DSGVO Arztpraxis Website: Was Praxen wirklich beachten mussen

Arztpraxen stehen beim Thema Datenschutz unter besonderem Druck - Patientendaten sind besonders sensibel. Aber was bedeutet das konkret fur die Website? Was ist Pflicht, was ist nice-to-have und wo lauert echtes Abmahnrisiko?

Was jede Praxis-Website braucht

Datenschutzerklarung

Pflicht. Die Datenschutzerklarung muss alle Dienste nennen die Daten verarbeiten. Dazu gehort mindestens das Kontaktformular (wer verarbeitet die Daten, wie lange werden sie gespeichert), der Hosting-Anbieter und - falls vorhanden - Google Analytics, Kalender-Einbindungen oder Terminbuchungs-Systeme.

Impressum

Pflicht. Fur Arztpraxen muss das Impressum zusatzlich zu den normalen Pflichtangaben die zustandige Kassenarztliche Vereinigung, die Berufsbezeichnung und das Bundesland in dem der Titel verliehen wurde nennen. Viele Praxis-Impressen sind hier unvollstandig.

Kontaktformular mit Einwilligung

Das Formular muss eine Checkbox mit Einwilligung zur Datenverarbeitung haben. Nicht als Pflichtfeld aber klar erkennbar. Dazu ein Link zur Datenschutzerklarung direkt im Formular.

Cookie-Banner: Wann ist er Pflicht?

Ein Cookie-Banner ist nur notig wenn Cookies gesetzt werden die nicht technisch notwendig sind. Ein einfaches Kontaktformular ohne Tracking braucht keinen Cookie-Banner. Google Analytics braucht einen - weil Analytics Daten uber Nutzerverhalten an Google ubertragt.

Viele Praxis-Websites haben einen Cookie-Banner der nichts Sinnvolles tut, weil keine Tracking-Cookies gesetzt werden. Und einige haben Google Analytics ohne Banner. Beides ist falsch.

Google Analytics und DSGVO

Google Analytics 4 mit IP-Anonymisierung und Cookie-Consent ist DSGVO-konform einsetzbar - wenn der Consent korrekt eingeholt wird und in der Datenschutzerklarung erklart ist. Wer Analytics ohne Consent nutzt riskiert Bussen.

Alternative: Datenschutzfreundlichere Analysetools wie Matomo (selbst gehostet) oder Plausible (EU-Server). Kein Consent notig, trotzdem nutzliche Daten.

Wofur Arztpraxen besonders vorsichtig sein sollten

Das Besondere an Arztpraxen: Wenn ein Patient per Formular anfragt und dabei seine Erkrankung erw ahnt, sind das Gesundheitsdaten der hochsten Schutzkategorie (Art. 9 DSGVO). Das bedeutet: Die E-Mail-Ubertragung muss verschlusselt sein, die Speicherdauer muss definiert und begrenzt sein, und wer Zugang zu den Daten hat muss dokumentiert werden.

Ein unverschlusseltes Kontaktformular das Anfragen in ein ungeschutztes Postfach schickt ist fur Arztpraxen ein echtes Risiko - nicht nur theoretisch.

Was wirklich abgemahnt wird

In der Praxis werden am haufigsten abgemahnt: fehlendes oder unvollstandiges Impressum, Google Analytics ohne Consent und fehlende Datenschutzerklarung. Das sind die drei Punkte die Abmahnvereine als erstes prufen. Wer diese drei Punkte sauber hat ist fur den grossten Teil des Risikos geschutzt.