Warum DSGVO fuer Therapeut:innen besonders wichtig ist
Sie sind Therapeut:in. Sie arbeiten mit den intimsten Informationen, die ein Mensch teilen kann. Aengste, Traumata, psychische Erkrankungen. Diese Daten gehoeren nach der DSGVO zu den besonders schuetzenswerten Kategorien nach Artikel 9.
Das bedeutet: Fuer Ihre Website gelten strengere Regeln als fuer einen Onlineshop oder ein Restaurant. Und die Konsequenzen bei Verstoessen sind gravierender.
Aber keine Sorge. Die Anforderungen sind ueberschaubar, wenn man sie versteht. Dieser Leitfaden erklaert alles, was Sie wissen muessen, ohne Juristendeutsch.
Die 5 wichtigsten Anforderungen fuer Ihre Praxis-Website
Es gibt fuenf Bereiche, die Sie auf Ihrer Website richtig umsetzen muessen. Keiner davon ist technisch kompliziert, aber alle sind rechtlich relevant.
Wo die meisten Therapeuten-Websites Fehler machen
In der Praxis sehen wir immer wieder dieselben Probleme.
Kontaktformular ohne Verschluesselung. Viele WordPress-Themes senden Formulardaten unverschluesselt per E-Mail. Das ist problematisch, wenn Patienten bereits im Kontaktformular ihr Anliegen schildern, was sie fast immer tun.
Veraltete Datenschutzerklaerung. Eine Datenschutzerklaerung aus 2019 erfuellt die heutigen Anforderungen nicht mehr. Besonders wenn Sie seitdem Tools oder Plugins hinzugefuegt haben.
Kein Auftragsverarbeitungsvertrag. Wenn Ihr Hosting-Provider oder Ihr Formular-Dienst Zugang zu personenbezogenen Daten hat, brauchen Sie einen AV-Vertrag. Viele Therapeut:innen wissen das nicht.
Auftragsverarbeitungsvertrag: Wann Sie einen AV-Vertrag brauchen
Sobald ein externer Dienstleister Zugang zu personenbezogenen Daten Ihrer Patienten hat, brauchen Sie einen Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO. Das betrifft mehr Anbieter als die meisten Therapeut:innen denken:
- Hosting-Provider (z.B. All-Inkl, Hetzner, Strato): Verarbeitet alle Daten, die ueber Ihre Website laufen
- E-Mail-Anbieter (z.B. Gmail, Mailbox.org): Wenn Patienten Ihnen per E-Mail schreiben
- Online-Terminbuchung (z.B. Doctolib, Jameda, Terminland): Speichert Namen, Kontaktdaten und oft den Buchungsgrund
- Videokonferenz-Tool (z.B. Zoom, Doxy.me): Fuer Videotherapie-Sitzungen
- Newsletter-Dienst: Falls Sie einen Praxis-Newsletter versenden
Die meisten seriösen Anbieter stellen AV-Verträge kostenlos bereit. Sie muessen sie nur abschliessen und archivieren. Fehlt ein AV-Vertrag, haften Sie persoenlich — auch wenn der Dienstleister den Fehler verursacht hat. Achten Sie bei der Wahl digitaler Therapie-Tools auf denselben Standard: SchemaPath etwa hostet alle Daten in der EU, verschluesselt Patientendaten Ende-zu-Ende und arbeitet mit pseudonymisierten KI-Analysen – ein Beispiel dafuer, wie DSGVO-Konformitaet in der therapeutischen Praxis-Software aussehen kann.
Welche Tools DSGVO-konform sind — und welche nicht
Die Wahl der richtigen Tools entscheidet ueber Ihre DSGVO-Konformitaet. Hier ein Ueberblick fuer die gaengigsten Dienste:
Website und Hosting:
- DSGVO-konform: All-Inkl, Hetzner, Strato (Server in Deutschland, AV-Vertrag verfuegbar)
- Problematisch: US-Hosting ohne EU-Server, Squarespace (US-Verarbeitung)
Analyse und Tracking:
- DSGVO-konform: Matomo (selbst gehostet), Plausible, Fathom (cookieless, EU-Server)
- Problematisch: Google Analytics ohne Consent, Facebook Pixel
Online-Terminbuchung:
- DSGVO-konform: Doctolib (EU-Server, AV-Vertrag), Terminland, Samedi
- Vorsicht bei: Calendly (US-Server), Google Calendar (oeffentliche Termine)
Videotherapie:
- Empfohlen: Doxy.me (speziell fuer Therapeuten), arztkonsultation.de, Red Medical
- Nur mit Zusatzmaßnahmen: Zoom (AV-Vertrag + Aufklaerung Patienten)
DSGVO-konforme Website: Die Checkliste
Hier eine praxistaugliche Checkliste fuer Ihre Therapeuten-Website.
Wie PraxisPlatz DSGVO-Konformitaet automatisiert
PraxisPlatz wurde von Anfang an fuer den therapeutischen Kontext entwickelt. Das bedeutet: DSGVO-Konformitaet ist kein Zusatzmodul, sondern die Grundlage.
Server in Frankfurt. Keine US-Cloud, keine Datenuebermittlung in unsichere Drittlaender. Ihre Daten bleiben in Deutschland.
Automatisches Impressum und Datenschutzerklaerung. Basierend auf Ihren Praxis-Daten generiert PraxisPlatz rechtskonforme Pflichtseiten. Sie muessen keinen Anwalt bezahlen.
Lokal gehostete Schriftarten. Kein Nachladen von Google-Servern. Keine Abmahngefahr.
Verschluesselte Formulare. Alle Patientenanfragen werden Ende-zu-Ende verschluesselt uebertragen und gespeichert. Kein unverschluesselter E-Mail-Versand.
Integrierter Cookie-Consent. DSGVO-konformer Cookie-Banner mit Opt-in, automatisch auf Ihrer Website eingebunden.
Brauche ich als Therapeut:in einen Datenschutzbeauftragten?
In der Regel nein, wenn Sie als Einzelpraxis arbeiten. Die Pflicht greift erst ab 20 Personen, die regelmaessig mit personenbezogenen Daten arbeiten. Aber: Sie muessen trotzdem alle DSGVO-Anforderungen erfuellen.
Darf ich Google Analytics auf meiner Praxis-Website nutzen?
Technisch ja, aber nur mit echtem Cookie-Consent und einem Auftragsverarbeitungsvertrag mit Google. In der Praxis raten wir davon ab. Datenschutzfreundliche Alternativen wie serverseitiges Tracking ohne Cookies sind die bessere Wahl.
Was kostet ein DSGVO-Verstoss?
Theoretisch bis zu 20 Millionen EUR oder 4 Prozent des Jahresumsatzes. In der Praxis liegen Bussgelder fuer kleine Praxen bei 500 bis 5.000 EUR. Dazu kommen Abmahnkosten. Die Google-Fonts-Abmahnwelle hat gezeigt, dass auch kleine Verstoesse teuer werden koennen.
Gilt die DSGVO auch fuer Schweizer Praxen?
Die Schweiz hat mit dem nDSG ein eigenes Datenschutzgesetz, das seit September 2023 gilt und der DSGVO sehr aehnlich ist. PraxisPlatz ist sowohl DSGVO- als auch nDSG-konform.
Brauche ich einen Cookie-Banner wenn ich kein Tracking nutze?
Wenn Ihre Website nur technisch notwendige Cookies setzt (z.B. Session-Cookies), brauchen Sie keinen Cookie-Banner mit Opt-in. Ein Hinweis in der Datenschutzerklaerung genuegt. Sobald Sie aber Analyse-Tools, eingebettete Videos oder Social-Media-Plugins verwenden, ist ein Cookie-Banner Pflicht.
Wie oft muss ich die Datenschutzerklaerung aktualisieren?
Immer wenn Sie ein neues Tool oder Plugin einsetzen, den Hosting-Provider wechseln oder sich die Rechtslage aendert. Mindestens einmal jaehrlich sollten Sie die Erklaerung pruefen. Tipp: Notieren Sie bei jeder Aenderung an der Website, ob die Datenschutzerklaerung angepasst werden muss.
Kann ich abgemahnt werden wenn meine Website nicht DSGVO-konform ist?
Ja. Seit dem Google-Fonts-Urteil 2022 gab es tausende Abmahnungen gegen Websites mit extern eingebundenen Google Fonts. Kosten pro Abmahnung: 100 bis 170 EUR. Bei schwerwiegenderen Verstoessen drohen Bussgelder der Datenschutzbehoerde von 500 bis 5.000 EUR fuer Einzelpraxen.