Impressum & Datenschutz für Heilpraktiker-Websites — was rein muss

Auf dieser Seite

Zwei Seiten, die fast jeder aus einem Generator kopiert und nie wieder anschaut: Impressum und Datenschutz. Auf einer normalen Website verzeihlich. Auf einer Praxis-Website nicht — da geht’s um Gesundheitsdaten, und die sind das Heikelste, was das Datenschutzrecht kennt.

Das Impressum — Ihr digitales Praxisschild

Die Impressumspflicht steht seit Mai 2024 in § 5 DDG (dem Digitale-Dienste-Gesetz, das das alte Telemediengesetz abgelöst hat). Für eine Heilpraktiker-Praxis gehört rein:

  • Name, Anschrift, Kontakt — E-Mail und Telefon
  • Berufsbezeichnung „Heilpraktiker“, verliehen in der Bundesrepublik Deutschland
  • Berufsrechtliche Regelungen: Heilpraktikergesetz und Erste Durchführungsverordnung, einsehbar auf gesetze-im-internet.de
  • Zuständige Aufsichtsbehörde: Ihr Gesundheitsamt, mit Adresse
  • Keine Kammer — die Angabe entfällt, anders als bei Ärzt:innen
  • USt-IdNr., falls vorhanden
  • Bei Blog oder redaktionellen Texten: Verantwortlich nach § 18 Abs. 2 MStV

Das war’s. Klar und endlich. Dieselben Pflichtangaben tauchen auch in der HWG-Checkliste auf — Impressum und Werberecht greifen ineinander.

Datenschutz — hier wird’s ernst

Gesundheitsdaten sind nach Art. 9 DSGVO eine besondere Kategorie. Ihre Verarbeitung ist grundsätzlich untersagt — es sei denn, eine Ausnahme greift. Für die Behandlung selbst greift sie: Art. 9 Abs. 2 lit. h deckt den Behandlungsvertrag mit einer Angehörigen eines Gesundheitsberufs. Für die Behandlung brauchen Sie also nicht für jeden Schritt eine separate Einwilligung.

Die Website ist aber ein eigener Kanal — und der hat eigene Regeln:

Formulare

Ein simples Kontaktformular läuft über Art. 6 (Anbahnung eines Vertrags). Sobald aber Gesundheitsdaten abgefragt werden — „Beschreiben Sie Ihre Beschwerden“ — greift Art. 9: ausdrückliche Einwilligung per Checkbox und verschlüsselte Übertragung sind Pflicht. Faustregel: Fragen Sie im Formular nur das ab, was Sie wirklich brauchen. Datensparsamkeit ist kein Verzicht, sondern weniger Risiko.

Auftragsverarbeitung

Ihr Hoster speichert die Website-Daten in Ihrem Auftrag — dafür braucht es einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Das Gleiche gilt für Praxissoftware, Newsletter-Tool und Online-Terminbuchung. Seriöse Anbieter stellen den AV-Vertrag bereit; abschließen und ablegen.

Technik (Art. 32)

TLS/HTTPS ist Pflicht, nicht Kür. Dazu Backups und Vertraulichkeit der Daten. Das ist die Stelle, an der gutes Handwerk schlicht Datenschutz ist — nicht als Zusatz, sondern als Fundament.

Die Muster-Falle

„Datenschutzerklärung Heilpraktiker Muster kostenlos“ — der meistgesuchte Abkürzungsversuch. Ein Muster ist ein Anfang, kein Ergebnis. Es beschreibt, was eine Standard-Website tut, nicht was Ihre tut. Nennt Ihre Erklärung Google Fonts und Analytics, die Sie gar nicht nutzen — oder verschweigt sie das Buchungstool, das Sie sehr wohl einsetzen — ist sie schlicht falsch. Und eine falsche Datenschutzerklärung ist abmahnfähig.

Hier die Grenze, die ich klar ziehe: Die rechtsverbindliche Datenschutzerklärung gehört zum Anwalt oder zu einem spezialisierten Generator. Ich baue die Technik sauber und sorge dafür, dass die Erklärung zur tatsächlichen Datenverarbeitung passt — die juristische Prüfung im Einzelfall leiste ich nicht. Wer Ihnen das als Webdesigner verspricht, verspricht zu viel.

Die einfachste DSGVO ist die, die Sie nicht brauchen

Jede externe Ressource, die Sie einbinden, ist eine Datenverarbeitung, die Sie erklären und absichern müssen. Google Fonts direkt vom Google-Server — Datenübertragung. Eingebettetes YouTube — Cookies. Analytics — Einwilligung plus Banner.

Die Alternative: selbst gehostete Schriften, keine Tracker, datensparsame Tools. Dann brauchen Sie oft nicht mal einen Cookie-Banner — denn ohne nicht-notwendige Cookies (§ 25 TDDDG) gibt es nix einzuwilligen.

So baue ich Praxis-Websites: lean, self-hosted, wenig Drittanbieter. Das ist nicht nur schneller. Es ist die ehrlichste Form von Datenschutz — man sammelt gar nicht erst, was man später schützen müsste.

Kurz zum Datenschutzbeauftragten: Eine Solopraxis verarbeitet Gesundheitsdaten zwar als Kerntätigkeit, aber nicht „umfangreich“ im Sinne der DSGVO — ein DSB ist da in der Regel nicht Pflicht. Mit wachsendem Team kippt das. Im Zweifel fragen Sie Ihre Aufsichtsbehörde.

Das Fundament, nicht die Pflichtübung

Impressum und Datenschutz sind nicht das lästige Kleingedruckte am Ende. Sie sind das Fundament, auf dem alles andere steht — HWG, Berufsordnung, das Vertrauen Ihrer Patient:innen. Wer hier sauber baut, muss später nix nachflicken. Passt.

Praxis-Website, die von Anfang an sauber ist?

Ich baue lean, self-hosted und datensparsam — Impressum, Datenschutz und Werberecht von Grund auf mitgedacht. Schauen wir im Erstgespräch, was Ihre Praxis braucht.

Erstgespräch anfragen

Die drei Pakete: somatic-web.de/pakete. Und der Rest des Compliance-Fundaments: HWG-Checkliste und Berufsordnung & Website.

Kein Rechtsrat: Ich bin Webdesigner, kein Anwalt. Dieser Beitrag erklärt, wie ich Praxis-Websites technisch datenschutzkonform aufsetze — er ersetzt keine Rechtsberatung und keine geprüfte Datenschutzerklärung. Für die rechtsverbindliche Umsetzung wenden Sie sich an eine auf Datenschutz- und Medizinrecht spezialisierte Kanzlei.
WordPress Cookie Plugin von Real Cookie Banner