DSGVO-Checkliste fuer Ihre Praxis-Website — Was Sie 2026 beachten muessen

Zahnarztpraxen verarbeiten Gesundheitsdaten — und diese gehoeren laut Art. 9 DSGVO zu den besonders schuetzenswerten Kategorien personenbezogener Daten. Verstoesse koennen mit Bussgeldern von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes geahndet werden.

Auch wenn solche Maximalbussgelder selten verhaengt werden: Die Datenschutzbehoerden der Laender haben ihre Pruefaktivitaeten im Gesundheitsbereich seit 2023 deutlich verstaerkt. Der Hamburgische Beauftragte fuer Datenschutz berichtet in seinem Taetigkeitsbericht 2024, dass Beschwerden gegen Praxis-Websites zu den haeufigsten Eingaben im Gesundheitssektor gehoeren.

Besonders relevant fuer Zahnarztpraxen: Abmahnungen durch Wettbewerber. In Deutschland ist es moeglich, dass ein Konkurrent — oder ein darauf spezialisierter Anwalt — Ihre Website auf DSGVO-Verstoesse prueft und abmahnt. Typische Abmahnkosten liegen zwischen 1.000 und 5.000 Euro pro Verstoss. Haeufige Gruende sind fehlende oder fehlerhafte Datenschutzerklaerungen, eingebundene Google Fonts ohne Einwilligung (LG Muenchen I, Az. 3 O 17493/20) und fehlende Cookie-Consent-Banner.

Die gute Nachricht: Wenn Sie die folgenden sieben Punkte beachten, ist Ihre Praxis-Website rechtssicher aufgestellt.

Jede gewerbliche Website in Deutschland braucht ein Impressum — das ist seit dem Digitale-Dienste-Gesetz (DDG, ehemals TMG) Pflicht. Fuer Zahnarztpraxen gelten dabei besondere Anforderungen, weil Sie einen reglementierten Beruf ausueben.

Pflichtangaben im Impressum einer Zahnarztpraxis

• Vollstaendiger Name des Praxisinhabers oder der Inhaberin (bei Gemeinschaftspraxis aller Inhaber)
• Anschrift der Praxis (keine Postfachadresse)
• Kontaktdaten: Telefonnummer und E-Mail-Adresse
• Berufsbezeichnung: "Zahnarzt" / "Zahnaerztin" (verliehen in der Bundesrepublik Deutschland)
• Zustaendige Zahnaerztekammer (z. B. Zahnaerztekammer Hamburg)
• Kassenzahnaerztliche Vereinigung (KZV) bei Vertragszahnaerzten
• Berufsrechtliche Regelungen: Verweis auf Zahnaerzte-Zulassungsverordnung und Berufsordnung der zustaendigen Kammer
• Umsatzsteuer-ID (falls vorhanden)

Haeufige Fehler

Die drei haeufigsten Impressumsfehler bei Zahnarztpraxen: Fehlende Angabe der zustaendigen Kammer, keine Verlinkung auf die Berufsordnung, und fehlendes Impressum auf Unterseiten (das Impressum muss von jeder Seite aus mit maximal zwei Klicks erreichbar sein).

Zahnifreund-Loesung: Das Impressum wird automatisch aus Ihren Praxisdaten generiert und enthaelt alle Pflichtangaben fuer Zahnarztpraxen. Bei Aenderungen aktualisiert es sich automatisch ueber Ihr Praxis-Portal.

Jede Website, die personenbezogene Daten verarbeitet, braucht eine Datenschutzerklaerung nach Art. 13 und 14 DSGVO. Fuer Zahnarzt-Websites bedeutet das: Sie muessen konkret und individuell beschreiben, welche Daten Sie auf Ihrer Website erheben und zu welchem Zweck.

Was Ihre Datenschutzerklaerung enthalten muss

• Verantwortlicher: Name und Kontaktdaten des Praxisinhabers
• Datenschutzbeauftragter: Falls bestellt (ab 20 Mitarbeiter, die regelmaessig Daten verarbeiten, Pflicht)
• Erhobene Daten: Konkrete Auflistung — Server-Logs, Kontaktformulare, Cookies, Analyse-Tools
• Rechtsgrundlagen: Fuer jede Datenverarbeitung die passende Rechtsgrundlage (Art. 6 Abs. 1 DSGVO)
• Empfaenger: An wen werden Daten weitergegeben (Hosting-Anbieter, Analytics, etc.)?
• Speicherdauer: Wie lange werden die Daten gespeichert?
• Betroffenenrechte: Auskunft, Berichtigung, Loeschung, Einschraenkung, Datenportabilitaet, Widerspruch
• Beschwerderecht: Hinweis auf zustaendige Aufsichtsbehoerde

Wichtig: Individuell statt generisch

Eine Datenschutzerklaerung aus einem Online-Generator ist nur ein Startpunkt. Sie muss zu Ihrer tatsaechlichen Datenverarbeitung passen. Binden Sie Google Maps ein? Verwenden Sie einen Newsletter-Dienst? Haben Sie ein Online-Terminbuchungssystem? Jeder externe Dienst muss erwaehnt werden.

Zahnifreund-Loesung: Die Datenschutzerklaerung wird passend zu den tatsaechlich auf Ihrer Zahnifreund-Website genutzten Features generiert. Externe Einbindungen (Google Maps, Terminanfrage) werden automatisch beruecksichtigt.

Seit dem TTDSG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, in Kraft seit Dezember 2021) ist in Deutschland klar geregelt: Cookies und aehnliche Technologien, die nicht technisch notwendig sind, brauchen eine aktive Einwilligung (Opt-in) des Nutzers — bevor sie gesetzt werden.

Welche Cookies brauchen eine Einwilligung?

• Einwilligung noetig: Google Analytics, Facebook Pixel, Marketing-Cookies, eingebettete YouTube-Videos, Google Maps (wenn Cookies gesetzt werden), Calendly-Widgets
• Keine Einwilligung noetig: Session-Cookies (z. B. Warenkorb, Login), technisch notwendige Cookies fuer die Website-Funktion, reine Server-Logs ohne Tracking

Anforderungen an einen rechtskonformen Cookie-Banner

Der Cookie-Banner muss folgende Kriterien erfuellen (nach Orientierungshilfe der DSK, 2024):

• Echtes Opt-in: Keine vorausgewaehlten Checkboxen
• Gleichwertige Buttons: "Akzeptieren" und "Ablehnen" muessen gleich leicht erreichbar sein
• Granulare Auswahl: Nutzer muessen einzelne Cookie-Kategorien waehlen koennen
• Widerruf: Einwilligung muss jederzeit widerrufbar sein
• Dokumentation: Einwilligungen muessen nachweisbar gespeichert werden

Zahnifreund-Loesung: Jede Zahnifreund-Website enthaelt einen DSGVO-konformen Cookie-Consent-Banner, der alle genannten Anforderungen erfuellt. Technisch nicht notwendige Dienste werden erst nach Einwilligung geladen.

Sobald ein Dritter in Ihrem Auftrag personenbezogene Daten verarbeitet, muessen Sie mit diesem einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschliessen. Fuer eine Praxis-Website betrifft das praktisch jeden externen Dienstleister.

Wann brauchen Sie einen AVV?

• Website-Hosting: Der Hoster speichert Server-Logs mit IP-Adressen Ihrer Besucher
• Content-Management-System: Wenn das CMS Nutzerdaten verarbeitet (Kontaktanfragen, Formulare)
• E-Mail-Dienst: Newsletter-Anbieter, E-Mail-Hosting
• Analyse-Tools: Google Analytics, Matomo (gehostet)
• Terminbuchung: Online-Terminvergabe-Systeme

Was muss im AVV stehen?

Der AVV muss unter anderem regeln: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen, Pflichten und Rechte des Verantwortlichen, technische und organisatorische Massnahmen (TOMs) des Auftragsverarbeiters.

In der Praxis bedeutet das: Sie brauchen einen AVV mit Ihrem Hosting-Anbieter, Ihrem Website-Dienstleister, Ihrem E-Mail-Provider und jedem weiteren Dienst, der Daten Ihrer Website-Besucher verarbeitet. Fehlt auch nur ein AVV, ist das ein Bussgeld-faehiger Verstoss.

Zahnifreund-Loesung: Zahnifreund stellt allen Kunden einen vollstaendigen AVV gemaess Art. 28 DSGVO zur Verfuegung. Dieser deckt Hosting, Datenverarbeitung und alle integrierten Dienste ab — Sie muessen sich um keinen separaten Vertrag kuemmern.

Eine SSL-Verschluesselung (erkennbar am "https://" und dem Schloss-Symbol im Browser) ist fuer jede Website Pflicht, die personenbezogene Daten erhebt. Seit Art. 32 DSGVO muessen geeignete technische Massnahmen zum Schutz personenbezogener Daten getroffen werden — SSL-Verschluesselung gehoert zum absoluten Mindeststandard.

Wann ist SSL Pflicht?

Streng genommen ist SSL Pflicht, sobald Ihre Website ein Kontaktformular, eine Terminanfrage, ein Login oder irgendeine andere Form der Dateneingabe anbietet. In der Praxis hat sich durchgesetzt, dass jede professionelle Website ausschliesslich ueber HTTPS erreichbar sein sollte — Google beruecksichtigt HTTPS zudem als Ranking-Faktor.

Haeufige Probleme

• Gemischte Inhalte: Die Seite laedt ueber HTTPS, aber einzelne Bilder oder Skripte ueber HTTP — das fuehrt zu Browserwarnungen
• Abgelaufene Zertifikate: SSL-Zertifikate muessen regelmaessig erneuert werden
• Fehlende Weiterleitung: HTTP-Anfragen werden nicht automatisch auf HTTPS umgeleitet

Zahnifreund-Loesung: Alle Zahnifreund-Websites sind standardmaessig SSL-verschluesselt. Die Zertifikate werden automatisch erneuert, HTTP-Anfragen werden umgeleitet, und gemischte Inhalte sind ausgeschlossen.

Kontaktformulare und Online-Terminanfragen auf Zahnarzt-Websites unterliegen dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Sie duerfen nur die Daten abfragen, die fuer den jeweiligen Zweck tatsaechlich erforderlich sind.

Grundsatz der Datenminimierung

Fuer ein einfaches Kontaktformular sind typischerweise erforderlich: Name, E-Mail-Adresse oder Telefonnummer und das Nachrichtenfeld. Nicht erforderlich — und damit unzulaessig als Pflichtfeld — waeren beispielsweise Geburtsdatum, Versicherungsstatus oder konkrete Beschwerden. Diese Informationen koennen in der Praxis erfragt werden, gehoeren aber nicht auf ein Website-Formular.

Zweckbindung

Daten, die ueber ein Kontaktformular eingehen, duerfen ausschliesslich fuer den angegebenen Zweck verwendet werden. Eine Kontaktanfrage darf nicht automatisch zu einem Newsletter-Abo fuehren. Wenn Sie die Daten fuer weitere Zwecke nutzen moechten, brauchen Sie eine separate Einwilligung.

Speicherdauer

Kontaktanfragen muessen geloescht werden, sobald der Zweck der Verarbeitung erfuellt ist — also in der Regel nach Beantwortung der Anfrage. Steuerrechtliche Aufbewahrungspflichten koennen eine laengere Speicherung einzelner Kommunikationsdaten rechtfertigen, muessen aber in der Datenschutzerklaerung dokumentiert werden.

Hinweispflicht

Direkt am Kontaktformular muss ein Hinweis auf die Datenschutzerklaerung erscheinen, idealerweise mit Link. Ohne diesen Hinweis fehlt die Information nach Art. 13 DSGVO.

Zahnifreund-Loesung: Kontaktformulare und Terminanfragen auf Zahnifreund-Websites sind nach dem Prinzip der Datenminimierung gestaltet und enthalten automatisch den erforderlichen Datenschutzhinweis.

Fotos von Mitarbeitern auf der Praxis-Website sind eine hervorragende Moeglichkeit, Vertrauen bei potenziellen Patienten aufzubauen. Rechtlich ist die Verwendung solcher Fotos jedoch an klare Voraussetzungen geknuepft.

Schriftliche Einwilligung erforderlich

Fuer die Veroeffentlichung von Mitarbeiterfotos auf der Website brauchen Sie die ausdrueckliche, schriftliche Einwilligung jedes abgebildeten Mitarbeiters (Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit Paragraph 22 KUG). Die Einwilligung muss folgende Punkte abdecken:

• Konkrete Beschreibung, wo das Foto verwendet wird (Website, Social Media, Praxis-Flyer)
• Hinweis auf das Recht zum Widerruf der Einwilligung
• Unterschrift des Mitarbeiters

Recht auf Widerruf

Jeder Mitarbeiter kann seine Einwilligung jederzeit widerrufen. In diesem Fall muessen Sie das Foto innerhalb einer angemessenen Frist von der Website entfernen. Tipp: Verwenden Sie individuelle Teamfotos statt Gruppenbilder — so muessen Sie bei einem Widerruf nicht das gesamte Teamfoto austauschen.

Wenn ein Mitarbeiter die Praxis verlaesst

Die Einwilligung zur Fotoveroeffentlichung endet nicht automatisch mit dem Arbeitsverhaeltnis. Dennoch ist es gute Praxis und empfehlenswert, Fotos ausgeschiedener Mitarbeiter zeitnah zu entfernen. Fragen Sie im Trennungsgespraech, ob die Einwilligung widerrufen wird.

Zahnifreund-Loesung: Im Zahnifreund-Portal koennen Teamfotos einzeln gepflegt und bei Bedarf sofort entfernt werden. Der KI-Fotoservice erstellt zudem professionelle Teamfotos, bei denen die Einwilligungserklaerung Teil des Upload-Prozesses ist.

Die folgende Checkliste fasst alle Pflichtpunkte zusammen. Pruefen Sie Ihre aktuelle Praxis-Website anhand dieser Liste — jeder offene Punkt ist ein potenzielles Bussgeld- und Abmahnrisiko.

Nr.	Pflicht	Beschreibung	Zahnifreund
1	Impressum	Vollstaendiges Impressum mit Kammer, KZV und Berufsordnung, von jeder Seite erreichbar	Automatisch
2	Datenschutzerklaerung	Individuelle Erklaerung passend zu Ihren genutzten Diensten und Features	Automatisch
3	Cookie-Consent	Opt-in-Banner mit gleichwertigen Buttons, granularer Auswahl und Widerrufmoeglichkeit	Automatisch
4	AVV	Auftragsverarbeitungsvertrag mit jedem Dienstleister, der Daten verarbeitet	Inklusive
5	SSL-Verschluesselung	HTTPS auf allen Seiten, automatische Zertifikatserneuerung, keine gemischten Inhalte	Automatisch
6	Kontaktformular	Datenminimierung, Zweckbindung, Datenschutzhinweis direkt am Formular	Automatisch
7	Teamfotos	Schriftliche Einwilligung aller abgebildeten Mitarbeiter, Widerrufsrecht beachten	Prozess integriert

Wenn alle sieben Punkte erfuellt sind, ist Ihre Praxis-Website in Sachen DSGVO solide aufgestellt. Pruefen Sie diese Checkliste mindestens einmal jaehrlich — insbesondere nach Website-Aenderungen, neuen Mitarbeitern oder geaenderten Diensten.

Die DSGVO-Anforderungen an eine Zahnarzt-Website sind ueberschaubar, wenn man sie systematisch abarbeitet. Die sieben Punkte dieser Checkliste decken die haeufigsten Risiken ab und schuetzen Sie vor Bussgeldern und Abmahnungen.

Der groesste Fehler, den Praxen machen: Sie richten ihre Website einmal ein und kuemmern sich danach nicht mehr um Datenschutz. Doch die DSGVO ist ein laufender Prozess — neue Dienste, neue Mitarbeiter, neue Rechtsprechung erfordern regelmaessige Anpassungen.

Wenn Sie sich nicht selbst um Impressum, Datenschutzerklaerung, Cookie-Consent und AVV kuemmern moechten, ist ein spezialisierter Anbieter wie Zahnifreund die sicherste Loesung. Alle rechtlichen Pflichten werden automatisch erfuellt und bei Gesetzesaenderungen aktualisiert — damit Sie sich auf das konzentrieren koennen, was Sie am besten koennen: Ihre Patienten behandeln.

Haben Sie Fragen zur DSGVO-Konformitaet Ihrer Praxis-Website? Buchen Sie einen kostenlosen Workshop — wir pruefen Ihre aktuelle Situation und zeigen Ihnen, wie Zahnifreund alle Anforderungen automatisch abdeckt.