Blog · 16. Juli 2026 · 6 Min. Lesezeit
DSGVO-Checkliste für Arztpraxen 2026
Die 10-Punkte-Checkliste für die datenschutzkonforme Ordinations-Website: Datenschutzerklärung, US-Tracker, Google Fonts, Cookie-Banner, Formulare und mehr.
Ordinations-Websites verarbeiten personenbezogene Daten in einem besonders sensiblen Umfeld: Wer eine Arztpraxis online kontaktiert, gibt oft schon mit der Anfrage etwas über seine Gesundheit preis. Genau deshalb schaut die DSGVO bei Gesundheitsberufen genauer hin – und genau deshalb lohnt es sich, die eigene Website einmal systematisch durchzugehen. Die folgende Checkliste deckt die zehn Punkte ab, an denen es in der Praxis am häufigsten hakt.
Die 10-Punkte-Checkliste
1. Datenschutzerklärung: vollständig und aktuell
Jede Website braucht eine Datenschutzerklärung nach Art. 13 DSGVO: welche Daten verarbeitet werden, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange sie gespeichert bleiben und welche Rechte Betroffene haben. Häufigster Fehler: Die Erklärung wurde einmal von einer Vorlage kopiert und beschreibt Tools, die gar nicht (mehr) im Einsatz sind – oder verschweigt welche, die es sind.
2. Impressum nach § 5 ECG
Name, Rechtsform, Anschrift, Kontakt, Kammerzugehörigkeit und Berufsbezeichnung. Für Ärzt:innen gehören die ärztekammerrechtlichen Angaben dazu. Impressum und Datenschutzerklärung müssen von jeder Seite aus mit einem Klick erreichbar sein.
3. HTTPS-Verschlüsselung
Spätestens beim Kontaktformular ist verschlüsselte Übertragung Pflicht. Eine Website ohne HTTPS ist 2026 ein rotes Tuch – für Browser, für Google und für die Datenschutzbehörde.
4. Formulare: datensparsam gestalten
Ein Terminanfrage-Formular braucht Name und Kontaktmöglichkeit – nicht die Krankengeschichte. Gesundheitsdaten sind nach Art. 9 DSGVO besonders geschützt: Je weniger davon über das Formular läuft, desto besser. Ein Freitextfeld sollte nicht aktiv zu medizinischen Details auffordern.
5. Keine US-Tracker
Google Analytics, Meta-Pixel und ähnliche Dienste übertragen Daten in die USA und brauchen eine informierte Einwilligung. Für eine Ordinations-Website sind sie fast nie nötig. Wer Besucherzahlen messen will, nimmt eine datenschutzfreundliche, in der EU gehostete Lösung – oder verzichtet ganz.
6. Google Fonts lokal laden
Extern von Google-Servern geladene Schriften übertragen die IP-Adresse der Besucher:innen an Google. Dafür gab es bereits Abmahnwellen im deutschsprachigen Raum. Die Lösung ist einfach: Schriften lokal am eigenen Server hosten. Das ist auch noch schneller.
7. Cookie-Banner nur, wenn wirklich nötig
Wer keine trackenden Cookies setzt, braucht keinen Banner. Eine datensparsame Website erspart Patient:innen das Wegklicken und der Ordination die rechtliche Angriffsfläche. Falls doch Cookies gesetzt werden: Der Banner muss echte Wahlfreiheit bieten, Ablehnen so einfach wie Zustimmen.
8. Auftragsverarbeitung regeln
Hosting-Anbieter, Formular-Zustellung, Terminbuchungssysteme: Für jeden Dienstleister, der personenbezogene Daten verarbeitet, braucht es einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Mit EU-Hosting bleibt die Verarbeitung in Europa – das vereinfacht die Rechtslage erheblich.
9. Fotos und Team-Seiten: Einwilligungen dokumentieren
Mitarbeiter:innen auf der Team-Seite? Patient:innen auf Ordinationsfotos? Beides braucht dokumentierte Einwilligungen, die auch widerrufen werden können. Stockfotos oder Fotos ohne erkennbare Personen sind die unkomplizierte Alternative.
10. Alte Inhalte und Subdomains aufräumen
Vergessene Testseiten, alte WordPress-Installationen oder verwaiste Subdomains sind ein beliebtes Einfallstor – technisch wie rechtlich. Was nicht mehr gebraucht wird, gehört offline genommen.
Die drei häufigsten Fehler in der Praxis
- Kopierte Datenschutzerklärung: beschreibt Dienste, die nicht im Einsatz sind, und fehlende, die es sind.
- Analytics „weil es dabei war“: Das Baukasten-Template hat Google Analytics vorinstalliert – und niemand hat es je abgeschaltet oder in die Erklärung aufgenommen.
- Cookie-Banner ohne Funktion: Der Banner ist da, blockiert aber nichts – die Tracker laden schon vor dem Klick.
Fazit
DSGVO-Konformität ist bei einer Ordinations-Website keine Raketentechnik – sie ist eine Frage der Architektur. Eine Website, die von Anfang an ohne US-Tracker, mit lokal geladenen Schriften und datensparsamen Formularen gebaut wird, erfüllt die meisten Punkte dieser Liste von selbst. Wie das konkret aussieht, zeigt unser Themen-Hub DSGVO-konforme Arzt-Website. Und wer wissen will, was der Rahmen rund um Barrierefreiheit verlangt: Barrierefreiheit & BaFG.
Hinweis: Dieser Artikel informiert allgemein und ersetzt keine Rechtsberatung im Einzelfall.