Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 in Kraft – trotzdem sehen wir bei vielen Arztpraxen-Websites gravierende Verstöße, die teuer werden können. Abmahnungen beginnen bei 1.000 Euro, Bußgelder der Datenschutzbehörden können deutlich höher ausfallen.
Als Webentwickler mit Spezialisierung auf medizinische Praxen in Bayern habe ich in den letzten Jahren dutzende Praxiswebsites analysiert. Diese fünf Probleme tauchen immer wieder auf – und lassen sich mit überschaubarem Aufwand beheben.
Warum DSGVO-Konformität so wichtig ist
Bei Arztpraxen geht es um sensible Gesundheitsdaten. Ein Datenschutzverstoß ist hier nicht nur ein rechtliches, sondern auch ein Vertrauensproblem. Patienten erwarten zu Recht, dass ihre Daten geschützt sind.
Die drei größten Risiken:
Abmahnungen durch Mitbewerber oder Abmahnvereine
Kosten: 800-2.000€ pro Verstoß, plus Anwaltskosten.
Bußgelder der Datenschutzbehörden
Bis zu 20 Millionen Euro oder 4% des Jahresumsatzes – in der Praxis bei Arztpraxen meist 5.000-50.000€.
Vertrauensverlust bei Patienten
Wer seine Website nicht im Griff hat, dem vertrauen Patienten auch ihre Gesundheit nicht an.
Die 5 häufigsten DSGVO-Fallen auf Arztpraxen-Websites
Google Fonts werden direkt von Google-Servern geladen
Das Problem:
Viele Websites nutzen Google Fonts – eine praktische Sache für schöne Schriftarten. Problematisch wird es, wenn diese Schriften direkt von Googles Servern nachgeladen werden. Dabei werden IP-Adressen Ihrer Website-Besucher an Google in den USA übertragen – ohne deren Einwilligung.
Das LG München hat 2022 in einem Urteil (Az. 3 O 17493/20) eine Schadensersatzzahlung von 100 Euro pro betroffenem Nutzer festgelegt. Seitdem gibt es eine Welle von Abmahnungen.
Die Lösung:
Google Fonts müssen lokal auf Ihrem Server gehostet werden. Das bedeutet: Die Schriftdateien werden einmalig heruntergeladen und liegen dann auf Ihrer eigenen Website. Kein externer Server wird mehr kontaktiert, keine Daten fließen zu Google.
Wie Sie das prüfen:
Öffnen Sie Ihre Website im Chrome-Browser, drücken Sie F12 und wechseln Sie zum "Netzwerk"-Tab. Laden Sie die Seite neu. Wenn Sie Anfragen an fonts.googleapis.com oder fonts.gstatic.com sehen, haben Sie ein Problem.
Ergebnis:
Keine Datenübertragung an Google, keine Abmahngefahr, oft sogar schnellere Ladezeiten.
Veraltete oder fehlende Datenschutzerklärung
Das Problem:
Viele Praxen nutzen Standard-Texte aus Generatoren, die seit Jahren nicht mehr aktualisiert wurden. Oder die Datenschutzerklärung fehlt komplett.
Besonders kritisch: Wenn Sie Tools wie Google Analytics, Facebook Pixel, Terminbuchungssysteme oder Newsletter-Tools einsetzen, müssen diese explizit in der Datenschutzerklärung aufgeführt werden – mit korrekten Angaben zu Speicherort, Speicherdauer und Rechtsgrundlage.
Die Lösung:
Lassen Sie Ihre Datenschutzerklärung von einem spezialisierten Anwalt oder Datenschutzbeauftragten erstellen oder zumindest prüfen. Kostenlose Generatoren sind ein Anfang, aber oft zu allgemein.
Wichtig: Die Datenschutzerklärung muss von jeder Seite Ihrer Website aus mit maximal zwei Klicks erreichbar sein – üblich ist ein Link im Footer.
Ergebnis:
Rechtssichere Datenschutzerklärung, die alle eingesetzten Tools abdeckt und regelmäßig aktualisiert wird.
Kontaktformulare ohne SSL-Verschlüsselung
Das Problem:
Wenn ein Patient über Ihre Website Kontakt aufnimmt und dabei sensible Daten eingibt (z.B. "Ich habe Schmerzen im Unterleib"), müssen diese Daten verschlüsselt übertragen werden.
Websites ohne SSL-Zertifikat (erkennbar am fehlenden "https://" in der Adresszeile) übertragen alle Formulardaten im Klartext. Das ist nicht nur ein DSGVO-Verstoß, sondern auch eine Verletzung der ärztlichen Schweigepflicht.
Die Lösung:
Installieren Sie ein SSL-Zertifikat. Die meisten Hosting-Anbieter bieten heute kostenlose Let's Encrypt-Zertifikate an. Die Einrichtung dauert wenige Minuten.
Nach der Installation müssen Sie Ihre Website so konfigurieren, dass alle Anfragen automatisch auf "https://" umgeleitet werden.
Ergebnis:
Verschlüsselte Datenübertragung, vertrauenswürdiges Schloss-Symbol im Browser, besseres Google-Ranking (SSL ist Ranking-Faktor!).
Fehlender oder unvollständiger Cookie-Banner
Das Problem:
Seit dem "Planet49"-Urteil des EuGH (2019) ist klar: Für alle Cookies, die nicht technisch zwingend notwendig sind, brauchen Sie die aktive Einwilligung Ihrer Besucher – VOR dem Setzen der Cookies.
Viele Praxiswebsites setzen aber Tracking-Cookies (Google Analytics, Facebook Pixel, etc.) bereits beim Seitenaufruf, ohne vorher um Erlaubnis zu fragen. Oder der Cookie-Banner ist so gestaltet, dass eine Ablehnung faktisch unmöglich ist.
Die Lösung:
Setzen Sie eine DSGVO-konforme Cookie-Consent-Lösung ein. Wichtig:
- Der Banner muss VOR dem Setzen nicht-notwendiger Cookies erscheinen
- "Ablehnen" muss genauso einfach sein wie "Akzeptieren"
- Ihre Website muss auch ohne Zustimmung voll funktionsfähig sein
Gute Lösungen sind z.B. Borlabs Cookie, Real Cookie Banner oder Usercentrics. Viele Anbieter haben spezielle Tarife für kleine Websites.
Ergebnis:
DSGVO-konformer Cookie-Einsatz, keine Cookies vor Einwilligung, transparente Wahlmöglichkeiten für Besucher.
Google Analytics ohne Auftragsverarbeitungsvertrag
Das Problem:
Google Analytics ist das meistgenutzte Website-Analyse-Tool – aber auch datenschutzrechtlich heikel. Nach mehreren Urteilen österreichischer und französischer Datenschutzbehörden ist die Nutzung von Google Analytics ohne zusätzliche Maßnahmen DSGVO-widrig.
Das Problem: Daten fließen in die USA, wo das Datenschutzniveau niedriger ist als in der EU.
Die Lösung (wenn Sie Google Analytics nutzen möchten):
- Schließen Sie einen Auftragsverarbeitungsvertrag mit Google ab (geht online)
- Aktivieren Sie IP-Anonymisierung
- Deaktivieren Sie das Daten-Sharing mit Google
- Holen Sie aktive Einwilligung über Cookie-Banner ein
Die bessere Alternative:
Nutzen Sie datenschutzfreundliche Alternativen wie Matomo (selbst gehostet), Plausible oder Simple Analytics. Diese Tools kommen oft ohne Cookies aus und speichern Daten auf EU-Servern.
Ergebnis:
Website-Analyse ohne DSGVO-Risiko, bessere Performance durch weniger externe Scripts, mehr Vertrauen bei datenschutzbewussten Besuchern.
Die Kosten von DSGVO-Verstößen
Die 4 größten Fehler bei der DSGVO-Umsetzung
Zu lange warten
"Wird schon gutgehen" funktioniert nicht. Abmahnungen kommen oft überraschend – und dann ist es zu spät.
Kostenlose Generatoren blind vertrauen
Generatoren sind ein guter Start, aber keine Rechtsberatung. Lassen Sie das Ergebnis von einem Experten prüfen.
Updates vergessen
Die DSGVO ändert sich nicht, aber Ihre Website schon. Neues Tool eingebunden? Datenschutzerklärung anpassen!
Nur das Minimum machen
DSGVO-Konformität ist kein Haken zum Abhaken. Es geht um Vertrauen – und das entsteht durch echte Sorgfalt, nicht durch Pflichterfüllung.
Fazit: DSGVO ist Pflicht, aber kein Hexenwerk
Die gute Nachricht: Die meisten dieser Probleme lassen sich mit überschaubarem Aufwand beheben. Wichtig ist, dass Sie das Thema ernst nehmen – denn bei Verstößen haften Sie persönlich als Praxisinhaber.
Unsere Erfahrung aus dutzenden Praxiswebsites: Die Investition in eine DSGVO-konforme Website zahlt sich mehrfach aus – durch vermiedene Abmahnungen, besseres Google-Ranking und mehr Vertrauen bei Patienten.
Bereit für eine rechtssichere Praxis-Website?
Lassen Sie Ihre Website von einem spezialisierten Webentwickler prüfen. Eine professionelle Analyse kostet weniger als eine einzige Abmahnung – und gibt Ihnen Rechtssicherheit.
Kostenlose DSGVO-Erstanalyse:
Wir prüfen alle fünf Punkte und zeigen Ihnen konkret, wo Handlungsbedarf besteht.
Jetzt kostenlose Analyse anfragen!
Du musst angemeldet sein, um kommentieren zu können.
Jetzt anmeldenKommentare (1)
sdsdsdsdsdsdsds