Recht & DSGVOGesundheitswesen

Was muss rechtlich auf eine Praxis-Website?

Von Max Schneider20. August 2026ca. 9 Min. Lesezeitwas muss rechtlich auf praxis website
Was muss rechtlich auf eine Praxis-Website?

Rechtlicher Hinweis

Dieser Beitrag dient ausschließlich der allgemeinen, unverbindlichen Information und ersetzt keine individuelle Rechtsberatung. Er stellt keine Rechtsberatung und keine Rechtsdienstleistung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar und begründet kein Mandats- oder Beratungsverhältnis. Die Inhalte wurden mit größtmöglicher Sorgfalt recherchiert; für ihre Richtigkeit, Vollständigkeit und Aktualität wird jedoch keine Gewähr und keine Haftung übernommen. Rechtsvorschriften und ihre Auslegung können sich ändern und im Einzelfall abweichen. Für eine verbindliche Beurteilung deiner konkreten Situation wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt bzw. an die für dich zuständige Kammer.

Kurzantwort

Eine Praxis-Website braucht rechtlich mehr als eine normale Firmenseite: ein vollständiges Heilberufe-Impressum (§ 5 DDG), eine Datenschutzerklärung (Art. 13 DSGVO), einen Cookie-Consent bei Tracking (§ 25 TDDDG), verschlüsselte Formulare (Art. 32 DSGVO), HWG-konforme Inhalte, geklärte Bildrechte und HTTPS. Seit dem 28.06.2025 kommt das Barrierefreiheitsstärkungsgesetz (BFSG) dazu – das aber nur bestimmte Praxen trifft. Diese Checkliste geht jeden Punkt durch.

Acht Bausteine machen deine Praxis-Website rechtssicher – wir gehen sie der Reihe nach durch.

Warum eine Praxis-Website strenger reguliert ist als eine normale Firmenseite

Deine Website ist oft der erste Kontakt zwischen Patient und Praxis. Genau deshalb schaut der Gesetzgeber hier besonders genau hin: Es geht um Gesundheitsdaten, um Werbung im Heilwesen und um berufsrechtliche Pflichten für Heilberufe. Eine Physio-, Osteopathie- oder Arztpraxis muss also einige Punkte mehr beachten als ein Handwerksbetrieb.

Die gute Nachricht: Es ist eine überschaubare, abarbeitbare Liste. Wer sie einmal sauber umsetzt, hat für Jahre Ruhe. Die schlechte Nachricht: Fehlt ein Baustein, drohen Abmahnungen von Wettbewerbern oder Abmahnkanzleien – und ein fehlerhaftes Impressum oder ein defekter Cookie-Banner ist von außen leicht zu erkennen.

ℹ️  Hinweis

Diese Checkliste ist bewusst für informative Praxis-Websites und Praxen mit einfacher Online-Terminbuchung geschrieben. Betreibst du einen echten Online-Shop (Produktverkauf, Online-Kurse mit Bezahlung), kommen weitere Pflichten hinzu – dann lohnt sich anwaltliche Beratung besonders.

Die 8 Bausteine einer rechtssicheren Praxis-Website

  1. 1

    1. Impressum (§ 5 DDG)

    Für Heilberufe umfangreicher als üblich: Name und Anschrift, E-Mail und Telefon, gesetzliche Berufsbezeichnung samt verleihendem Staat, zuständige Kammer, Aufsichtsbehörde und berufsrechtliche Regelungen mit Fundstelle. Das Impressum muss von jeder Seite mit maximal zwei Klicks und ohne Scrollen erreichbar sein.

  2. 2

    2. Datenschutzerklärung (Art. 13 DSGVO)

    Verständlich erklären, welche Daten du wie und warum verarbeitest – inklusive aller eingesetzten Dienste (Hosting, Formulare, Analyse, Kartendienste, Schriftarten). Muss ebenfalls von jeder Seite direkt erreichbar sein, getrennt vom Impressum.

  3. 3

    3. Cookie-Consent bei Tracking (§ 25 TDDDG)

    Setzt du Analyse- oder Marketing-Tools ein, brauchst du eine aktive Einwilligung, bevor diese laden. Kein vorab angehaktes Kästchen, echte Ablehnen-Option gleichwertig zum Zustimmen. Rein technisch notwendige Cookies sind ausgenommen.

  4. 4

    4. Sichere Kontakt- und Terminformulare (Art. 32 DSGVO)

    Jedes Formular überträgt personenbezogene Daten. Pflicht sind Verschlüsselung (HTTPS), Datensparsamkeit (nur abfragen, was du brauchst) und ein Einwilligungshinweis mit Link zur Datenschutzerklärung. Bei Gesundheitsangaben im Freitextfeld gelten erhöhte Anforderungen.

  5. 5

    5. HWG-konforme Inhalte (§ 3 HWG)

    Keine Heilversprechen, keine irreführenden Erfolgsangaben, Vorsicht bei Vorher-Nachher-Bildern und Patienten-Empfehlungen. Leistungen sachlich beschreiben statt Wirkung garantieren.

  6. 6

    6. Bildrechte und Einwilligungen (§ 22 KunstUrhG)

    Team- und Patientenfotos nur mit schriftlicher Einwilligung der abgebildeten Person. Stockfotos und Icons nur mit gültiger Lizenz. Bei Patienten zusätzlich Art. 9 DSGVO (sensible Gesundheitsdaten) beachten.

  7. 7

    7. Barrierefreiheit prüfen (BFSG, seit 28.06.2025)

    Betrifft Websites mit Dienstleistungen im elektronischen Geschäftsverkehr (z. B. echte Online-Terminbuchung). Rein informative Seiten und Kleinstunternehmen sind meist ausgenommen – aber im Einzelfall prüfen.

  8. 8

    8. SSL / HTTPS

    Grundvoraussetzung für alles Weitere. Ein gültiges Zertifikat verschlüsselt die Datenübertragung und ist für Formulare faktisch Pflicht. Zusatznutzen: HTTPS ist auch ein Rankingsignal bei Google.

Jetzt gehen wir die kritischen Punkte im Detail durch.

Baustein 1: Das Heilberufe-Impressum

Die Impressumspflicht ergibt sich seit Mai 2024 aus § 5 Digitale-Dienste-Gesetz (DDG), das den früheren § 5 TMG abgelöst hat, laut § 5 DDG (gesetze-im-internet.de). Für Heilberufe gilt eine erweiterte Angabepflicht. Neben Name, Anschrift und Kontaktdaten musst du angeben:

  • die gesetzliche Berufsbezeichnung und den Staat, in dem sie verliehen wurde,
  • die zuständige Kammer (z. B. Ärztekammer, bei Physiotherapeuten der zuständige Berufsverband bzw. die Aufsichtsstelle),
  • die berufsrechtlichen Regelungen und wo sie einsehbar sind.

Das Impressum muss von jeder Unterseite leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein – in der Praxis heißt das: ein klar beschrifteter Link („Impressum") im Footer, erreichbar mit höchstens zwei Klicks.

Die Datenschutzerklärung ist über die Informationspflichten aus Art. 13 DSGVO vorgeschrieben, laut Art. 13 DSGVO (dsgvo-gesetz.de). Sie muss jeden Dienst benennen, der Daten verarbeitet – vom Hosting über das Kontaktformular bis zu eingebetteten Karten oder Web-Schriftarten. Ein häufiger, abmahnbarer Fehler: Google Fonts oder Google Maps direkt einbinden, ohne das in der Datenschutzerklärung und im Consent zu berücksichtigen.

Der Cookie-Banner ist kein Selbstzweck. Rechtsgrundlage ist § 25 TDDDG (früher § 25 TTDSG): Das Speichern von Informationen auf dem Endgerät oder der Zugriff darauf ist nur mit vorheriger Einwilligung erlaubt – ausgenommen sind technisch zwingend erforderliche Vorgänge, laut § 25 TDDDG (gesetze-im-internet.de).

⚠️  Achtung

Ein Cookie-Banner ist nur dann rechtskonform, wenn Ablehnen genauso einfach ist wie Zustimmen. „Alle akzeptieren" als großer Button und „Ablehnen" als versteckter Textlink ist unzulässig. Und: Tracking-Dienste dürfen erst nach der Einwilligung laden, nicht schon beim Seitenaufruf.

Wenn du keine Analyse- und Marketing-Tools einsetzt, brauchst du auch keinen Consent-Banner – nur technisch notwendige Cookies sind einwilligungsfrei. Für viele kleine Praxis-Websites ist das der einfachste Weg zur Rechtssicherheit: bewusst datensparsam bleiben.

Baustein 4: Formulare, die Gesundheitsdaten schützen

Sobald ein Patient in dein Kontakt- oder Terminformular tippt, verarbeitest du personenbezogene Daten – und oft auch Gesundheitsangaben. Art. 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen", um diese Daten zu schützen, laut Art. 32 DSGVO (dsgvo-gesetz.de).

Konkret bedeutet das für deine Formulare:

  • Verschlüsselte Übertragung über HTTPS (siehe Baustein 8),
  • Datensparsamkeit – frag nur ab, was du wirklich brauchst; ein Freitextfeld „Ihr Anliegen" verleitet Patienten dazu, Diagnosen preiszugeben, also Hinweis geben,
  • ein Einwilligungshinweis mit Link zur Datenschutzerklärung direkt am Formular.
Eine Praxis-Website verwaltet Vertrauen, nicht nur Informationen – jedes Formular, jedes Foto und jede Werbeaussage berührt sensible Daten oder das Heilwerberecht.

Baustein 5 und 6: HWG-konforme Inhalte und Bildrechte

Auf der Website gelten dieselben Werberegeln wie auf Social Media. § 3 HWG verbietet irreführende Werbung, insbesondere zugesicherte Heilerfolge, laut § 3 HWG (gesetze-im-internet.de). Beschreibe deine Leistungen sachlich statt mit Erfolgsgarantien. Diese Regel gilt formatübergreifend – für die Website genauso wie für Flyer und Social-Media-Videos.

Bei Fotos brauchst du für jede erkennbare Person eine Einwilligung nach § 22 KunstUrhG, laut § 22 KunstUrhG (gesetze-im-internet.de). Für Team-Fotos genügt eine schriftliche Einwilligung der Mitarbeitenden. Bei Patientenfotos kommt Art. 9 DSGVO dazu, weil ein erkennbarer Behandlungskontext sensible Gesundheitsdaten offenbart – hier ist eine ausdrückliche, dokumentierte Einwilligung Pflicht. Stockfotos und Icons nutzt du nur mit gültiger, nachweisbarer Lizenz.

Baustein 7: Barrierefreiheit – trifft das BFSG deine Praxis?

Das Barrierefreiheitsstärkungsgesetz (BFSG) gilt seit dem 28. Juni 2025 und sorgt aktuell für viel Verunsicherung, laut BFSG (gesetze-im-internet.de). Wichtig: Es trifft nicht automatisch jede Praxis-Website.

Entscheidend sind zwei Fragen:

FrageBFSG betrifft dich eher …
Was bietet die Website?Nur Infos: Team, Leistungen, KontaktDienstleistung im E-Commerce: echte Online-Terminbuchung, Bezahlvorgänge
Wie groß ist die Praxis?Kleinstunternehmen: unter 10 Beschäftigte UND max. 2 Mio. € Umsatz/BilanzGrößer als die Kleinstunternehmen-Schwelle
Ergebnismeist nicht verpflichtetBarrierefreiheit wird zur Pflicht

Nach herrschender Auslegung greift das BFSG nur, wenn die Website „Dienstleistungen im elektronischen Geschäftsverkehr" anbietet – also etwa eine echte Online-Terminbuchung, bei der elektronisch ein Vertrag zustande kommt. Rein informative Praxis-Websites fallen in der Regel nicht darunter. Zusätzlich gibt es eine Ausnahme für Kleinstunternehmen (weniger als zehn Beschäftigte und höchstens zwei Millionen Euro Jahresumsatz oder Bilanzsumme), laut Ärztekammer Niedersachsen.

💡  Tipp

Auch wenn dich das BFSG rechtlich nicht zwingt: Barrierefreiheit lohnt sich fast immer. Gute Kontraste, Alt-Texte für Bilder, Tastaturbedienbarkeit und lesbare Schrift helfen älteren Patienten, verbessern die Nutzererfahrung – und wirken sich positiv auf dein Google-Ranking aus. Für die lokale Sichtbarkeit deiner Praxis ist das ein doppelter Gewinn.

Baustein 8: HTTPS als Fundament

Ohne gültiges SSL-Zertifikat ist keine der bisherigen Maßnahmen wirklich wirksam. HTTPS verschlüsselt die Verbindung zwischen Besucher und Server und ist damit die technische Voraussetzung für datenschutzkonforme Formulare (Art. 32 DSGVO). Praktisch stellt heute jeder seriöse Hoster ein kostenloses Zertifikat bereit – es muss nur aktiviert und auf „erzwungenes HTTPS" gestellt sein. Als Nebeneffekt bewertet Google verschlüsselte Seiten positiv, was deiner Auffindbarkeit hilft.

Die häufigsten abmahnbaren Fehler auf Praxis-Websites

Die meisten Abmahnungen treffen keine exotischen Sonderfälle, sondern immer wieder dieselben, leicht vermeidbaren Standardfehler. Wenn du deine Seite prüfst, schau zuerst auf diese Punkte:

  • Unvollständiges Impressum. Fehlende Berufsbezeichnung, Kammer oder Aufsichtsbehörde ist bei Heilberufen der Klassiker – und für Abmahner mit einem Blick erkennbar.
  • Google Fonts oder Maps direkt eingebunden. Wird die Schrift oder Karte beim Seitenaufruf direkt von Google-Servern geladen, fließt die IP-Adresse des Besuchers ohne Einwilligung ab. Lösung: Schriften lokal einbinden, Karten erst nach Consent laden (Zwei-Klick-Lösung).
  • Tracking lädt vor der Einwilligung. Analyse- oder Pixel-Skripte, die schon beim Öffnen der Seite feuern, verstoßen gegen § 25 TDDDG – der Banner ist dann reine Dekoration.
  • Kein echter „Ablehnen"-Button. Ein Cookie-Banner ohne gleichwertige Ablehnen-Option gilt als unwirksame Einwilligung.
  • Alte Rechtsstände. Verweise auf „§ 5 TMG" statt „§ 5 DDG" oder auf das „TTDSG" statt „TDDDG" zeigen, dass die Seite länger nicht gepflegt wurde – ein Warnsignal auch für die Aktualität der übrigen Inhalte.
  • Stockfotos ohne Lizenznachweis. Bilder, deren Nutzungsrecht du im Streitfall nicht belegen kannst, sind ein unnötiges Risiko.

💡  Tipp

Mach einmal im Jahr einen kurzen Selbst-Check: Impressum vollständig? Datenschutzerklärung deckt alle aktuell genutzten Dienste ab? Consent-Banner lässt sich sauber ablehnen? Alle Formulare laufen über HTTPS? Zehn Minuten, die dir teure Post ersparen können.

Was das für deine Praxis bedeutet

Rechtssicherheit ist kein einmaliges Häkchen, sondern ein Zustand, den du pflegst: Fügst du später ein neues Tool ein (Terminbuchung, Chat, Analyse), müssen Datenschutzerklärung und Consent mitwachsen. Am robustesten fährst du, wenn du die Seite von Anfang an datensparsam und sauber strukturiert aufbaust – dann bleibt die Liste kurz.

Genau das ist auch aus Marketing-Sicht klug: Eine rechtssichere, schnelle und barrierearme Website schafft Vertrauen und ist die Basis für jede Neukundengewinnung im Gesundheitswesen. Wer online neue Patienten gewinnen will, braucht ohnehin eine Seite, die technisch und rechtlich steht – wie das für Praxen konkret aussieht, zeigen wir am Beispiel der Neukundengewinnung für die Physiotherapie.

⚠️  Achtung

Hinweis: Dieser Artikel ist allgemeine Information und keine Rechtsberatung. Die Rechtslage – besonders beim BFSG – wird noch ausgelegt und kann sich ändern, und jeder Einzelfall ist anders. Lass dein Impressum, deine Datenschutzerklärung und die BFSG-Einordnung im Zweifel von einem Fachanwalt für IT-, Datenschutz- oder Medizinrecht oder deiner zuständigen Kammer prüfen.

Häufige Fragen

Max Schneider

Max Schneider

Gründer · Schneider Studios

Hilft Physiopraxen, Fitnessstudios und Gesundheitsunternehmen, mit Recruiting- und Content-Systemen planbar Mitarbeiter und Kunden zu gewinnen.

Verwandte Artikel

← Alle Ratgeber-Artikel