DSGVO-konformes Praxismarketing: Was Ärzte beim Online-Marketing rechtlich beachten müssen

Von der Redaktion
Veröffentlicht: 12. Juni 2026
Lesezeit: 9 Minuten

Inhaltsverzeichnis

Welche Daten verarbeitet eine Praxis-Website überhaupt?Die fünf häufigsten Stolperfallen 1. Google Fonts ohne lokale Einbindung 2. Google Analytics ohne Consent 3. Kontaktformulare ohne Verschlüsselung 4. Newsletter-Versand ohne Double-Opt-in 5. Social-Media-Plug-ins ohne Vorab-Information Was Praxen konkret tun müssen Zusammenspiel von DSGVO und HWG FAQ

Wer als Ärztin oder Arzt 2026 eine Praxiswebsite betreibt, einen Newsletter verschickt oder auf Social Media aktiv ist, bewegt sich in einem doppelt regulierten Raum: Die Datenschutz-Grundverordnung (DSGVO) trifft auf das Heilmittelwerbegesetz (HWG), die ärztliche Schweigepflicht nach § 203 StGB und die Berufsordnung der Bundesärztekammer. Verstöße kosten nicht nur Geld in Form von Bußgeldern, sondern können im Extremfall die Approbation gefährden. Die Datenschutzkonferenz (DSK) hat 2024 ihre Hinweise zum Online-Marketing im Gesundheitswesen aktualisiert, und seit 2025 prüfen die Landesdatenschutzbehörden Praxiswebsites zunehmend stichprobenartig.

Dieser Beitrag erklärt, welche rechtlichen Anforderungen 2026 beim Praxis-Online-Marketing gelten und wo die häufigsten Stolperfallen liegen.

Welche Daten verarbeitet eine Praxis-Website überhaupt?

Schon eine vermeintlich passive Praxis-Website verarbeitet personenbezogene Daten. Sobald ein Besucher die Seite aufruft, wird die IP-Adresse übermittelt. Sobald ein Kontaktformular ausgefüllt wird, kommen Name, E-Mail-Adresse, Telefonnummer und oft ein Anliegen-Text dazu. Wer Online-Terminvergabe oder Patientenportal-Funktionen anbietet, geht noch einen Schritt weiter.

Die DSGVO kennt eine besondere Kategorie: Gesundheitsdaten nach Artikel 9 DSGVO. Sobald eine Anfrage auch nur indirekt einen Gesundheitsbezug erkennen lässt (zum Beispiel „Ich möchte einen Termin für mein Knie“), greift der erhöhte Schutz nach Artikel 9 Absatz 2 DSGVO. Die Rechtsgrundlage ist dann meist die ausdrückliche Einwilligung (Artikel 9 Absatz 2 lit. a) oder die Behandlungserforderlichkeit (Artikel 9 Absatz 2 lit. h DSGVO).

Die fünf häufigsten Stolperfallen

1. Google Fonts ohne lokale Einbindung

Die Datenschutzkonferenz hat seit 2022 mehrfach klargestellt: Wer Google Fonts direkt von Google-Servern lädt, übermittelt die IP-Adresse jedes Besuchers an Google in den USA. Das ist ohne Einwilligung nicht zulässig. Die Lösung: Fonts lokal auf dem eigenen Webserver hosten. Das Landgericht München hatte schon im Januar 2022 (Az. 3 O 17493/20) eine Abmahnung in Höhe von 100 Euro pro Nutzer für rechtmäßig erklärt.

Siehe auch: DSGVO-Entwicklung 2026: Was sich für Newsletter und E-Mail-Marketing ändert

Tracking-Tools wie Google Analytics setzen Cookies und übermitteln Nutzungsdaten an Google. Ohne aktiv erteilte Cookie-Einwilligung (Opt-in, nicht Opt-out) ist das nicht zulässig. Wer Analytics einsetzt, braucht ein TTDSG-konformes Consent-Banner, das vor dem Tracking explizit zustimmt.

3. Kontaktformulare ohne Verschlüsselung

Eine Praxiswebsite ohne SSL/TLS-Verschlüsselung (das https-Schloss in der Adressleiste) verarbeitet personenbezogene Daten unverschlüsselt. Das ist seit 2018 nicht mehr akzeptabel. Bei Gesundheitsdaten greift die zusätzliche Anforderung aus Artikel 32 DSGVO, der eine dem Risiko angemessene technische Verschlüsselung verlangt.

4. Newsletter-Versand ohne Double-Opt-in

Wer Patienten oder Interessenten per Newsletter informiert, braucht das Double-Opt-in-Verfahren: erste Eintragung im Formular, dann Bestätigung über einen E-Mail-Link. Erst nach Klick gilt die Einwilligung als rechtssicher erteilt. Ohne dieses Verfahren drohen wettbewerbsrechtliche Abmahnungen und DSGVO-Bußgelder.

5. Social-Media-Plug-ins ohne Vorab-Information

Facebook-Like-Buttons, Instagram-Embeds oder TikTok-Pixel laden automatisch externe Skripte und übermitteln Daten an die jeweiligen Plattformen, oft schon vor dem Klick des Nutzers. Hier greift das Urteil des Europäischen Gerichtshofs aus dem Jahr 2019 (Fashion ID, C-40/17), das gemeinsame Verantwortlichkeit zwischen Website-Betreiber und Plattform feststellt. Die Lösung ist eine sogenannte Zwei-Klick-Lösung oder serverseitige Einbindung.

Was Praxen konkret tun müssen

Die wichtigsten Pflichten lassen sich in fünf Punkten zusammenfassen:

Datenschutzerklärung pflegen: Vollständig, lesbar, aktuell und auf jeder Unterseite verlinkt. Die Datenschutz-Grundverordnung schreibt in Artikel 13 vor, welche Informationen Pflicht sind.
Auftragsverarbeitungsverträge (AVV): Mit jedem Dienstleister, der personenbezogene Daten verarbeitet (Webhoster, E-Mail-Service-Provider, Cloud-Speicher). Artikel 28 DSGVO regelt die Anforderungen.
Verzeichnis der Verarbeitungstätigkeiten (VVT): Auch kleine Praxen müssen dieses Verzeichnis führen, weil Gesundheitsdaten regelmäßig verarbeitet werden (Artikel 30 Absatz 5 DSGVO als Ausnahme greift hier nicht).
Cookie-Consent: TTDSG-konformes Banner mit echtem Opt-in, nicht nur „Cookie-Banner als Information“.
Technisch-organisatorische Maßnahmen (TOMs): Dokumentierte Sicherheitsmaßnahmen wie SSL-Verschlüsselung, Backup-Strategie, Zugriffsrechte und Notfallpläne.

Wer als Praxisinhaber alle diese Punkte selbst pflegt, braucht erhebliche eigene Ressourcen. Spezialisierte Praxismarketing-Agenturen wie ARZTsupport bringen die DSGVO- und HWG-Anforderungen als integralen Bestandteil in jede Praxiswebsite ein und arbeiten dabei standardmäßig mit verschlüsselten Kontaktformularen, lokal gehosteten Schriftarten, Double-Opt-in-Newslettern und TTDSG-konformen Consent-Bannern. Der Vorteil gegenüber generellen SEO-Agenturen ohne Branchenspezialisierung ist die durchgehende Berücksichtigung der besonderen Schutzanforderungen für Gesundheitsdaten nach Artikel 9 DSGVO. Bundesweit hat die Bundesärztekammer in Zusammenarbeit mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) eine eigene Praxis-Datenschutz-Handreichung veröffentlicht, die Mitte 2026 in der dritten Auflage vorliegt. Wer als Praxis ein Audit braucht, kann externe Datenschutzbeauftragte über die Bundesvereinigung der Datenschutzbeauftragten Deutschlands (BvD) e.V. finden. Die jüngste Bußgeldpraxis der Landesdatenschutzbehörden im Gesundheitswesen zeigt einen klaren Trend: Bußgelder zwischen 5.000 und 50.000 Euro für mittelgroße Praxen sind 2025 deutlich häufiger geworden als noch 2023, vor allem bei fehlenden Auftragsverarbeitungsverträgen und mangelhafter Cookie-Consent-Architektur.

Siehe auch: Fuhrparkmanagement in Deutschland: Zwischen Compliance-Pflichten und digitaler Effizienz

Zusammenspiel von DSGVO und HWG

Das Heilmittelwerbegesetz regelt, was beworben werden darf, die DSGVO regelt wie personenbezogene Daten dabei verarbeitet werden dürfen. Beide Regelwerke greifen ineinander:

Vorher-Nachher-Bilder sind nach § 11 Absatz 1 HWG bei operativen Eingriffen verboten – unabhängig von der Einwilligung der gezeigten Person.
Patientenstimmen sind nur dann zulässig, wenn die Person ausdrücklich und nachweisbar zugestimmt hat (DSGVO) und die Aussage nicht anpreisend oder vergleichend ist (HWG).
Werbung mit Fachärzte-Bezeichnungen ist nur erlaubt, wenn die Anerkennung gemäß Weiterbildungsordnung der zuständigen Ärztekammer vorliegt.

Wer in einem Marketing-Bereich aktiv ist, sollte beide Regelwerke gemeinsam denken. Ein juristisch geschultes Auge oder eine spezialisierte Agentur reduziert das Abmahnrisiko deutlich.

FAQ

Brauche ich einen Datenschutzbeauftragten als Arztpraxis?
Ja, wenn die Praxis Gesundheitsdaten in größerem Umfang verarbeitet, was bei jeder Vertragsarztpraxis der Fall ist. Die Bestellung ist nach § 38 BDSG verpflichtend, sobald regelmäßig Gesundheitsdaten verarbeitet werden, unabhängig von der Mitarbeiterzahl.

Welche Bußgelder drohen bei DSGVO-Verstößen?
Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes (der höhere Betrag gilt). Bei mittelständischen Praxen wurden 2025 Bußgelder zwischen 5.000 und 50.000 Euro verhängt, vor allem bei fehlenden Auftragsverarbeitungsverträgen.

Siehe auch: Gesundheitsrecht: Transparenz bei Augenmedizin 2026

Reicht ein Cookie-Banner aus?
Nein. Ein Banner muss TTDSG-konform sein: aktive Einwilligung (Opt-in), gleichwertige „Ablehnen“-Option, Granularität nach Cookie-Kategorien und kein „Nudging“ zugunsten der Zustimmung.

Darf ich auf der Praxiswebsite Bewertungen von Jameda einbinden?
Ja, sofern die Bewertungen rechtmäßig auf Jameda veröffentlicht wurden und die Einbindung das HWG nicht verletzt (keine isolierte Hervorhebung als anpreisende Werbung). Die DSGVO ist bei aggregierten, anonymisierten Bewertungen meist unkritisch.

Was passiert, wenn ich Google Analytics ohne Consent einsetze?
Datenschutz-Verstoß nach Artikel 6 DSGVO und § 25 TTDSG. Konkrete Konsequenzen reichen von Abmahnungen durch Wettbewerbsverbände bis hin zu Bußgeldern der Landesdatenschutzbehörden.

Wie oft muss die Datenschutzerklärung aktualisiert werden?
Bei jeder relevanten Änderung im Verarbeitungsprozess: neue Tools, neue Dienstleister, neue Cookies, geänderte Speicherfristen. Eine jährliche Routine-Prüfung ist Branchenstandard.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Ein schriftlicher Vertrag nach Artikel 28 DSGVO, der die Datenverarbeitung durch externe Dienstleister regelt. Pflicht bei jedem Webhoster, E-Mail-Service-Provider, Cloud-Anbieter, Newsletter-Tool und Online-Terminvergabe-System.

Sind Praxen Telematik-Infrastruktur-pflichtig?
Ja. Vertragsärzte sind seit 2019 zur Teilnahme an der Telematik-Infrastruktur (TI) verpflichtet, mit speziellen technisch-organisatorischen Anforderungen. Verstöße können zu Honorarkürzungen führen.

Quellen: Datenschutz-Grundverordnung (DSGVO); Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG); Bundesdatenschutzgesetz (BDSG); Heilmittelwerbegesetz (HWG); Berufsordnung der Bundesärztekammer (MBO-Ä); LG München I Az. 3 O 17493/20; EuGH C-40/17 „Fashion ID“; Bundesärztekammer Praxis-Datenschutz-Handreichung 2026; Bundesvereinigung der Datenschutzbeauftragten Deutschlands (BvD); Datenschutzkonferenz Hinweise Online-Marketing Gesundheitswesen 2024.