daten wie Name oder E-Mail-Adresse.

Konkret bedeutet das: Sobald eine Praxis-Website Daten erfasst, die einen Rückschluss auf den Gesundheitszustand ermöglichen, greifen die erhöhten Schutzanforderungen. Das betrifft nicht nur elektronische Patientenakten oder Befundportale, sondern bereits einfache Kontaktformulare, in denen Patienten ihr Anliegen beschreiben.

Dieser Ratgeber beleuchtet die technischen Aspekte, die wir als IT-Berater bei Praxis-Websites prüfen und umsetzen können. Für die individuelle rechtliche Bewertung Ihrer Praxis empfehlen wir einen spezialisierten Datenschutzberater oder Rechtsanwalt.

Typische Situationen, in denen Gesundheitsdaten über die Website verarbeitet werden

• Kontaktformulare mit Freitextfeldern, in denen Patienten Symptome oder Diagnosen nennen
• Online-Terminbuchung, bei der eine Fachrichtung oder ein Behandlungsgrund ausgewählt wird
• Rückrufbitten mit Angabe des medizinischen Anliegens
• Bewertungsportale oder Testimonials auf der Website, die Behandlungen beschreiben
• Newsletter-Anmeldungen, die auf bestimmte Fachgebiete oder Gesundheitsthemen hinweisen

Die KBV-IT-Sicherheitsrichtlinie ergänzt die DSGVO-Anforderungen um praxisspezifische technische Maßnahmen. Wer eine Praxis-Website betreibt, sollte beide Regelwerke im Blick behalten.

Besondere Kategorien personenbezogener Daten — DSGVO Art. 9

DSGVO Art. 9 Abs. 1 verbietet grundsätzlich die Verarbeitung von Gesundheitsdaten. Dieser Grundsatz gilt auch für Daten, die über eine Praxis-Website erhoben werden. Art. 9 Abs. 2 nennt jedoch Ausnahmen, unter denen die Verarbeitung zulässig sein kann:

• Art. 9 Abs. 2 lit. a: Die betroffene Person hat ausdrücklich in die Verarbeitung eingewilligt
• Art. 9 Abs. 2 lit. h: Die Verarbeitung ist für Zwecke der Gesundheitsversorgung erforderlich

Für Praxis-Websites bedeutet das in der Praxis: Wenn Patienten über ein Kontaktformular Gesundheitsdaten übermitteln, empfiehlt es sich, eine ausdrückliche Einwilligung einzuholen — beispielsweise über eine Checkbox mit einem Hinweis wie: „Ich bin damit einverstanden, dass meine Angaben, die möglicherweise Gesundheitsdaten enthalten, zur Bearbeitung meiner Anfrage verarbeitet werden.”

Was zählt als Gesundheitsdatum?

Die Definition ist bewusst weit gefasst. Laut DSGVO Art. 4 Nr. 15 sind Gesundheitsdaten alle personenbezogenen Daten, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Auf einer Praxis-Website könnten das sein:

Hinweis: Im Zweifelsfall empfehlen wir, Daten als Gesundheitsdaten zu behandeln und die entsprechenden Schutzmaßnahmen anzuwenden. Ein umfassender Überblick über die DSGVO-Anforderungen für Websites findet sich in unserer DSGVO-Checkliste.

Online-Terminbuchung und Kontaktformulare

Online-Terminbuchungssysteme und Kontaktformulare sind für Arztpraxen praktisch — bringen aber datenschutzrechtliche Anforderungen mit sich, die über die einer gewöhnlichen Unternehmenswebsite hinausgehen.

Kontaktformulare datenschutzkonform gestalten

Ein Freitextfeld mit der Beschriftung „Ihr Anliegen” führt in der Praxis dazu, dass Patienten Symptome, Diagnosen oder Medikamentennamen eingeben. Damit werden möglicherweise Gesundheitsdaten erhoben. Folgende Maßnahmen empfehlen wir:

Datenminimierung: Nur die Felder anbieten, die tatsächlich erforderlich sind. Möglicherweise reicht ein Formular mit Name, Telefonnummer und gewünschtem Rückrufzeitraum — ohne Freitextfeld für medizinische Details. Je weniger Gesundheitsdaten über die Website erhoben werden, desto geringer die Anforderungen.

Einwilligungshinweis: Vor dem Absenden sollte eine Checkbox mit einem klaren Verweis auf die Datenschutzerklärung und den Hinweis erscheinen, dass möglicherweise Gesundheitsdaten übermittelt werden. Diese Einwilligung sollte laut DSGVO Art. 9 Abs. 2 lit. a ausdrücklich sein.

Verschlüsselte Übertragung: Das Formular sollte ausschließlich über HTTPS übertragen werden. Laut DSGVO Art. 32 sind geeignete technische Maßnahmen zum Schutz der Daten erforderlich — bei Gesundheitsdaten ist das Schutzniveau entsprechend höher.

Empfängerkreis begrenzen: Formular-E-Mails sollten nur an autorisierte Mitarbeiter zugestellt werden — nicht an ein allgemeines Postfach, auf das externe Dienstleister Zugriff haben.

Online-Terminbuchung

Wenn Patienten bei der Buchung einen Behandlungsgrund angeben, handelt es sich möglicherweise um Gesundheitsdaten. Bei der Auswahl und Konfiguration eines Buchungssystems empfehlen wir folgende Punkte:

• Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter des Buchungssystems — gemäß DSGVO Art. 28. Ohne AVV sollte kein externer Dienst eingesetzt werden, der Zugriff auf Patientendaten hat.
• Serverstandort: Empfehlenswert ist ein Anbieter mit Serverstandort in der EU bzw. im EWR. Die Übertragung von Gesundheitsdaten in Drittstaaten (z. B. USA) bringt zusätzliche rechtliche Anforderungen mit sich.
• Zugriffsrechte: Nur berechtigte Praxismitarbeiter sollten Zugriff auf die Buchungsdaten haben. Ein Rollen- und Rechtekonzept ist empfehlenswert.
• Löschkonzept: Buchungsdaten, die nicht mehr benötigt werden, sollten systematisch gelöscht werden — unter Beachtung gesetzlicher Aufbewahrungsfristen.
• Minimale Datenerhebung: Prüfen Sie, ob die Angabe eines Behandlungsgrunds wirklich erforderlich ist, oder ob eine allgemeine Terminbuchung ohne Gesundheitsangaben ausreicht.

Laut KBV-IT-Sicherheitsrichtlinie sollten Praxen zudem dokumentieren, welche externen Dienste auf der Website eingebunden sind und welche Daten dabei fließen.

Technische Sicherheitsmaßnahmen — DSGVO Art. 32

DSGVO Art. 32 verlangt „geeignete technische und organisatorische Maßnahmen”, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Bei Gesundheitsdaten ist das Risiko naturgemäß höher als bei gewöhnlichen Kontaktdaten — entsprechend höher sind die Anforderungen an die technische Sicherheit.

SSL/TLS-Verschlüsselung

Ein gültiges SSL-Zertifikat ist für Praxis-Websites unverzichtbar. Alle Seiten — nicht nur Formulare — sollten über HTTPS erreichbar sein. In der Regel lässt sich das über eine automatische Weiterleitung von HTTP auf HTTPS umsetzen.

Kostenlose Zertifikate über Let’s Encrypt sind technisch gleichwertig mit kostenpflichtigen Alternativen und werden von allen gängigen Browsern akzeptiert. Entscheidend ist, dass das Zertifikat aktuell bleibt — abgelaufene Zertifikate führen zu Browser-Warnungen, die Patienten verunsichern.

Sichere Formulardaten-Übertragung

Die Transportverschlüsselung über HTTPS schützt die Daten auf dem Weg vom Browser zum Server. Darüber hinaus empfehlen wir:

• Serverseitige Verschlüsselung der gespeicherten Formulardaten
• Keine Klartextübertragung per E-Mail — wenn Formularinhalte per E-Mail weitergeleitet werden, sollte die E-Mail-Kommunikation ebenfalls verschlüsselt erfolgen (z. B. TLS bei der E-Mail-Übertragung)
• Regelmäßige Updates des CMS, aller Plugins und des Servers — nicht aktualisierte Software ist eine häufige Schwachstelle

Weitere technische Maßnahmen

Laut DSGVO Art. 32 Abs. 1 sollten je nach Risiko folgende Maßnahmen in Betracht gezogen werden:

• Sichere HTTP-Header: Content-Security-Policy, X-Content-Type-Options, Strict-Transport-Security — diese Header reduzieren das Risiko bestimmter Angriffstypen
• Cookie-Konfiguration: HttpOnly- und Secure-Flags für Session-Cookies
• Zugriffsschutz für das Backend bzw. CMS — starke Passwörter, idealerweise Zwei-Faktor-Authentifizierung
• Regelmäßige Backups der Website-Daten — getrennt vom Produktivsystem gespeichert
• Monitoring: Überwachung der Website auf ungewöhnliche Zugriffsmuster oder Ausfälle
• Firewall: Web Application Firewall (WAF) zum Schutz vor häufigen Angriffsmustern

Die KBV-IT-Sicherheitsrichtlinie empfiehlt zudem, die IT-Systeme der Praxis — einschließlich der Website — regelmäßig auf Schwachstellen zu prüfen.

Häufige Schwachstellen bei Praxis-Websites

Aus der technischen Prüfung von Praxis-Websites beobachten wir wiederkehrende Schwachstellen, die sich mit überschaubarem Aufwand beheben lassen:

Externe Ressourcen und Drittanbieter

Google Fonts: Viele Praxis-Websites laden Schriftarten direkt von Google-Servern. Dabei wird die IP-Adresse des Besuchers an Google übermittelt — ohne Einwilligung ist das datenschutzrechtlich problematisch. Die Lösung: Schriftarten lokal auf dem eigenen Server hosten. Details dazu in unserem Ratgeber zu Google Fonts und DSGVO.

Eingebettete Karten und Videos: Google Maps oder YouTube-Videos laden beim Seitenaufruf Daten von Drittservern. Empfehlenswert ist eine Zwei-Klick-Lösung, bei der externe Inhalte erst nach Zustimmung des Nutzers geladen werden.

Tracking ohne Einwilligung: Analyse-Tools wie Google Analytics übermitteln personenbezogene Daten an Drittanbieter. Ohne vorherige Einwilligung des Nutzers ist der Einsatz datenschutzrechtlich problematisch. Datenschutzfreundlichere Alternativen wie Matomo (selbst gehostet) oder Plausible Analytics ermöglichen eine Nutzungsauswertung, ohne dass Daten an externe Server fließen.

Fehlende oder unzureichende Informationen

Cookie Banner: Cookie Banner, die keine echte Wahlmöglichkeit bieten oder technisch nicht korrekt umgesetzt sind, erfüllen die Anforderungen möglicherweise nicht. Empfehlenswert ist ein Consent-Management-Tool, das Cookies erst nach aktiver Einwilligung lädt.

Kontaktformulare ohne Einwilligungshinweis: Patienten sollten vor dem Absenden des Formulars wissen, wie ihre Daten übertragen und verarbeitet werden — besonders wenn möglicherweise Gesundheitsdaten übermittelt werden.

Fehlende Angabe des Datenschutzbeauftragten: Wenn die Praxis einen Datenschutzbeauftragten bestellt hat, sollte dessen Kontakt in der Datenschutzerklärung genannt werden.

Technische Versäumnisse

Veraltete CMS-Versionen und Plugins: Nicht aktualisierte Software stellt ein Sicherheitsrisiko dar — besonders kritisch, wenn über die Website Gesundheitsdaten verarbeitet werden. Regelmäßige Updates sind laut DSGVO Art. 32 Teil der „geeigneten technischen Maßnahmen”.

Fehlende HTTP-Sicherheitsheader: Viele Praxis-Websites verzichten auf Sicherheitsheader wie Content-Security-Policy oder Strict-Transport-Security. Diese lassen sich in der Regel ohne großen Aufwand konfigurieren.

Unverschlüsselte E-Mail-Weiterleitung: Wenn Formularinhalte per E-Mail an die Praxis gesendet werden, sollte die E-Mail-Übertragung verschlüsselt erfolgen — besonders wenn Gesundheitsdaten enthalten sein könnten.

Barrierefreiheit für Praxis-Websites — BFSG

Seit dem 28. Juni 2025 gelten die Anforderungen des Barrierefreiheitsstärkungsgesetzes (BFSG). Arztpraxen, die Dienstleistungen im elektronischen Geschäftsverkehr anbieten — etwa Online-Terminbuchung oder digitale Formulare — fallen möglicherweise unter den Anwendungsbereich.

Laut § 1 BFSG betrifft das Gesetz Dienstleistungen im elektronischen Geschäftsverkehr. Ob eine Praxis-Website unter diese Definition fällt, hängt vom konkreten Leistungsangebot ab — eine individuelle Prüfung ist empfehlenswert.

Unabhängig von der rechtlichen Einordnung profitieren Praxis-Websites von Barrierefreiheit: Ältere Patienten, Menschen mit Sehbeeinträchtigungen oder motorischen Einschränkungen können die Website besser nutzen. Das verbessert die Patientenerfahrung und kann sich positiv auf die Terminbuchungsrate auswirken.

Wesentliche Barrierefreiheitsaspekte für Praxis-Websites

• Ausreichende Kontraste bei Texten und Bedienelementen (mindestens 4,5:1)
• Tastaturnavigation — alle Funktionen sollten ohne Maus bedienbar sein
• Textalternativen für Bilder (Alt-Texte für Praxisfotos, Teambilder etc.)
• Verständliche Formulare mit klaren Beschriftungen und Fehlermeldungen
• Responsive Design für mobile Endgeräte — viele Patienten suchen unterwegs nach einem Arzt
• Skalierbare Schriftgrößen — besonders relevant für ältere Patienten

Besonders relevant für Arztpraxen: Viele Patienten sind älter und nutzen möglicherweise Hilfstechnologien wie Screenreader oder Bildschirmlupen. Eine barrierearme Website signalisiert Empathie und Professionalität. Weitere Informationen zu den BFSG-Anforderungen finden Sie in unserem Ratgeber zur BFSG-Website-Pflicht.

Datenschutzerklärung für Praxis-Websites

Jede Praxis-Website benötigt eine vollständige Datenschutzerklärung gemäß DSGVO Art. 13 und Art. 14. Für Arztpraxen empfehlen wir, zusätzlich zu den Standardangaben folgende Punkte aufzunehmen:

• Hinweis auf Art. 9 DSGVO, wenn über die Website Gesundheitsdaten erhoben werden
• Rechtsgrundlage für die Verarbeitung — in der Regel Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) oder eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a
• Angabe des Datenschutzbeauftragten, sofern die Praxis einen bestellt hat (laut DSGVO Art. 37 Abs. 1 lit. c ist ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht — was bei Arztpraxen der Fall sein dürfte)
• Auftragsverarbeiter, die Zugriff auf Patientendaten haben könnten — beispielsweise der Hosting-Provider oder ein externer Terminbuchungs-Dienst
• Speicherdauer der über die Website erhobenen Daten
• Betroffenenrechte klar und verständlich dargestellt — Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch

Die Datenschutzerklärung sollte von jeder Unterseite aus erreichbar sein — idealerweise im Footer, maximal einen Klick entfernt.

Checkliste: DSGVO für Ihre Praxis-Website

Die folgende Checkliste fasst die wichtigsten technischen Punkte zusammen, die wir bei der Prüfung von Praxis-Websites überprüfen:

Grundlagen

• SSL-Zertifikat aktiv und alle Seiten über HTTPS erreichbar
• Datenschutzerklärung vollständig, mit Hinweis auf Art. 9 DSGVO bei Gesundheitsdaten
• Datenschutzbeauftragter benannt, sofern Bestellpflicht besteht
• Impressum vollständig und von jeder Seite erreichbar

Formulare und Terminbuchung

• Kontaktformulare datensparsam gestaltet (nur notwendige Felder)
• Einwilligungshinweis bei Formularen vorhanden, die möglicherweise Gesundheitsdaten erheben
• Online-Terminbuchung mit AVV, EU-Serverstandort, Zugriffskonzept
• Empfängerkreis für Formular-E-Mails auf autorisierte Mitarbeiter beschränkt

Externe Dienste

• Cookie Banner mit echtem Opt-in — keine vorausgewählten Checkboxen
• Externe Dienste (Google Fonts, Maps, Analytics) nur mit Einwilligung oder lokal gehostet
• Auftragsverarbeitungsverträge mit allen relevanten Dienstleistern abgeschlossen
• Zwei-Klick-Lösung für eingebettete Videos und Karten

Technische Sicherheit

• CMS und Plugins auf dem aktuellen Stand
• Sichere HTTP-Header konfiguriert (CSP, HSTS, X-Content-Type-Options)
• Session-Cookies mit HttpOnly- und Secure-Flags
• Zugriffsschutz für das CMS-Backend (starke Passwörter, 2FA)
• Regelmäßige Backups eingerichtet

Barrierefreiheit

• Kontraste geprüft (mindestens 4,5:1 für normalen Text)
• Tastaturnavigation funktional
• Alt-Texte für alle informativen Bilder vorhanden
• Formulare barrierefrei gestaltet (Labels, Fehlermeldungen)
• Responsive Design für mobile Endgeräte

Laufende Pflege

• Löschkonzept für über die Website erhobene Daten dokumentiert
• Regelmäßige Überprüfung der eingesetzten Dienste und Cookies (mindestens quartalsweise)
• CMS-Updates zeitnah einspielen
• Neue Inhalte und Funktionen vor Veröffentlichung auf Datenschutzkonformität prüfen

Einen umfassenden Überblick über die DSGVO-Anforderungen für Websites bietet unsere DSGVO-Checkliste für Websites.

Häufige Fragen

Braucht eine Arztpraxis einen Datenschutzbeauftragten?

Laut DSGVO Art. 37 Abs. 1 lit. c ist ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht. Da Arztpraxen regelmäßig Gesundheitsdaten verarbeiten, dürfte diese Voraussetzung in vielen Fällen erfüllt sein. Zusätzlich gilt nach BDSG §38 eine Bestellpflicht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Wir empfehlen, die Bestellpflicht im Einzelfall prüfen zu lassen — die Schwellenwerte und ihre Auslegung können je nach Praxisgröße und Organisationsform variieren.

Darf ich Patientenbewertungen auf meiner Website zeigen?

Patientenbewertungen, die Behandlungen, Diagnosen oder gesundheitliche Beschwerden beschreiben, enthalten möglicherweise Gesundheitsdaten im Sinne von DSGVO Art. 9. Selbst wenn der Patient die Bewertung freiwillig verfasst hat, empfehlen wir, bei der Veröffentlichung auf der eigenen Website eine ausdrückliche Einwilligung einzuholen. Zudem sollte der Patient die Möglichkeit haben, seine Bewertung jederzeit entfernen zu lassen. Anonymisierte Bewertungen, die keinen Rückschluss auf eine bestimmte Person zulassen, könnten datenschutzrechtlich weniger problematisch sein — allerdings ist eine vollständige Anonymisierung in der Praxis oft schwer zu gewährleisten.

Ist Online-Terminbuchung DSGVO-konform möglich?

Ja, Online-Terminbuchung ist datenschutzkonform möglich, wenn die entsprechenden Maßnahmen getroffen werden. Dazu gehören ein Auftragsverarbeitungsvertrag (AVV) mit dem Buchungssystem-Anbieter gemäß DSGVO Art. 28, die Einwilligung der Patienten in die Datenverarbeitung (insbesondere wenn Gesundheitsdaten erhoben werden), ein Zugriffskonzept, das sicherstellt, dass nur berechtigte Mitarbeiter die Buchungsdaten einsehen können, sowie ein Löschkonzept für nicht mehr benötigte Daten. Empfehlenswert sind Anbieter mit Serverstandort in der EU, die laut DSGVO Art. 32 angemessene technische Maßnahmen nachweisen können. Prüfen Sie außerdem, ob die Angabe eines Behandlungsgrunds bei der Buchung wirklich erforderlich ist — je weniger Gesundheitsdaten erhoben werden, desto geringer die datenschutzrechtlichen Anforderungen.