DSGVO-Grundlagen für Praxis-Websites
Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 – und viele Praxis-Websites verstoßen noch immer dagegen. Nicht aus böser Absicht, sondern weil die Anforderungen komplex sind und sich häufig ändern.
Für Heilberufe kommt erschwerend hinzu: Sobald Ihre Website auch nur indirekt Gesundheitsdaten verarbeitet (z.B. durch ein Kontaktformular, in dem jemand seine Diagnose erwähnt), gelten besonders strenge Anforderungen. Gesundheitsdaten sind nach Art. 9 DSGVO besonders schützenswert.
Achtung: Abmahnungen wegen DSGVO-Verstößen auf Websites sind real – auch für Arztpraxen. Ein fehlender Cookie-Banner oder eine unvollständige Datenschutzerklärung kann teuer werden.
Die Datenschutzerklärung: Was muss rein?
Jede Website, die personenbezogene Daten verarbeitet, braucht eine Datenschutzerklärung. Das gilt für jede Praxis-Website, die ein Kontaktformular, Analytics oder eingebettete Inhalte (Google Maps, YouTube) verwendet.
Die Datenschutzerklärung muss folgende Informationen enthalten:
- Wer ist Verantwortlicher (Name, Adresse, Kontakt)
- Welche Daten werden erhoben (IP-Adressen, Formulardaten, Cookies)
- Zu welchem Zweck werden Daten verarbeitet
- Auf welcher Rechtsgrundlage (Art. 6 DSGVO: Einwilligung, berechtigtes Interesse, Vertrag)
- Wie lange werden Daten gespeichert
- Werden Daten an Dritte weitergegeben (Hosting-Anbieter, Analytics-Tools)
- Rechte der Betroffenen: Auskunft, Berichtigung, Löschung, Widerspruch
- Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde
Hinweis: Eine Datenschutzerklärung, die Sie von einem anderen Arzt kopiert haben, ist keine Lösung. Sie muss auf Ihre spezifischen Tools und Prozesse zugeschnitten sein. Generatoren helfen als Ausgangspunkt, müssen aber angepasst werden.
Kontaktformulare DSGVO-konform einsetzen
Ein Kontaktformular auf einer Arztpraxis-Website ist ein heikler Bereich: Patienten könnten dort gesundheitsbezogene Informationen eingeben – also besonders schützenswerte Daten nach Art. 9 DSGVO.
Mindestanforderungen für datenschutzkonforme Kontaktformulare:
- SSL-Verschlüsselung der gesamten Website (HTTPS)
- Hinweis auf Datenschutzerklärung direkt am Formular
- Nur notwendige Felder abfragen – keine Pflichtfelder für Diagnosen
- DSGVO-konformer Hosting-Anbieter (Serverstandort Deutschland/EU)
- E-Mail-Provider mit Auftragsverarbeitungsvertrag
- Keine Speicherung von Formulardaten in Log-Dateien ohne Einwilligung
Google Analytics & Co.: Was ist erlaubt?
Google Analytics 4 kann DSGVO-konform eingesetzt werden – aber nur mit korrekter Konfiguration und nachgewiesener Einwilligung der Nutzer. IP-Anonymisierung ist dabei ein Pflichtbestandteil, nicht optional.
Alternativen zu Google Analytics, die weniger datenschutzkritisch sind:
Online-Terminbuchung und Datenschutz
Online-Terminbuchungssysteme wie Doctolib, Jameda Terminbuchung oder Samedi verarbeiten personenbezogene Daten. Prüfen Sie bei jedem Anbieter:
- Serverstandort (EU/Deutschland bevorzugt)
- Auftragsverarbeitungsvertrag (AVV) vorhanden
- Datenverschlüsselung im Ruhezustand und in der Übertragung
- Löschfristen für Termindaten
- Integration in Ihre Datenschutzerklärung