DSGVO Arztpraxis Website: Was Praxen rechtlich beachten müssen

Eine Arztpraxis-Website ist mehr als eine digitale Visitenkarte — sie ist ein rechtlich sensibler Berührungspunkt mit Patientendaten. Die DSGVO-konforme Gestaltung einer Arztpraxis-Website ist deshalb kein optionales Extra, sondern eine Pflicht: Wer hier schludert, riskiert Abmahnungen, Bußgelder und — schlimmer noch — den Vertrauensverlust von Patienten.

Dieser Leitfaden erklärt, welche konkreten Anforderungen die DSGVO, das Telemediengesetz (TMG) und das Heilberufsrecht an die Homepage einer Arztpraxis stellen, wo die häufigsten Fallstricke lauern und wie Sie Ihre Praxis-Website Schritt für Schritt rechtssicher gestalten. Dazu gibt es eine praxiserprobte Checkliste, ein konkretes Praxisbeispiel und Antworten auf die häufigsten Fragen.

Hinweis: Dieser Artikel bietet eine fachlich fundierte Orientierung, ersetzt aber keine individuelle Rechtsberatung. Ziehen Sie im Zweifelsfall einen auf Medizinrecht oder Datenschutz spezialisierten Anwalt hinzu.

---

Warum die DSGVO Arztpraxen besonders hart trifft

Arztpraxen verarbeiten nahezu ausschließlich besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO: Gesundheitsdaten. Das erhöht sowohl die Sorgfaltspflicht als auch die möglichen Bußgelder bei Verstößen erheblich. Schon ein schlecht konfiguriertes Kontaktformular, ein fehlerhaftes Impressum oder ein eingebettetes Google-Font ohne Zustimmung kann ausreichen, um in den Fokus von Datenschutzbehörden oder Abmahnanwälten zu geraten.

Gleichzeitig sind Arztpraxen wirtschaftlich oft klein und juristisch wenig spezialisiert — das macht sie zu einem bevorzugten Ziel für kostenpflichtige Abmahnungen.

Die gute Nachricht: Wer die relevanten Anforderungen kennt und systematisch umsetzt, kann seine Praxis-Website in überschaubarem Aufwand rechtssicher machen. Die Grundregeln sind klar — es kommt auf die konsequente Umsetzung an.

---

Die rechtlichen Grundlagen im Überblick

Für die Website einer Arztpraxis greifen mehrere Rechtsquellen ineinander:

Rechtsquelle	Relevanz für die Praxis-Website
DSGVO (EU)	Verarbeitung personenbezogener Daten, Datenschutzerklärung, Einwilligungen
TDDDG (ehem. TTDSG)	Cookie-Consent, Tracking, eingebettete Dienste
TMG / Impressumspflicht	Pflichtangaben, Anbieterkennzeichnung
BO der Landesärztekammer	Berufsrechtliche Pflichten, Werbebeschränkungen
Patientenrechtegesetz	Informationspflichten gegenüber Patienten
BDSG	Ergänzende nationale Regelungen zur DSGVO

Diese Gesetze ergänzen sich und müssen kumulativ beachtet werden. Insbesondere das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), das 2023 das TTDSG ablöste, regelt den Einsatz von Cookies und Tracking-Technologien unabhängig von der DSGVO.

---

Impressum Arztpraxis Website: Was rein muss

Das Impressum ist die Pflichtangabe Nummer eins. Fehlt es oder ist es unvollständig, drohen kostenpflichtige Abmahnungen — unabhängig von der DSGVO. Für Ärzte gelten dabei erweiterte Angabepflichten gegenüber normalen Gewerbetreibenden.

Pflichtangaben im Impressum einer Arztpraxis

• Name und Vorname des Inhabers (bei Gemeinschaftspraxis: alle Inhaber)
• Vollständige Postanschrift der Praxis (kein Postfach)
• Kontaktmöglichkeit: Telefonnummer und E-Mail-Adresse
• Berufsbezeichnung und Staat, in dem sie verliehen wurde (z. B. „Facharzt für Allgemeinmedizin, Deutschland")
• Zuständige Ärztekammer mit Anschrift und Website
• Zuständige Kassenärztliche Vereinigung (bei kassenärztlicher Zulassung)
• Bezeichnung der berufsrechtlichen Regelungen (Berufsordnung der jeweiligen Ärztekammer) sowie Hinweis, wo diese einsehbar sind
• Umsatzsteuer-ID (sofern vorhanden und umsatzsteuerpflichtig) oder Steuernummer
• Bei GmbH, MVZ etc.: Handelsregisternummer, Registergericht, Geschäftsführer

Das Impressum muss von jeder Seite der Website in maximal zwei Klicks erreichbar sein — am besten über einen Link im Footer.

Praxistipp: Nutzen Sie keine Bilddateien für E-Mail-Adressen oder Telefonnummern im Impressum. Suchmaschinen und Screenreader können diese nicht lesen; außerdem erschwert es die Kontaktaufnahme.

---

Datenschutzerklärung Arztpraxis: Was wirklich drin stehen muss

Die Datenschutzerklärung (auch: Datenschutzhinweise) ist das Herzstück der DSGVO-Konformität Ihrer Website. Sie muss nach Art. 13 und 14 DSGVO vollständig, verständlich und aktuell sein. Für Arztpraxen gilt: Allgemeine Muster-Datenschutzerklärungen reichen nicht aus — der Inhalt muss auf die tatsächlichen Verarbeitungsvorgänge Ihrer Praxis-Website zugeschnitten sein.

Mindestinhalt einer Datenschutzerklärung für Arztpraxen

1. Name und Kontakt des Verantwortlichen (Arzt/Praxis) sowie ggf. des Datenschutzbeauftragten
2. Kontaktdaten des Datenschutzbeauftragten (ab 20 Mitarbeitern oder bei systematischer Datenverarbeitung Pflicht; empfehlenswert ist es generell)
3. Zwecke und Rechtsgrundlagen jeder Datenverarbeitung auf der Website
4. Empfänger oder Kategorien von Empfängern (z. B. Hosting-Anbieter, E-Mail-Dienstleister)
5. Drittlandübermittlungen (z. B. bei Google Analytics, US-amerikanischen Hosting-Diensten)
6. Speicherdauer für jede Datenkategorie
7. Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit
8. Beschwerderecht bei der zuständigen Aufsichtsbehörde
9. Hinweis auf Pflicht oder Freiwilligkeit der Datenangabe

Besonderheiten für Arztpraxen

Wenn Patienten über Ihre Website Kontaktformulare ausfüllen, Online-Termine buchen oder Anfragen stellen, beginnt an diesem Punkt die Verarbeitung von Gesundheitsdaten. Diese müssen in der Datenschutzerklärung explizit adressiert werden — einschließlich der Rechtsgrundlage (in der Regel Art. 9 Abs. 2 lit. h DSGVO: medizinische Diagnose und Behandlung).

---

Cookies und Tracking: Der unterschätzte Fallstrick

Viele Arztpraxis-Websites nutzen unbewusst Dienste, die Daten in die USA übertragen: Google Analytics, Google Fonts (wenn von Google-Servern geladen), YouTube-Videos, Facebook-Pixel oder ähnliches. Jeder dieser Dienste kann ein eigenständiges DSGVO-Problem darstellen.

Wann brauche ich einen Cookie-Banner?

Nach dem TDDDG ist für technisch nicht notwendige Cookies eine aktive Einwilligung vor dem Setzen erforderlich — kein vorangekreuztes Kästchen, keine „Weiter nutzen bedeutet Zustimmung"-Lösungen. Für rein informationelle Praxis-Websites ohne Tracking kann auf einen Cookie-Banner verzichtet werden, wenn tatsächlich keine nicht-notwendigen Cookies gesetzt werden.

Technisch notwendige Cookies (z. B. Session-Cookies für ein Buchungssystem, Sicherheits-Cookies) sind ohne Einwilligung erlaubt.

Google Fonts: Ein häufiger Fehler

Das Laden von Google Fonts direkt von Google-Servern überträgt die IP-Adresse des Besuchers an Google — ohne Einwilligung eine DSGVO-Verletzung. Lösung: Fonts lokal auf dem eigenen Server hosten. Dies ist technisch einfach umsetzbar und kostet bei der Website-Erstellung kaum Mehraufwand.

Empfehlungen für Tracking-Tools

Tool	DSGVO-Status	Empfehlung
Google Analytics 4	Einwilligung erforderlich (Drittlandübermittlung)	Nur mit Cookie-Consent und DPA-Vertrag
Matomo (selbst gehostet)	Keine Einwilligung nötig bei IP-Anonymisierung	Empfehlenswert für Praxen
Google Fonts (von Google)	Einwilligung nötig	Lokal hosten
YouTube-Videos	Einwilligung nötig	Nur als „2-Klick-Lösung" oder ohne autoplay
Kontaktformular (ohne Drittdienst)	Einwilligung über DSE ausreichend	Standard-Lösung für Praxen

---

Kontaktformular und Online-Terminbuchung: Besonderer Schutz für Gesundheitsdaten

Ein Kontaktformular auf der Arztpraxis-Website klingt harmlos — ist aber datenschutzrechtlich besonders sensibel, weil Patienten dort häufig Gesundheitsinformationen angeben (Beschwerden, Anliegen, Versichertenstatus).

Anforderungen an das Kontaktformular

• SSL/TLS-Verschlüsselung der gesamten Website (HTTPS) — Pflicht, kein Kann
• Klarer Hinweis in der Nähe des Formulars, dass Daten gemäß der Datenschutzerklärung verarbeitet werden (mit Link)
• Nur notwendige Felder abfragen (Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO)
• Kein Pflichtfeld für sensible Gesundheitsinformationen — diese sollten freiwillig und mit Hinweis auf Risiken eingegeben werden
• Sichere Übertragung der Formulardaten an ein verschlüsseltes Postfach (kein unverschlüsseltes Weiterleitungs-E-Mail)
• Auftragsverarbeitungsvertrag (AVV) mit dem Hosting-Anbieter und E-Mail-Dienstleister

Wichtig: E-Mail ist als Kommunikationskanal für Gesundheitsdaten grundsätzlich nicht sicher. Wenn Patienten über ein Formular Diagnosen oder Symptome mitteilen, sollten Sie in der Nähe des Formulars explizit auf dieses Risiko hinweisen — und möglichst sichere Alternativen (verschlüsselte Nachricht, Telefon) anbieten. Mehr dazu finden Sie im Artikel über datenschutzkonformen Patientenkontakt.

Online-Terminbuchung

Buchungssysteme für Arztpraxen verarbeiten ebenfalls personenbezogene Daten. Achten Sie auf:

• Serverstandort in Deutschland oder EU (oder entsprechende Standardvertragsklauseln)
• Auftragsverarbeitungsvertrag mit dem Anbieter
• Verschlüsselte Datenübertragung
• Klare Datenschutzinformation vor dem Abschluss der Buchung
• Keine Weitergabe von Buchungsdaten an Dritte ohne Einwilligung

---

Praxisbeispiel: Allgemeinarztpraxis Dr. Müller in Brandenburg

Eine Allgemeinarztpraxis mit zwei Standorten in Brandenburg entschied sich 2024 für einen Website-Relaunch. Die bisherige WordPress-Website hatte mehrere DSGVO-Probleme:

• Kontaktformular übertrug Daten an einen US-amerikanischen E-Mail-Dienst ohne AVV
• Google Fonts wurden von Google-Servern geladen
• Datenschutzerklärung war ein generisches Muster ohne Bezug auf die tatsächlich eingesetzten Dienste
• Kein Hinweis auf das Recht der Patienten, eine Beschwerde bei der Aufsichtsbehörde einzureichen
• Impressum fehlte die Angabe der zuständigen Ärztekammer

Maßnahmen im Zuge des Relaunchs:

1. Umstieg auf ein DSGVO-konformes Kontaktformular mit eigenem Mailserver (Server in Deutschland)
2. Google Fonts lokal gehostet
3. Datenschutzerklärung vollständig neu erstellt, abgestimmt auf alle eingesetzten Dienste
4. Impressum ergänzt um alle berufsrechtlichen Pflichtangaben
5. Cookie-Hinweis auf technisch notwendige Cookies beschränkt (kein Tracking → kein Banner nötig)
6. SSL-Zertifikat erneuert und HTTPS erzwungen

Ergebnis: Die Website erfüllt seither alle gängigen Anforderungen der DSGVO, des TDDDG und der Berufsordnung der Brandenburger Ärztekammer — ohne aufwändige Consent-Management-Plattform, da auf Tracking vollständig verzichtet wird.

---

Checkliste: DSGVO-konforme Arztpraxis-Website

Nutzen Sie diese Checkliste zur Selbstprüfung Ihrer Praxis-Website:

Impressum

• Vollständige Pflichtangaben vorhanden (Name, Adresse, Kontakt)
• Berufsbezeichnung und verleihender Staat angegeben
• Zuständige Ärztekammer und KV genannt
• Berufsordnung referenziert
• Von jeder Seite in max. 2 Klicks erreichbar

Datenschutzerklärung

• Alle Verarbeitungsvorgänge auf der Website beschrieben
• Rechtsgrundlagen für jede Verarbeitung benannt
• Drittanbieter (Hosting, Formulare, Plugins) aufgeführt
• Betroffenenrechte vollständig aufgelistet
• Kontakt des Datenschutzbeauftragten (falls vorhanden)
• Aktuell — bei Änderungen sofort anpassen

Technische Maßnahmen

• HTTPS/SSL auf allen Seiten aktiv
• Google Fonts lokal gehostet (oder kein Google Fonts)
• Kein aktives Tracking ohne Einwilligung
• Cookie-Banner nur wenn nicht-notwendige Cookies gesetzt werden
• Auftragsverarbeitungsvertrag mit Hosting-Anbieter abgeschlossen

Kontaktformular & Buchung

• Nur notwendige Felder im Formular
• Datenschutzhinweis beim Formular
• Übertragung verschlüsselt
• Hinweis auf Unsicherheit von E-Mail bei sensiblen Daten
• AVV mit Formular-/Buchungsanbieter

---

Häufige DSGVO-Fehler auf Arztpraxis-Websites

1. Kopierte Datenschutzerklärungen

Datenschutzerklärungen aus dem Internet zu kopieren ist verlockend, aber gefährlich: Stimmt der Inhalt nicht mit den tatsächlich eingesetzten Diensten überein, ist die Erklärung fehlerhaft — und kann selbst zur DSGVO-Verletzung werden, wenn sie falsche Angaben enthält.

2. Eingebettete Google Maps ohne Einwilligung

Wer Google Maps direkt einbettet (nicht als einfachen Link), überträgt Besucher-IP-Adressen an Google. Lösung: Karte erst nach Klick laden (Zwei-Klick-Lösung) oder auf OpenStreetMap umsteigen.

3. Fehlender AVV mit dem Webhoster

Der Auftragsverarbeitungsvertrag mit dem Hosting-Anbieter ist Pflicht (Art. 28 DSGVO). Viele Praxen haben diesen nie abgeschlossen — oft bieten Hoster ihn im Kundenbereich zum Download an.

4. WhatsApp-Kontaktbutton auf der Website

WhatsApp überträgt Metadaten an Meta (Facebook). Für eine Arztpraxis, auf deren Website Patienten mit Beschwerden Kontakt aufnehmen, ist dies ein erhebliches Datenschutzproblem.

5. Unverschlüsselte E-Mail-Formulare

Formulare, die Daten unverschlüsselt per E-Mail weiterleiten, sind technisch unsicher. Dies gilt insbesondere, wenn Patienten Symptome oder Anliegen angeben.

---

Wer ist verantwortlich — und wer hilft?

Für die DSGVO-Konformität Ihrer Website ist die Praxis selbst verantwortlich — nicht der Webdesigner, nicht der Hoster. Der Praxisinhaber (als natürliche Person oder die Praxis als Betrieb) ist der datenschutzrechtliche Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.

Das bedeutet nicht, dass Sie alles allein machen müssen — aber Sie müssen sicherstellen, dass Dienstleister, die in Ihrem Auftrag Daten verarbeiten, einen AVV unterzeichnen und DSGVO-konform handeln.

Sinnvolle externe Unterstützung:

• Externer Datenschutzbeauftragter (DSB): Pflicht ab bestimmten Schwellenwerten, für Praxen mit Patientendaten empfehlenswert
• Auf Medizinrecht spezialisierter Anwalt: Bei Abmahnungen oder Unsicherheit
• IT-Dienstleister mit DSGVO-Erfahrung: Für die technische Umsetzung (Hosting, Formulare, SSL, lokale Fonts)

Wenn Sie eine neue Praxis-Website planen oder Ihre bestehende auf DSGVO-Konformität prüfen möchten, kann ein erfahrener IT-Partner wie SW Business Solutions unterstützen — von der technischen Umsetzung bis zur Beratung bei der Praxis-Website (Ärzte & Praxen). Den vollständigen Überblick über alle Aspekte eines professionellen Praxis-Webauftritts finden Sie im Artikel Website für Arztpraxis vollständiger Leitfaden.

---

DSGVO und Berufsrecht: Werbung auf der Arztpraxis-Website

Neben der DSGVO müssen Arztpraxen beim Websiteinhalt auch die berufsrechtlichen Werbebeschränkungen beachten. Die Musterberufsordnung für Ärzte (MBO-Ä) erlaubt sachliche Informationen über die Praxis, verbietet aber irreführende, anpreisende oder vergleichende Werbung.

Konkret problematisch:

• Aussagen wie „Deutschlands bester Kardiologe" oder „Die Nr. 1 in Ihrer Region"
• Nicht belegte Erfolgsquoten oder Heilsversprechen
• Patientenbewertungen, die selektiv nur positive Rückmeldungen zeigen

Erlaubt und empfehlenswert:

• Sachliche Informationen zu Behandlungsschwerpunkten und Qualifikationen
• Hinweise auf Sprechzeiten, Erreichbarkeit, Barrierefreiheit der Praxis
• Informationen zum Ablauf einer Behandlung
• Qualifikationen, Weiterbildungen, Mitgliedschaften in Fachgesellschaften

---

Technische Umsetzung: Was eine DSGVO-konforme Arztpraxis-Website braucht

Die technische Basis einer rechtssicheren Website lässt sich klar benennen. Für die Praxis-Website spielt die Wahl des CMS dabei eine Rolle: WordPress zum Beispiel kann DSGVO-konform betrieben werden, erfordert aber regelmäßige Sicherheitsupdates und sorgfältige Plugin-Auswahl — jedes Plugin kann neue Datenflüsse einführen. Eine schlanke, individuell entwickelte Website (zum Beispiel mit Next.js für Unternehmen) bietet hier mehr Kontrolle über eingebettete Dienste und Datenpfade.

Technische Mindestanforderungen

Maßnahme	Zweck	Priorität
HTTPS/SSL auf allen Seiten	Verschlüsselung der Übertragung	Pflicht
Fonts lokal hosten	Keine IP-Übertragung an Google	Hoch
AVV mit Hoster abschließen	Art. 28 DSGVO	Pflicht
Nur notwendige Plugins/Skripte	Datensparsamkeit	Hoch
Regelmäßige Updates	Sicherheitslücken schließen	Hoch
Serverstandort EU/Deutschland	Drittlandübermittlung vermeiden	Empfohlen
Sichere Formularübertragung	Schutz sensibler Anfragen	Pflicht

Weitere Hinweise zur technischen Absicherung einer Website finden Sie im Artikel WordPress Sicherheit: So schützen Sie Ihre Website zuverlässig sowie zu allgemeinen DSGVO im Alltag: Was kleine Unternehmen wirklich wissen müssen.

---

Zusammenfassung: Die wichtigsten Punkte auf einen Blick

Die DSGVO-Konformität einer Arztpraxis-Website ist keine einmalige Aufgabe, sondern ein laufender Prozess. Entscheidend sind:

1. Vollständiges, rechtssicheres Impressum mit allen berufsrechtlichen Pflichtangaben
2. Maßgeschneiderte Datenschutzerklärung — kein generisches Muster
3. Technisch sichere Umsetzung: HTTPS, lokale Fonts, kein unkontrolliertes Tracking
4. Sorgfalt bei Formularen und Buchungssystemen: AVV, Verschlüsselung, Datensparsamkeit
5. Cookie-Consent nur, wenn tatsächlich nicht-notwendige Cookies gesetzt werden
6. Regelmäßige Prüfung: Website-Inhalte und eingesetzte Dienste ändern sich — die Datenschutzerklärung muss nachziehen

Wer diese Punkte konsequent umsetzt, ist gut geschützt — und signalisiert seinen Patienten gleichzeitig, dass ihre Daten in guten Händen sind.

---

Autor: Steven Weißheimer, SW Business Solutions — IT-Dienstleistungen & Digitalisierung für den Mittelstand.

---

FAQ: DSGVO Arztpraxis Website