Anfrage
DSGVO für Arztpraxis-Websites: Kontaktformular, Terminbuchung & Datenschutz (2025)
Cluster-Artikel · Teil der Serie Arzt Homepage Richtlinien

DSGVO für Arztpraxis-Websites: Kontaktformular, Terminbuchung & Gesundheitsdaten

So setzen Sie Datenschutz auf Ihrer Praxis-Website korrekt um – mit technischer Checkliste und konkreten Tool-Empfehlungen.

📖 Lesezeit: ca. 10 Min. 📅 Februar 2025 🔒 Datenschutz-Fokus
← Zurück zum Hauptartikel: Arzt Homepage Richtlinien

Warum Arzt-Websites einem höheren DSGVO-Standard unterliegen

Jede Website muss die DSGVO einhalten. Arzt-Websites stehen jedoch vor einer besonderen Herausforderung: Sobald Patienten über ein Kontaktformular den Grund ihres Besuchs angeben oder online einen Termin buchen, verarbeiten Sie Gesundheitsdaten nach Art. 9 DSGVO – die höchste Schutzkategorie.

Ein „normaler" Cookie-Banner und eine generische Datenschutzerklärung reichen dafür nicht aus. Dieser Artikel erklärt Schritt für Schritt, welche DSGVO-Anforderungen speziell für Arzt-Websites in Österreich gelten – und wie Sie diese technisch umsetzen.

📋 Teil unseres Leitfadens Für einen Gesamtüberblick über alle Richtlinien (ÖÄK, DSGVO, BaFG, Impressum) lesen Sie den kompletten Leitfaden: Arzt Homepage Richtlinien Österreich.

Gesundheitsdaten auf Websites: Was fällt darunter?

Viele Ärzte unterschätzen, welche Daten auf ihrer Website bereits als Gesundheitsdaten gelten. Die DSGVO definiert Gesundheitsdaten breit: Alle Informationen, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen und Rückschlüsse auf deren Gesundheitszustand ermöglichen.

Beispiele für Gesundheitsdaten auf Arzt-Websites

  • Angabe des Behandlungsgrunds in einem Kontaktformular (z. B. „Knieschmerzen")
  • Terminbuchung mit Angabe der Fachrichtung (z. B. „Termin bei der Psychiatrie")
  • Rezeptanfragen über ein Online-Formular
  • Befundabfrage über ein Patientenportal
  • Allein die Tatsache, dass jemand die Website eines Facharztes besucht, kann Rückschlüsse auf den Gesundheitszustand zulassen
⚠️ Wichtig: Schon der Besuch zählt Ein Tracking-Tool, das aufzeichnet, dass eine Person die Website eines Psychiaters besucht hat, verarbeitet indirekt Gesundheitsdaten. Deshalb ist auf Arzt-Websites besonders streng mit Analytics-Tools umzugehen.

DSGVO-konforme Arzt-Website: 5 Schritte zur Umsetzung

SSL/TLS-Verschlüsselung aktivieren

Ihre gesamte Website muss über HTTPS erreichbar sein. Kein einziges Formular darf über eine unverschlüsselte Verbindung übertragen werden. Die meisten Hosting-Anbieter bieten kostenlose SSL-Zertifikate (Let's Encrypt) an.

Cookie-Consent-Banner korrekt einrichten

Verwenden Sie einen DSGVO-konformen Consent-Manager mit echtem Opt-in. Kein Cookie (außer technisch notwendige) darf vor der aktiven Zustimmung gesetzt werden. Empfohlene Tools: Borlabs Cookie, Complianz oder Real Cookie Banner (alle WordPress-kompatibel).

Datenschutzerklärung erstellen

Die Datenschutzerklärung muss vollständig, verständlich und von jeder Seite erreichbar sein. Sie muss jeden Dienst aufführen, der Daten verarbeitet: Hosting, Analytics, Kontaktformular, Terminbuchung, eingebettete Inhalte etc.

AVV mit allen Dienstleistern abschließen

Für jeden externen Dienst, der Zugriff auf personenbezogene Daten hat, benötigen Sie einen Auftragsverarbeitungsvertrag (AVV). Das betrifft: Hosting-Anbieter, E-Mail-Provider, Terminbuchungs-Tool, Analytics-Tool, Newsletter-Dienst.

Verarbeitungsverzeichnis anlegen

Dokumentieren Sie alle Datenverarbeitungstätigkeiten auf Ihrer Website: Welche Daten werden erhoben, zu welchem Zweck, wie lange gespeichert und an wen weitergegeben? Das Verzeichnis muss auf Anfrage der Datenschutzbehörde vorlegt werden können.

Kontaktformular: DSGVO-konform gestalten

Das Kontaktformular ist der häufigste Stolperstein auf Arzt-Websites. Sobald ein Patient dort seinen Behandlungsgrund oder Beschwerden angibt, verarbeiten Sie Gesundheitsdaten.

Anforderungen an ein DSGVO-konformes Kontaktformular

  • Minimale Pflichtfelder: Nur Name und E-Mail oder Telefonnummer als Pflichtfelder. Das Beschwerdefeld optional halten
  • Einwilligungs-Checkbox: Unkhecked by default, verlinkt auf die Datenschutzerklärung
  • Verschlüsselte Übertragung: Formular nur über HTTPS
  • Kein Drittanbieter: Formular-Daten sollten direkt auf Ihrem Server verarbeitet werden, nicht über US-Dienste
  • Speicherdauer angeben: z. B. „Ihre Anfrage wird nach 6 Monaten gelöscht"
❌ Typischer Fehler Viele Arzt-Websites verwenden Kontaktformulare mit Pflichtfeld „Grund Ihres Besuchs" – ohne spezielle Einwilligung für die Verarbeitung von Gesundheitsdaten. Das ist ein DSGVO-Verstoß. Entweder das Feld optional machen oder eine separate, ausdrückliche Einwilligung einholen.

Online-Terminbuchung: So geht's datenschutzkonform

Online-Terminbuchung ist einer der beliebtesten Features auf Arzt-Websites – und eines der sensibelsten. Der Patient gibt hier typischerweise Name, Kontaktdaten, gewünschte Behandlung und ggf. Versicherungsstatus an.

Anbieter-Vergleich: Datenschutz im Fokus

Kriterium Worauf achten?
Server-Standort Muss in Österreich oder der EU sein – kein US-Hosting
AVV verfügbar? Der Anbieter muss einen Auftragsverarbeitungsvertrag anbieten
Verschlüsselung Ende-zu-Ende-Verschlüsselung für übertragene Gesundheitsdaten
Datenweitergabe Keine Weitergabe an Dritte (Werbung, Analytics des Anbieters)
Löschkonzept Klare Regelung, wann Termindaten automatisch gelöscht werden
Einwilligung Der Buchungsprozess muss eine aktive Einwilligung beinhalten
✅ Unser Ansatz bei webdoctor.at Wir setzen auf Terminbuchungs-Systeme mit EU-Server-Standort, AVV und verschlüsselter Datenübertragung. Die Einwilligung wird direkt in den Buchungsprozess integriert. Mehr zu unseren Website-Lösungen →

Externe Dienste und Tools: Die größten DSGVO-Risiken

Viele Standard-Website-Tools sind aus DSGVO-Sicht problematisch – besonders auf Arzt-Websites, wo schon der Seitenbesuch Gesundheitsinformationen preisgeben kann.

Google Fonts

❌ Google Fonts von Google-Servern laden ist illegal Seit dem EuGH-Urteil dürfen Google Fonts nicht über Google-Server eingebunden werden. Jeder Seitenaufruf würde die IP-Adresse an Google (USA) senden. Die Lösung: Fonts lokal hosten. Das kostet 5 Minuten Einrichtung und eliminiert das Risiko komplett.

Google Maps

Google Maps auf Arzt-Websites erfordert eine 2-Klick-Lösung: Der Patient sieht zunächst ein Platzhalter-Bild der Karte. Erst nach aktivem Klick auf „Karte laden" wird die Google-Maps-Einbettung aktiviert. Vorher dürfen keine Daten an Google übertragen werden.

Social Media Plugins

  • Facebook Like-Button: Überträgt bei jedem Seitenaufruf Daten an Meta – nicht DSGVO-konform ohne Consent
  • Instagram-Feed: Lädt bei Einbettung automatisch Daten von Meta-Servern
  • YouTube-Videos: Statt Standard-Einbettung die youtube-nocookie.com-URL verwenden

Analytics: Alternativen zu Google Analytics

Tool DSGVO-Eignung Hinweis
Google Analytics 4 Kritisch Nur mit Consent, IP-Anonymisierung und EU-Server möglich
Matomo (self-hosted) Empfohlen Auf eigenem Server, volle Datenkontrolle, kein Cookie-Consent nötig bei cookieloser Konfiguration
Plausible Analytics Gut EU-Server, keine Cookies, cookielos by design
Fathom Analytics Gut EU-Datenverarbeitung, keine personenbezogenen Daten

Website-Datenschutz überfordert Sie?

Wir kümmern uns um DSGVO, Cookie-Banner, AVVs und sichere Hosting-Lösungen – Sie um Ihre Patienten.

Erstgespräch (15 Min.) → Preise ansehen

Technische DSGVO-Checkliste für Arzt-Websites

Prüfen Sie Ihre aktuelle Website gegen diese Liste oder nutzen Sie sie als Anforderung für Ihren Webdesigner:

Server & Hosting

  • Server-Standort in Österreich oder EU
  • SSL/TLS-Zertifikat aktiv (HTTPS auf allen Seiten)
  • AVV mit dem Hosting-Anbieter abgeschlossen
  • Regelmäßige Backups mit Verschlüsselung

Cookies & Tracking

  • Cookie-Consent-Banner mit echtem Opt-in
  • Kein Tracking vor Einwilligung (kein Pre-Loading)
  • Google Fonts lokal gehostet
  • Google Maps nur mit 2-Klick-Lösung
  • YouTube-Videos über youtube-nocookie.com eingebettet

Formulare & Terminbuchung

  • Einwilligungs-Checkbox bei jedem Formular (nicht vorausgewählt)
  • Gesundheitsbezogene Felder optional (nicht als Pflichtfeld)
  • Verschlüsselte Datenübertragung
  • AVV mit Terminbuchungs-Anbieter
  • Speicherdauer dokumentiert und kommuniziert

Rechtliche Dokumente

  • Datenschutzerklärung vollständig und aktuell
  • Datenschutzerklärung von jeder Seite erreichbar (Footer-Link)
  • Verarbeitungsverzeichnis angelegt
  • Alle AVVs archiviert

Konsequenzen bei DSGVO-Verstößen: Was droht Ärzten?

Die österreichische Datenschutzbehörde (DSB) kann bei Verstößen erhebliche Bußgelder verhängen. Für Arztpraxen sind die theoretischen Maximalstrafen zwar selten relevant, aber auch moderate Strafen können die Praxis finanziell belasten.

Verstoß Mögliche Konsequenz
Fehlender Cookie-Consent Verwaltungsstrafe + Abmahnung (häufigster Fall)
Fehlende Datenschutzerklärung Bußgeld bis 20 Mio. € (theoretisch); in der Praxis niedrig vierstellig
Gesundheitsdaten ohne Einwilligung Höhere Bußgelder, da Art. 9-Daten betroffen
Fehlender AVV Bußgeld + Haftungsrisiko bei Datenpannen
Datenpanne (z. B. Leak von Patientendaten) Meldepflicht innerhalb 72h + Schadenersatzansprüche
⚠️ Nicht unterschätzen: Schadenersatz Neben Bußgeldern können betroffene Patienten nach Art. 82 DSGVO Schadenersatz fordern – auch für immateriellen Schaden. Gerichte sprechen zunehmend Beträge zwischen 500 € und 5.000 € pro betroffenem Patienten zu.

Häufige Fragen: DSGVO für Arzt-Websites

Brauche ich als Arzt einen Datenschutzbeauftragten für meine Website?
Einzelordinationen sind in der Regel nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen. Gruppenpraxen und größere Einrichtungen, die umfangreiche Gesundheitsdaten verarbeiten, können jedoch verpflichtet sein. Im Zweifelsfall empfiehlt sich eine Prüfung durch einen Datenschutzexperten.
Darf ich Google Analytics auf meiner Arzt-Website verwenden?
Google Analytics 4 ist grundsätzlich einsetzbar, wenn Sie einen Cookie-Consent-Banner mit echtem Opt-in verwenden, IP-Anonymisierung aktiviert haben und die Datenverarbeitung auf EU-Server beschränkt ist. Eine datenschutzfreundlichere Alternative ist Matomo (self-hosted).
Welche Strafe droht bei DSGVO-Verstößen auf einer Arzt-Website?
Die Datenschutzbehörde kann theoretisch bis zu 20 Mio. € verhängen. In der Praxis fallen Strafen für Arztpraxen deutlich geringer aus, aber auch niedrige fünfstellige Beträge sind möglich. Hinzu kommen Schadenersatzansprüche betroffener Patienten (500–5.000 € pro Person).
Muss ich auf meiner Arzt-Website einen Cookie-Banner haben?
Ja, sobald Cookies über technisch notwendige hinaus gesetzt werden (Analytics, Marketing, eingebettete Videos). Der Banner muss echtes Opt-in bieten – ein einfacher „OK"-Button oder vorausgewählte Checkboxen sind nicht DSGVO-konform.
Wo muss mein Website-Server stehen?
In Österreich oder der EU. US-Hosting ist problematisch (Schrems II). Achten Sie bei Ihrem Hosting-Anbieter auf einen Server-Standort in AT/EU und einen abgeschlossenen AVV.

DSGVO-sichere Arzt-Website ab 1.490 €

Hosting in Österreich, lokale Fonts, korrekter Cookie-Banner, AVVs – alles inklusive.

Kostenloses Erstgespräch → Demo-Website ansehen
Rechtlicher Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Die DSGVO ist komplex und die Auslegung entwickelt sich ständig weiter. Bei konkreten datenschutzrechtlichen Fragen zu Ihrer Praxis-Website empfehlen wir die Konsultation eines Datenschutzexperten oder Fachanwalts. Stand: Februar 2025.
Gratis Sichtbarkeits-Check